アトラシアン データ処理補遺
最終更新: 2024 年 4 月 1 日
このデータ処理補遺 (「DPA」) は、アトラシアン カスタマー アグリーメント、またはお客様とアトラシアンの間で締結された、お客様によるアトラシアンの製品および関連するサポートと Advisory Service の使用に関するその他の契約 (「契約」) を補完します。本 DPA または契約で別途定義されていない限り、本 DPA で使用されている大文字で始まるすべての用語は本 DPA の第 9 条で指定されている意味を持ちます。
1. 範囲と期間。
1.1 当事者の役割。
(a) お客様の個人データ。アトラシアンは、お客様の個人データをお客様の処理者として第 2 条 1 項 (お客様の指示) に記載されたお客様の指示に従って処理します。
(b) Atlassian アカウント データ。アトラシアンは、Atlassian アカウント データを管理者として以下の目的で処理します。(i) 製品の提供および改善 (ii) 顧客関係の管理 (お客様のアカウント環境設定に従ったお客様およびユーザーとのコミュニケーション、お客様からの問い合わせへの回答、および技術サポートの提供など) (iii) セキュリティ、不正行為からの保護、パフォーマンスの監視、ビジネス継続性、およびディザスタ リカバリの向上 (iv) 会計報告、請求、および税申告などコア ビジネス機能の実行。
(c) アトラシアン使用状況データ。アトラシアンは、アトラシアンの使用状況データを管理者として以下の目的で処理します。(i) アトラシアン製品の提供、最適化、保護、保守 (ii) ユーザー エクスペリエンスの最適化 (iii) アトラシアンのビジネス戦略のための情報提供。
(d) 処理の説明。アトラシアンによる個人データの処理に関する詳細は、別紙 1 (処理の説明) に記載されています。
1.2 DPA の期間。本 DPA の期間は契約の期間と一致し、契約の満了または早期解約 (または、契約満了日より後の場合は、アトラシアンがお客様の個人データの処理をすべて停止した日) に終了します。
1.3 優先順位。以下の文書間で矛盾または不一致がある場合、優先順位は、(1) 別紙 2 に記載されている該当する条件 (移転条項を含む地域固有の条件)、(2) 本 DPA の本文、(3) 本契約です。
2. 個人データの処理。
2.1 お客様の指示。アトラシアンは、契約 (本 DPA を含む) およびそれぞれの注文に記載されたお客様の書面による法的指示に従ってお客様の個人データを処理することで、(i) 文書 (クラウド製品を通じたユーザーからの指示を含む) に従ってさまざまな機能を使用できるようにする、(ii) Advisory Service を提供する、または (iii) 法的義務を遵守する必要があります。アトラシアンは、お客様の指示が該当するデータ保護法に違反していることに気付いた場合、または合理的にそう判断した場合、お客様に通知します。
2.2 機密性。アトラシアンは、お客様の個人データを契約に基づくお客様の機密情報として扱う必要があります。アトラシアンは、個人データを処理する権限を与えられた担当者が、書面または法定の守秘義務を守ることを保証する必要があります。
3. セキュリティ。
3.1 セキュリティ対策。アトラシアンは、お客様データのセキュリティ、機密性、完全性、可用性を保護し、セキュリティ インシデントから保護するために設計された適切な技術的および組織的対策を実施しており、今後も維持します。お客様は、お客様データの性質を考慮して適切なセキュリティを維持できるように製品を設定し、アトラシアンが提供する機能を使用する責任を負っています。アトラシアンの現在の技術的および組織的な対策については、こちらに記載しています。お客様は、セキュリティ対策は技術の進歩と発展の影響を受け、サブスクリプション期間中、アトラシアンがセキュリティ対策を随時更新または変更する可能性があることを承認するものとします (ただし、そのような更新や変更によってクラウド製品全体のセキュリティが大幅に低下しない場合に限ります)。
