Nowa federalna ustawa o ochronie danych
Co to jest nFADP?
nFADP (New Federal Act on Data Protection) oznacza nową federalną ustawę o ochronie danych, która wejdzie w życie 1 września 2023 r. nFADP to nowy akt prawny dotyczący ochrony danych w Szwajcarii, którego celem jest aktualizacja obecnych krajowych ram prawnych. Jest on równorzędny do aktów prawnych takich jak RODO.
Po wejściu w życie ustawy nFADP będą jej podlegać wszystkie szwajcarskie i międzynarodowe firmy oferujące towary i usługi obywatelom Szwajcarii i przetwarzające ich dane osobowe. Podobnie jak RODO, ustawa nFADP wprowadza zasadę eksterytorialności w zakresie jej stosowania, co oznacza, że dotyczy ona również organizacji zlokalizowanych poza Szwajcarią, jeśli przetwarzają dane osobowe obywateli Szwajcarii.
Warto zauważyć, że ustawa nFADP będzie miała zastosowanie tylko do ochrony danych osobowych, w przeciwieństwie do poprzedniej ustawy FADP, która obejmowała również ochronę danych organizacji. nFADP jest również pod wieloma względami podobna do RODO, ponieważ intencją prawodawców było zharmonizowanie szwajcarskich ram regulacyjnych i zbliżenie ich do RODO. Ustawa nFADP jest jednak mniej rygorystyczna niż RODO w niektórych obszarach, np. dotyczących sankcji, powołania inspektora danych osobowych i wymagań w zakresie polityki prywatności.
Jakie prawa przysługują w ramach nFADP osobom, których dane dotyczą?
Organizacje muszą zapewnić osobom, których dane dotyczą, następujące prawa w zakresie ich danych osobowych:
1. Prawo do informacji
2. Prawo do przenoszenia danych
3. Prawo do usunięcia
4. Prawo do sprostowania
Atlassian w kontekście nFADP
Podobnie jak RODO, nFADP przewiduje role administratora danych i podmiotu przetwarzającego dane. Atlassian działa głównie jako podmiot przetwarzający dane osobowe w imieniu swoich klientów w związku z dostarczaniem produktów chmurowych. Więcej informacji można znaleźć w punkcie 2.2 oraz Dodatku A, Załącznik 1(B), Część A Aneksu dotyczącego przetwarzania danych.
Wynikające z nFADP prawa osoby, której dane dotyczą
Atlassian udostępnia użytkownikom i klientom informacje o swoich praktykach dotyczących przetwarzania danych, celach przetwarzania i innych ważnych kwestiach w swojej polityce prywatności.
Ponadto nasze narzędzia pomagają klientom wywiązywać się z wynikających z ustawy nFADP obowiązków wobec osób, których dane dotyczą. Więcej na temat naszych narzędzi można znaleźć poniżej.
1. Aby ułatwić klientom korzystanie z prawa do usunięcia:
- Administratorzy organizacji Atlassian mogą usuwać konta zarządzanych użytkowników za pomocą funkcji kontroli w portalu administracyjnym.
- Niezarządzani użytkownicy końcowi również mogą zażądać usunięcia swoich danych osobowych, składając wniosek o usunięcie konta na stronie profilu konta Atlassian.
- Osoby, które przekazały swoje dane osobowe firmie Atlassian lub których dane zostały jej przekazane, ale które nie mają kont Atlassian, również mogą zainicjować wniosek o usunięcie
2. Aby ułatwić użytkownikom korzystanie z prawa dostępu:
- Administratorzy organizacji Atlassian mogą zapewnić dostęp do danych zarządzanych użytkowników, kontaktując się z działem wsparcia Atlassian.
- Niezarządzani użytkownicy końcowi również mogą zażądać dostępu do swoich danych osobowych, przesyłając wniosek o dostęp do danych do działu wsparcia Atlassian.
- Osoby, które przekazały swoje dane osobowe firmie Atlassian lub których dane zostały jej przekazane, ale które nie mają kont Atlassian, także mogą złożyć wniosek o dostęp.
Wybór i wyrażenie zgody
Przywiązujemy dużą wagę do możliwości wyboru i przejrzystości w zakresie sposobu gromadzenia, wykorzystywania i udostępniania przez nas informacji. Zapewniamy także opcje korzystania z różnych ustawień produktu lub konta. Nasza polityka prywatności zawiera podsumowanie tych opcji wyboru, opis sposobu ich wykorzystania, a także wszelkie stosowne ograniczenia.
Więcej informacji na temat praw związanych z danymi użytkowników końcowych zawiera strona „Zarządzanie ochroną prywatności swoich danych osobowych”.
W przypadku naszych użytkowników końcowych ze Szwajcarii wyświetlamy monity o wyrażenie zgody na pliki cookie i wiadomości marketingowe, aby zapewnić przejrzystość i kontrolę w punktach gromadzenia danych.
Umowy o przetwarzaniu danych
Firma Atlassian zaktualizowała swoją Umowę o przetwarzaniu danych klientów w celu zapewnienia jej zgodności z nFADP. Obejmuje ona szwajcarską ustawę FADP zgodnie z definicją zawartą w umowie. Najnowszą wersję Umowy o przetwarzaniu danych można znaleźć tutaj.
