Обязательство компании Atlassian по соблюдению регламента GDPR
Ориентированность на обеспечение конфиденциальности данных
Мы прилагаем все усилия, чтобы помогать нашим клиентам добиваться успеха и защищать данные. Один из способов выполнить это обещание — разъяснить клиентам и пользователям Atlassian назначение Общего регламента по защите данных (GDPR), а также помочь выполнить его применимые требования. Регламент GDPR был принят с целью расширить возможности граждан ЕС в плане управления собственными данными и объединить ряд существующих законов о конфиденциальности и безопасности в один всеобъемлющий нормативно-правовой акт. Действие GDPR распространяется не только на организации, которые расположены на территории ЕС, но и на все компании, которые осуществляют обработку и хранение персональных данных субъектов данных, проживающих на территории Европейского союза (где бы ни находились сами компании).
В следующих разделах описывается наш подход к соблюдению регламента GDPR и соответствующие вложения при обслуживании клиентов и отдельных субъектов данных.
Безопасность и сертификация
Защита информации наших клиентов и конфиденциальности их пользователей необычайно важна для нас. Наши клиенты доверяют нам самые ценные данные, поэтому принципы безопасности встроены в каждый уровень архитектуры Atlassian Cloud. У нас реализованы репликация, резервное копирование и планирование аварийного восстановления, шифрование при передаче и хранении данных, продвинутая система обнаружения угроз, общие инструменты управления и т. д. На странице принципов безопасности Atlassian вы можете подробнее ознакомиться с нашим подходом к обеспечению безопасности.
Кроме того, мы выделяем значительные ресурсы на то, чтобы разработка и проектирование наших облачных продуктов велись в соответствии с распространенными стандартами и сертификациями. Стандарты повторяют многие требования к безопасности и конфиденциальности, установленные регламентом GDPR, а также служат прозрачной платформой для оценки наших принципов разработки ПО и управления данными. В настоящее время ряд наших продуктов сертифицирован на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27018, а также SOC 2 и SOC 3. Наши поставщики услуг центров обработки данных, размещения серверного оборудования и управляемых сервисов проходят тщательную проверку уровня безопасности в рамках процесса оценки и регулярный аудит на соответствие стандартам SOC 1, SOC 2 и (или) ISO/IEC 27001.
Подробнее о нашей Программе управления рисками, текущих сертификациях и обязательствах по продуктам Cloud см. на странице соответствия требованиям в Центре безопасности.
Международная передача данных
Из-за глобального характера клиентской базы и деятельности компании Atlassian необходима возможность передавать данные и получать доступ к ним по всему миру. Мы понимаем и соблюдаем правила передачи персональных данных за пределами Европейской экономической зоны (ЕЭЗ) и предлагаем клиентам надежную систему международной передачи данных в рамках Приложения об обработке данных. Это приложение позволяет нашим клиентам законно передавать персональные данные в продукты Atlassian Cloud за пределами ЕЭЗ, опираясь на стандартные договорные условия. Приложение также содержит специальные положения, которые помогают клиентам соблюдать требования регламента GDPR.
При передаче ваших данных поставщикам услуг компания Atlassian несет ответственность перед вами за использование этих данных такими сторонними организациями. Все поставщики услуг проходят тщательные проверки и заключают договоры, что гарантирует адекватную степень защиты и применение необходимых мер безопасности в отношении персональных данных наших клиентов. Недавно Европейский совет по защите данных опубликовал указания о дополнительных мерах по соблюдению требования GDPR об адекватности защиты. Мы продолжим анализировать эти и другие требования, выдвигаемые европейскими органами по надзору за соблюдением законодательства о защите персональных данных, по мере появления. Пока стоит отметить, что компания Atlassian:
- шифрует данные при передаче и хранении;
- публикует ежегодный Отчет о прозрачности, содержащий информацию о запросах данных пользователей, а также о запросах на удаление контента и приостановку работы аккаунтов, направленных правительственными организациями
- предоставляет дополнительную информацию о своих политиках и процедурах ответа на запросы пользовательских данных в Руководстве по соблюдению законодательства
Дополнительные сведения о Приложении об обработке данных и стандартных договорных условиях см. в разделе часто задаваемых вопросов о конфиденциальности. Подробнее о том, как в Atlassian передают и обрабатывают персональные данные, см. в Политике конфиденциальности. Новости о последних изменениях (в том числе в законодательстве о передаче данных) можно найти на странице обновлений конфиденциальности.
