Güncelleme: 8 Ağustos 2024
Zoom ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR)
Zoom'un misyonu, sorunsuz video iletişimiyle insanların mutlu olmasını sağlamaktır. Biz bu mutluluk için gizlilik ve güvenlik gerektiğini de biliyoruz. İşte bu nedenle müşterilerimizin iletişimlerini korumak ve Avrupa Ekonomik Alanı'ndaki ("EEA") veri gizliliği yükümlülüklerini (temel olarak Genel Veri Koruma Yönetmeliği – "GDPR") en yüksek seviyelerde güvenceye almak için çaba gösteriyoruz.
Zoom, GDPR'yi yalnızca Avrupa'nın değil, herkesin yararına bir veri koruma zemini olarak görmektedir. Zoom, GDPR'nin uyumluluk yükümlülüklerine uygun bir şekilde teknik ve organizasyonel önlemler uygulayarak müşterilerimize destek olmaktadır. Zoom, veri denetleyicisi olarak rolü çerçevesinde müşterilerimize yardımcı olmak için hazırdır.
Aşağıdaki temel bilgiler, Zoom'un veri koruma uygulamalarına yönelik taahhüdünü yansıtmaktadır.
Zoom'un veri koruma uygulamaları hakkında daha fazla bilgi edinmek istiyorsanız lütfen bu Blog'da yer alan Hollanda eğitim ve araştırma kurumları kooperatifi SURF ile işbirliği içinde gerçekleştirilen Zoom'un Veri Koruma Etki Değerlendirmesine de ("DPIA") (ve Gizlilik Şirketinin DPIA'sına) göz atın.
Tüm Zoom müşterileri için sözleşmeye dayalı GDPR taahhütleri
GDPR, veri denetleyicilerinin (örneğin, Zoom'un hizmetlerini kullanan kuruluşlar ve geliştiriciler) yalnızca kişisel verileri veri denetleyicinin adına işleyen ve GDPR'nin belirli gereksinimlerini karşılamayla ilgili yeterli garantiler veren veri işleyicilerle (Zoom gibi) çalışmasını gerekli kılar. Zoom, bu taahhütleri Zoom'un Veri İşleme Ekini Zoom Hizmet Şartları'na dahil ederek tüm müşterilerimize sunar.
Zoom'un GDPR ile ilgili sözleşmeye dayalı taahhütleri:
- Zoom, şeffaf olmaya çalışır ve kişisel verileri yalnızca hizmetlerimizin sağlanmasıyla ilgili sözleşmemizde belirtilen şekilde veya müşterilerimizin diğer talimatları doğrultusunda kullanmayı taahhüt eder.
- Zoom, işlediğimiz kişisel verileri korumak için uygun teknik ve organizasyonel güvenlik tedbirlerini alır.
- Zoom, veriyle ilişkili kişiler hizmetlerimiz kullanılarak işlenen kişisel verilere bağlı haklarını (bilgi talepleri, erişim, düzeltme ve silme) kullandıklarında müşterilerin yükümlülüklerini yerine getirmelerine yardımcı olur.
Uluslararası veri aktarımı güvenceleri
Amerika Birleşik Devletleri
GDPR, kişisel verilerin Avrupa Ekonomik Alanı (EEA) dışındaki ülkelere aktarılması hususunda özel kurallar içermektedir. Temel olarak, kişisel veriler yalnızca yeterli koruma düzeyine sahip olması halinde EEA dışındaki ülkelere aktarılabilir.
Yeterlilik, AB üyesi olmayan bir ülkenin veri koruma önlemlerinin AB içinde sağlanan koruma düzeyine denk bir koruma düzeyi sağlamak için yeterli kabul edilip edilmediğini belirler. Avrupa Komisyonu tarafından alınan bir yeterlilik kararı, kişisel verilerin AB içinden üçüncü bir ülkeye ek koruma tedbirlerine ihtiyaç duyulmaksızın serbestçe akışına izin verir. 10 Temmuz 2023'ten bu yana, AB-ABD Veri Gizliliği Çerçevesi (DPF) katılımcıları için Avrupa Komisyonu'ndan yeni bir yeterlilik kararı bulunmaktadır. Zoom aktif bir katılımcı olarak kayıtlıdır.
