Wytyczne EUNB

Ust. 74

Prawa i obowiązki instytucji, instytucji płatniczej i dostawcy usług są w sposób jasny rozdzielone i określone w pisemnej umowie.

Zasadniczo te kwestie reguluje umowa z klientem Atlassian.

Ust. 75

Umowa outsourcingu dotycząca krytycznych lub istotnych funkcji powinna określać co najmniej:

a) jasny opis funkcji zleconych na zasadzie outsourcingu;

Nasza dokumentacja, włączona przez odniesienie do umowy z klientem Atlassian zawieranej z kwalifikującymi się klientami, zawiera czytelne opisy Objętych umową produktów Cloud.

b) datę rozpoczęcia i zakończenia, w stosownych przypadkach, umowy i okresy wypowiedzenia dla dostawcy usług oraz instytucji lub instytucji płatniczej;

Umowa z klientem Atlassian określa domyślną długość okresu subskrypcji i wszystkie obowiązujące okresy wypowiedzenia. Ponadto w przypadku złożenia zamówienia na co najmniej jeden Objęty umową produkt Cloud będzie ona zawierać datę rozpoczęcia i zakończenia odpowiedniego okresu subskrypcji.

c) prawo właściwe dla umowy;

Domyślnym prawem właściwym w przypadku umów z klientem Atlassian jest prawo stanu Kalifornia. Aby uzyskać więcej informacji, skontaktuj się z naszym zespołem sprzedaży produktów Enterprise.

d) zobowiązania finansowe stron;

Ceny każdego z Objętych umową produktów Cloud są publikowane w witrynie www.atlassian.com

e) czy dopuszcza się podoutsourcingu danej krytycznej lub istotnej funkcji lub jej istotnych części, a jeżeli tak — warunki określone w sekcji 13.1 (Podoutsourcing krytycznych lub istotnych funkcji), którym podlega podoutsourcing;

Zapoznaj się z komentarzami do sekcji 13.1 w wierszach 21–36.

f) lokalizację (tj. regiony lub państwa), w których będzie wykonywana krytyczna lub istotna funkcja lub gdzie będą przechowywane i przetwarzane odpowiednie dane, w tym ewentualne miejsce przechowywania, oraz warunki, jakie należy spełnić, w tym wymóg dotyczący powiadamiania instytucji lub instytucji płatniczej, jeżeli dostawca usług zaproponuje zmianę lokalizacji;

Niektóre z Objętych umową produktów Cloud oferują dostępną w produkcie funkcję wyboru jurysdykcji danych (opisaną szczegółowo tutaj), która umożliwia administratorom naszych klientów przypisanie stosownych produktów do wybranej lokalizacji. Na tej stronie znajduje się opis naszej infrastruktury hostingu w chmurze.

W ramach umowy zobowiązujemy się do (a) nieobniżania w sposób istotny funkcjonalności produktu w okresie obowiązywania subskrypcji oraz (b) powiadamiania klientów o wszelkich zmianach naszych lokalizacji hostingu danych.

g) w stosownych przypadkach, przepisy dotyczące dostępności, osiągalności, integralności, prywatności i bezpieczeństwa odpowiednich danych, określone w sekcji 13.2 (Bezpieczeństwo danych i systemów);

Zapoznaj się z komentarzami do sekcji 13.2 w wierszach 36–39.

h) prawo instytucji lub instytucji płatniczej do bieżącego monitorowania wyników dostawcy usług;

Publikujemy aktualne informacje na temat dostępności usług w witrynie status.atlassian.com, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud.

i) uzgodnione gwarantowane poziomy usług, które powinny obejmować dokładne cele ilościowe i jakościowe dla funkcji zleconej na zasadzie outsourcingu, które można terminowo monitorować, tak aby umożliwić bezzwłoczne podjęcie odpowiednich działań naprawczych, jeżeli gwarantowane poziomy usług nie zostaną osiągnięte;

