BaFin
Wytyczne Atlassian dotyczące outsourcingu
Celem niniejszej tabeli jest ułatwienie instytucjom świadczącym usługi finansowe pod nadzorem niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych (BaFin) powiązania poszczególnych akapitów Rozdziału V (Warunki umowne w przypadku (istotnego) outsourcingu) Wytycznych dotyczących zlecania na zasadzie outsourcingu dostawcom usług w chmurze („Wytyczne BaFin”) z dokumentacją umowy zawieranej przez firmę Atlassian z klientem.
Jeśli masz już umowę zawartą z firmą Atlassian lub chcesz dowiedzieć się więcej na temat zastosowania tych warunków do Twojej umowy, skontaktuj się z nami.
Ostatnia aktualizacja: grudzień 2021 roku, [kliknij tutaj, aby pobrać plik PDF]
Nr | Uwagi i wymagania | Komentarz Atlassian |
1. | Według KAGB, w zależności od wymogów prawa nadzorczego, w umowie outsourcingowej dotyczącej istotnego oursourcingu1 lub outsourcingu niezróżnicowanego należy zawrzeć w szczególności następujące warunki: |
|
2. | 1. Zakres realizacji |
|
3. | Umowa powinna zawierać specyfikację, oraz w razie potrzeby opis, usługi, która ma być świadczona przez dostawcę usług w chmurze. Te informacje powinny być ujęte w dokumencie nazywanym umową o gwarantowanym poziomie świadczenia usług. W tym kontekście należy zdefiniować następujące kwestie: |
|
4. |
| Nasza dokumentacja, włączona przez odniesienie do umowy z klientem Atlassian zawieranej z kwalifikującymi się klientami, zawiera czytelne opisy Objętych umową produktów Cloud. |
5. |
| Kwalifikujący się klienci mają dostęp do Oferty wsparcia Atlassian, która jest przedmiotem umowy z klientem Atlassian. |
6. |
| Zasadniczo te kwestie reguluje umowa z klientem Atlassian. |
7. |
| Niektóre z Objętych umową produktów Cloud oferują dostępną w produkcie funkcję wyboru jurysdykcji danych (opisaną szczegółowo tutaj), która umożliwia administratorom naszych klientów przypisanie stosownych produktów do wybranej lokalizacji. Na tej stronie znajduje się opis naszej infrastruktury hostingu w chmurze. |
8. |
| Umowa z klientem Atlassian określa domyślną długość okresu subskrypcji i wszystkie obowiązujące okresy wypowiedzenia. Ponadto w przypadku złożenia zamówienia na co najmniej jeden Objęty umową produkt Cloud będzie ona zawierać datę rozpoczęcia i zakończenia odpowiedniego okresu subskrypcji. |
9. |
| Odpowiednie warunki dotyczące poziomu świadczenia usług, a także środki zaradcze w przypadku niedotrzymania poziomu świadczenia usług w odniesieniu do Objętych umową produktów Cloud zostały zdefiniowane w naszej Umowie o gwarantowanym poziomie świadczenia usług i odpowiednich warunkach dotyczących konkretnych produktów. |
10. |
| Publikujemy aktualne informacje na temat dostępności usług na stronie https://status.atlassian.com/, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud. |
11. | 2. Prawa do informacji i audytu nadzorowanej firmy |
|
12. | Prawa do informacji i audytu oraz możliwości kontrolne nadzorowanej firmy nie mogą podlegać ograniczeniom umownym. Należy zagwarantować, że nadzorowana firma otrzyma informacje niezbędne do odpowiedniego kontrolowania i monitorowania ryzyka związanego z outsourcingiem. | Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz organom nadzoru skuteczne przeprowadzanie audytu Objętych umową produktów Cloud. |
13. | W celu zabezpieczenia praw do informacji i audytu w umowie należy uzgodnić w szczególności następujące warunki: | Patrz wiersz 12 powyżej. |
14. | Brak (pośredniego) ograniczenia praw Skuteczne wykonywanie praw do informacji i audytu nie może być ograniczone umową. Niemieckie organy nadzoru uważają, że takie niedopuszczalne ograniczenie praw do informacji i audytu istnieje szczególnie w przypadku umów przyznających takie prawa tylko pod pewnymi warunkami. W szczególności są to: | Patrz wiersz 12 powyżej. |
