Uppdaterad: 8 augusti 2023
Zoom och Europeiska unionens dataskyddsförordning (GDPR)
Zooms mål är att leverera glädje genom friktionsfri videokommunikation och vi förstår att denna glädje kräver integritet och säkerhet. Därför strävar vi efter att skydda och säkra våra kunders kommunikation i högsta möjliga mån, exempelvis genom datasekretesskyldigheterna i det Europeiska ekonomiska samarbetsområdet (”EES”) – vilka huvudsakligen utgörs av dataskyddsförordningen (”GDPR”).
Zoom välkomnar GDPR som en grund för dataskydd som gynnar alla och inte bara de i Europa. Zoom stödjer våra kunder genom att implementera tekniska och organisatoriska åtgärder på ett sätt som överensstämmer med GDPR:s efterlevnadsskyldigheter. Zoom finns här för att hjälpa våra kunder i deras roll som personuppgiftsansvariga.
Följande viktiga fakta återspeglar Zooms åtagande att följa dataskyddspraxis.
Om du vill läsa mer om Zooms dataskyddspraxis kan du ta en titt på Zooms Data Protection Impact Assessment (”DPIA”), som har genomförts i samarbete med kooperativet för nederländska utbildnings- och forskningsinstitutioner (SURF), som finns i denna blogg (och företagets egna DPIA för integritet).
Avtalsenliga GDPR-åtaganden för alla Zoom-kunder
GDPR kräver att personuppgiftsansvariga (såsom organisationer och utvecklare som använder Zooms tjänster) endast använder personuppgiftsbiträden (såsom Zoom) som bearbetar personuppgifter för den personuppgiftsansvariges räkning och tillhandahåller adekvata garantier att specifika krav i GDPR uppfylls. Zoom verkställer dessa åtaganden för alla våra kunder genom att införliva Zooms databehandlingstillägg i Zooms tjänstevillkor.
Zooms kontraktsenliga åtaganden som rör GDPR:
- Zoom strävar efter att vara transparent och förpliktigar sig att använda personuppgifter enbart enligt vad som anges i vårt avtal om att tillhandahålla våra tjänster eller enligt vad som i övrigt anges av våra kunder.
- Zoom upprätthåller lämpliga tekniska och organisationsmässiga säkerhetsåtgärder för att skydda de personuppgifter vi behandlar.
- Zoom hjälper kunder att uppfylla sina skyldigheter när registrerade personer utövar de rättigheter som är kopplade till de personuppgifter som behandlas vid användningen av våra tjänster (som begäranden om information, åtkomst, rättelse och borttagning).
Internationella säkerhetsåtgärder för dataöverföring
USA
GDPR innehåller specifika regler för överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får i princip endast överföras till länder utanför EES om landet har en adekvat skyddsnivå.
Tillräckligheten avgör om dataskyddsåtgärderna i ett land utanför EU anses vara adekvata för att säkerställa en skyddsnivå som motsvarar den som ges inom EU. Ett beslut om tillräcklighet från Europeiska kommissionen möjliggör fritt flöde av personuppgifter från EU till ett tredjeland utan att ytterligare skyddsåtgärder behövs. Sedan den 10 juli 2023 finns det ett nytt beslut om tillräcklighet från Europeiska kommissionen för deltagare i ramen för dataskydd mellan EU och Förenta staterna (DPF). Zoom har registrerat sig som aktiv deltagare.
Ramen för dataskydd (DPF) uppstod som ett svar på den ökande oron över dataskydd och integritet i den digitala tidsåldern. Den syftar till att harmonisera och förbättra standarderna för dataskydd, särskilt när det gäller överföring av personuppgifter mellan länder. Vikten av DPF ligger i dess roll i att underlätta internationell handel och kommunikation samtidigt som skyddet av individers integritetsrättigheter säkerställs. Ramen är relevant för många olika intressenter, inklusive företag, tillsynsmyndigheter och privatpersoner, genom fastställandet av tydliga riktlinjer och skyldigheter för datahantering. DPF:s tillämplighet är avgörande i samband med säker dataöverföring eftersom den tillhandahåller ett rättsligt ramverk som säkerställer efterlevnaden av dataskyddslagar och därigenom främjar förtroende och ansvarsskyldighet vid gränsöverskridande datautbyten.