Odpowiednie warunki dotyczące poziomu świadczenia usług, a także środki zaradcze w przypadku niedotrzymania poziomu świadczenia usług w odniesieniu do Objętych umową produktów Cloud zostały zdefiniowane w naszej Umowie o gwarantowanym poziomie świadczenia usług i odpowiednich warunkach dotyczących konkretnych produktów.

j) obowiązki sprawozdawcze spoczywające na dostawcy usług wobec instytucji lub instytucji płatniczej, w tym powiadomienie przez dostawcę usług o wszelkich zmianach, które mogą mieć istotny wpływ na jego zdolność do skutecznego wykonywania krytycznej lub istotnej funkcji zgodnie z uzgodnionymi gwarantowanymi poziomami usług oraz zgodnie z obowiązującymi przepisami i wymogami regulacyjnymi oraz, w stosownych przypadkach, obowiązki dostawcy usług w zakresie przedkładania sprawozdań dotyczących funkcji audytu wewnętrznego;

Publikujemy aktualne informacje na temat dostępności usług w witrynie status.atlassian.com, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud.

k) czy dostawca usług powinien wykupić obowiązkowe ubezpieczenie od określonych rodzajów ryzyka oraz, w stosownych przypadkach, wymagany poziom ochrony;

Firma Atlassian jest ubezpieczona od szeregu określonych rodzajów ryzyka, zgodnie z wymogami prawa właściwymi dla naszej działalności.

l) wymogi dotyczące wdrażania i testowania planów awaryjnych przedsiębiorstwa;

Prowadzimy plany zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego zgodnie z opisem zawartym w naszym Centrum zaufania. Te plany są weryfikowane i testowane co najmniej raz w roku.

m) postanowienia zapewniające dostęp do danych stanowiących własność instytucji lub instytucji płatniczej w przypadku niewypłacalności, restrukturyzacji i uporządkowanej likwidacji lub zaprzestania działalności dostawcy usług;

Przez cały okres trwania naszej umowy z klientem zapewniamy klientowi dostęp do danych oraz możliwość ich wyeksportowania.

Żadne z tych zobowiązań nie przestaje obowiązywać w przypadku niewypłacalności firmy Atlassian. Firma Atlassian nie ma również prawa do rozwiązania umowy z tytułu własnej niewypłacalności, choć w przypadku takiego scenariusza klient może dla wygody sam zdecydować się na rozwiązanie.

W razie mało prawdopodobnej sytuacji niewypłacalności firmy Atlassian klient może odwołać się do tych zobowiązań w kontaktach z wyznaczonym syndykiem masy upadłościowej.

n) obowiązek współpracy dostawcy usług z właściwymi organami i organami ds. restrukturyzacji i uporządkowanej likwidacji instytucji lub instytucji płatniczej, w tym z innymi osobami przez nie wyznaczonymi;

Firma Atlassian będzie współpracować z właściwymi organami instytucji i organami ds. restrukturyzacji i uporządkowanej likwidacji przy wykonywaniu ich praw do audytu, informacji i dostępu.

o) w przypadku instytucji — wyraźne odniesienie do uprawnień organu ds. restrukturyzacji i uporządkowanej likwidacji, w szczególności do art. 68 i 71 dyrektywy 2014/59/UE (dyrektywa w sprawie naprawy oraz restrukturyzacji i uporządkowanej likwidacji banków), w szczególności opis „istotnych zobowiązań” umowy w rozumieniu art. 68 tej dyrektywy;

Firma Atlassian rozumie, że instytucje oraz każda jednostka ds. restrukturyzacji i uporządkowanej likwidacji muszą mieć możliwość prowadzenia działalności w trakcie restrukturyzacji i uporządkowanej likwidacji. W celu zapewnienia wsparcia w tym okresie zobowiązujemy się do dostarczania Objętych umową produktów Cloud w okresie restrukturyzacji i uporządkowanej likwidacji, zgodnie z wymogami dyrektywy w sprawie naprawy oraz restrukturyzacji i uporządkowanej likwidacji banków.

p) nieograniczone prawo instytucji, instytucji płatniczych i właściwych organów do przeprowadzania kontroli i audytu u dostawcy usług, w szczególności w odniesieniu do krytycznej lub istotnej funkcji zleconej na zasadzie outsourcingu, jak określono w sekcji 13.3 (Prawa do dostępu, informacji i audytu);

Zapoznaj się z komentarzami do sekcji 13.3 w wierszach 40–53.

q) prawa do rozwiązania umowy, jak określono w sekcji 13.4 (Prawa do rozwiązania umowy).

