Close

BaFin

Wytyczne Atlassian dotyczące outsourcingu

Celem niniejszej tabeli jest ułatwienie instytucjom świadczącym usługi finansowe pod nadzorem niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych (BaFin) powiązania poszczególnych akapitów Rozdziału V (Warunki umowne w przypadku (istotnego) outsourcingu) Wytycznych dotyczących zlecania na zasadzie outsourcingu dostawcom usług w chmurze („Wytyczne BaFin”) z dokumentacją umowy zawieranej przez firmę Atlassian z klientem.

Jeśli masz już umowę zawartą z firmą Atlassian lub chcesz dowiedzieć się więcej na temat zastosowania tych warunków do Twojej umowy, skontaktuj się z nami.

Nr
Uwagi i wymagania
Komentarz Atlassian

1.

Według KAGB, w zależności od wymogów prawa nadzorczego, w umowie outsourcingowej dotyczącej istotnego oursourcingu1 lub outsourcingu niezróżnicowanego należy zawrzeć w szczególności następujące warunki:

 

2.

1. Zakres realizacji

 

3.

Umowa powinna zawierać specyfikację, oraz w razie potrzeby opis, usługi, która ma być świadczona przez dostawcę usług w chmurze. Te informacje powinny być ujęte w dokumencie nazywanym umową o gwarantowanym poziomie świadczenia usług. W tym kontekście należy zdefiniować następujące kwestie:

 

4.

  • przedmiot outsourcingu oraz sposób jego wdrożenia (np. rodzaj usługi i model wdrożenia, zakres oferowanych usług, takich jak moc obliczeniowa lub dostępna przestrzeń pamięci, wymagania dotyczące dostępności, czasy reakcji);
  • Nasza dokumentacja, włączona przez odniesienie do umowy z klientem Atlassian zawieranej z kwalifikującymi się klientami, zawiera czytelne opisy Objętych umową produktów Cloud.

    5.

  • usługi pomocy technicznej
  • Kwalifikujący się klienci mają dostęp do Oferty wsparcia Atlassian, która jest przedmiotem umowy z klientem Atlassian.

    6.

  • zakres odpowiedzialności, obowiązki związane ze współpracą i aprowizacją (np. w przypadku aktualizacji);
  • Zasadniczo te kwestie reguluje umowa z klientem Atlassian.

    7.

  • miejsce realizacji (np. lokalizacja centrów danych);
  • Niektóre z Objętych umową produktów Cloud oferują dostępną w produkcie funkcję wyboru jurysdykcji danych (opisaną szczegółowo tutaj), która umożliwia administratorom naszych klientów przypisanie stosownych produktów do wybranej lokalizacji. Na tej stronie znajduje się opis naszej infrastruktury hostingu w chmurze.

    W ramach umowy zobowiązujemy się do (a) nieobniżania w sposób istotny funkcjonalności produktu w okresie obowiązywania subskrypcji oraz (b) powiadamiania klientów o wszelkich zmianach naszych lokalizacji hostingu danych.

    8.

  • wejście w życie i zakończenie umowy outsourcingowej;
  • Umowa z klientem Atlassian określa domyślną długość okresu subskrypcji i wszystkie obowiązujące okresy wypowiedzenia. Ponadto w przypadku złożenia zamówienia na co najmniej jeden Objęty umową produkt Cloud będzie ona zawierać datę rozpoczęcia i zakończenia odpowiedniego okresu subskrypcji.

    9.

  • kluczowe wskaźniki do przeprowadzania bieżącej analizy poziomu świadczenia usług;
  • Odpowiednie warunki dotyczące poziomu świadczenia usług, a także środki zaradcze w przypadku niedotrzymania poziomu świadczenia usług w odniesieniu do Objętych umową produktów Cloud zostały zdefiniowane w naszej Umowie o gwarantowanym poziomie świadczenia usług i odpowiednich warunkach dotyczących konkretnych produktów.

