通用数据保护条例

Atlassian 通过确保我们遵守《通用数据保护条例》(GDPR) 以及所有与隐私相关的法规，从而致力于确保客户的成功并保护其数据。GDPR 旨在让欧盟公民更好地控制自己的数据，并力求在一项综合法律下统一多项隐私和安全法律。GDPR 不仅适用于欧盟境内的组织，还适用于处理其数据主体位于欧盟的个人数据的所有公司，无论这些公司位于何处（也就是治外法权原则）。违反 GDPR 规定的数据处理原则可能被处以高达全球年营业额 4％的罚款或 2000 万欧元的罚款，以较高者为准，其声誉和品牌上的损失更是无法估量。

该法规的主要内容

GDPR 旨在确认个人数据的价值以及代理个体对自己的个人数据的价值。第 5 条解释了相关立法原则：

数据的处理方式应合法、公平且透明。
数据经收集后只能用于您提供给数据主体的目的，而不得超出此范围。（同时存在一些例外情况，比如将数据用于“共同利益”。）
只收集您需要的数据，仅此而已。这对数据主体和您的组织都有好处。保护实际上并不需要的数据是毫无意义的。
应维护数据以确保准确性，当数据不再准确或不再为最新状态时，应采取纠正措施或删除数据。
数据应以能够识别数据主体的形式保留必要的时间，当数据不再有用时则应丢弃。
数据的存储方式应保持其完整性和机密性。

公司或所谓的控制者将对遵守这些原则负责。

GDPR 合规性

作为数据处理者，我们受托处理客户的某些最有价值的数据，因此我们在 Atlassian Cloud 架构的每一层都内置了安全措施，并调整了我们所有的产品、运营和合同承诺以继续遵守此要求。有关产品如何处理、收集、存储和删除个人数据的详细信息，请参阅我们最近更新的数据处理附录。除了我们的附录外，Atlassian 还实施了许多工具来帮助我们的客户保持 GDPR 合规性：

由 ISO/IEC 27001 和 SOC 2 等认证提供支持的安全协议，反映了 GDPR 的众多安全和隐私要求
数据便携性和管理工具可让客户轻松地从 Atlassian Cloud 产品中删除个人数据，从而帮助客户履行被遗忘的义务（或删除权）条款：
- 能够导入和导出数据
- 请求删除信息，包括针对以下内容的具体信息：
  - 管理员如何帮助删除其托管用户的帐户
  - 非托管的最终用户可以如何请求删除其个人数据
  - 已向 Atlassian 提供个人数据或个人数据提供给 Atlassian 但没有 Atlassian 帐户的用户如何也可以发出删除请求
数据驻留允许客户将范围内的产品内容以静态方式存储于某个位置。Atlassian 的 Cloud 路线图重点介绍了我们计划扩展的数据驻留计划（包括应用和其他位置的数据驻留）
静态和传输中数据加密以及构建 BYOK 加密的计划（如 Atlassian Cloud 路线图中所强调的）
酌情向欧盟监管机构提供数据传输影响评估和咨询服务
我们所有数据辅助处理者的列表和 RSS 源订阅，您可以通过其随时了解最新的变更信息
承诺将与客户和用户有关的所有数据泄露事件告知客户

要详细了解我们的安全和数据隐私方法，请访问 Atlassian 安全实践和隐私政策页面。

国际数据传输

作为一家拥有全球客户群和业务的公司，Atlassian 必须具备在全球范围内传输和访问数据的能力。我们了解并尊重在欧洲经济区和英国之外继续传输个人数据的规则，为客户提供强大的国际数据传输框架，以作为我们“数据处理附录”(DPA) 的一部分。本附录确保我们的客户可以合法地将个人数据转移到欧洲以外的 Atlassian Cloud 产品，包括符合英国近期更新的条款。除附录外，Atlassian 致力于保护客户的数据隐私和各项权利，且仅在经过全面法律审查后才回应执法部门的请求。我们会在每年发布透明度报告，内含与政府索取用户数据的请求以及与要求删除内容或暂停用户帐户的请求相关的信息。

每当我们与 Atlassian 服务提供商共享您的数据时，我们都会对这些组织的数据使用方式负责。我们要求所有服务提供商都经过彻底的调查程序，并签订合同，以确保我们客户的个人数据得到充分的保护和保障。

要详细了解我们的数据实践，请参阅我们的隐私政策。