アトラシアン データ処理補遺

当社の DPA は、当社の Cloud 製品内での顧客の個人データの処理に適用されるデータ保護法および規制を対象としています。当社の DPA には、オーストラリアのデータ保護法、ブラジルのデータ保護法、欧州データ保護法、および米国データ保護法 (これらの用語は DPA で定義されています) が含まれますが、これらに限定されません。

GDPR に基づき、アトラシアンは主に、当社の Cloud 製品の提供に関連して、当社顧客の代理として個人データの処理者として行動します。しかし、特定の状況では、アトラシアンは個人データの管理者として行動します (請求処理、適用される法律の遵守、当社の Cloud 製品のセキュリティ確保など)。詳細については、DPA の第 2.2 条、ならびに別紙 A、附属書 1(B)、パート A および B を参照してください。

CCPA に基づき、アトラシアンは主に、当社の Cloud 製品の提供に関連して、当社顧客の代理として個人情報のサービス プロバイダーとして行動します。詳細については、DPA の第 2.5(b) 条を参照してください。

いいえ。アトラシアンでは、顧客の DPA テンプレートをもとに作業したり、顧客固有の要求事項を運用することはできません。

当社は、当社の製品およびサービスの変更、ならびにいくつかの法的および規制上の要件を反映させるために、アトラシアンの DPA を継続的に更新しています。アトラシアンが個々にカスタマイズされた条件で契約した場合、顧客はその更新によるメリットを受けられなくなります。

いいえ。アトラシアンでは、顧客の DPA テンプレートをもとに作業したり、顧客固有の要求事項を運用することはできません。

当社は、当社の製品およびサービスの変更、ならびにいくつかの法的および規制上の要件を反映させるために、アトラシアンの DPA を継続的に更新しています。アトラシアンが個々にカスタマイズされた条件で契約した場合、顧客はその更新によるメリットを受けられなくなります。

直近に締結されたバージョンの DPA が適用されます。 当社の最新版 DPA では、アトラシアンによるクラウド製品の提供に関連して当社が顧客と締結した既存の DPA を置き換えるものであることを明記しています。

当社の古いバージョンの DPA に署名しているが、最近の更新 (改正された CCPA、EU 標準契約条項、英国追加規定、またはスイス固有の修正など) によるメリットを受けたい場合は、2023 年 6 月時点での DPA 最新版をダウンロードして署名することをお勧めします。

直近に締結されたバージョンの DPA が適用されます。 当社の最新版 DPA では、アトラシアンによるクラウド製品の提供に関連して当社が顧客と締結した既存の DPA を置き換えるものであることを明記しています。

当社の古いバージョンの DPA に署名しているが、最近の更新 (改正された CCPA、EU 標準契約条項、英国追加規定、またはスイス固有の修正など) によるメリットを受けたい場合は、2023 年 6 月時点での DPA 最新版をダウンロードして署名することをお勧めします。

はい、アトラシアンは復処理者の最新リストを https://www.atlassian.com/ja/legal/sub-processors で管理しています。このリストには、お客様が新しい復処理者に関する通知をサブスクライブするための方法が記載されています。また、当社の DPA に規定された手続きに従って、新たな副処理者の選任に異議を申し立てることができます。

はい、アトラシアンは復処理者の最新リストを https://www.atlassian.com/ja/legal/sub-processors で管理しています。このリストには、お客様が新しい復処理者に関する通知をサブスクライブするための方法が記載されています。また、当社の DPA に規定された手続きに従って、新たな副処理者の選任に異議を申し立てることができます。

アトラシアンの DPA では、移転に関する適切な保護措置を提供するために EU 標準契約条項 (「SCC」) を取り入れ、SCC をスイスでも機能させるために特定の解釈規定を設け、関連規制に準拠するために英国追加規定 (該当する場合) を取り入れています。SCC では、当社の顧客は「データ輸出者」となり、アトラシアンは「データ輸入者」と位置づけられます。

DPA は、SCC のモジュール 1 (管理者間の転送条件)、モジュール 2 (管理者から処理者への転送条件)、およびモジュール 3 (処理者間の転送条件) を組み込んでいます。モジュール 1 は、当社が管理者として処理する限定的な個人データの転送に対応するために取り入れています。

また、英国固有のデータ移転メカニズム (英国追加規定) も含まれています。

DPA を締結することにより、顧客の組織とアトラシアンは、適用される範囲で SCC を遵守することに同意することになります。当社と SCC を締結するために、追加の「手順」を踏む必要はありません。

Schrems II 判決に基づく国際的なデータ移転に対する当社の考え方の詳細については、国際的なデータ移転をご確認ください。

アトラシアンの DPA では、移転に関する適切な保護措置を提供するために EU 標準契約条項 (「SCC」) を取り入れ、SCC をスイスでも機能させるために特定の解釈規定を設け、関連規制に準拠するために英国追加規定 (該当する場合) を取り入れています。SCC では、当社の顧客は「データ輸出者」となり、アトラシアンは「データ輸入者」と位置づけられます。

DPA は、SCC のモジュール 1 (管理者間の転送条件)、モジュール 2 (管理者から処理者への転送条件)、およびモジュール 3 (処理者間の転送条件) を組み込んでいます。モジュール 1 は、当社が管理者として処理する限定的な個人データの転送に対応するために取り入れています。

また、英国固有のデータ移転メカニズム (英国追加規定) も含まれています。

DPA を締結することにより、顧客の組織とアトラシアンは、適用される範囲で SCC を遵守することに同意することになります。当社と SCC を締結するために、追加の「手順」を踏む必要はありません。

Schrems II 判決に基づく国際的なデータ移転に対する当社の考え方の詳細については、国際的なデータ移転をご確認ください。

• トラストセンター: 当社の社内プライバシープロセスと手順が当社のトラストサイトで透明性を確保した形で文書化されています。
• データ転送影響評価: アトラシアン製品の使用に関連して、当社の顧客がデータ転送の影響評価を実施するのに役立つ情報を、当社の転送による影響評価のページに記載しています。
• 政府からの要請: 政府からのデータ提供要請に応じるにあたり、アトラシアンは、法執行機関からの要請に関するアトラシアンガイドラインを公表し、これに従っています。また、データアクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。