3.2 セキュリティ インシデント。アトラシアンは、セキュリティ インシデントに気づいた後、過度の遅滞なく、可能であれば 72 時間以内にお客様に通知する必要があります。アトラシアンは、アトラシアンの合理的な管理の範囲内でセキュリティ インシデントの原因を特定し、その影響を軽減し、原因を修復するために相応の努力をする必要があります。お客様からの要請に応じて、また処理の性質とアトラシアンが入手できる情報を考慮して、アトラシアンはお客様が該当するデータ保護法に基づくセキュリティ インシデントの通知義務を果たすために合理的に必要な情報を提供して、お客様を支援する必要があります。セキュリティ インシデントに関するアトラシアンからの通知は、アトラシアンがその過失または責任を認めるものではありません。
4. 復処理
4.1 一般的権限。本 DPA を締結することにより、お客様はアトラシアンがお客様の個人データを処理するために復処理者を使用する一般的な権限を与えます。アトラシアンは、(i) 復処理者が適用されるデータ保護法で規定されている基準と本 DPA で規定されている同じ基準に従ってお客様の個人データを保護することを要求するデータ保護条件を課す書面による契約を各復処理者と締結する、および (ii) 当該復処理者が契約に基づく関連するデータ処理活動に関するデータ保護義務を履行しなかった場合、お客様に対して責任を負う必要があります。
4.2 新しい復処理者の通知。アトラシアンは、最新の復処理者リストをこちらに保管しています。ここには、お客様が新しい復処理者の通知を購読するための仕組みが含まれています。アトラシアンは、新しい復処理者にお客様の個人データの処理を許可する少なくとも 30 日前 (「復処理者通知期間」) に、購読者のメール宛てにその旨を通知します。
4.3 新しい復処理者への異議申し立て。お客様は、復処理者通知期間中、アトラシアンによる新しい復処理者の任命に異議を申し立てることができます。異議を申し立てた場合、お客様は、唯一かつ排他的な救済策として、本契約の第 12 条 2 項 (発注者の都合による契約解除) に従って、影響を受けるクラウド製品および関連するサポートと Advisory Service に適用される注文を取り消すことができます。
5. 支援および協力義務。
5.1 データ主体の権利。処理の性質を考慮して、アトラシアンは、お客様の個人データに関するデータ主体の権利 (アクセス、修正、消去、制限、異議申し立て、データ ポータビリティの権利を含む) の行使の要求にお客様が対応できるように、合理的かつ適時に支援をお客様に提供する必要があります。
5.2 協力義務。アトラシアンは、お客様からの合理的な要請に応じて、該当する処理の性質を考慮して、お客様が適用されるデータ保護法に基づく義務を履行するために必要な合理的な支援をお客様に提供します (データ保護影響評価および規制当局との協議を含む)。ただし、お客様が入手可能な文書を利用してそのような義務を単独で合理的に履行できない場合に限ります。
5.3 第三者からの要請。法律で禁じられていない限り、アトラシアンは、お客様の個人データの開示を強制する法執行機関または公的機関からの有効で執行可能な召喚状、令状、または裁判所命令について、速やかにお客様に通知します。アトラシアンは、法執行機関のガイドラインに従ってそのような要請に対応します。アトラシアンがお客様の個人データの処理に関してその他の第三者 (規制当局やデータ主体など) から問い合わせや情報の要求を受けた場合、アトラシアンはそのような問い合わせをお客様にリダイレクトし、適用される法で義務付けられている場合を除き、アトラシアンからは情報を提供しません。
6. お客様の個人データの削除と返却。
6.1 サブスクリプション期間中。サブスクリプション期間中、お客様とそのユーザーは、クラウド製品の機能を通じて、お客様の個人データへのアクセス、取得、削除を行うことができます。
6.2 契約終了後。契約の満了または終了後、アトラシアンは文書に従ってお客様の個人データをすべて削除する必要があります。上記にかかわらず、アトラシアンは (i) 適用されるデータ保護法の規定に従って、または (ii) 標準バックアップまたは記録保持ポリシーに従って、お客様の個人データを保持することができます。ただし、いずれの場合も、アトラシアンは、保持するお客様の個人データに関する機密性を維持するか、本 DPA の該当する規定を遵守し、用されるデータ保護法で義務付けられている場合を除き、さらなる処理は行わないものとします。
7. 監査。