    10.

  • wskaźniki służące do identyfikacji niedopuszczalnego poziomu świadczenia usług.
  • Publikujemy aktualne informacje na temat dostępności usług na stronie https://status.atlassian.com/, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud.

    11.

    2. Prawa do informacji i audytu nadzorowanej firmy

     

    12.

    Prawa do informacji i audytu oraz możliwości kontrolne nadzorowanej firmy nie mogą podlegać ograniczeniom umownym. Należy zagwarantować, że nadzorowana firma otrzyma informacje niezbędne do odpowiedniego kontrolowania i monitorowania ryzyka związanego z outsourcingiem.

    Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz organom nadzoru skuteczne przeprowadzanie audytu Objętych umową produktów Cloud.

    13.

    W celu zabezpieczenia praw do informacji i audytu w umowie należy uzgodnić w szczególności następujące warunki:

  • przyznanie pełnego dostępu do informacji oraz danych, a także dostępu do siedziby dostawcy usług w chmurze, w tym do wszystkich centrów danych, sprzętu, systemów, sieci wykorzystywanych do obsługi przedmiotów outsourcingu, z uwzględnieniem powiązanych procesów i środków kontroli;
  • skuteczne możliwości kontroli i audytu całego łańcucha outsourcingu.
  • Patrz wiersz 12 powyżej.

    14.

    Brak (pośredniego) ograniczenia praw Skuteczne wykonywanie praw do informacji i audytu nie może być ograniczone umową. Niemieckie organy nadzoru uważają, że takie niedopuszczalne ograniczenie praw do informacji i audytu istnieje szczególnie w przypadku umów przyznających takie prawa tylko pod pewnymi warunkami. W szczególności są to:

  • uzgodnienie informacji dodatkowych i procedur audytu, np. obowiązku polegania przez dostawcę usług w chmurze na sprawozdaniach z audytu, certyfikatach lub innych dowodach zgodności z uznanymi normami, zanim nadzorowana firma będzie mogła przeprowadzić własne czynności audytowe;
  • ograniczenie wykonywania praw do informacji i audytu do złożenia sprawozdań z audytu, certyfikatów lub innych dokumentów poświadczających zgodność dostawcy usług w chmurze z uznanymi normami;
  • powiązanie dostępu do informacji z uprzednim uczestnictwem w specjalnych programach szkoleniowych;
  • sformułowanie klauzuli w taki sposób, aby przeprowadzenie audytu było uzależnione od jego zasadności komercyjnej;
  • ograniczenie przeprowadzania audytów pod względem czasu i personelu; z reguły dopuszczalne jest jednak ograniczenie dostępu do zwyczajowych godzin pracy po uprzednim powiadomieniu;
  • odwołanie się do wyłącznego korzystania np. z konsoli zarządzania w celu wykonywania praw firmy do informacji i audytu.
  • Patrz wiersz 12 powyżej.

    15.

    Wyłączenia

    W zależności od wymogów obowiązujących na mocy prawa nadzorczego nadzorowane firmy mogą ubiegać się o wyłączenia w celu zwiększenia skuteczności własnych działań audytowych. Do takich wyłączeń należą audyty łączone lub wykorzystywanie dokumentacji/certyfikatów opartych na wspólnych normach lub sprawozdań z audytów przeprowadzonych przez uznane strony trzecie bądź sprawozdań z audytów wewnętrznych przeprowadzonych przez dostawcę usług w chmurze.

    Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej i wiersz 20 poniżej.

    16.