Andra tredjeländer
Personuppgifter kan överföras från EES till tredjeländer utanför EES med hjälp av standardavtalsklausuler (SCC, även kända som EU-standardklausuler) som har antagits av Europeiska kommissionen. Dessa SCC:er säkerställer en avtalsenlig hög skyddsnivå. Zoom implementerade de nya SCC:erna 2021 i Zooms standard-DPA. Zoom har införlivat de nya SCC:erna i tillämpliga avtal efter de övergångsperioder som specificerades av Europeiska kommissionen. Se våra vanliga frågor för kunder om de nya SCC:erna för ytterligare information.
Konsekvensbedömning vid dataöverföring
För att hjälpa Zooms kunder att efterleva ytterligare krav när de använder SCC erbjuder Zoom nedanstående konsekvensbedömningar vid dataöverföring för olika produkter. I enlighet med gängse bästa praxis förväntas dataexportören och -importören bedöma om lagarna och praxis i det land som tar emot uppgifterna kan försvaga skyddsnivån som vanligen garanteras.
Konsekvensbedömning vid dataöverföring i Zoom Meetings/Webbinarium/Team Chat
Konsekvensbedömning vid dataöverföring i Zoom Phone
Konsekvensbedömning vid dataöverföring i Zoom Contact Center
Konsekvensbedömning vid dataöverföring i Zoom Virtual Agent
Begäran från registrerad person (DSAR)
En begäran om åtkomst av registrerad person (DSAR) är en mekanism som tillhandahålls under dataskyddsförordningen (GDPR) som låter individer, så kallade registrerade personer, att begära åtkomst till personuppgifterna som innehas av organisationer. Dessutom kan registrerade personer begära rättelse av felaktiga eller ofullständiga personuppgifter. Detta säkerställer att eventuella datafel korrigeras snabbt. Under vissa omständigheter har individer rätt att begära radering av sina personuppgifter (kallas vanligen rätten att bli bortglömd). Detta är en grundläggande rättighet i GDPR som betonar transparens och kontroll för individer över deras personuppgifter. Zoom erbjuder sina kunder ett självbetjäningsverktyg för att enkelt utöva dessa rättigheter. Du kan ta reda på mer om det här verktyget på vår supportwebbplats.
Datalagring
Zoom erbjuder europeiska kunder med ett berättigande betalt konto möjligheten att använda datacentraler i Europeiska Unionen (EU). Kunder kan välja datacentralregion, samt den automatiskt fastställda hemregionen, som värdtjänst för realtidstrafiken för möten och webbinarium. Kunder kan också välja att lagra inspelningar lokalt på sina egna enheter eller i sin lokala datacentral. Du hittar mer information på vår supportsida. För dessa kunder erbjuder Zoom också möjligheten att få alla supportdata exklusivt bearbetad inom EU. Om de vill få support utanför ordinarie arbetstid i EU kan de ge ett specifikt samtycke från fall till fall för överföring av personuppgifter till en helpdesk utanför EU.
Robusta specifika åtgärder för att säkerställa europeiskt dataskydd
Zoom har åtagit sig att upprätthålla en hög säkerhetsnivå:
- Zoom utnyttjar en rad krypteringstekniker för att skydda kunddata under överföring samt data som lagras.
- Zoom utnyttjar säkerhetsåtgärder för att bidra till den konstanta konfidentialiteten, integriteten, tillgängligheten och motståndskraften hos våra system och tjänster för bearbetning.
- Zoom vidtar åtgärder för att underlätta snabb återställning av tillgängligheten och åtkomsten till våra system och tjänster för bearbetning vid en fysisk eller teknisk incident.
- Zoom implementerar en process för att regelbundet testa, bedöma och utvärdera effektiviteten hos tekniska och organisationsmässiga åtgärder för att främja säkerheten för de data vi bearbetar.
Mer specifikt använder Zoom olika säkerhetsåtgärder för att skydda kundkommunikation som överförs genom eller lagras på plattformen. Dessa åtgärder inkluderar följande:
- Valfri totalsträckskryptering för möten: Användare kan välja att aktivera totalsträckskryptering för Zoom Meetings. Totalsträckskryptering är utformat för att kryptera data mellan alla mötesdeltagare så att ingen leverantör eller något system, inklusive Zoom, som befinner sig mellan dem kan få åtkomst till kommunikationen.