7.1 監査報告書。アトラシアンは、ここに記載されているものを含め、独立した第三者監査人および/または内部監査人によって定期的に監査されています。要請があれば、お客様がアトラシアンと該当する秘密保持契約を締結していることを条件に、アトラシアンは関連する監査報告書 (「報告書」) の要約コピーをお客様に提供します。これにより、お客様はアトラシアンが評価基準となった監査基準および本 DPA に準拠していることを確認できます。お客様がアトラシアンが本 DPA の条件を遵守していることを合理的に確認できない場合、アトラシアンは、お客様の個人データの処理に関連する、お客様による合理的な情報要求に対して、書面で (機密事項として) 回答します。ただし、そのような権利は 12 か月に 1 回に限り行使することができます。
7.2 オンサイト監査。お客様が上記第 7 条 1 項に基づく権利の行使に当たりアトラシアンの本 DPA への準拠に合理的に満足できない場合、または適用されるデータ保護法あるいは規制当局で規定されている場合に限り、お客様またはその権限を有する代表者は、お客様の費用負担により、アトラシアンが本 DPA の条件を遵守しているかどうかを評価するために、契約期間中に監査 (および検査) を実施することができます。すべての監査は、(i) アトラシアンの通常の営業時間中に、少なくとも 60 暦日の合理的な事前の書面による通知をもって実施する (適用されるデータ保護法または規制当局でより短期の通知期間が規定されている場合を除く)、(ii) 開示された情報のうち、その性質から秘密であるべき情報の機密保持をお客様 (およびその権限を有する代表者) に義務付ける、合理的な機密保持の管理対象とする、(iii) 12 か月に 1 回限り実施する、(iv) その結果をお客様に関連する情報に限定する必要があります。
8. 国際規定。アトラシアンが、別紙 2 (地域別規約) に記載の地域のいずれかで適用されるデータ保護法によって保護されている個人データを処理する範囲で、個人データの (直接または二次移転による) 国際移転に関連する規定を含め、該当する地域に指定された規約も適用されます。
9. 定義。
「適用されるデータ保護法」とは、本契約に基づく個人データの処理に適用されるすべての法律を意味します。
「Atlassian アカウント データ」とは、お客様とアトラシアンとの関係に関連する個人データを意味し、これには (i) ユーザーのアカウント情報 (たとえば、名前、メール アドレス、またはアトラシアンのアカウント ID (AAID))、(ii) お客様の Atlassian アカウントに関連付けられている個人の請求先および連絡先情報 (たとえば、請求先住所、メール アドレス、または名前)、(iii) ユーザーのデバイスと接続情報 (たとえば、IP アドレス)、および (iv) 技術サポート リクエストの内容/説明 (添付ファイルを除く) とサポート資格番号 (SEN) が含まれます。
「アトラシアン使用状況データ」とは、製品の使用、性能、運用、サポート、または使用に関連する、あるいはそれについて取得される個人データを意味します。アトラシアン使用状況データには、イベント名 (すなわち、ユーザーが実行したアクション)、イベントのタイムスタンプ、ブラウザ情報、診断データなどが含まれます。明確にするため付言すると、アトラシアン使用状況データにお客様の個人データは含まれません。
「管理者」とは、単独または他者と共同で、個人データの処理の目的と手段を決定する自然人、法人、公的機関、機関、またはその他の団体を意味します。
「お客様の個人データ」とは、アトラシアンが本契約に基づいてお客様に代わってのみ処理する、お客様のデータおよび/またはお客様の資料に含まれる個人データを意味します。明確にするため付言すると、お客様の個人データには、お客様またはそのユーザーが技術サポート リクエストに提供した添付ファイルに含まれる個人データも含まれます。
「個人データ」とは、特定された、または特定可能な自然人に関する情報、または適用されるデータ保護法で定義されている「個人データ」、「個人情報」、「個人を特定できる情報」または類する用語を構成する情報を意味します。
「処理」(および「プロセス」) とは、自動化された手段であるか否かにかかわらず、収集、記録、編集、構造化、保管、修正または変更、復旧、参照、使用、転送による開示、配布、またはその他使用を可能にすること、整列または結合、制限、消去、または破壊など、個人データまたは一連の個人データに対して実行されるすべての操作、または一連の操作を意味します。