Veri Gizliliği Çerçevesi (DPF), özellikle dijital çağda veri koruma ve gizlilik konusunda giderek artan endişelere bir yanıt olarak ortaya çıkmıştır. Kişisel verilerin sınır ötesinde aktarımı başta olmak üzere, veri koruma standartlarının uyumlaştırılması ve geliştirilmesini amaçlamaktadır. DPF'nin önemi, bireylerin gizlilik haklarının korunmasını sağlarken uluslararası ticaret ve iletişimi kolaylaştırma konusunda oynadığı role dayanmaktadır. Verilerin işlenmesine yönelik açık kurallar ve yükümlülükler belirleyerek işletmeler, düzenleyiciler ve bireyler de dahil olmak üzere çeşitli paydaşları kapsamaktadır. DPF'nin geçerliliği, veri koruma yasalarına uyulmasını sağlayan yasal bir çerçeve sunması ve böylelikle sınır ötesi veri alışverişlerinde güven ve sorumluluğu teşvik etmesi nedeniyle güvenli veri transferi bağlamında çok önemlidir.
Diğer üçüncü ülkeler
Kişisel veriler, Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri (SCC, AB model maddeleri olarak da bilinir) kullanılarak AEA'dan AEA dışında üçüncü ülkelere aktarılabilir. Bu SCC'ler sözleşmeye bağlı olarak ileri düzeyde koruma sağlar. Zoom, 2021 yılında yeni SCC'leri Zoom'un standart DPA'sına uygulamıştır. Zoom, Avrupa Komisyonu tarafından belirtilen geçiş dönemlerini takiben yeni SCC'leri geçerli sözleşmelere dahil etmiştir. Daha fazla bilgi için lütfen yeni SCC'ler hakkındaki Müşteri SSS'lerimize göz atın.
Veri Aktarımı Etki Değerlendirmesi
Zoom müşterilerinin SCC'ye başvururken ek gerekliliklere uymalarına yardımcı olmak amacıyla Zoom, çeşitli ürünler için aşağıdaki Veri Aktarımı Etki Değerlendirmelerini sunmaktadır. Sık kullanılan en iyi uygulamalara göre, veri ihracatçısı ve ithalatçısının, verileri alan ülkedeki yasaların ve uygulamaların aksi takdirde sağlanan koruma düzeyini zayıflatıp zayıflatmayacağını değerlendirmesi beklenmektedir.
Zoom Meetings/Webinars/Chat İçin Veri Aktarımı Etki Değerlendirmesi
Zoom Phone İçin Veri Aktarımı Etki Değerlendirmesi
Zoom Contact Center İçin Veri Aktarımı Etki Değerlendirmesi
Zoom Virtual Agent İçin Veri Aktarımı Etki Değerlendirmesi
Veri sahibi talepleri (DSAR)
Veri Sahibi Erişim Talebi (DSAR), Genel Veri Koruma Yönetmeliği (GDPR) kapsamında sağlanan ve veri sahibi olarak bilinen kişilerin kuruluşlar tarafından tutulan kişisel verilerine erişim talep etmelerine olanak tanıyan bir mekanizmadır. Aynı zamanda, veri sahipleri yanlış veya eksik kişisel verilerin düzeltilmesini talep edebilirler. Böylece verilerdeki hataların en kısa sürede düzeltilmesi sağlanır. Bazı durumlarda, kişiler kendi kişisel verilerinin silinmesini talep etme hakkına sahiptir (genellikle unutulma hakkı olarak anılır). Bu, GDPR kapsamında temel bir haktır ve bireylerin kişisel verileri üzerindeki şeffaflığını ve kontrolünü vurgulamaktadır. Zoom, müşterilerine bu hakları basit ve kolay bir şekilde kullanmaları için bir self servis aracı sunar. Bu araç hakkında daha fazla bilgiyi destek web sitemizde bulabilirsiniz.
Veri depolama
Zoom, uygun ücretli hesaplara sahip Avrupalı müşterilerine Avrupa Birliği'ndeki (AB) veri merkezlerini kullanma seçeneği sunar. Müşteriler, gerçek zamanlı toplantı ve web semineri trafiğinin barındırılması için otomatik olarak belirlenen ana bölgenin yanı sıra veri merkezi bölgelerini seçebilirler. Müşteriler ayrıca kayıtları yerel olarak kendi cihazlarında veya yerel veri merkezlerinde depolamayı da seçebilirler. Daha fazla bilgiyi destek sayfamızda bulabilirsiniz. Bu tür müşteriler için Zoom, tüm Destek Verilerinin yalnızca AB'de işlenmesini sağlama imkanı da sunar. AB'deki normal çalışma saatleri dışında destek almak isterlerse, kişisel verilerin AB dışındaki bir yardım masasına aktarılması için duruma göre özel onay verebilirler.