15. | Wyłączenia | Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej i wiersz 20 poniżej. |
16. | Audyty łączone | Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej. |
17. | W tym zakresie czynności audytowe mogą być wykonywane przez dział audytu wewnętrznego dostawcy usług w chmurze, dział audytu wewnętrznego co najmniej jednej z nadzorowanych firm outsourcingowych w imieniu nadzorowanych firm outsourcingowych („audyty łączone”), stronę trzecią wyznaczoną przez dostawcę usług w chmurze lub stronę trzecią wyznaczoną przez nadzorowane firmy outsourcingowe. | Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej. |
18. | W przypadku innych nadzorowanych firm w indywidualnych przypadkach dopuszczalne może być wykonywanie określonych praw do informacji i audytu wobec dostawcy usług w chmurze wspólnie z innymi nadzorowanymi firmami na drodze audytu łączonego. | Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej. |
19. | Jeżeli nadzorowana firma skorzysta z jednego z powyższych wyłączeń, nie może to skutkować ograniczeniem jej praw do informacji i audytu. | Patrz wiersz 12 powyżej. |
20. | Zaświadczenia/certyfikaty i sprawozdania z audytu | Firma Atlassian regularnie przechodzi badania środków kontroli bezpieczeństwa, ochrony prywatności i zgodności z przepisami. W okresie obowiązywania naszej umowy z Tobą będziemy spełniać wymagania co najmniej norm wymienionych w naszym Centrum zaufania, co obejmuje certyfikaty zgodności z normami ISO/IEC 27001 i iSO/IEC 27018 oraz sprawozdania z audytów SOC 2 typu II i SOC 3: https://www.atlassian.com/trust/compliance |
21. | Jednak podczas realizowania czynności audytowych nadzorowana firma nie może się opierać wyłącznie na nich. Jeżeli dział audytu wewnętrznego wykorzystuje taką dokumentację lub takie certyfikaty w swojej działalności, powinien mieć możliwość przeanalizowania dowodów będących ich podstawą. | Ta kwestia leży po stronie klienta. Patrz również wiersz 12 powyżej. |
22. | 3. Prawa do informacji i audytu organów nadzoru |
|
23. | Prawa do informacji i audytu oraz możliwości kontrolne organów nadzoru nie mogą podlegać ograniczeniom umownym. Organy nadzoru muszą mieć możliwość monitorowania dostawców usług w chmurze w zakresie przewidzianym prawem dla nadzorowanej firmy. Organy nadzoru muszą mieć możliwość właściwego i nieograniczonego wykonywania swoich praw do informacji i audytu, jak również kontroli w odniesieniu do przedmiotu outsourcingu; dotyczy to również osób, z których usług korzystają organy nadzoru podczas przeprowadzania audytów. | Nasz program audytu został opracowany tak, aby umożliwić kwalifikującym się klientom oraz organom nadzoru skuteczne przeprowadzanie audytu Objętych umową produktów Cloud. |
24. | W celu zabezpieczenia tych praw w umowie należy uzgodnić w szczególności następujące warunki: | Patrz wiersz 23 powyżej. |
25. | Brak (pośredniego) ograniczenia praw | Patrz wiersz 23 powyżej. |
26. | 4. Prawa do wydawania instrukcji |
|
27. | Należy uzgodnić prawa nadzorowanych firm do wydawania instrukcji. Prawa do wydawania instrukcji mają na celu zapewnienie, że wszystkie wymagane instrukcje potrzebne do wykonania uzgodnionej usługi mogą zostać wydane, czyli wymagana jest możliwość wpływania na przedmiot outsourcingu i jego kontrolowania. Sposób realizacji technicznej można zorganizować indywidualnie na podstawie specyficznej sytuacji firmy. | Nasi klienci mogą wydawać nam instrukcje (w tym dotyczące certyfikatów i raportów z audytów stron trzecich) w odniesieniu do Objętych umową produktów Cloud za pośrednictwem kanałów obsługi klienta. |