「処理者」とは、管理者に代わって個人データを処理する主体を意味します。
「セキュリティ インシデント」とは、アトラシアンおよび/またはその復処理者によって処理されたお客様のデータの偶発的または違法な破壊、損失、改ざん、不正開示、またはアクセスにつながるセキュリティ違反を意味します。
「復処理者」とは、アトラシアンに使用され、お客様の個人データを処理するあらゆる第三者 (例えばアトラシアンの関連会社) を意味します。
別紙 1 処理の説明
1. 個人データが処理されるデータ主体のカテゴリ: お客様とそのユーザー。
2. 処理対象の個人データのカテゴリ: Atlassian アカウント データ、アトラシアン使用状況データ、およびお客様の個人データ。
3. 移転される機密データ: Atlassian アカウント データおよびお客様の使用状況データには、(i) 人種や民族的出自、政治的見解、宗教的または哲学的思想、または労働組合への加入を明らかにするデータ、(ii) 遺伝データ、自然人を一意に識別する目的で処理される生体認証データ、健康に関するデータ、自然人の性生活や性的指向に関するデータ、または (iii) 刑事上の有罪判決や犯罪に関するデータ (総じて「機密データ」) は含まれません。本契約の第 6 条 3 項 (機密健康情報および HIPAA) に従い、お客様またはそのユーザーは、機密データを含む可能性のあるコンテンツをクラウド製品にアップロードでき、その範囲はお客様のみが決定および管理できます。
4. 移転の頻度: 連続的。
5. 処理の性質: アトラシアンは、本 DPA を含め、本契約に従って製品と関連するサポート、および Advisory Service を提供するために個人データを処理します。処理 (移転を含む) の性質に関する追加情報は、関連する製品のそれぞれの注文書および技術的な能力や機能に言及した文書に記載されており、その内容は個人データの収集、構造化、保管、転送、または自動化された手段により使用可能にすることを含みますが、それに限定されません。
6. 処理の目的:
6.1. お客様の個人データ: アトラシアンは、お客様の個人データを処理者として第 2 条 1 項 (お客様の指示) に記載されたお客様の指示に従って処理します。
6.2. Atlassian アカウント データおよびアトラシアン使用状況データ: アトラシアンは、第 1 条 1 項 (当事者の役割) に概説されている限定的かつ特定の目的のために、Atlassian アカウント データおよびアトラシアン使用状況データを処理します。
7. 処理期間:
7.1. お客様の個人データ: アトラシアンは、第 6 条 (お客様の個人データの削除と返却) に概説されているように、契約期間中にお客様の個人データを処理します。
7.2. Atlassian アカウント データおよびアトラシアン使用状況データ: アトラシアンは、(a) 本契約に従って製品と関連するサポート、および Advisory Service をお客様に提供するため、(b) 第 1 条 1 項 (当事者の役割) に概説されているアトラシアンの正当な事業目的のため、または (c) 適用される法により必要とされる場合に限り、Atlassian アカウント データおよびアトラシアン使用状況データを処理します。
8. (復) 処理者への移転: アトラシアンは、第 4 条 (復処理) で許可されているとおり、お客様の個人データを復処理者に移転します。
別紙 2 地域別規約
本 DPA または契約で別途定義されていない限り、本別紙で使用されている大文字で始まるすべての用語は、本別紙の第 4 条で指定されている意味を持ちます。
1. ヨーロッパ、英国、スイス。
1.1 お客様の指示。上記の DPA 第 2 条 1 項 (お客様の指示) に加えて、アトラシアンは、アトラシアンに適用されるデータ保護法で規定されている場合を除き、お客様からの書面による指示に基づいてのみ、当該お客様の個人データの第三国または国際組織への移転に関する場合を含め、お客様の個人データを処理します。この場合、アトラシアンは、公共の利益という重要な根拠に基づいて、お客様にその法的要件を通知します。ただし、当該法令が公益重要な根拠に基づきこれを禁じている場合を除きます。アトラシアンは、お客様の処理に対する指示が適用されるデータ保護法に違反していることに気付いた場合、ただちにお客様に通知します。