    Audyty łączone

    Nadzorowane firmy podlegające zgodności z sekcjami 25a, 25b KWG mogą korzystać z wyłączeń zawartych w okólniku 09/2017 (BA) — Minimalne wymagania dotyczące zarządzania ryzykiem — (MariSK). Zgodnie z BT 2.1 punkt 3 MaRisk, w przypadku istotnego outsourcingu komórka audytu wewnętrznego nadzorowanej firmy może zrezygnować z własnych czynności audytowych, pod warunkiem że działania audytowe realizowane przez zewnętrznego dostawcę usług spełniają wymagania AT 4.4 i BT 2 MaRisk. Komórka audytu wewnętrznego nadzorowanej firmy outsourcingowej musi upewniać się w regularnych odstępach czasu, że te warunki są spełnione. Wnioski z audytu dotyczące nadzorowanej firmy należy przekazać działowi audytu wewnętrznego nadzorowanej firmy outsourcingowej.

    Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej.

    17.

    W tym zakresie czynności audytowe mogą być wykonywane przez dział audytu wewnętrznego dostawcy usług w chmurze, dział audytu wewnętrznego co najmniej jednej z nadzorowanych firm outsourcingowych w imieniu nadzorowanych firm outsourcingowych („audyty łączone”), stronę trzecią wyznaczoną przez dostawcę usług w chmurze lub stronę trzecią wyznaczoną przez nadzorowane firmy outsourcingowe.

    Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej.

    18.

    W przypadku innych nadzorowanych firm w indywidualnych przypadkach dopuszczalne może być wykonywanie określonych praw do informacji i audytu wobec dostawcy usług w chmurze wspólnie z innymi nadzorowanymi firmami na drodze audytu łączonego.

    Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej.

    19.

    Jeżeli nadzorowana firma skorzysta z jednego z powyższych wyłączeń, nie może to skutkować ograniczeniem jej praw do informacji i audytu.

    Patrz wiersz 12 powyżej.

    20.

    Zaświadczenia/certyfikaty i sprawozdania z audytu

    Z reguły nadzorowana firma może wykorzystywać dokumentację/certyfikaty w oparciu o wspólne normy (np. międzynarodową normę dotyczącą bezpieczeństwa ISO/IEC 2700X Międzynarodowej Organizacji Normalizacyjnej, Cloud Computing Compliance Controls Catalogue (katalog C5) niemieckiego urzędu BSI), sprawozdania z audytów uznanych stron trzecich lub sprawozdania z audytów wewnętrznych dostawcy usług w chmurze. Nadzorowana firma musi w tym względzie uwzględnić zakres, poziom szczegółowości, aktualność i adekwatność podmiotu certyfikującego lub audytora wystawiających taką dokumentację/certyfikaty i sprawozdania z audytu.

    Firma Atlassian regularnie przechodzi badania środków kontroli bezpieczeństwa, ochrony prywatności i zgodności z przepisami. W okresie obowiązywania naszej umowy z Tobą będziemy spełniać wymagania co najmniej norm wymienionych w naszym Centrum zaufania, co obejmuje certyfikaty zgodności z normami ISO/IEC 27001 i iSO/IEC 27018 oraz sprawozdania z audytów SOC 2 typu II i SOC 3: https://www.atlassian.com/trust/compliance

    21.

    Jednak podczas realizowania czynności audytowych nadzorowana firma nie może się opierać wyłącznie na nich. Jeżeli dział audytu wewnętrznego wykorzystuje taką dokumentację lub takie certyfikaty w swojej działalności, powinien mieć możliwość przeanalizowania dowodów będących ich podstawą.

    Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej.

    22.

    3. Prawa do informacji i audytu organów nadzoru

     

    23.

    Prawa do informacji i audytu oraz możliwości kontrolne organów nadzoru nie mogą podlegać ograniczeniom umownym. Organy nadzoru muszą mieć możliwość monitorowania dostawców usług w chmurze w zakresie przewidzianym prawem dla nadzorowanej firmy. Organy nadzoru muszą mieć możliwość właściwego i nieograniczonego wykonywania swoich praw do informacji i audytu, jak również kontroli w odniesieniu do przedmiotu outsourcingu; dotyczy to również osób, z których usług korzystają organy nadzoru podczas przeprowadzania audytów.

    Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz organom nadzoru skuteczne przeprowadzanie audytu Objętych umową produktów Cloud.

    24.

    W celu zabezpieczenia tych praw w umowie należy uzgodnić w szczególności następujące warunki:

  • zobowiązanie dostawcy usług w chmurze do współpracy z organami nadzoru bez ograniczeń;
  • udzielenie pełnego dostępu do informacji oraz danych, jak również dostępu do siedziby dostawcy usług w chmurze, w tym do wszystkich centrów danych, sprzętu, systemów, sieci wykorzystywanych do obsługi przedmiotu outsourcingu, z uwzględnieniem powiązanych z nimi procesów i środków kontroli, a także możliwości przeprowadzania audytów terenowych u dostawcy usług w chmurze (a w stosownych przypadkach w firmie outsourcingowej należącej do łańcucha);
  • skuteczne możliwości kontroli i audytu całego łańcucha outsourcingu.
  • Patrz wiersz 23 powyżej.

    25.

    Brak (pośredniego) ograniczenia praw

    Występowanie takiego niedopuszczalnego ograniczenia praw do informacji i audytu, jak również możliwości kontroli niemieckich organów nadzoru występuje w szczególności w przypadku postanowień przyznających takie prawa tylko pod pewnymi warunkami. Celem uniknięcia powtórzenia odnosimy się do przytoczonych powyżej oświadczeń dotyczących ograniczenia praw nadzorowanych firm.

    Patrz wiersz 23 powyżej.

    26.

    4. Prawa do wydawania instrukcji

     

    27.

    Należy uzgodnić prawa nadzorowanych firm do wydawania instrukcji. Prawa do wydawania instrukcji mają na celu zapewnienie, że wszystkie wymagane instrukcje potrzebne do wykonania uzgodnionej usługi mogą zostać wydane, czyli wymagana jest możliwość wpływania na przedmiot outsourcingu i jego kontrolowania. Sposób realizacji technicznej można zorganizować indywidualnie na podstawie specyficznej sytuacji firmy.

    Nasi klienci mogą wydawać nam instrukcje (w tym dotyczące certyfikatów i raportów z audytów stron trzecich) w odniesieniu do Objętych umową produktów Cloud za pośrednictwem kanałów obsługi klienta.

    28.

    Jeżeli nadzorowana firma korzysta z zaświadczeń/certyfikatów lub sprawozdań z audytu (zob. punkt 2), powinna również mieć możliwość wpływania na zakres zaświadczeń/certyfikatów lub sprawozdań z audytu, tak aby można je było rozszerzyć o odpowiednie systemy i kontrole. Liczba i częstotliwość takich instrukcji powinna pozostawać w granicach rozsądku.

    Patrz wiersz 27 powyżej.

    29.

    Ponadto nadzorowana firma powinna być przez cały czas uprawniona do wydawania dostawcy usług w chmurze instrukcji dotyczących korekty, usuwania i blokowania danych, a dostawca usług w chmurze powinien mieć możliwość zbierania, przetwarzania i wykorzystywania danych wyłącznie w kontekście instrukcji udzielonych przez nadzorowaną firmę. Powinno to również obejmować możliwość wydania w dowolnej chwili instrukcji niezwłocznego i nieograniczonego zwrócenia danych przetwarzanych przez dostawcę usług w chmurze do nadzorowanej firmy.

    Oferujemy Aneks dotyczący przetwarzania danych, który zawiera szczegółowe zobowiązania dotyczące przetwarzania i bezpieczeństwa danych osobowych klientów. Więcej informacji na temat naszego programu zapewniania zgodności z RODO można znaleźć tutaj:

    https://www.atlassian.com/trust/compliance/resources/gdpr

    Ponadto zapewniamy wszystkim klientom dostępną w produkcie funkcję eksportu własnych danych w dowolnej chwili w trakcie okresu obowiązywania umowy bez naszej pomocy.

    30.