28. | Jeżeli nadzorowana firma korzysta z zaświadczeń/certyfikatów lub sprawozdań z audytu (zob. punkt 2), powinna również mieć możliwość wpływania na zakres zaświadczeń/certyfikatów lub sprawozdań z audytu, tak aby można je było rozszerzyć o odpowiednie systemy i kontrole. Liczba i częstotliwość takich instrukcji powinna pozostawać w granicach rozsądku. | Patrz wiersz 27 powyżej. |
29. | Ponadto nadzorowana firma powinna być przez cały czas uprawniona do wydawania dostawcy usług w chmurze instrukcji dotyczących korekty, usuwania i blokowania danych, a dostawca usług w chmurze powinien mieć możliwość zbierania, przetwarzania i wykorzystywania danych wyłącznie w kontekście instrukcji udzielonych przez nadzorowaną firmę. Powinno to również obejmować możliwość wydania w dowolnej chwili instrukcji niezwłocznego i nieograniczonego zwrócenia danych przetwarzanych przez dostawcę usług w chmurze do nadzorowanej firmy. | Oferujemy Aneks dotyczący przetwarzania danych, który zawiera szczegółowe zobowiązania dotyczące przetwarzania i bezpieczeństwa danych osobowych klientów. Więcej informacji na temat naszego programu zapewniania zgodności z RODO można znaleźć tutaj: |
30. | Jeśli można odstąpić od wyraźnego porozumienia dotyczącego praw nadzorowanej firmy do wydawania instrukcji, usługa świadczona przez firmę outsourcingową powinna być wystarczająco jasno określona w umowie outsourcingowej. | Patrz wiersz 27 powyżej. |
31. | 5. Bezpieczeństwo/ochrona danych (odniesienie do lokalizacji przechowywania danych) |
|
32. | Należy uzgodnić postanowienia zapewniające zgodność z przepisami o ochronie danych oraz innymi wymogami związanymi z bezpieczeństwem. | Biorąc pod uwagę sposób udostępniania na zasadzie relacji jeden-do-wielu naszych Objętych umową produktów Cloud, wszystkim naszym klientom zapewniamy jednakowe, niezawodne zabezpieczenia. Te praktyki związane z bezpieczeństwem zostały szczegółowo opisane w naszym Centrum zaufania: https://www.atlassian.com/trust/ |
33. | Nadzorowana firma musi znać lokalizację przechowywania danych. Ta wiedza powinna również obejmować konkretną lokalizację centrów danych. Zasadniczo w tym celu wystarczy podanie nazwy lokalizacji (np. miejscowości). Gdyby jednak nadzorowana firma potrzebowała dokładnego adresu centrum danych na potrzeby zarządzania ryzykiem, dostawca usług w chmurze powinien podać taki adres. | Patrz wiersz 7 powyżej. |
34. | Ponadto należy zapewnić nadmiarowość danych i systemów, aby w przypadku awarii jednego centrum danych dostęp do usług był zachowany. | Prowadzimy plany zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego zgodnie z opisem zawartym w naszym Centrum zaufania. Te plany są weryfikowane i testowane co najmniej raz w roku. |
35. | Bezpieczeństwo danych i systemów należy także zapewnić w ramach łańcucha outsourcingu. | Patrz wiersz 32 powyżej. |
36. | Nadzorowana firma przez cały czas musi mieć możliwość szybkiego dostępu do swoich danych przechowywanych u dostawcy usług w chmurze, a w razie potrzeby także przekazania tych danych do nadzorowanej firmy. W związku z tym należy dopilnować, aby wybrana forma przekazania danych do nadzorowanej firmy nie ograniczała ani nie wykluczała możliwości ich wykorzystania. Z tego powodu należy uzgodnić niezależne od platformy standardowe formaty danych. Należy przy tym wziąć pod uwagę zgodność z różnymi systemami. | Patrz wiersz 29 powyżej. |
37. | 6. Postanowienia dotyczące rozwiązania umowy |
|
