Atlassian Business Associate Agreement
最終更新日: 2023 年 9 月 19 日
概要
本データ移転影響評価 (以下、「DTIA」) は、欧州連合司法裁判所の「Schrems II」の判決と欧州データ保護委員会のその後の勧告に照らして、アトラシアンのクラウド製品、サポート、サービス (総称して、以下「本サービス」) と Forge プラットフォーム (以下、「Forge」) の提供、およびアトラシアン、その関連会社、復処理者による当該個人データのその後の処理に関連して、アトラシアンのお客様および Forge 開発者が個人データ移転のリスク評価を実施するのをサポートするためのものです。DTIA は、アトラシアンのデータ処理補遺 (アトラシアンの DPA) および Forge データ処理補遺 (Forge DPA) で定義されている欧州データ保護法に基づくデータ移転の規定を遵守するために必要な情報を補足します。
アトラシアンはグローバル サービスのプロバイダとして、複数の管轄に共通する運用上の慣行と機能に基づいてサービスを運営しています。そのため、当社は、データ レジデンシーに関するドキュメントで詳述されているように、米国、EMEA、APAC にある Data Center に個人データを保存し、製品、機能の提供や、顧客サポートおよび技術サポートの目的で世界中の他の場所で個人データを処理します。
欧州データ保護法では、個人データを欧州外に移転することはできません。ただし、(i) 関連する政府機関が輸入国を十分性のある国だとみなした場合、または (ii) データ輸出者が適切な保護対策を講じており、移転される個人データに十分なレベルの保護が確保されている場合を除きます。これらの保護対策は「移転メカニズム」と呼ばれます。
アトラシアンの DPA には、次のような移転メカニズムとして標準的契約条項 (DPA で定義されている) が組み込まれています。
- GDPR で保護されている個人データが欧州外のアトラシアンに移転される場合、アトラシアンは EU 標準的契約条項 (SCC) に基づいて移転に対して適切な保護対策を講じます。SCC では、当社のお客様は「データ輸出者」と位置付けられ、アトラシアンは「データ輸入者」となります。
- 個人データが英国データ保護法によって保護されている場合、アトラシアンは 2022 年の ICO ガイダンスに従って、DPA の英国補遺に依拠します。
-
スイスの連邦データ保護法によって保護されている個人データが欧州外のアトラシアンに移転される場合、アトラシアンは EU SCC に加えて特定の解釈規定に依拠し、スイスの法制度においても SCC が機能するようにします。
さらに、アトラシアンはデータ プライバシー フレームワークに参加し、その遵守を保証しています。詳細については、「データ プライバシー フレームワークに関するお知らせ」セクションのプライバシーに関するお知らせをご覧ください。十分性認定が適用されない場合、当社は移転メカニズムとして標準的契約条項 (SCC) に引き続き依拠します。