    Jeśli można odstąpić od wyraźnego porozumienia dotyczącego praw nadzorowanej firmy do wydawania instrukcji, usługa świadczona przez firmę outsourcingową powinna być wystarczająco jasno określona w umowie outsourcingowej.

    Patrz wiersz 27 powyżej.

    31.

    5. Bezpieczeństwo/ochrona danych (odniesienie do lokalizacji przechowywania danych)

     

    32.

    Należy uzgodnić postanowienia zapewniające zgodność z przepisami o ochronie danych oraz innymi wymogami związanymi z bezpieczeństwem.

    Biorąc pod uwagę sposób udostępniania na zasadzie relacji jeden-do-wielu naszych Objętych umową produktów Cloud, wszystkim naszym klientom zapewniamy jednakowe, niezawodne zabezpieczenia. Te praktyki związane z bezpieczeństwem zostały szczegółowo opisane w naszym Centrum zaufania: https://www.atlassian.com/trust/

    Zobowiązujemy się przestrzegać praktyk dotyczących bezpieczeństwa zdefiniowanych w naszym Centrum zaufania i nie zmniejszać istotnie ogólnego poziomu bezpieczeństwa Objętych umową produktów Cloud w okresie subskrypcji.

    Patrz również wiersze 27 i 29 powyżej.

    33.

    Nadzorowana firma musi znać lokalizację przechowywania danych. Ta wiedza powinna również obejmować konkretną lokalizację centrów danych. Zasadniczo w tym celu wystarczy podanie nazwy lokalizacji (np. miejscowości). Gdyby jednak nadzorowana firma potrzebowała dokładnego adresu centrum danych na potrzeby zarządzania ryzykiem, dostawca usług w chmurze powinien podać taki adres.

    Patrz wiersz 7 powyżej.

    34.

    Ponadto należy zapewnić nadmiarowość danych i systemów, aby w przypadku awarii jednego centrum danych dostęp do usług był zachowany.

    Prowadzimy plany zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego zgodnie z opisem zawartym w naszym Centrum zaufania. Te plany są weryfikowane i testowane co najmniej raz w roku.

    35.

    Bezpieczeństwo danych i systemów należy także zapewnić w ramach łańcucha outsourcingu.

    Patrz wiersz 32 powyżej.

    36.

    Nadzorowana firma przez cały czas musi mieć możliwość szybkiego dostępu do swoich danych przechowywanych u dostawcy usług w chmurze, a w razie potrzeby także przekazania tych danych do nadzorowanej firmy. W związku z tym należy dopilnować, aby wybrana forma przekazania danych do nadzorowanej firmy nie ograniczała ani nie wykluczała możliwości ich wykorzystania. Z tego powodu należy uzgodnić niezależne od platformy standardowe formaty danych. Należy przy tym wziąć pod uwagę zgodność z różnymi systemami.

    Patrz wiersz 29 powyżej.

    37.

    6. Postanowienia dotyczące rozwiązania umowy

     

    38.

    Wymaga się uzgodnienia prawa do rozwiązania umowy i odpowiednich okresów wypowiedzenia. W szczególności należy uzgodnić szczególne prawo do rozwiązania umowy, przewidujące rozwiązanie umowy z uzasadnionej przyczyny na wezwanie organu nadzoru.

    Dla wygody zapewniamy klientom szerokie prawa do rozwiązania umowy, dzięki czemu mają możliwość rozwiązania umowy w dowolnych okolicznościach.

    39.

    Należy zagwarantować, aby w przypadku rozwiązania umowy przedmioty outsourcingu zlecone dostawcy usług w chmurze były dostarczane do czasu całkowitego przekazania tych przedmiotów do innego dostawcy usług w chmurze lub do nadzorowanej firmy. W szczególności należy zagwarantować, aby dostawca usług w chmurze w uzasadnionym zakresie udzielił wsparcia nadzorowanej firmie przy przekazywaniu przedmiotów outsourcingu do innego dostawcy usług w chmurze lub bezpośrednio do nadzorowanej firmy.