Avrupa'da veri korumasını sağlamak için güçlü tedbirler
Zoom, üst düzeyde güvenlik sağlamayı taahhüt eder:
- Zoom, müşteri verilerini aktarım sırasında ve depolanan verileri korumak için bir çeşitli şifreleme teknolojilerinden yararlanır.
- Zoom, işleme sistemlerimiz ve hizmetlerinizin sürekli gizliliğine, bütünlüğüne, kullanılabilirliğine ve dayanıklılığına destek olmak için güvenlik tedbirleri alır.
- Zoom, fiziksel veya teknik bir sorun ortaya çıktığında işleme sistemlerimizin ve hizmetlerimizin kısa sürede yeniden kullanılabilir ve erişilebilir olmasını kolaylaştırmak için önlemler alır.
- Zoom, işlediğimiz verilerin güvenliğini desteklemek için teknik ve organizasyonel tedbirlerin verimliliğini düzenli olarak test eden ve değerlendiren bir süreç uygular.
Özellikle, platform üzerinden iletilen ve platformda depolanan müşteri iletişimlerini korumak için Zoom çeşitli güvenlik önlemleri kullanır. Bu önlemler aşağıdakileri içermektedir:
- Toplantılar için İsteğe Bağlı Uçtan Uca Şifreleme: Kullanıcılar, Zoom Toplantıları için uçtan uca şifrelemenin etkinleştirilmesini tercih edebilir. Uçtan uca Şifreleme, tüm toplantı katılımcıları arasındaki verileri şifrelemek için tasarlandığı için aradaki hiçbir sağlayıcı veya sistem, Zoom dahil olmak üzere iletişime erişemez.
- Varsayılan Şifreleme: Belirli bir cihaz ile Zoom arasındaki bağlantı; TLS 1.2+ (Aktarım Katmanı Güvenliği), Gelişmiş Şifreleme Standardı 256-bit AES GCM şifreleme ve SRTP'nin (Güvenli Gerçek Zamanlı Aktarım Protokolü) karışımıyla varsayılan olarak şifrelenir. Kullanılan yöntemler, kullanıcının Zoom istemcisi, web tarayıcısı, üçüncü taraf cihaz veya hizmet ya da Zoom Phone ürününü kullanmasına göre değişir. Daha fazla bilgi için lütfen şifreleme teknik incelememize göz atın.
- Yetkisiz toplantı katılımcılarına karşı korumalar: Zoom, yetkisiz katılımcıların toplantılara katılmasını önlemek için çok sayıda önlem ve kontrol uygulamıştır:
-
- On bir haneli benzersiz toplantı kimlikleri
- Karmaşık parolalar
- Etki alanı adınızdan veya seçilen başka bir etki alanından katılımcıları otomatik olarak kabul etme özelliğine sahip Bekleme Odaları
- Toplantıya herhangi birinin katılmasını önleyebilen Toplantıyı Kilitle özelliği
- Katılımcıları çıkarma olanağı
- Yalnızca kayıtlı kullanıcılara veya belirli e-posta uzantılarına sahip kişilere giriş izni veren kimlik doğrulama profilleri
- Risk Altındaki Toplantı Bildirimi aracı, Zoom Toplantı bağlantıları için sosyal medya sitelerindeki ve diğer genel çevrimiçi kaynaklardaki herkese açık gönderileri tarayabilir.
- Seçmeli toplantı daveti: Oturum sahibi, istediği katılımcıları seçerek e-posta, anlık mesajlaşma veya SMS ile davet edebilir. Böylece toplantı erişim bilgilerinin dağıtımı üzerinde daha fazla kontrol elde eder. Ayrıca toplantı sahibi, toplantıyı yalnızca belirli bir e-posta etki alanından üyelerin katılmasına izin verilecek şekilde oluşturabilir.
- Toplantı sırasında güvenlik: Zoom, toplantı sırasında Zoom toplantısındaki her katılımcıya güvenli şekilde gerçek zamanlı, zengin medya içeriği sağlar. Toplantıda katılımcılarla paylaşılan tüm içerikler, orijinal verilerin yalnızca bir temsilidir. Bu içerikler, güvenli bir uygulamadan yararlanılarak paylaşım için kodlanır ve optimize edilir.