Zapoznaj się z komentarzami do sekcji 13.4 w wierszu 56.

Ust. 76

Umowa outsourcingu powinna określać, czy dozwolony jest podoutsourcing krytycznych lub istotnych funkcji bądź ich istotnych części.

Aby móc dostarczać produkty globalne przy minimalnej liczbie zakłóceń, możemy zlecać podoutsourcing niektórych krytycznych lub istotnych funkcji dostawcom usług wysokiej jakości (np. dostawcom usług hostingu danych).

Ust. 77

Jeżeli dopuszcza się podoutsourcing krytycznych lub istotnych funkcji, instytucje i instytucje płatnicze określają czy dana część funkcji, która ma być zlecona na zasadzie podoutsourcingu, jest, jako taka, krytyczna lub istotna (tj. stanowi istotną część krytycznej lub istotnej funkcji), a jeżeli tak — wpisują ją do rejestru.

Ta kwestia leży po stronie klienta.

Ust. 78

Jeżeli dopuszcza się podoutsourcing krytycznych lub istotnych funkcji, pisemna umowa powinna:

a) określać rodzaje działalności, które są wyłączone z podoutsourcingu;

Patrz wiersz 22 powyżej.

b) określać warunki, które muszą być spełnione w przypadku podoutsourcingu;

Firma Atlassian powiadomi o wszelkich zmianach w zakresie podoutsourcingu krytycznych lub istotnych funkcji, bądź wdrożenia nowego podoutsourcingu oraz udostępni informacje na temat takich przypadków podoutsourcingu. Jeśli instytucja będzie miała wątpliwości związane z takim podoutsourcingiem, zezwolimy jej na rozwiązanie umowy z nami.

c) wskazywać, że dostawca usług jest zobowiązany do nadzorowania tych usług, które zlecił na zasadzie podoutsourcingu, w celu zapewnienia, by wszystkie zobowiązania umowne między dostawcą usług a instytucją lub instytucją płatniczą były spełniane w sposób nieprzerwany;

Firma Atlassian ponosi odpowiedzialność za ogólne działanie wynikające z umowy z klientem Atlassian, w tym za wszelkie funkcje zlecane na zasadzie podoutsourcingu. Ponadto w odniesieniu do krytycznych lub istotnych usług zlecanych podwykonawcom na zasadzie outsourcingu firma Atlassian zobowiązuje się do zawarcia z takimi podmiotami realizującymi podzlecone usługi outsourcingowe odpowiednich umów, na mocy których instytucje oraz ich właściwe organy i organy ds. restrukturyzacji i uporządkowanej likwidacji zyskują odpowiednie prawa do audytu, informacji oraz dostępu, a także wymaga od takich podmiotów przestrzegania wszystkich obowiązujących praw.

d) zobowiązywać dostawcę usług do uzyskania uprzedniej szczegółowej lub ogólnej pisemnej zgody od instytucji lub instytucji płatniczej przed udostępnieniem danych na podstawie podoutsourcingu;

W ramach zapewniania zgodności z RODO w naszym Aneksie dotyczącym przetwarzania danych (DPA) zobowiązujemy się nie angażować żadnych podrzędnych podmiotów przetwarzających do przetwarzania danych osobowych klientów bez uprzedniej pisemnej zgody klienta.

