Zoom, Hollanda'nın Önde Gelen Araştırma ve Eğitim Kuruluşu İş Birliği Yaparak Veri Gizliliği Korumalarını Geliştiriyor

Bugün, Zoom'un Toplantı, Web Semineri ve Sohbet hizmetleriyle ilgili olarak SURF tarafından Veri Koruma Etki Değerlendirmesi'nin (DPIA) yayımlandığını memnuniyetle duyuruyoruz. 

Üyeleri adına büyük yazılım tedarikçileriyle görüşen SURF, tedarikçilerin sunduğu araçların Avrupa gizlilik ve güvenlik standartlarıyla uyumlu olmasını sağlar ve bu uyumluluğu değerlendirir. Bu şekilde elde ettiği bilgileri de bir DPIA hazırlayarak paylaşır. Böylece SURF, üyelerine video konferans araçları gibi yazılımları satın alma konusunda seçim özgürlüğü sunar.

SURF tarafından yayımlanan DPIA sayesinde, mevcut veri koruması ve risk analizi performansı doğru bir biçimde takip edilebilir ve uygulamaların geliştirilmesine yönelik fırsatlar belirlenebilir. Bu yönüyle DPIA, teknoloji sağlayıcıları için önemli bir başvuru kaynağıdır.

Zoom, bu DPIA'yı hazırlama sürecinde SURF ile kayda değer bir iş birliği gerçekleştirmiştir. Zoom'un veri gizliliği konusunda benimsediği yaklaşımı geliştirmeye yönelik çalışmalarını destekleyen DPIA'da, Avrupa veri koruma politika ve ilkelerinin Zoom için ne kadar önemli olduğu da görülmektedir. Zoom, Avrupa'da daha fazla şirket, hükümet ve vatandaşa hitap etmeyi hedeflemektedir.

DPIA, bir şirketin Avrupa Birliği (AB) veri koruma kanunlarına, özellikle de Genel Veri Koruma Yönetmeliğine (GDPR) uyumluluğunun belirlenmesi için söz şirketin veri toplama ve kullanım uygulamalarının teknik ve hukuki açıdan ayrıntılı bir şekilde değerlendirilmesidir. DPIA'da bir şirketin kişisel verileri nasıl işlediği analiz edilir, söz konusu veri işleme süreciyle ilişkili riskler belirlenir ve bu risklerin azaltılmasına yönelik önlemlere yer verilir.

DPIA değerlendirme sürecinde Zoom, veri toplama ve kullanım uygulamalarını belirtmiş ve bu uygulamaların kanıtlarını sunmuştur. SURF, DPIA'da Avrupa vatandaşlarının verilerinin korunmasını güçlendirme çalışmaları kapsamında Zoom'un mevcut olanaklarını değerlendirmiş ve uygulamalara ilişkin iyileştirmeler önermiştir.

Değerlendirmeler bu duyurunun altında yayımlanmıştır.

SURF ve Zoom, DPIA kapsamındaki iş birliği sürecinde çeşitli eylemler üzerinde anlaşmıştır. Bu eylemlerden bazıları şunlardır:

• Yeni gizlilik özelliklerinin geliştirilmesi:
  • Veri konumu çözümleri: AB sınırları içindeki Zoom müşterilerinin kişisel verilerin ABD'de işlenmesine ilişkin gizlilik kaygıları vardır. Bu müşteriler, tüm kişisel verilerin AB sınırları içinde işlenmesini tercih etmektedir. Zoom, SURF'nin birlikte çalışarak, bu yılın sonuna kadar müşterilerinin bu tercihini büyük ölçüde hayata geçirmek için çalışacaktır. Her türlü istisna üzerinde anlaşılacak ve bu istisnalar belgelenecektir.
  • AB destek hizmetleri: Zoom, AB iş saatleri içerisinde AB hesaplarını desteklemek için 2022 yılının ortasına kadar ayrı bir AB destek masası kuracaktır. AB'deki bir hesap için bu saatler dışında destek gerekmesi veya AB sınırları dışında destek gerektiren bir yükseltme durumunun olması halinde Zoom, söz konusu desteği ancak destek biletinde ilgili müşterinin açıkça izin vermesi durumunda sağlayacaktır.
  • Veri Sahibi Erişim Talepleri (DSAR): Zoom, işletme ve eğitim hesabı yöneticileri için iki self servis araçla müşterilerin DSAR'lara yanıt verme olanağını geliştirecektir.
  • İletişim tercihi merkezi: Zoom, 2022 yılının sonuna kadar tüm hesap sahipleri için bir pazarlama tercihleri self servis aracı geliştirecektir.

• Şeffaflık ve belgelendirme iyileştirmeleri:
  • Gizlilik bilgi formu: Zoom, düzenli olarak güncellenecek bir gizlilik bilgi formu yayımlayarak kişisel verileri işlemesine ilişkin halka açık belgelerinde iyileştirmeler yapmıştır.
  • Güncellenmiş Veri Aktarımı Etki Değerlendirmesi (DTIA): Zoom, İsviçreli hukuk uzmanı David Rosenthal'ın oluşturduğu formatta yeni bir DTIA hazırlamıştır. Bu DTIA'ya göre Zoom kullanan kişilerin gizlilik riskleri ihmal edilebilir düzeydedir.
  • Zoom'un görev ve sorumluluklarının netleştirilmesi: Zoom, eğitim ve işletme müşterilerinin (veri denetleyicileri) Zoom'a bazı kişisel verileri bağımsız bir veri denetleyici olarak "daha fazla" işleme yetkisi verdiği sınırlı bir dizi durum dışında, kendisini tüm kişisel veriler için veri işleyici olarak yeniden sınıflandırmasının uygun olduğunu kabul etmiştir. Bu durum, Zoom'un halka açık web sitesi yoluyla topladığı kişisel veriler için de geçerlidir.

• Zoom'un veri koruma uygulamalarının geliştirilmesi:‎
  • Kişisel verilerin saklanması: Zoom, müşterilerin kişisel verilerini saklama uygulamalarını netleştirmiş ve en aza indirmiştir.
  • Tasarım gereği ve varsayılan olarak gizlilik: Zoom, ürün geliştirme döngüsü boyunca tasarım gereği ve varsayılan olarak daha sağlam ve agresif bir gizlilik uygulayacaktır.  
  • Çalışan eğitimi: Zoom, çalışanlarının mutluluk sunarken gizlilik korumalarını her zaman göz önünde bulundurmasını sağlamak için çalışanlarına yeni eğitim sağlamaktadır.

• İlerlemenin ölçülmesi: Zoom, SURF ile birlikte, daha iyi veri korumasına yönelik fırsatları ve bu hedeflere ulaşmak için yol haritasını belirlemiştir. SURF ve Zoom, kaydedilen ilerlemeyi iki ayda bir görüşecektir.

Zoom, hem DPIA kapsamında, hem de ileriye dönük olarak SURF iş birliğinin, Zoom'un bir başvuru kaynağına sahip olmasına ve veri gizliliği ve koruma stratejilerini geliştirmesine yardımcı olacağını ifade eder.

DPIA'da da belirtildiği üzere, "Zoom'un çok sayıda geliştirme önlemi ve sınırlayıcı bir özel amaç listesi sunan yeni DPA sayesinde Zoom müşterileri, her türlü kişisel verinin izin verilen bu amaçlar dışında bir amaçla işlenmesini önlemesi için sözleşme garantileri ve gizlilik kontrollerine güvenebilecek."

Zoom gizliliği ve güvenliği hakkında daha fazla bilgi için Güven Merkezi'ni ziyaret edin.