- Standardkryptering: Anslutningen mellan en given enhet och Zoom är krypterad som standard med en blandning av TLS 1.2+ (Transport Layer Security), 256-bitars Advanced Encryption Standard med AES GCM-kryptering och SRTP (Secure Real-time Transport Protocol). De exakta metoderna som används beror på om en användare använder Zoom-klienten, en webbläsare, en tredjepartsenhet eller -tjänst eller Zoom Phone-produkten. Se vår rapport om kryptering för ytterligare information.
- Skydd mot icke-auktoriserade mötesdeltagare: Zoom har implementerat otaliga säkerhetsåtgärder och kontroller för att förhindra att icke-auktoriserade deltagare går med i möten:
-
- Elvasiffriga unika mötes-ID:n
- Komplexa lösenord
- Väntrum med möjligheten att automatiskt släppa in deltagare med ditt domännamn eller en annan vald domän
- Lås möte-funktion som kan förhindra någon från att gå med i ett möte
- Möjligheten att ta bort deltagare
- Autentiseringsprofil som enbart beviljar åtkomst för registrerade användare eller begränsar den till specifika domäner
- Verktyget för att anmäla riskmöte kan genomsöka inlägg på offentliga sociala medier och andra offentliga onlineresurser efter Zoom-möteslänkar
- Selektiva mötesinbjudningar: Värden kan selektivt bjuda in deltagare via e-post, snabbmeddelanden eller sms. Detta ger större kontroll över distributionen av informationen för mötesåtkomst. Värden kan också skapa mötet för att endast tillåta medlemmar från en viss e-postdomän att gå med.
- Säkerhet under möten: Under mötet levererar Zoom rikt mediainnehåll i realtid på ett säkert sätt till varje deltagare i ett Zoom-möte. Allt innehåll som delas med deltagarna i ett möte är enbart en representation av originaldata. Detta innehåll är kodat och optimerat för delning med hjälp av säker implementering.
- Värdkontroller: Mötesvärden kan använda kontroller för att aktivera/inaktivera deltagarnas möjlighet att dela innehåll, chatta och döpa om sig själva.
- Rapportering: Du kan rapportera deltagare för olämpligt beteende under möten genom att välja vilka deltagare du vill rapportera. Du kan även inkludera skriftliga uppgifter och lägga till bilagor. Denna rapport skickas automatiskt till Zoom Trust and Safety-teamet för en utvärdering av eventuellt missbruk av plattformen och blockera användaren om nödvändigt.
- Säkerhetskontroller i produkten: Säkerhetskontroller med en särskild säkerhetsikon i huvudgränssnittet.
- Rollbaserad användarsäkerhet: Följande säkerhetsfunktioner är tillgängliga för mötesvärden före mötet:
-
- Säker inloggning med standardprocess med användarnamn och lösenord eller enkel SAML-inloggning
- Starta ett säkrat möte med en lösenkod
- Schemalägg ett säkrat möte med en lösenkod
- Förebyggande av robotsamtal: Funktionen för samtalsscreening för att hjälpa användare att minska mängden oönskade robotsamtal har implementerats. Kontoägare och administratörer kan aktivera funktionen för samtalsscreening på kontot, platsen, i gruppen, för användare, gemensamt utrymme, automatisk receptionist, samtalskö och delad linjegrupp. Den här funktionen är aktiverad och upplåst som standard för hela kontot.
Val för databearbetning och lagring
Zoom förstår att våra kunder kan vilja ha alternativ att välja bland avseende de datacentraler som bearbetar och lagrar vissa data.
Data under överföring och vid bearbetning: Zoom leder kunddata som överförs från möten genom sitt globala nätverk av samlokaliserade datacentraler och offentliga molndatacentraler (inklusive Amazon Web Services-datacentraler (”AWS”)). Zoom Meetings-tjänsterna är utformade för att fungera så att information som kommer in i Zoom-ekosystemet dirigeras genom datacentralen som är närmast användaren som skickar eller tar emot data.