38. | Wymaga się uzgodnienia prawa do rozwiązania umowy i odpowiednich okresów wypowiedzenia. W szczególności należy uzgodnić szczególne prawo do rozwiązania umowy, przewidujące rozwiązanie umowy z uzasadnionej przyczyny na wezwanie organu nadzoru. | Dla wygody zapewniamy klientom szerokie prawa do rozwiązania umowy, dzięki czemu mają możliwość rozwiązania umowy w dowolnych okolicznościach. |
39. | Należy zagwarantować, aby w przypadku rozwiązania umowy przedmioty outsourcingu zlecone dostawcy usług w chmurze były dostarczane do czasu całkowitego przekazania tych przedmiotów do innego dostawcy usług w chmurze lub do nadzorowanej firmy. W szczególności należy zagwarantować, aby dostawca usług w chmurze w uzasadnionym zakresie udzielił wsparcia nadzorowanej firmie przy przekazywaniu przedmiotów outsourcingu do innego dostawcy usług w chmurze lub bezpośrednio do nadzorowanej firmy. | Jeśli instytucja będzie tego wymagać, możliwe jest przedłużenie okresu subskrypcji na krótki czas, aby umożliwić przekazanie do innego dostawcy usług. |
40. | Należy określić rodzaj, formę i jakość przekazywania przedmiotu outsourcingu oraz danych. Jeżeli formaty danych zostały dostosowane do indywidualnych potrzeb nadzorowanej firmy, dostawca usług w chmurze powinien dostarczyć dokumentację takich dostosowań przy rozwiązaniu umowy. | Te informacje są dostępne w naszej dokumentacji. |
41. | Wymaga się uzgodnienia, że po przekazaniu danych do nadzorowanej firmy jej dane zostaną całkowicie i nieodwołalnie usunięte po stronie dostawcy usług w chmurze. | Ta kwestia została uregulowana w naszym aneksie dotyczącym przetwarzania danych. |
42. | W celu zapewnienia utrzymania obszarów będących przedmiotem outsourcingu w razie planowanego lub nieplanowanego rozwiązania umowy nadzorowana firma musi opracować strategię wyjścia i zweryfikować jej wykonalność. | Klient powinien rozważyć tę kwestię. |
43. | 7. Outsourcing łańcuchowy |
|
44. | Wymaga się uzgodnienia postanowień dotyczących możliwości i warunków outsourcingu łańcuchowego w taki sposób, aby wymogi prawa nadzorczego pozostały spełnione. Niedopuszczalne są ograniczenia, wskutek których np. przyjmowane są zobowiązania podobne jedynie w istotnym stopniu. W szczególności należy zapewnić, aby w przypadku outsourcingu łańcuchowego prawa do informacji i audytu, a także możliwości kontroli nadzorowanej firmy outsourcingowej oraz organów nadzoru miały zastosowanie również do podwykonawców. | Aby móc dostarczać produkty globalne przy minimalnej liczbie zakłóceń, możemy zlecać na zasadzie outsourcingu (suboutsourcing) realizację niektórych funkcji krytycznych dostawcom usług wysokiej jakości (np. dostawcom usług hostingu danych). W odniesieniu do krytycznych usług zlecanych podwykonawcom na zasadzie outsourcingu firma Atlassian zobowiązuje się do zawarcia z takimi podmiotami realizującymi podzlecone usługi outsourcingowe odpowiednich umów, na mocy których instytucje oraz ich organy nadzoru zyskują odpowiednie prawa do audytu, informacji oraz dostępu, a także wymaga od takich podmiotów przestrzegania wszystkich obowiązujących praw. Patrz również wiersz 12 powyżej. |
45. | Mając na uwadze outsourcing łańcuchowy, w umowie outsourcingowej należy zawrzeć zastrzeżenia dotyczące zgody firmy outsourcingowej lub konkretne warunki, jakie muszą zostać spełnione, aby outsourcing łańcuchowy był możliwy. Należy wskazać, które przedmioty outsourcingu i/lub ich części mogą być zlecane innym podmiotom w ramach outsourcingu łańcuchowego, a które nie. | Patrz wiersz 44 powyżej. |