Размещение и переносимость данных
Места размещения данных выбираются так, чтобы сократить задержки и добиться оптимальной производительности для вас и ваших пользователей. Мы оптимизируем размещение данных клиента не по запросу, а в зависимости от того, как к ним обращаются по всему миру. Мы не можем гарантировать, что ваши данные по умолчанию будут размещаться в определенном месте, но если вы являетесь администратором организации, которая имеет новую подписку Standard или Premium либо использует продукты Enterprise (Jira или Confluence), теперь вы можете привязать контент соответствующих продуктов к определенному месту хранения. Планы по расширению программы размещения данных (в том числе по размещению данных приложений и дополнительным местам хранения) отмечены в дорожной карте развития облака Atlassian.
Кроме того, мы готовы упростить работу с запросами ваших клиентов на экспорт принадлежащих им данных, если данные размещаются в составе продуктов Atlassian. Компания Atlassian предоставляет надежные инструменты обеспечения переносимости данных и управления ими, с помощью которых можно экспортировать данные продуктов и пользователей. Подробнее об экспорте данных в Atlassian Cloud см. в документации об импорте и экспорте данных.
Право на конфиденциальность и согласие физических лиц
Права субъекта данных
С помощью наших инструментов клиенты могут без труда удалять персональные данные из продуктов Atlassian Cloud, чтобы выполнять обязательства, налагаемые положением регламента GDPR о предоставлении права на забвение (или права на удаление).
- Администраторы организаций Atlassian могут удалять аккаунты управляемых пользователей с помощью инструментов управления на портале администрирования.
- Неуправляемые конечные пользователи могут запрашивать удаление своих персональных данных, отправив запрос на удаление аккаунта со страницы профиля аккаунта Atlassian.
- Лица, которые предоставили персональные данные компании Atlassian (самостоятельно или через посредника), но не имеют аккаунта Atlassian, также могут отправить запрос на удаление.
Аналогичные инструменты предоставляются для работы с запросами на доступ.
- Администраторы организаций Atlassian могут запрашивать доступ к данным управляемых пользователей через поддержку Atlassian.
- Неуправляемые конечные пользователи также могут запрашивать доступ к своим персональным данным, отправив запрос на доступ к данным через поддержку Atlassian.
- Лица, которые предоставили персональные данные компании Atlassian (самостоятельно или через посредника), но не имеют аккаунта Atlassian, также могут отправить запрос на доступ.
Запросы на удаление и предоставление доступа могут быть обработаны по телефону. Для этого необходимо позвонить по номеру 1 (800) 804-52-81 и оставить сообщение.
А вы знаете, что компания Atlassian подготовила предназначенную для пользователей информацию о том, как инициировать запрос на доступ или удаление данных? См. здесь.
Выбор и согласие
Мы уважаем ваше право выбора и придерживаемся принципов прозрачности во всем, что касается сбора, использования и раскрытия информации, а также предоставляем дополнительные параметры в настройках различных продуктов и аккаунтов. В нашей Политике конфиденциальности описаны ваши права, способы их реализации и соответствующие ограничения.
Подробнее о правах субъектов персональных данных см. в разделе, посвященном управлению конфиденциальностью личных данных.
Обратите внимание, что для управления сбором информации и соблюдения принципов прозрачности, мы запрашиваем у конечных пользователей из ЕС согласие на использование файлов cookie и отправку маркетинговых сообщений. Наши внутренние процессы позволяют централизованно запрашивать согласие, чтобы ваши права последовательно реализовывались в нашем наборе продуктов.
Другие обязательства
Ниже приводятся другие инициативы GDPR, которые реализованы в продуктах Cloud.
- Мы гарантируем, что сотрудники Atlassian, которые получают доступ к персональным данным клиентов и обрабатывают их, обучены работе с этими данными и обязаны поддерживать конфиденциальность и безопасность этих данных.
- Список наших субобработчиков данных приведен на странице субобработчиков данных; там же вы можете подписаться на RSS-канал, чтобы оставаться курсе любых изменений.
- Мы обязуемся проводить оценки рисков нарушения конфиденциальности данных и консультации с контрольными органами ЕС в необходимых случаях.
- Мы поможем уведомить контрольные органы о случаях несанкционированного доступа и быстро сообщить о них клиентам и пользователям.