e) obejmować zobowiązanie dostawcy usług do informowania instytucji lub instytucji płatniczej o jakimkolwiek planowanym podoutsourcingu lub istotnych zmianach dotyczących podoutsourcingu, w szczególności jeżeli może to mieć wpływ na zdolność dostawcy usług do wywiązywania się z jego obowiązków wynikających z umowy outsourcingu. Powyższe obejmuje planowane istotne zmiany podwykonawców i okres powiadamiania; w szczególności okres powiadamiania powinien umożliwiać zlecającej instytucji lub instytucji płatniczej co najmniej przeprowadzanie oceny ryzyka w odniesieniu do proponowanych zmian oraz wniesienie sprzeciwu wobec zaproponowanym zmianom, zanim planowany podoutsourcing lub dotyczące go istotne zmiany wejdą w życie;

Patrz wiersz 26 powyżej.

f) zapewniać, w stosownych przypadkach, prawo instytucji lub instytucji płatniczej do sprzeciwu wobec zamierzonego podoutsourcingu lub istotnych zmian go dotyczących lub wymóg uzyskania wyraźnej zgody;

Patrz wiersz 26 powyżej.

g) zapewniać wynikające z umowy prawo instytucji lub instytucji płatniczej do rozwiązania umowy w przypadku nieuzasadnionego podoutsourcingu, np. w przypadku, gdy podoutsourcing istotnie zwiększa ryzyko dla instytucji lub instytucji płatniczej lub w przypadku, gdy dostawca usług podzleca bez powiadomienia o tym instytucji lub instytucji płatniczej.

Patrz wiersz 26 powyżej.

Ust. 79

Instytucje i instytucje płatnicze wyrażają zgodę na podoutsourcing wyłącznie w przypadku, gdy podwykonawca zobowiązuje się do:

a) przestrzegania wszystkich obowiązujących przepisów prawa, wymogów regulacyjnych i zobowiązań wynikających z umowy; oraz

Patrz wiersz 27 powyżej.

b) przyznania instytucji, instytucji płatniczej i właściwemu organowi takich samych wynikających z umowy praw dostępu i kontroli, co prawa przyznane przez dostawcę usług.

Patrz wiersz 27 powyżej.

Ust. 80

Instytucje i instytucje płatnicze zapewniają, aby dostawca usług odpowiednio nadzorował poddostawców usług, zgodnie z polityką określoną przez instytucję lub instytucję płatniczą. Jeżeli proponowany podoutsourcing mógłby mieć istotny niekorzystny wpływ na umowę outsourcingu dotyczącą krytycznej lub istotnej funkcji lub mógłby doprowadzić do znacznego wzrostu ryzyka, również w przypadku, gdy warunki określone w ust. 79 nie zostałyby spełnione, instytucja lub instytucja płatnicza powinna wykonywać swoje prawo do wniesienia sprzeciwu wobec podoutsourcingu, jeżeli takie prawo zostało uzgodnione, lub rozwiązać umowę.

Patrz wiersze 26 i 27 powyżej.

Ust. 81

Instytucje i instytucje płatnicze zapewniają, aby dostawcy usług, w stosownych przypadkach, przestrzegali odpowiednich standardów bezpieczeństwa IT.

Firma Atlassian regularnie przechodzi badania środków kontroli bezpieczeństwa, ochrony prywatności i zgodności z przepisami. W okresie obowiązywania naszej umowy z Tobą będziemy spełniać wymagania co najmniej norm wymienionych w naszym Centrum zaufania, co obejmuje certyfikaty zgodności z normami ISO/IEC 27001 i iSO/IEC 27018 oraz sprawozdania z audytów SOC 2 typu II i SOC 3:
https://www.atlassian.com/trust/compliance

Ust. 82

W stosownych przypadkach (np. w kontekście outsourcingu w chmurze lub innego rodzaju outsourcingu dotyczącego ICT) instytucje i instytucje płatnicze określają wymogi dotyczące bezpieczeństwa danych i systemów w umowie outsourcingu i na bieżąco monitorują zgodność z tymi wymogami.