1.2 欧州移転。EU のデータ保護法で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならないヨーロッパ以外の国に移転される場合、以下が適用されます。
(a) EU SCC は以下を参照してこの DPA に組み込まれます。
(i) お客様は「データ輸出者」であり、アトラシアンは「データ輸入者」です。
(ii) モジュール 1 (管理者から管理者) は、アトラシアンが Atlassian アカウント データまたはアトラシアン使用状況データを処理する場合に適用されます。
(iii) モジュール 2 (管理者から処理者) は、お客様がその個人データの管理者であり、アトラシアンが処理者としてお客様の個人データを処理する場合に適用されます。
(iv) モジュール 3 (処理者から処理者) は、お客様がその個人データの処理者であり、アトラシアンがお客様の個人データを別の処理者として処理する場合に適用されます。
(v) この DPA を締結することにより、各当事者は契約の開始日に EU SCC に署名したものとみなされます。
(b) 各モジュールについて、該当する場合:
(i) 第 7 項では、オプションのドッキング条項は適用されません。
(ii) 第 9 項ではオプション 2 が適用され、復処理者変更の事前通知の期間は、本 DPA の第 4 条 (復処理) に記載されています。
(iii) 第 11 項では、オプションの言語は適用されません。
(iv) 第 17 項ではオプション 1 が適用され、EU SCC はアイルランドの法律に準拠します。
(v) 第 18 項 (b) では、紛争はアイルランドの裁判所により解決されます。
(vi) EU SCC の付録には次のように記載されています。
- 付録 I(A) に必要な情報は、契約書および/または関連する命令に記載されています。
- 付録 I(B) に必要な情報は、この DPA の別紙 1 (処理の説明) に記載されています。
- 別紙 I(C) の管轄の監督機関は、適用されるデータ保護法に従って決定されます。
- 付録 II に必要な情報はここにあります。
1.3 スイスの移転。スイス FADP で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならない他の国に移転される場合、上記の第 1 条 2 項 (欧州移転) に記載されているとおり、以下の変更を加えた上で EU SCC が適用されます。
(a) EU SCC における「規制 (EU) 2016/679」に対する言及はすべてスイス FADP に対する言及として解釈され、「規制 (EU) 2016/679」の特定の条項に対する言及はスイス FADP の同等の項または条に置き換えられます。本 DPA における EU データ保護法に対する言及はすべて、FADP への言及として解釈されます。
(b) 第 13 条で、管轄の監督機関はスイス連邦データ保護情報委員会です。
(c) 第 17 条で、EU SCC はスイスの法律に準拠しています。
(d) 第 18 条 (b) で、紛争はスイスの裁判所で解決されます。
(e) 加盟国に対する言及はすべてスイスを含むものと解釈され、スイスのデータ主体は、第 18 条 (c) に従い、常居所での権利の行使から除外されません。
1.4 英国の移転。英国のデータ保護法で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならないイギリス以外の国に移転される場合、以下が適用されます。
(a) EU SCC は、上記の第 1 条 2 項 (欧州移転) に記載されているとおり、以下の変更を加えた上で適用されます。
(i) 各当事者は英国補遺に署名したものとみなされます。
(ii) 英国補遺の表 1 で、両当事者の主な連絡先情報は、契約および/または関連する命令に記載されています。
(iii) 英国補遺の表 2 で、この英国補遺が添付されている EU SCC、モジュール、および一部の条項のバージョンに関する関連情報は、本別紙の第 1 条 2 項 (欧州移転) の上にあります。
(iv) 英国補遺の表 3:
- 付録 1A に必要な情報は、契約書および/または関連する命令に記載されています。
- 付録 1B に必要な情報は本 DPA の別紙 1 (処理の説明) に記載されています。
- 付録 II に必要な情報はここにあります。