Międzynarodowe przekazywanie danych
Jako firma prowadząca działalność i mająca klientów na całym świecie Atlassian musi mieć możliwość przekazywania danych i uzyskiwania do nich dostępu w różnych częściach globu. Rozumiemy zasady międzynarodowego przekazywania danych osobowych poza Szwajcarię i ich przestrzegamy, a także oferujemy klientom solidne międzynarodowe ramy przekazywania danych jako element naszego zobowiązania w ramach Aneksu dotyczącego przetwarzania danych (DPA) Atlassian. Aneks DPA gwarantuje, że nasi klienci mogą zgodnie z prawem przekazywać dane osobowe do produktów Atlassian Cloud poza Szwajcarię, opierając się na standardowych klauzulach umownych dostosowanych do prawa szwajcarskiego.
Podobnie jak RODO, szwajcarska ustawa o ochronie danych zezwala na międzynarodowe przekazywanie danych w zakresie, w jakim spełnione są wymogi prawa. Według Federalnego Komisarza ds. Ochrony Danych i Informacji (FDPIC) nowe wzorcowe standardowe klauzule umowne UE mogą być również wykorzystywane do ochrony międzynarodowych transferów danych ze Szwajcarii do krajów niezapewniających odpowiedniego poziomu ochrony danych, o ile zawierają niezbędne zmiany w celu uwzględnienia prawa szwajcarskiego.
Za każdym razem, gdy udostępniamy Twoje dane podrzędnym podmiotom przetwarzającym Atlassian, odpowiadamy przed Tobą za sposób wykorzystania tych danych przez wszelkie takie organizacje. Wymagamy od wszystkich usługodawców poddania się dokładnemu procesowi due diligence oraz zawarcia umów gwarantujących odpowiednią ochronę i bezpieczeństwo danych osobowych naszych klientów. W dalszym ciągu będziemy na bieżąco analizować wymagania w tym zakresie, a także wszelkie inne zalecenia publikowane przez europejskie organy zajmujące się ochroną danych. Jednocześnie warto podkreślić, że Atlassian:
- podaje informacje istotne dla przekazywania danych w naszej ocenie wpływu na transfer danych;
- umożliwia klientom przypisanie stosownych przechowywanych danych w ramach produktu do określonej lokalizacji. Planowane rozszerzenia naszego programu zarządzania jurysdykcją danych (w tym zarządzanie jurysdykcją danych aplikacji oraz dodatkowe lokalizacje) są wyszczególnione w harmonogramie rozwoju platformy Atlassian Cloud
- szyfruje dane w trakcie przesyłania i magazynowania;
- publikuje coroczny Raport na temat przejrzystości, który zawiera informacje na temat wniosków organów administracji publicznej o udostępnienie danych użytkowników, usunięcie ich treści lub zawieszenie kont;
- udostępnia dodatkowe informacje na temat własnych zasad i procedur udzielania odpowiedzi na wnioski o udostępnienie danych użytkowników w swoich Wytycznych dla organów ścigania.
Aby dowiedzieć się więcej o naszym Aneksie dotyczącym przetwarzania danych i standardowych klauzulach umownych, zapoznaj się z sekcją często zadawanych pytań dotyczących ochrony prywatności.
Więcej informacji o tym, jak przetwarzamy dane osobowe jako administrator zgodnie z RODO, zawiera nasza Polityka prywatności.
Aby dowiedzieć się więcej o najnowszych zmianach (w tym przepisów dotyczących przekazywania danych), odwiedź naszą stronę Aneks dotyczący przetwarzania danych.
Inne zobowiązania
Poniżej przedstawiamy kilka innych inicjatyw, które zostały wdrożone w naszym środowisku chmurowym:
- Pracownicy Atlassian, którzy mają dostęp do danych osobowych klientów Atlassian lub je przetwarzają, zostali przeszkoleni w zakresie postępowania z tymi danymi i są zobowiązani do zachowania poufności tych danych i zapewnienia ich bezpieczeństwa
- Listę naszych podrzędnych podmiotów przetwarzających dane udostępniamy na tej stronie. Oferujemy też subskrypcję kanału RSS, aby umożliwić Ci otrzymywanie na bieżąco informacji o zmianach.
- Zobowiązaliśmy się do przeprowadzania ocen wpływu przetwarzania na dane oraz do przeprowadzania konsultacji z organami regulacyjnymi w wymagających tego przypadkach.
- Udzielimy pomocy przy powiadamianiu organów regulacyjnych o naruszeniach zabezpieczeń i szybkim informowaniu klientów oraz użytkowników o wszelkich przypadkach naruszeń
- Zobowiązujemy się do wypełniania naszych obowiązków jako importera danych w ramach wzorcowych standardowych klauzul UE.
Nasz zespół służy pomocą
Masz więcej pytań na temat naszego programu zapewniania zgodności?
Czy posiadacie certyfikaty dotyczące chmury? Czy możecie wypełnić mój kwestionariusz na temat bezpieczeństwa i ryzyka? Gdzie mogę pobrać więcej informacji?
Społeczność Zaufanie i bezpieczeństwo
Dołącz do grupy Zaufanie i bezpieczeństwo w społeczności Atlassian, aby skontaktować się bezpośrednio z naszym zespołem ds. bezpieczeństwa i dzielić się informacjami, wskazówkami i najlepszymi praktykami dotyczącymi korzystania z produktów Atlassian w bezpieczny i niezawodny sposób.
Wsparcie Atlassian
Skorzystaj z pomocy jednego z naszych świetnie wyszkolonych inżynierów wsparcia, aby uzyskać odpowiedzi na swoje pytania.