Kontoägare och administratörer på betalda konton kan, på konto-, grupp- eller användarnivå, välja att delta eller avstå från de specifika Zoom-datacentraler som används för bearbetningen av deltagarnas video, ljud och delade innehåll i realtid under de möten och webbinarium som hålls. Datacentralerna i det land som stöder regionen där kontot etablerades kommer att låsas som registrerat val för bearbetning. Alternativ för Zoom-datacentraler gäller endast när ett konto är värd för ett möte eller webbinarium. När ett konto som är värd för ett möte eller ett webbseminarium har valt bort en eller flera datacentraler kommer alla deltagares video, ljud och delade innehåll i realtid under möten och webbinarium endast att bearbetas av en vald Zoom-datacentral. Zoom kan dock dirigera genomfartstrafik mellan datacentraler med hjälp av nätverksroutningsprotokoll av branschstandard samtidigt som den passerar genom Zooms privata nätverksanslutningar (dvs. kantroutning). Ytterligare information finns i denna hjälpartikel.
Datalagring: Kunder kan välja platsen för datalagring för visst kundinnehåll. Kundinnehåll är information som tillhandahålls av en kund via användningen av Zoom-tjänsten, bland annat alla data som en kund väljer att spela in eller dela under ett möte eller webbinarium, inklusive exempelvis molninspelningar, mötesavskrifter, chattavskrifter (under möte eller bestående) och filer som utväxlas under ett möte eller i den bestående chattkanalen.
Kundinnehåll lagras som standard i USA. Kunder på betalda konton kan välja lagringsplatsen för en del av sitt kundinnehåll på kontot. Endast kontoinnehavare, kontoadministratörer eller de med befogenhet för kundkontoprofilen kan ändra denna inställning. Ytterligare information finns i denna hjälpartikel. Observera att kundinnehåll, kontodata och diagnostiska data fortfarande lagras i USA.
Strikta protokoll för att svara på en Request for information från en myndighet
Zoom har åtagit sig att skydda våra kunders och användares integritet och producerar endast användardata till myndigheter som svar på giltiga och lagenliga begäranden i enlighet med vår guide för myndighetsbegäranden samt andra relevanta juridiska policyer.
I alla geografiska områden:
- Myndighetsbegäranden måste utfärdas enligt tillämpliga lagar och bestämmelser och via officiella kanaler. Därtill krävs ett undertecknat officiellt dokument eller en e-postbegäran som har skickats från en myndighets officiella e-postadress.
- Varje begäran måste vara tydlig, inte alltför bred och ha en giltig rättslig grund. Vi kommer att avvisa eller ifrågasätta begäranden som inte uppfyller dessa krav.
- Vi tillämpar ytterligare granskning på vissa myndighetsbegäranden för användarinformation baserat på våra principer och vårt intresse av att främja ett lyckat samarbete världen över.
Om en begäran är för vag ifrågasätter Zoom giltigheten hos begäran för att begränsa de typer av information som skickas in.
Zoom meddelar vanligtvis användare om Request for information från myndigheter och inkluderar en kopia av mottagen begäran, såvida inte vi är lagenligt förbjudna att meddela användaren. Begäran om undantag från användaraviseringar måste innehålla en beskrivning av de särskilda omständigheterna eller de negativa konsekvenser som aviseringen kan leda till.
Ökad transparens
- Transparensrapporter: Zoom publicerade sin första rapport om antalet begäranden som har mottagits från amerikanska och internationella myndigheter i december 2020 (Government Request Transparency Report). Vårt mål är att varje transparensrapport ska vara bättre jämfört med den föregående. Vår senaste transparensrapport finns tillgänglig här. Ytterligare transparensrapporter kommer att göras tillgängliga i Zooms tillitscenter.
- Aviseringar i produkten: Zoom uppdateras kontinuerligt för att integrera funktionsspecifika integritetsaviseringar i Zoom-upplevelsen för att hjälpa användare att förstå, i den gällande kontexten, vem som kan se och dela innehållet och informationen de delar på Zoom. Om en användare till exempel vill veta vem som kan se meddelandena hen skickar i Zooms chattfunktion kan de gå till ”Vem kan se dina meddelanden?” för att se vem som har åtkomst till de meddelanden som skickas till alla samt de privata meddelanden som skickas.
Zoom designar sina tjänster med fokus på GDPR-kraven
Zoom har åtagit sig att göra sitt absolut bästa för att bygga produktfunktioner som är i linje med GDPR-kraven och främja skyddet av de personuppgifter som bearbetas i våra tjänster. För mer information om vår datapraxis kan du läsa vårt integritetsmeddelande eller skicka ett e-postmeddelande till privacy@zoom.us om du har några GDPR-specifika frågor.