- Oturum sahibi kontrolleri: Toplantı sahibi kontrolleri, katılımcılar için içerik paylaşımı, sohbet ve kendilerini yeniden adlandırma özelliklerini etkinleştirebilir/devre dışı bırakabilir.
- Raporlama: Toplantılar sırasında uygunsuz davranışlarda bulunan katılımcıları, raporlamak istediğiniz katılımcıları seçerek, yazılı ayrıntıları ekleyerek ve ekler ekleyerek raporlayabilirsiniz. Bu rapor, platformun kötüye kullanımını değerlendirmek ve gerekirse bir kullanıcıyı engellemek için Zoom Güven ve Güvenlik ekibine otomatik olarak gönderilir.
- Ürün güvenliği kontrolleri: Ana arayüzde özel bir Güvenlik simgesine sahip güvenlik kontrolleri.
- Role dayalı kullanıcı güvenliği: Toplantı sahibine, toplantı öncesinde kullanabilecekleri aşağıdaki güvenlik olanakları sunulur:
-
- Standart kullanıcı adı ve parola veya SAML çoklu oturum açma kullanılarak güvenli oturum açma
- Parolayla güvenli toplantı başlatma
- Parolayla güvenli toplantı planlama
- Robot çağrı önleme: Kullanıcıların istenmeyen robot çağrıları azaltmasına yardımcı olmak için çağrı tarama özelliği hayata geçirildi. Hesap sahipleri ve yöneticiler Çağrı Filtreleme özelliğini hesap, site, grup, kullanıcı, ortak alan, otomatik resepsiyonist, çağrı kuyruğu ve paylaşılan hat grubunda etkinleştirebilir. Bu özellik varsayılan olarak tüm hesap için etkinleştirilir ve kilidi açılır.
Veri işleme ve depolama için seçenekler
Zoom, müşterilerimizin belirli verileri işleyen ve depolayan veri merkezleri ile ilgili seçeneklere sahip olmak isteyebileceklerini anlar.
Aktarılan ve işlenen veriler: Zoom, aktarım halindeki müşteri verilerini, birleştirilmiş veri merkezlerinden ve genel bulut veri merkezlerinden (Amazon Web Services ["AWS"] veri merkezleri dahil) oluşan küresel ağ üzerinden yönlendirir. Zoom hizmetleri, Zoom ekosistemine giren bilgilerin verileri gönderen veya alan kullanıcıya en yakın veri merkezi aracılığıyla yönlendirileceği bir çalışma yapısıyla tasarlanmıştır.
Ücretli hesaplardaki hesap sahipleri ve yöneticiler, toplantılara ve web seminerlerine ev sahipliği yapılırken katılımcıların toplantılarına ve web seminerlerine ait gerçek zamanlı videoların ve seslerin ve paylaşımlı içeriklerin işlenmesi için kullanılacak belirli Zoom veri merkezlerini hesap, grup veya kullanıcı düzeyinde etkinleştirebilir veya devre dışı bırakabilir. Bir hesabın hazırlandığı bölgeyi destekleyen ülkedeki veri merkezleri, işleme için tercih edilen seçenek olarak kilitlenecektir. Zoom veri merkezi seçenekleri yalnızca söz konusu hesabın bir toplantı veya web seminerinin oturum sahibi olması durumunda geçerlidir. Bir toplantının veya web seminerinin oturum sahibi olan bir hesap herhangi bir veri merkezini/merkezlerini devre dışı bırakırsa toplantılara ve web seminerlerine ait gerçek zamanlı videolar, sesler ve paylaşımlı içerikler yalnızca etkinleştirilen Zoom veri merkezi tarafından işlenecektir. Ancak Zoom, Zoom özel ağ bağlantılarından (yani uç yönlendirmesinden) geçerken endüstri standardı ağ yönlendirme protokollerini kullanarak veri merkezleri arasındaki trafiği yönlendirebilir. Ayrıntılı bilgileri bu Yardım Makalesinde bulabilirsiniz.