46. | Nadzorowana firma musi zostać poinformowana na piśmie z wyprzedzeniem o outsourcingu łańcuchowym przedmiotów outsourcingu i/lub ich części. Nadzorowana firma musi znać podwykonawców oraz przedmioty outsourcingu łańcuchowego i/lub ich części. | Firma Atlassian powiadomi o wszelkich zmianach w zakresie podoutsourcingu krytycznych lub istotnych funkcji, bądź wdrożenia nowego podoutsourcingu oraz udostępni informacje na temat takich przypadków podoutsourcingu. Jeśli instytucja będzie miała wątpliwości związane z takim podoutsourcingiem, zezwolimy jej na rozwiązanie umowy z nami. |
47. | W przypadku nowego outsourcingu łańcuchowego należy pamiętać, że może on wpływać na stan ryzyka związanego z outsourcingiem, a w rezultacie na firmę outsourcingową. Dlatego w przypadku nowego outsourcingu łańcuchowego należy powtórzyć analizę ryzyka lub przynajmniej dokonać jej weryfikacji. Dotyczy to również sytuacji, w której ujawnione zostaną istotne wady lub zmiany w usłudze w chmurze świadczonej przez podwykonawców. | Klient powinien rozważyć tę kwestię. |
48. | Firma będzie na bieżąco weryfikować i monitorować działanie całej usługi, niezależnie od tego, czy usługa w chmurze będzie świadczona przez dostawcę usługi w chmurze, czy przez jego podwykonawców. | Klient powinien rozważyć tę kwestię. |
49. | 8. Obowiązki informacyjne |
|
50. | Wymaga się uzgodnienia postanowień gwarantujących, że dostawca usług w chmurze poinformuje nadzorowaną firmę o zmianach, które mogą niekorzystnie wpłynąć na prawidłowe działanie przedmiotów outsourcingu. Dotyczy to w szczególności zgłaszania wszelkich zakłóceń w świadczeniu usługi w chmurze. Celem tego jest zapewnienie firmie możliwości odpowiedniego monitorowania przedmiotu outsourcingu. | Publikujemy aktualne informacje na temat dostępności usług na stronie https://status.atlassian.com/, a w ramach umowy zobowiązujemy się do powiadamiania klientów o zdarzeniach mających istotny wpływ na dostępność Objętych umową produktów Cloud. |
51. | Dostawca usług w chmurze ma obowiązek niezwłocznie informować nadzorowaną firmę o wszelkich okolicznościach mogących stanowić zagrożenie dla bezpieczeństwa danych nadzorowanej firmy, które mają być przetwarzane przez dostawcę usług w chmurze, przykładowo w wyniku działania stron trzecich (np. zajęcia lub konfiskaty), postępowania upadłościowego lub układowego bądź innych zdarzeń. | Oprócz zobowiązań, o których mowa w wierszu 50 powyżej, zobowiązujemy się do powiadamiania klientów o incydentach związanych z bezpieczeństwem w naszym aneksie dotyczącym przetwarzania danych. |
52. | Należy zagwarantować, aby nadzorowana firma odpowiednio i z wyprzedzeniem została poinformowana przez dostawcę usług w chmurze w przypadku istotnych zmian w usłudze w chmurze świadczonej przez dostawcę usług w chmurze. Opisy usług i wszelkie zmiany w tych usługach będą udostępniane i/lub zgłaszane nadzorowanej firmie w formie pisemnej. Należy zagwarantować, aby w prawnie dozwolonym zakresie nadzorowana firma była odpowiednio informowana o wszelkich wnioskach/żądaniach przekazania danych nadzorowanej firmy przez strony trzecie. | Publikujemy nasz plan rozwoju produktów w wersji Cloud, w którym informujemy klientów o istotnych zmianach w Objętych umową produktach Cloud. |
53. | 9. Powiadomienie o prawie właściwym |
|
54. | Jeśli uzgodniono klauzulę wyboru prawa, ale nie uzgodniono prawa niemieckiego jako prawa właściwego, w każdym przypadku jako prawo właściwe dla umowy należy uzgodnić prawo państwa należącego do Unii Europejskiej lub Europejskiego Obszaru Gospodarczego. | Domyślnym prawem właściwym w przypadku umów z klientem Atlassian jest prawo stanu Kalifornia. Aby uzyskać więcej informacji, skontaktuj się z naszym zespołem sprzedaży produktów Enterprise. |
1Termin „istotny outsourcing” stosowany w wytycznych BaFin jest równoważny terminowi „krytyczny lub istotny outsourcing” stosowanym w wytycznych EUNB.