- 付録 III に必要な情報は、本 DPA の第 4 条 (復処理) に記載されています。
(b) 英国補遺の表 4 では、データ輸入者とデータ輸出者の両方が英国補遺を終了できます。
1.5 データ プライバシー フレームワーク。アトラシアンはデータ プライバシー フレームワークに参加し、その遵守を証明しています。データ プライバシー フレームワークで規定されているとおり、アトラシアンは (i) データ プライバシー フレームワーク原則で規定されているのと少なくとも同じレベルのプライバシー保護を提供します。(ii) データ プライバシー フレームワーク原則で規定されているのと同じレベルの保護を提供する義務を果たせなくなったと判断した場合は、お客様に通知します。(iii) 書面による通知をもって、個人データの不正処理を是正するために合理的かつ適切な措置を講じます。
2. アメリカ合衆国。アトラシアンが米国州のプライバシー法に従って個人データを処理する場合、以下の条件が適用されます。
2.1. お客様の個人データに米国州のプライバシー法で保護されている個人情報が含まれおり、それをアトラシアンがお客様に代わってサービス提供者または処理者として処理する場合、アトラシアンは、米国州のプライバシー法の該当する項を遵守し、米国州のプライバシー法で規定されているのと同じレベルのプライバシー保護を提供することを含め、米国州のプライバシー法に従って、またお客様の書面による指示に従って、本 DPA の第 1 条 1 項 (a) (お客様の個人データ) と別紙 1 (処理の説明) で特定された限定的および特定の目的に必要な範囲で、当該お客様の個人データを処理します。アトラシアンは、
(a) 米国州のプライバシー法で許可されている場合を除き、本 DPA、契約、および/または関連する命令で特定された限定的かつ特定の目的以外の商業目的で当該お客様の個人データを保持、使用、開示、またはその他の方法で処理しません。
(b) 米国州のプライバシー法の意味の範囲内で当該お客様の個人データを「販売」または「共有」しません。および
(c) 米国州のプライバシー法で許可されている場合を除き、お客様の個人データをお客様との直接の取引関係の外で保持、使用、開示、またはその他の方法で処理せず、当該お客様の個人データを他の情報源から入手した個人情報と組み合わせません。
2.2. アトラシアンは、米国州のプライバシー法に基づく義務を当該法律で定められた期間内に履行できなくなったと判断した場合、お客様に通知する必要があります。その場合、お客様は、当該お客様の個人データの不正処理を防止、停止、または是正するための合理的かつ適切な措置を講じることができます。
2.3. お客様が非識別データをアトラシアンに開示または提供する場合、またはアトラシアンがお客様の個人データから非識別データを作成する場合、いずれの場合も、アトラシアンはサービス提供者としての立場で、
(a) 当該非識別データが特定の自然人や世帯についての情報の推測に使用されたり、その他の方法で関連付けられたりすることを防ぐために、合理的な対策を講じます。
(b) 当該非識別データを非識別化された形式で維持および使用すること、および当該データの再特定化を試みないことを公に約束します。ただし、その非識別化プロセスが米国州のプライバシー法に準拠しているかどうかを判断する目的でのみ、当該データの再特定化を試みることができます。および
(c) 復処理者、請負業者、その他の人物を含む他の当事者 (「受領者」) に非識別データを共有する前に、当該受領者に本第 2 条 3 項のすべての要件を遵守するよう契約上義務付けます (この要件を他の受領者に課すことも含む)。
3. 韓国
3.1. お客様は、アトラシアンが契約 (本 DPA を含む) に従って Atlassian アカウント データおよびアトラシアン使用状況データを処理するために通知を行い、適用されるデータ保護法に従って必要なすべての同意と権利を取得したことに同意します。
3.2. お客様が非識別データをアトラシアンに開示または他の方法で提供した場合、アトラシアンは、
(a) 当該非識別データを非識別化された形式で維持して使用し、非識別データの再特定化を試みません。および
(c) 復処理者、請負業者、その他の人物を含む他の当事者 (「受領者」) に非識別データを共有する前に、当該受領者に本第 3 条 2 項のすべての要件を遵守するよう契約上義務付けます (この要件を他の受領者に課すことも含む)。