Biorąc pod uwagę sposób udostępniania na zasadzie relacji jeden-do-wielu naszych Objętych umową produktów Cloud, wszystkim naszym klientom zapewniamy jednakowe, niezawodne zabezpieczenia. Te praktyki związane z bezpieczeństwem zostały szczegółowo opisane w naszym Centrum zaufania:
https://www.atlassian.com/trust/

Zobowiązujemy się przestrzegać praktyk dotyczących bezpieczeństwa zdefiniowanych w naszym Centrum zaufania i nie zmniejszać istotnie ogólnego poziomu bezpieczeństwa Objętych umową produktów Cloud w okresie subskrypcji.

Ust. 83

W przypadku zlecania na zasadzie outsourcingu dostawcom usług w chmurze oraz innych umów outsourcingu obejmujących obsługę lub przekazywanie danych osobowych lub poufnych, instytucje i instytucje płatnicze powinny przyjąć podejście oparte na analizie ryzyka w odniesieniu do lokalizacji przechowywania i przetwarzania danych (tj. kraju lub regionu) i kwestii bezpieczeństwa informacji.

Ta kwestia leży po stronie klienta.

Ust. 84

Z zastrzeżeniem wymogów rozporządzenia (UE) 2016/679, instytucje i instytucje płatnicze, zlecając na zasadzie outsourcingu (w szczególności do państw trzecich), powinny uwzględniać różnice w przepisach krajowych dotyczących ochrony danych. Instytucje i instytucje płatnicze dopilnowują, aby umowa outsourcingu zawierała zobowiązanie, że dostawca usług zapewni ochronę informacji poufnych, osobowych lub innych informacji szczególnie chronionych i spełnia wszystkie wymogi prawne dotyczące ochrony danych, które mają zastosowanie do instytucji lub instytucji płatniczej (np. ochrona danych osobowych, oraz w stosownych przypadkach przestrzeganie obowiązku zachowania tajemnicy bankowej lub podobnych obowiązków w zakresie poufności w odniesieniu do informacji klientów).

Oferujemy Aneks dotyczący przetwarzania danych, który zawiera szczegółowe zobowiązania dotyczące przetwarzania i bezpieczeństwa danych osobowych klientów. Więcej informacji na temat naszego programu zapewniania zgodności z RODO można znaleźć tutaj:

https://www.atlassian.com/trust/compliance/resources/gdpr

Ust. 85

W ramach pisemnej umowy outsourcingu instytucje i instytucje płatnicze powinny zapewnić, aby funkcja audytu wewnętrznego była w stanie dokonać przeglądu funkcji zleconych na zasadzie outsourcingu, stosując podejście oparte na analizie ryzyka.

Firma Atlassian zapewnia instytucjom mechanizmy umowne umożliwiające bieżący przegląd Objętych umową produktów Cloud.

Ust. 86

Niezależnie od krytycznego lub istotnego znaczenia funkcji zleconej na zasadzie outsourcingu, pisemne umowy outsourcingu zawierane pomiędzy instytucjami a dostawcami usług powinny odnosić się do gromadzenia informacji i uprawnień dochodzeniowych właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji na mocy art. 63 ust. 1 lit. a) dyrektywy 2014/59/UE i art. 65 ust. 3 dyrektywy 2013/36/UE w odniesieniu do dostawców usług znajdujących się w państwie członkowskim, a także zapewniać te prawa w odniesieniu do dostawców usług znajdujących się w państwach trzecich.

Atlassian uznaje uprawnienia właściwych organów i organów ds. restrukturyzacji i uporządkowanej likwidacji w zakresie gromadzenia informacji i prowadzenia dochodzeń na mocy odpowiedniego i obowiązującego prawodawstwa UE.

Ust. 87

Odnośnie do outsourcingu krytycznych lub istotnych funkcji instytucje i instytucje płatnicze powinny zapewnić w ramach pisemnej umowy outsourcingu, że dostawca usług udzieli im oraz ich właściwym organom, w tym organom ds. restrukturyzacji i uporządkowanej likwidacji, oraz każdej innej osobie wyznaczonej przez te instytucje lub właściwe organy:

a) pełnego dostępu do wszystkich odpowiednich lokali (np. siedziby firmy i centrów operacyjnych), w tym do pełnego zakresu odpowiednich urządzeń, systemów, sieci, informacji i danych wykorzystywanych do wykonywania funkcji zleconych na podstawie outsourcingu, w tym do powiązanych informacji finansowych, dotyczących personelu i audytorów zewnętrznych dostawcy usług („prawa do dostępu i informacji”); oraz

b) nieograniczonych praw w zakresie kontroli i audytu związanych z umową outsourcingu („prawa do audytu”), aby umożliwić im monitorowanie umowy outsourcingu oraz zapewnić zgodność ze wszystkimi obowiązującymi wymogami prawnymi i umownymi.

