Atlassian 的 GDPR 承诺
致力于保护您的数据隐私
我们全力致力于帮助客户取得成功以及保障数据的安全。为兑现此承诺,我们将帮助 Atlassian 客户和用户理解并在适用情况下遵守《通用数据保护条例》(GDPR)GDPR 旨在让欧盟公民更好地控制自己的数据,并力求在一项综合法律下统一多项隐私和安全法律。GDPR 不仅适用于欧盟境内的组织,还适用于处理和持有其数据主体位于欧盟的个人数据的所有公司,且无论这些公司位于何处。
以下部分概述了我们在为客户和个人数据主体提供服务时,在 GDPR 合规性方面的做法和投资。
安全和认证
保护客户的信息及其隐私对我们来说极为重要。客户将某些最有价值的数据委托给我们,这就是为什么我们在 Atlassian Cloud 架构的每一层都内置了安全措施的原因。我们提供复制、备份和灾难恢复计划,传输中和静态状态下加密,高级威胁检测和通用控制等功能。访问 Atlassian 安全实践页面,详细了解我们的安全方案。
此外,我们还投入了大量资源来确保我们的云产品的构建和设计符合广泛认可的标准和认证。这些标准反映了 GDPR 的许多安全和隐私要求,为我们的客户提供了一个透明的框架来衡量我们的软件开发和数据管理实践。目前,我们的许多产品已通过 ISO/IEC 27001、ISO/IEC 27018 标准以及 SOC 2 和 SOC 3 认证。作为评估流程的一部分,我们的数据中心、主机托管地点和托管服务提供商会经过全面安全评估,之后还会定期进行 SOC 1、SOC 2 和/或 ISO/IEC 27001 审计。
要详细了解我们的风险管理计划、目前已获得的认证以及对 Cloud 产品的承诺,请参阅信任中心上的合规性页面。
国际数据传输
作为一家拥有全球客户群和业务的公司,Atlassian 必须具备在全球范围内传输和访问数据的能力。我们了解并尊重在欧洲经济区和英国之外继续传输个人数据的规则,为客户提供强大的国际数据传输框架,以作为我们“数据处理附录”(DPA) 的一部分。本附录确保我们的客户可以合法地将个人数据转移到欧洲以外的 Atlassian Cloud 产品,包括符合英国近期更新的条款。
每当我们与 Atlassian 服务提供商共享您的数据时,我们都会对这些组织的数据使用方式负责。我们要求所有服务提供商都经过彻底的调查程序,并签订合同,以确保我们客户的个人数据得到充分的保护和保障。我们注意到,欧洲数据保护委员会最近发布了针对补充措施的进一步指导,以满足 GDPR 的充分性要求。我们将继续分析这些要求以及欧洲数据保护机构发布的所有其他要求。同时,请注意 Atlassian 会:
- 加密传输中和静止状态下的数据
- 每年发布透明度报告,内含与政府索取用户数据的请求以及与要求删除内容或暂停用户帐户的请求相关的信息。
- 我们的执法请求指南进一步说明了我们响应用户数据请求的相关政策和规程。
要详细了解我们的数据处理附录和标准合同条款,请参阅我们的隐私常见问题。有关我们如何传输和处理个人数据的更多信息,请参阅我们的隐私政策。有关最新动态(包括数据传输相关法律)的新闻,请访问我们的隐私更新页面。
数据位置和可移植性
我们以减少延迟和为您与您用户实现最佳性能为依据来确定数据托管位置。我们根据世界各地的数据访问方式(而非根据请求)来优化客户数据的托管位置。尽管我们不保证默认情况下您的数据将托管在特定位置,但如果您是拥有新的 Standard 或 Premium 订阅再或是 Enterprise 产品(Jira 或 Confluence)的组织管理员,现在则可将范围内的静态产品内容固定到某个位置。Atlassian 的 Cloud 路线图重点介绍我们计划扩展的数据驻留计划(包括针对应用和其他位置的数据驻留功能)。
如果您将客户数据托管在 Atlassian 产品,我们也已准备好为响应您客户导出其数据的请求而随时提供协作。Atlassian 提供强大的数据便携性和数据管理工具,用于导出产品和用户数据。有关 Atlassian Cloud 数据导出的更多信息,请参阅我们的导入和导出文档。
个人隐私权和许可
数据主体权利
我们的工具可以轻松地从 Atlassian Cloud 产品中删除个人数据,从而帮助客户履行 GDPR 的被遗忘权(或删除权)条款规定的义务。
- Atlassian 组织管理员可以帮助从管理门户的控制功能中删除其托管用户的帐户
- 非受管理最终用户还可通过从其 Atlassian 帐户个人资料页面发起帐户删除请求来请求删除其个人数据。
- 已向 Atlassian 提供个人数据或个人数据提供给 Atlassian 但没有 Atlassian 帐户的用户也可以发出删除请求
类似工具也可用于访问请求。
- Atlassian 组织管理员可以在 Atlassian 支持下轻松访问其托管用户的数据。
- 非托管最终用户还可通过从 Atlassian 支持发起数据访问请求来请求访问其个人数据
- 已向 Atlassian 提供个人数据或个人数据提供给 Atlassian 但没有 Atlassian 帐户的用户也可以发出访问请求
通过拨打 1 (800) 804-5281 并留言,可通过电话处理删除和访问请求。
您知道吗?Atlassian 已在此处面向用户提供有关如何发起数据访问或删除请求的信息。
选择和同意
我们重视在如何收集、使用和共享信息方面的选择和透明度,并在不同的产品或帐户设置中提供选择权。我们的隐私政策对这些选项、如何进行选择以及所有相关限制进行了总结。
有关最终用户数据权利的更多信息,请参阅“管理您的个人数据隐私”。
请注意,对于我们的欧盟最终用户,我们会为 Cookie 和营销信息提供许可,以便在收集点提供透明度和控制力。我们的内部流程可将许可集中在一起,以确保我们在整个产品套件中始终尊重您的选择。
其他承诺
以下是在我们的 Cloud 中实施的其他几项 GDPR 计划:
- 我们已确保访问和处理 Atlassian 客户个人数据的 Atlassian 员工均已接受过相关的培训,并且一定会保持这些数据的机密性和安全性
- 我们在辅助处理者页面上提供了辅助处理者列表(请订阅我们的 RSS 源,以便您可以随时了解所有变更)
- 我们承诺进行数据影响评估,并酌情咨询欧盟监管机构
- 我们将协助向监管机构报告违规行为,并迅速向客户和用户通报所有违规行为