4. 定義。
4.1 個人データが以下のいずれかの地域の法律の対象となる場合、「適用されるデータ保護法」の定義には以下が含まれます。
(a) オーストラリア: オーストラリアのプライバシー法
(b) ブラジル: ブラジルの Lei Geral de Proteção de Dados (一般個人情報保護法)
(c) カナダ: カナダの個人情報保護および電子文書法
(d) ヨーロッパ: (i) 個人データの処理および当該データの自由な移動に関する自然人の保護についての欧州議会および理事会の規則 2016/679 (一般データ保護規則、または GDPR) および (ii) 随時改正、更新、または置換される EU e プライバシー指令 (指令 2002/58/EC) (「EU データ保護法」)
(e) 日本: 個人情報の保護に関する日本の法律
(f) シンガポール: シンガポールの個人データ保護法
(g) 韓国: 韓国の個人情報保護法 (「PIPA」) と PIPA の執行令
(h) スイス: 随時改正、更新、置換されるスイス連邦のデータ保護法とその施行規則 (「スイス FADP」)
(i) 英国: 随時改正、更新、置換される英国の 2018 年欧州連合 (撤退) 法の第 3 条により英国法に組み込まれた 2018 年のデータ保護法と GDPR (「英国のデータ保護法」)。および
(j) 米国: アメリカ合衆国で施行されている個人データの保護と処理に関連するすべての州法。これには、カリフォルニア州プライバシー権法およびその施行規則 (「CCPA」) によって改正されたカリフォルニア州消費者プライバシー法、バージニア州消費者データ保護法、コロラド州プライバシー法、コネチカット州データ プライバシー法、およびユタ州消費者プライバシー法 (「米国州のプライバシー法」) が含まれますが、これらに限定されません。
4.2. 「非識別データ」とは、データ主体に関する情報を推測したり、その他の方法でデータ主体と関連付けたりするために合理的に使用できないデータを意味します。
4.3. 「データ プライバシー フレームワーク」とは、EU - 米国間のデータ プライバシー フレームワーク、EU - 米国間のデータ プライバシー フレームワークの英国への拡張、および米国商務省が運営するスイス-米国間のデータ プライバシー フレームワークの自己認証プログラムを指します。
4.4. 「ヨーロッパ」には、この DPA の目的上、欧州連合と欧州経済地域の加盟国が含まれます。
4.5. 「EU SCC」とは、欧州議会および理事会による規制 (EU) 2016/679 に基づく第三国への個人データの移転に関する標準的契約条項について、2021 年 6 月 4 日の欧州委員会の実施決定 2021/914 に付属する契約条項であり、随時改正、更新、または置換されます。
4.6. 「サービス提供者」は CCPA における定義と同じ意味を持ちます。
4.7. 「英国補遺」とは、2022 年 3 月 21 日発効の、英国情報委員会によって発行された欧州委員会標準的契約条項バージョン B1.0 へのデータの国際的な移転に関する補遺であり、随時改正、更新、または置換されます。
よくある質問
この FAQ は、DPA についてお客様から寄せられる最も一般的な質問に回答するために作成されたものです。
法律上の注意事項: これらのよくある質問集 (FAQ) は情報提供のみを目的としたものであり、いかなる契約上の約束も生じさせません。アトラシアンの顧客に対するアトラシアンの責任は、アトラシアンの契約によって規定されており、本 FAQ はアトラシアンと顧客との間の契約の一部となるものではなく、またそれを修正するものでもありません。
よくある質問
この FAQ は、DPA についてお客様から寄せられる最も一般的な質問に回答するために作成されたものです。
法律上の注意事項: これらのよくある質問集 (FAQ) は情報提供のみを目的としたものであり、いかなる契約上の約束も生じさせません。アトラシアンの顧客に対するアトラシアンの責任は、アトラシアンの契約によって規定されており、本 FAQ はアトラシアンと顧客との間の契約の一部となるものではなく、またそれを修正するものでもありません。