Wszystkim instytucjom korzystającym z Objętych umową produktów Cloud firma Atlassian zapewnia wymagane prawa do audytu, informacji i dostępu dla nich, ich właściwych organów i osób przez nie wyznaczonych.

Ust. 88

W odniesieniu do outsourcingu funkcji, które nie są krytyczne lub istotne, instytucje i instytucje płatnicze powinny zapewnić prawa do dostępu i audytu określone w ust. 87 lit. a) i b) oraz w sekcji 13.3, w oparciu o podejście oparte na analizie ryzyka, z uwzględnieniem charakteru funkcji zleconej na zasadzie outsourcingu oraz związanego z nią ryzyka operacyjnego i ryzyka utraty reputacji, ich skalowalności, potencjalnego wpływu na ciągłość prowadzenia działalności i na okres objęty umową. Instytucje i instytucje płatnicze powinny wziąć pod uwagę, że funkcje mogą z czasem stać się krytyczne lub istotne.

Patrz wiersz 44 powyżej.

Ust. 89

Instytucje i instytucje płatnicze dopilnowują, aby umowa outsourcingu lub inne ustalenia umowne nie utrudniały ani nie ograniczały skutecznego korzystania z praw do dostępu i audytu przez te instytucje, właściwe organy lub osoby trzecie wyznaczone przez te instytucje do wykonywania takich praw.

Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz właściwym organom skuteczne przeprowadzanie audytu Objętych umową produktów Cloud.

Ust. 90

Instytucje i instytucje płatnicze powinny korzystać ze swoich praw do dostępu i audytu, określać częstotliwość audytów i obszary podlegające kontroli, stosując podejście oparte na analizie ryzyka oraz stosować się do odpowiednich, powszechnie przyjętych krajowych i międzynarodowych standardów audytu.

Opracowaliśmy program audytu, który jest zgodny z tym zobowiązaniem.

Ust. 91

Z zastrzeżeniem spoczywającej na nich ostatecznej odpowiedzialności za umowy outsourcingu instytucje i instytucje płatnicze mogą stosować:

a) zbiorcze audyty organizowane wspólnie z innymi klientami tego samego dostawcy usług i przeprowadzane przez instytucje i tych samych klientów lub wyznaczoną przez nich osobę trzecią w celu bardziej efektywnego wykorzystania zasobów audytowych oraz zmniejszenia obciążenia organizacyjnego zarówno po stronie klientów, jak i dostawcy usług;

b) certyfikaty osoby trzeciej oraz sprawozdania osoby trzeciej lub sprawozdania z audytu wewnętrznego udostępnione przez dostawcę usług.

Nasz program audytu umożliwia instytucjom wykonanie przeglądu Objętych umową produktów Cloud w drodze audytów zbiorczych i/lub w oparciu o certyfikaty osób trzecich.

Ust. 92

W przypadku outsourcingu krytycznych lub istotnych funkcji instytucje i instytucje płatnicze powinny ocenić, czy certyfikaty i sprawozdania osób trzecich, o których mowa w ust. 91 lit. b), są odpowiednie i wystarczające do spełnienia ich obowiązków regulacyjnych i na przestrzeni czasu nie powinny opierać się wyłącznie na tych sprawozdaniach.

Ta kwestia leży po stronie klienta.

