Обязательство компании Atlassian по соблюдению регламента GDPR
Ориентированность на обеспечение конфиденциальности данных
Мы прилагаем все усилия, чтобы помогать нашим клиентам добиваться успеха и защищать данные. Один из способов выполнить это обещание — разъяснить клиентам и пользователям Atlassian назначение Общего регламента по защите данных (GDPR), а также помочь выполнить его применимые требования. Регламент GDPR был принят с целью расширить возможности граждан ЕС в плане управления собственными данными и объединить ряд существующих законов о конфиденциальности и безопасности в один всеобъемлющий нормативно-правовой акт. Действие GDPR распространяется не только на организации, которые расположены на территории ЕС, но и на все компании, которые осуществляют обработку и хранение персональных данных субъектов данных, проживающих на территории Европейского союза (где бы ни находились сами компании).
В следующих разделах описывается наш подход к соблюдению регламента GDPR и соответствующие вложения при обслуживании клиентов и отдельных субъектов данных.
Безопасность и сертификация
Защита информации наших клиентов и конфиденциальности их пользователей необычайно важна для нас. Наши клиенты доверяют нам самые ценные данные, поэтому принципы безопасности встроены в каждый уровень архитектуры Atlassian Cloud. У нас реализованы репликация, резервное копирование и планирование аварийного восстановления, шифрование при передаче и хранении данных, продвинутая система обнаружения угроз, общие инструменты управления и т. д. На странице принципов безопасности Atlassian вы можете подробнее ознакомиться с нашим подходом к обеспечению безопасности.
Кроме того, мы выделяем значительные ресурсы на то, чтобы разработка и проектирование наших облачных продуктов велись в соответствии с распространенными стандартами и сертификациями. Стандарты повторяют многие требования к безопасности и конфиденциальности, установленные регламентом GDPR, а также служат прозрачной платформой для оценки наших принципов разработки ПО и управления данными. В настоящее время ряд наших продуктов сертифицирован на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27018, а также SOC 2 и SOC 3. Наши поставщики услуг центров обработки данных, размещения серверного оборудования и управляемых сервисов проходят тщательную проверку уровня безопасности в рамках процесса оценки и регулярный аудит на соответствие стандартам SOC 1, SOC 2 и (или) ISO/IEC 27001.
Подробнее о нашей Программе управления рисками, текущих сертификациях и обязательствах по продуктам Cloud см. на странице соответствия требованиям в Центре безопасности.
Международная передача данных
Из-за глобального характера клиентской базы и деятельности компании Atlassian необходима возможность передавать данные и получать доступ к ним по всему миру. Мы понимаем и соблюдаем правила передачи персональных данных за пределы Европейской экономической зоны и Великобритании и предлагаем клиентам надежную систему международной передачи данных в рамках Приложения об обработке данных (DPA). Благодаря этому приложению наши клиенты могут законно передавать персональные данные в продукты Atlassian Cloud за пределами Европы, в том числе с учетом недавних изменений в законодательстве Великобритании.
При передаче ваших данных поставщикам услуг компания Atlassian несет ответственность перед вами за использование этих данных такими сторонними организациями. Все поставщики услуг проходят тщательные проверки и заключают договоры, что гарантирует адекватную степень защиты и применение необходимых мер безопасности в отношении персональных данных наших клиентов. Недавно Европейский совет по защите данных опубликовал указания о дополнительных мерах по соблюдению требования GDPR об адекватности защиты. Мы продолжим анализировать эти и другие требования, выдвигаемые европейскими органами по надзору за соблюдением законодательства о защите персональных данных, по мере появления. Пока стоит отметить, что компания Atlassian:
- шифрует данные при передаче и хранении;
- публикует ежегодный Отчет о прозрачности, содержащий информацию о запросах данных пользователей, а также о запросах на удаление контента и приостановку работы аккаунтов, направленных правительственными организациями
- предоставляет дополнительную информацию о своих политиках и процедурах ответа на запросы пользовательских данных в Руководстве по соблюдению законодательства
Дополнительные сведения о Приложении об обработке данных и стандартных договорных условиях см. в разделе часто задаваемых вопросов о конфиденциальности. Подробнее о том, как в Atlassian передают и обрабатывают персональные данные, см. в Политике конфиденциальности. Новости о последних изменениях (в том числе в законодательстве о передаче данных) можно найти на странице обновлений конфиденциальности.