    Jeśli instytucja będzie tego wymagać, możliwe jest przedłużenie okresu subskrypcji na krótki czas, aby umożliwić przekazanie do innego dostawcy usług.

    40.

    Należy określić rodzaj, formę i jakość przekazywania przedmiotu outsourcingu oraz danych. Jeżeli formaty danych zostały dostosowane do indywidualnych potrzeb nadzorowanej firmy, dostawca usług w chmurze powinien dostarczyć dokumentację takich dostosowań przy rozwiązaniu umowy.

    Te informacje są dostępne w naszej dokumentacji.

    41.

    Wymaga się uzgodnienia, że po przekazaniu danych do nadzorowanej firmy jej dane zostaną całkowicie i nieodwołalnie usunięte po stronie dostawcy usług w chmurze.

    Ta kwestia została uregulowana w naszym aneksie dotyczącym przetwarzania danych.

    42.

    W celu zapewnienia utrzymania obszarów będących przedmiotem outsourcingu w razie planowanego lub nieplanowanego rozwiązania umowy nadzorowana firma musi opracować strategię wyjścia i zweryfikować jej wykonalność.

    Ta kwestia leży po stronie klienta.

    43.

    7. Outsourcing łańcuchowy

     

    44.

    Wymaga się uzgodnienia postanowień dotyczących możliwości i warunków outsourcingu łańcuchowego w taki sposób, aby wymogi prawa nadzorczego pozostały spełnione. Niedopuszczalne są ograniczenia, wskutek których np. przyjmowane są zobowiązania podobne jedynie w istotnym stopniu. W szczególności należy zapewnić, aby w przypadku outsourcingu łańcuchowego prawa do informacji i audytu, a także możliwości kontroli nadzorowanej firmy outsourcingowej oraz organów nadzoru miały zastosowanie również do podwykonawców.

    Aby móc dostarczać produkty globalne przy minimalnej liczbie zakłóceń, możemy zlecać na zasadzie outsourcingu (suboutsourcing) realizację niektórych funkcji krytycznych dostawcom usług wysokiej jakości (np. dostawcom usług hostingu danych). W odniesieniu do krytycznych usług zlecanych podwykonawcom na zasadzie outsourcingu firma Atlassian zobowiązuje się do zawarcia z takimi podmiotami realizującymi podzlecone usługi outsourcingowe odpowiednich umów, na mocy których instytucje oraz ich organy nadzoru zyskują odpowiednie prawa do audytu, informacji oraz dostępu, a także wymaga od takich podmiotów przestrzegania wszystkich obowiązujących praw. Patrz również wiersz 12 powyżej.

    45.

    Mając na uwadze outsourcing łańcuchowy, w umowie outsourcingowej należy zawrzeć zastrzeżenia dotyczące zgody firmy outsourcingowej lub konkretne warunki, jakie muszą zostać spełnione, aby outsourcing łańcuchowy był możliwy. Należy wskazać, które przedmioty outsourcingu i/lub ich części mogą być zlecane innym podmiotom w ramach outsourcingu łańcuchowego, a które nie.

    Patrz wiersz 44 powyżej.

    46.

    Nadzorowana firma musi zostać poinformowana na piśmie z wyprzedzeniem o outsourcingu łańcuchowym przedmiotów outsourcingu i/lub ich części. Nadzorowana firma musi znać podwykonawców oraz przedmioty outsourcingu łańcuchowego i/lub ich części.

    Firma Atlassian powiadomi o wszelkich zmianach w zakresie suboutsourcingu krytycznych lub ważnych funkcji, bądź wdrożenia nowego suboutsourcingu oraz udostępni informacje na temat takich przypadków suboutsourcingu. Jeśli instytucja będzie miała wątpliwości związane z takim suboutsourcingiem, zezwolimy jej na rozwiązanie umowy z nami.

    47.