Ust. 93

Instytucje i instytucje płatnicze powinny stosować metodę, o której mowa w ust. 91 lit. b), tylko wtedy, gdy:

a) są zadowolone z planu audytu dotyczącego funkcji zleconej na podstawie outsourcingu;

b) zapewniają, aby zakres certyfikatu lub sprawozdania z audytu obejmowały systemy (tj. procesy, aplikacje, infrastrukturę, centra danych itd.) oraz kluczowe mechanizmy kontroli określone przez instytucję lub instytucję płatniczą oraz sprawdzenie zgodności z odpowiednimi wymogami regulacyjnymi;

c) dokonują dokładnej bieżącej oceny treści certyfikatów lub sprawozdań z audytu i weryfikacji, czy sprawozdania lub certyfikaty nie są nieaktualne;

d) zapewniają objęcie kluczowych systemów i kontroli przyszłymi wersjami certyfikatu lub sprawozdania z audytu;

e) są zadowolone z umiejętności podmiotu certyfikującego lub podmiotu przeprowadzającego audyt (np. w odniesieniu do rotacji firmy certyfikującej lub audytowej, kwalifikacji, wiedzy fachowej, ponownego przeprowadzenia/weryfikacji dowodów w bazowej dokumentacji audytu);

f) upewniły się, że certyfikaty zostaną wydane a audyty przeprowadzone zgodnie z powszechnie uznawanymi odpowiednimi standardami zawodowymi i obejmują badanie skuteczności operacyjnej kluczowych kontroli prowadzonych na miejscu;

g) mają wynikające z umowy prawo zwrócić się o rozszerzenie zakresu certyfikatów lub sprawozdań z audytu na inne odpowiednie systemy i mechanizmy kontroli; liczba i częstotliwość takich wniosków o zmianę zakresu powinny być uzasadnione i zgodne z prawem z perspektywy zarządzania ryzykiem; oraz

h) zachowują wynikające z umowy prawo do przeprowadzania indywidualnych audytów według ich uznania w odniesieniu do outsourcingu krytycznych lub istotnych funkcji.

Kwestie opisane w punktach od a) do f) leżą po stronie klientów. W odniesieniu do punktu g) zapewniamy instytucjom mechanizm umowny umożliwiający zażądanie zmian w naszych kontrolach i procesach audytowych. Do punktu h) ustosunkowano się w wierszu 44 powyżej.

Ust. 94

Zgodnie z wytycznymi EUNB w sprawie oceny ryzyka technologii informacyjno-komunikacyjnych w ramach procesu przeglądu i oceny nadzorczej (SREP) instytucje powinny w stosownych przypadkach zapewniać, by były one w stanie przeprowadzać testy penetracyjne w celu oceny skuteczności wdrożonych środków i procesów z zakresu cybernetycznego i wewnętrznego bezpieczeństwa ICT. Biorąc pod uwagę tytuł I, instytucje płatnicze powinny również posiadać wewnętrzne mechanizmy kontroli ICT, w tym środki kontroli w zakresie ochrony ICT i środki ograniczające ryzyko.

Atlassian oferuje klientom prawo do przeprowadzania testów penetracyjnych w dowolnym momencie bez uprzedniej zgody firmy Atlassian: https://www.atlassian.com/trust/security/security-testing.

Ust. 95

Przed planowaną kontrolą na miejscu, instytucje, instytucje płatnicze, właściwe organy i audytorzy lub osoby trzecie działające w imieniu instytucji, instytucji płatniczej lub właściwych organów powinny przekazać dostawcy usług stosowne zawiadomienie, chyba że jest to niemożliwe ze względu na sytuację nadzwyczajną lub kryzysową lub doprowadziłoby to do sytuacji, w której audyt przestanie być skuteczny.

Nasz program audytu spełnia wymagania zawarte w tym zobowiązaniu.

Ust. 96

Podczas przeprowadzania audytów w środowiskach wielu klientów należy dołożyć starań w celu uniknięcia powstania zagrożeń dla środowiska innego klienta (np. wpływu na gwarantowane poziomy usług, dostępność danych, aspekty poufności) lub ograniczenia takich zagrożeń.