DPA は、アトラシアンが当社製品と関連するサポート、および Advisory Service に関連して、DPA に詳細が規定されているように個人データを処理する場合に適用されます。 DPA は、組織がアトラシアン カスタマー アグリーメント (ACA) に同意すると自動的に適用されるため、DPA に別途署名する必要はありません。つまり、アトラシアンによるアップデートのメリットも得られます。 |
当社の DPA は、アトラシアンが製品やサービスを提供し、プライバシーとセキュリティ プログラムを維持する方法を反映するように、慎重かつ具体的に起草されています。アトラシアンは、統一されたコンプライアンス プログラムに基づいて、世界中の 300,000 人以上のお客様に高品質の製品を提供しています。つまり、アトラシアンでは、お客様の組織の DPA に基づいて作業したり、個々のお客様固有の要件を運用したりすることはできません。 |
EU SCC は参照として本 DPA に組み込まれ、自動的に有効になります。これに署名する必要はありません。ただし、当社は、記録のために組織から署名済みコピーを求められる場合があることは認識しています。アトラシアンの DPA に適用される SCC の署名済みコピーをここからダウンロードすれば、EU SCC に署名できます。 |
DPA は世界中のお客様を対象とし、個人データの処理に関連する法的義務および約束を定めるものです。 DPA の約束の大部分は、特定の地域に固有のものではない一般的なプライバシーに関するものです。このような追加要件 (たとえば EU SCC) は、その要件のある地域の個人データの処理をアトラシアンに指示する範囲で、DPA 別紙 2 の地域別規約に概説されています。 |
アトラシアンは、お客様からアトラシアンのサービスに送信されたお客様の個人データに関する処理者の役割を果たします。アトラシアンは、第 1 条 1 項で DPA に定められている限定的な目的のために、Atlassian アカウント データおよびアトラシアン使用状況データに関する管理者の役割を果たします。 お客様の個人データ、Atlassian アカウント データおよびアトラシアン使用状況データは DPA に定義されています。 |
アトラシアンは、削除権やアクセス権など、データ主体の要求に関連する義務を果たすのに役立つツールをお客様に提供しています。 当社のデータ管理のツールとプロセスに関する情報は、このページをご覧ください。 |
復処理者とは、お客様への製品やサービスの提供をサポートする目的でお客様の個人データにアクセスしている、またはアクセスする可能性のあるアトラシアンが契約しているサードパーティです。たとえば、当社ではお客様のデータ保管のサポートを受けるために Amazon Web Services のデータ センターを使用しています。 お客様の個人データをアトラシアンの復処理者と共有する際は、常にデータの使用方法についてお客様に対する説明責任を負います。アトラシアンではすべての復処理者に対して、当社のお客様の個人データに対して当社の DPA に規定されているのと同レベルの保護を保証するデータ処理契約の締結を義務付けています。 |
復処理者に関する最新情報は、新しい復処理者の通知の配信に登録する仕組みと併せて復処理者のページで入手できます。アトラシアンは、新しい復処理者にお客様の個人データの処理を承認する前に、通知の配信に登録しているすべてのお客様に新しい復処理者を通知します。 |
アトラシアンは、顧客データを保護するために適切な技術的対策と組織的対策を講じています。これらは、ここで確認できるアトラシアン セキュリティ対策に定められています。 アトラシアンのセキュリティ プラクティスの詳細については、Trust Center の専用セキュリティ ページでセキュリティ プラクティスおよび Atlassian Cloud アーキテクチャと運用プラクティスを参照してください。 |
アトラシアンは、個人データの国際移転を容易にするために、お客様に以下の移転の仕組みを提供しています。この仕組みは、DPA の別紙 2 の地域別規約に次のように記載されています。
|
|
変更があった場合にメールを受信できるように設定できます。
Stay informed
Subscribe to receive notifications from us about updates to our legal terms (including our legal policies) and our list of sub-processors.