Размещение и переносимость данных
Места размещения данных выбираются так, чтобы сократить задержки и добиться оптимальной производительности для вас и ваших пользователей. Мы оптимизируем размещение данных клиента не по запросу, а в зависимости от того, как к ним обращаются по всему миру. Мы не можем гарантировать, что ваши данные по умолчанию будут размещаться в определенном месте, но если вы являетесь администратором организации, которая имеет новую подписку Standard или Premium либо использует продукты Enterprise (Jira или Confluence), теперь вы можете привязать контент соответствующих продуктов к определенному месту хранения. Планы по расширению программы размещения данных (в том числе по размещению данных приложений и дополнительным местам хранения) отмечены в дорожной карте развития облака Atlassian.
Кроме того, мы готовы упростить работу с запросами ваших клиентов на экспорт принадлежащих им данных, если данные размещаются в составе продуктов Atlassian. Компания Atlassian предоставляет надежные инструменты обеспечения переносимости данных и управления ими, с помощью которых можно экспортировать данные продуктов и пользователей. Подробнее об экспорте данных в Atlassian Cloud см. в документации об импорте и экспорте данных.
Право на конфиденциальность и согласие физических лиц
Права субъекта данных
С помощью наших инструментов клиенты могут без труда удалять персональные данные из продуктов Atlassian Cloud, чтобы выполнять обязательства, налагаемые положением регламента GDPR о предоставлении права на забвение (или права на удаление).
- Администраторы организаций Atlassian могут удалять аккаунты управляемых пользователей с помощью инструментов управления на портале администрирования.
- Неуправляемые конечные пользователи могут запрашивать удаление своих персональных данных, отправив запрос на удаление аккаунта со страницы профиля аккаунта Atlassian.
- Лица, которые предоставили персональные данные компании Atlassian (самостоятельно или через посредника), но не имеют аккаунта Atlassian, также могут отправить запрос на удаление.
Аналогичные инструменты предоставляются для работы с запросами на доступ.
- Администраторы организаций Atlassian могут запрашивать доступ к данным управляемых пользователей через поддержку Atlassian.
- Неуправляемые конечные пользователи также могут запрашивать доступ к своим персональным данным, отправив запрос на доступ к данным через поддержку Atlassian.
- Лица, которые предоставили персональные данные компании Atlassian (самостоятельно или через посредника), но не имеют аккаунта Atlassian, также могут отправить запрос на доступ.
Запросы на удаление и предоставление доступа могут быть обработаны по телефону. Для этого необходимо позвонить по номеру 1 (800) 804-52-81 и оставить сообщение.
А вы знаете, что компания Atlassian подготовила предназначенную для пользователей информацию о том, как инициировать запрос на доступ или удаление данных? См. здесь.
Выбор и согласие
Мы уважаем ваше право выбора и придерживаемся принципов прозрачности во всем, что касается сбора, использования и раскрытия информации, а также предоставляем дополнительные параметры в настройках различных продуктов и аккаунтов. В нашей Политике конфиденциальности описаны ваши права, способы их реализации и соответствующие ограничения.
Подробнее о правах субъектов персональных данных см. в разделе, посвященном управлению конфиденциальностью личных данных.
Обратите внимание, что для управления сбором информации и соблюдения принципов прозрачности, мы запрашиваем у конечных пользователей из ЕС согласие на использование файлов cookie и отправку маркетинговых сообщений. Наши внутренние процессы позволяют централизованно запрашивать согласие, чтобы ваши права последовательно реализовывались в нашем наборе продуктов.
Другие обязательства
Ниже приводятся другие инициативы GDPR, которые реализованы в продуктах Cloud.
- Мы гарантируем, что сотрудники Atlassian, которые получают доступ к персональным данным клиентов и обрабатывают их, обучены работе с этими данными и обязаны поддерживать конфиденциальность и безопасность этих данных.
- Список наших субобработчиков данных приведен на странице субобработчиков данных; там же вы можете подписаться на RSS-канал, чтобы оставаться курсе любых изменений.
- Мы обязуемся проводить оценки рисков нарушения конфиденциальности данных и консультации с контрольными органами ЕС в необходимых случаях.
- Мы поможем уведомить контрольные органы о случаях несанкционированного доступа и быстро сообщить о них клиентам и пользователям.