Atlassian's LGPD-toezegging
Wat is de LGPD?
De Lei Geral de Proteção de Dados (LGPD) is een Braziliaanse privacywet die in 2018 is aangenomen door het Braziliaanse Nationale Congres. In augustus 2020 heeft de president van Brazilië ingestemd met de oprichting van onafhankelijke federale regelgevende instantie: de Autoridade Nacional de Proteção de Dados (ANDP). De taak van deze instantie is de interpretatie van de LGPD en om toe te zien op de naleving ervan. Daarnaast treedt deze ook op als nationale toezichthoudende autoriteit. De wet is op 18 september 2020 van kracht gegaan, maar de handhaving ervan begon pas medio 2021.
In de LGPD is de verzameling, het gebruik, de verwerking, de opslag en de overdracht van persoonsgegevens van Braziliaanse betrokkenen vastgelegd. Deze wet lijkt erg op de Europese Algemene Verordening Gegevensverwerking (AVG), waaronder de extraterritoriale scope, wat inhoudt dat elke entiteit die de gegevens van de Braziliaanse betrokkenen verwerkt, onderhevig is aan de LGPD zelfs als die entiteit zich buiten Brazilië bevindt. Daarnaast zijn de melding over gegevenslekken aan toezichthoudende autoriteiten en beïnvloedde betrokkenen, het vaststellen van de wettelijke grondslagen voor de verwerking en het opleggen van zware straffen voor dergelijke schendingen van de wet vergelijkbaar met de AVG.
Atlassian en de LGPD
Rechten van betrokkenen
Atlassian verbindt zich ertoe om te voldoen aan de vereisten van de LGPD. We hebben ons privacyprogramma aangepast om onderdelen van we wet erin op te nemen, waaronder:
Atlassian biedt tools voor dataportabiliteit en gegevensbeheer waaronder:
- Tool voor het verwijderen van profielen: we helpen klanten en eindgebruikers om persoonlijke gegevens te verwijderen zoals namen en e-mailadressen. We helpen klanten te reageren op verzoeken van gebruikers om persoonlijke gegevens te verwijderen en we helpen eindgebruikers met Atlassian-accounts om hun persoonlijke gegevens te verwijderen. Daarnaast helpen we ook mensen zonder een atlassian-account om hun persoonlijke gegevens te verwijderen .
- Verzoeken om toegang tot gegevens: Beheerders van Atlassian-organisaties kunnen via Atlassian-support de toegang tot de gegevens van hun beheerde gebruikers faciliteren. Onbeheerde eindgebruikers kunnen ook toegang tot hun persoonsgegevens aanvragen door een verzoek tot toegang tot gegevens van Atlassian-support in te dienen. Personen die hun persoonsgegevens hebben verstrekt of persoonsgegevens hebben laten verstrekken aan Atlassian, maar geen Atlassian-accounts hebben, kunnen ook een verzoek om toegang indienen.
- Import- en exporttools: klanten krijgen toegang tot hun klantgegevens en kunnen deze importeren en exporteren met de tools van Atlassian.
- Om een telefonisch verzoek tot verwijdering van gegevens of toegang te doen, of als er speciale afspraken nodig zijn, kun je een bericht achterlaten op 1 (800) 804-5281. Ons privacyondersteuningsteam neemt dan onmiddellijk contact met je op.
Mechanismen voor gegevensoverdracht
Atlassian ondersteund de geschikte mechanismen voor internationale gegevensoverdracht door middel van standaard contractbepalingen via ons bijgewerkte addendum voor gegevensverwerking.
Gegevensbeveiliging en -naleving
Net als de AVG vereist de LGPD dat bedrijven technische en organisatorische beveiligingsmaatregelen nemen om persoonsgegevens te beschermen.
We vinden het heel belangrijk om de informatie van onze klanten en de privacy van hun gebruikers te beschermen. Klanten vertrouwen hun meest waardevolle gegevens aan ons toe. Daarom hebben we beveiliging ingebouwd in elke laag van de Atlassian Cloud-architectuur. We bieden planning voor replicatie, back-up en disaster recovery, in-transit en at-rest versleuteling, geavanceerde detectie van bedreigingen en meer. Bezoek de pagina Beveiligingsmethoden van Atlassian voor meer informatie over hoe wij de beveiliging aanpakken.
We hebben ook veel middelen ingezet om ervoor te zorgen dat onze Cloud-producten worden gebouwd en ontworpen in overeenstemming met algemeen aanvaarde normen en certificeringen. Deze normen weerspiegelen veel van de vereisten van de LGPD en de AVG op het gebied van beveiliging en privacy en bieden onze klanten een transparant framework waaraan ze onze handelswijzen op het gebied van softwareontwikkeling en gegevensbeheer kunnen meten. Momenteel hebben we een aantal van onze producten gecertificeerd voor ISO/IEC 27001- en ISO/IEC 27018-normen, evenals SOC 2- en SOC 3-certificeringen. Onze datacentra, co-locaties en beheerde serviceproviders doorlopen ook een uitgebreide beveiligingsbeoordeling als onderdeel van het beoordelingsproces en ondergaan vervolgens regelmatige SOC 1, SOC 2 en/of ISO/IEC 27001-audits.
Raadpleeg de pagina 'Compliance' in ons Trust Center voor meer informatie over ons Risk Management Program, huidige certificeringen en toezeggingen voor onze Cloud-producten.
Andere LGPD-overwegingen
In augustus 2020 kondigde het Braziliaanse presidentschap een decreet aan tot oprichting van de Braziliaanse autoriteit voor gegevensbescherming, de ANPD. De ANPD is verantwoordelijk voor het opstellen van verduidelijkende richtlijnen met betrekking tot de LGPD, het ontvangen en behandelen van klachten van betrokkenen en het uitvaardigen van sancties voor overtredingen van de wet.
We blijven de ontwikkelingen rondom de ANPD volgen voor verdere verklaringen over de LGPD-vereisten.