Veri depolama: Veri depolama: Müşteriler, bazı bekleyen Müşteri İçerikleri için veri depolama konumunu seçebilir. Müşteri İçeriği; bir müşterinin bir toplantı veya web semineri sırasında kaydetmeyi veya paylaşmayı tercih ettiği bulut kayıtları, toplantı dökümleri, sohbet dökümleri (toplantı içi ve kalıcı) ve bir toplantı sırasında veya kalıcı sohbet kanalında alınıp verilen dosyalar gibi tüm veriler de dahil olmak üzere bir müşterinin Zoom hizmetini kullanırken sağladığı bilgilerdir.
Ücretli hesap kullanan müşteriler, hesaplarına ilişkin bazı Müşteri İçerikleri için depolama konumunu seçebilir. Bu ayar yalnızca hesap sahipleri, hesap yöneticileri veya müşteri hesabı profili ayrıcalığına sahip kullanıcılar tarafından değiştirilebilir. Ayrıntılı bilgileri bu Yardım Makalesinde bulabilirsiniz. Müşteri İçeriğinin, Hesap Verilerinin ve Tanılama Verilerinin hâlâ ABD'de depolandığını lütfen unutmayın.
Resmi bilgi taleplerine yanıt vermek için katı protokoller
Zoom, müşterilerimizin ve kullanıcılarımızın gizliliğini korumayı taahhüt eder ve kullanıcı verilerini devletlere ancak Devlet Talepleri Kılavuzumuza ve ilgili yasal ilkelere uygun geçerli ve hukuki talepler karşılığında verir.
Tüm coğrafi alanlarda:
- Devlet talepleri, geçerli yasalara ve düzenlemelere uygun olarak resmi kanallardan yapılmalıdır. Talepler için imzalı bir resmi belge veya devlet kurumunun resmi e-posta adresinden gönderilmiş e-posta talebi gerekir.
- Her talep açık olmalı, geniş kapsamlı olmamalı ve geçerli bir yasal dayanağa sahip olmalıdır. Bu gereksinimleri karşılamayan talepleri reddedecek veya sorgulayacağız.
- Tüm dünyada başarılı iş birliğini teşvik etmeyle ilgili ilkelerimiz ve çıkarlarımıza dayanarak kullanıcı bilgilerine yönelik belirli devlet taleplerini daha detaylı olarak inceleyeceğiz.
Bir talep pek anlaşılmıyorsa Zoom gönderilen bilgilerin kapsamını daraltmak için talebin geçerliliğini sorgulayacaktır.
Zoom, kullanıcıyı bilgilendirmemiz yasalar gereği yasak olmadığı sürece genellikle devletin bilgi taleplerini alınan talebin kopyasıyla birlikte kullanıcıya bildirir. Kullanıcının bilgilendirilmemesi için yapılacak istisna talepleri, acil şartların açıklamasını veya bildirimin olası olumsuz sonucunu içermelidir.
Daha Fazla Şeffaflık
- Şeffaflık Raporları: Zoom, ABD ve uluslararası kurumlardan alınan talep sayısıyla ilgili ilk raporunu Aralık 2020'de yayımlamıştır (Devlet Talebi Şeffaflık Raporu). Her şeffaflık raporunun bir öncekini geliştirmesini hedefliyoruz. En son Şeffaflık Raporumuza buradan ulaşabilirsiniz. Ek Şeffaflık Raporları Zoom Trust Center'da kullanıma sunulacaktır.
- Ürün İçi Bildirimler: Zoom, kullanıcıların Zoom'da paylaştıkları içeriği kimlerin görüp paylaşabileceğini bağlam içinde anlamasına yardımcı olmak için Zoom deneyimine sürekli olarak özel gizlilik bildirimlerini entegre edecek şekilde güncellemektedir. Örneğin, bir kullanıcı Zoom'un sohbet özelliğinde gönderdikleri mesajları kimlerin görebileceğini bilmek isterse herkese gönderdikleri mesajlara ve özel mesajlarına kimlerin erişebileceğini görmek için "Mesajlarınızı kimler görebilir?" bölümüne gidebilir.
Zoom, hizmetlerini GDPR gereksinimlerini ön plana alarak tasarlar
Zoom, GDPR gereksinimleriyle uyumlu olan ürün özellikleri geliştirmek ve hizmetlerimiz aracılığıyla işlenen kişisel verilerin korunmasını teşvik etmek için gerekli her çabayı göstermeyi taahhüt eder. Daha fazla bilgi için lütfen Gizlilik Bildirimimizi ziyaret edin veya GDPR özelinde bir sorunuz olması durumunda privacy@zoom.us adresinden bir e-posta gönderin.