Niezwykle ważne dla Atlassian i naszych klientów jest, aby nasze działania w ramach relacji z jednym klientem nie narażały innych klientów na ryzyko. Dotyczy to zarówno przeprowadzania audytu przez Ciebie, jak i sytuacji, w których audyt przeprowadzany jest przez innych klientów. W trakcie audytu przeprowadzanego przez dowolną instytucję będziemy współpracować z nią w celu zminimalizowania zakłóceń dla innych naszych klientów. Podobnie będziemy współpracować z innymi klientami przeprowadzającymi audyty, aby zminimalizować ich wpływ na tę instytucję. W szczególności będziemy zawsze uważnie wypełniać nasze zobowiązania w zakresie bezpieczeństwa.

Ust. 97

Jeśli umowa outsourcingu wiąże się z wysokim poziomem złożoności technicznej, na przykład w przypadku outsourcingu usług w chmurze, instytucja lub instytucja płatnicza powinna sprawdzić, czy podmiot, który przeprowadza audyt, niezależnie od tego, czy są to jej audytorzy wewnętrzni, zespół audytorów lub audytorów zewnętrznych działających w jej imieniu, posiada odpowiednie i istotne umiejętności oraz wiedzę w zakresie skutecznego przeprowadzania odpowiednich audytów lub ocen. To samo dotyczy wszystkich pracowników instytucji lub instytucji płatniczej dokonujących kontroli certyfikatów lub audytów przeprowadzonych przez dostawców usług.

Jest to obowiązek klienta.

Ust. 98

W umowie outsourcingu należy w sposób wyraźny umożliwić instytucji lub instytucji płatniczej rozwiązanie umowy zgodnie z obowiązującymi przepisami prawa, w tym w następujących sytuacjach:

a) jeżeli dostawca wykonujący funkcje zlecone na zasadzie outsourcingu narusza obowiązujące przepisy prawa, regulacje lub postanowienia umowne;

b) w przypadku wykrycia przeszkód mogących zakłócić wykonywanie funkcji będącej przedmiotem outsourcingu;

c) w przypadku istotnych zmian mających wpływ na umowę outsourcingu lub dostawcę usług (np. zmiana dotycząca podoutsourcingu lub zmiany podwykonawców);

d) w przypadku wystąpienia braków w zakresie zarządzania danymi lub informacjami poufnymi, osobowymi lub szczególnie chronionymi oraz w zakresie ich bezpieczeństwa; oraz

e) jeżeli właściwy organ instytucji lub instytucji płatniczej wyda nakaz, np. w przypadku gdy właściwy organ, z powodu umowy outsourcingu, nie jest już w stanie skutecznie nadzorować instytucji lub instytucji płatniczej.

Dla wygody zapewniamy klientom szerokie prawa do rozwiązania umowy, dzięki czemu mają możliwość rozwiązania umowy w dowolnym przypadku wskazanym w sekcji 13.4 Wytycznych EUNB.

Ust. 99

Pisemna umowa outsourcingu powinna:

a) jasno określać obowiązki istniejącego dostawcy usług w przypadku przeniesienia funkcji zleconych na zasadzie outsourcingu do innego dostawcy usług lub z powrotem do instytucji lub instytucji płatniczej, również w zakresie przetwarzania danych;

Zapewniamy wszystkim klientom dostępną w produkcie funkcję eksportu własnych danych w dowolnej chwili w trakcie okresu obowiązywania umowy bez naszej pomocy.

b) określać odpowiedni okres przejściowy, w którym dostawca usług, po zakończeniu umowy outsourcingu, będzie w dalszym ciągu wykonywał funkcję zlecaną na zasadzie outsourcingu w celu ograniczenia ryzyka powstania zakłóceń; oraz

Jeśli instytucja będzie tego wymagać, możliwe jest przedłużenie okresu subskrypcji na krótki czas, aby umożliwić przekazanie do innego dostawcy usług.

c) obejmować zobowiązanie dostawcy usług do wspierania instytucji lub instytucji płatniczej w prawidłowym przeniesieniu funkcji w przypadku rozwiązania umowy outsourcingu.

Patrz wiersze 58 i 59 powyżej.