    W przypadku nowego outsourcingu łańcuchowego należy pamiętać, że może on wpływać na stan ryzyka związanego z outsourcingiem, a w rezultacie na firmę outsourcingową. Dlatego w przypadku nowego outsourcingu łańcuchowego należy powtórzyć analizę ryzyka lub przynajmniej dokonać jej weryfikacji. Dotyczy to również sytuacji, w której ujawnione zostaną istotne wady lub zmiany w usłudze w chmurze świadczonej przez podwykonawców.

    Ta kwestia leży po stronie klienta.

    48.

    Firma będzie na bieżąco weryfikować i monitorować działanie całej usługi, niezależnie od tego, czy usługa w chmurze będzie świadczona przez dostawcę usługi w chmurze, czy przez jego podwykonawców.

    Ta kwestia leży po stronie klienta.

    49.

    8. Obowiązki informacyjne

     

    50.

    Wymaga się uzgodnienia postanowień gwarantujących, że dostawca usług w chmurze poinformuje nadzorowaną firmę o zmianach, które mogą niekorzystnie wpłynąć na prawidłowe działanie przedmiotów outsourcingu. Dotyczy to w szczególności zgłaszania wszelkich zakłóceń w świadczeniu usługi w chmurze. Celem tego jest zapewnienie firmie możliwości odpowiedniego monitorowania przedmiotu outsourcingu.

    Publikujemy aktualne informacje na temat dostępności usług na stronie https://status.atlassian.com/, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud.

    51.

    Dostawca usług w chmurze ma obowiązek niezwłocznie informować nadzorowaną firmę o wszelkich okolicznościach mogących stanowić zagrożenie dla bezpieczeństwa danych nadzorowanej firmy, które mają być przetwarzane przez dostawcę usług w chmurze, przykładowo w wyniku działania stron trzecich (np. zajęcia lub konfiskaty), postępowania upadłościowego lub układowego bądź innych zdarzeń.

    Oprócz zobowiązań, o których mowa w wierszu 50 powyżej, zobowiązujemy się do powiadamiania klientów o incydentach związanych z bezpieczeństwem w naszym aneksie dotyczącym przetwarzania danych.

    52.

    Należy zagwarantować, aby nadzorowana firma odpowiednio i z wyprzedzeniem została poinformowana przez dostawcę usług w chmurze w przypadku istotnych zmian w usłudze w chmurze świadczonej przez dostawcę usług w chmurze. Opisy usług i wszelkie zmiany w tych usługach będą udostępniane i/lub zgłaszane nadzorowanej firmie w formie pisemnej. Należy zagwarantować, aby w prawnie dozwolonym zakresie nadzorowana firma była odpowiednio informowana o wszelkich wnioskach/żądaniach przekazania danych nadzorowanej firmy przez strony trzecie.

    Publikujemy nasz plan rozwoju produktów w wersji Cloud, w którym informujemy klientów o istotnych zmianach w Objętych umową produktach Cloud.

    Ponadto dane klientów udostępniamy stronom trzecim tylko zgodnie z naszymi Wytycznymi dotyczącymi wniosków organów ścigania.

    53.

    9. Powiadomienie o prawie właściwym

     

    54.

    Jeśli uzgodniono klauzulę wyboru prawa, ale nie uzgodniono prawa niemieckiego jako prawa właściwego, w każdym przypadku jako prawo właściwe dla umowy należy uzgodnić prawo państwa należącego do Unii Europejskiej lub Europejskiego Obszaru Gospodarczego.

    Domyślnym prawem właściwym w przypadku umów z klientem Atlassian jest prawo stanu Kalifornia. Aby uzyskać więcej informacji, skontaktuj się z naszym zespołem sprzedaży produktów Enterprise.

    1Termin „istotny outsourcing” stosowany w wytycznych BaFin jest równoważny terminowi „krytyczny lub istotny outsourcing” stosowanym w wytycznych EUNB.