《新联邦数据保护法案》
什么是 nFADP?
nFADP 代表《新联邦数据保护法案》,该法案将于 2023 年 9 月 1 日生效。nFADP 是瑞士发布的全新数据保护立法,它旨在推动该国当前的法律框架与时俱进,并与 GDPR 等其他法律法案保持一致。
一旦生效,所有向瑞士公民提供处理其个人数据的商品和服务的瑞士公司及国际公司都将受 nFADP 的约束。与 GDPR 类似,nFADP 对于其适用性引入了域外原则;即,如果位于瑞士境外的组织会处理瑞士公民的个人数据,则该原则也适用于这些组织。
值得注意的是,nFADP 仅适用于个人数据的保护,这与旧的 FADP 不同,后者还包括对组织数据的保护。此外,它与 GDPR 有许多相似之处,因为立法者旨在统一瑞士的监管框架并使其更接近 GDPR。但与 GDPR 相比,nFADP 在某些方面没有那么严格,例如:制裁、DPO 的指定以及隐私政策的要求。
nFADP 赋予数据主体哪些权利?
组织必须向数据主体提供以下个人数据权利:
1. 知情权;
2. 数据便携性权利;
3. 删除权;以及
4. 更正权。
Atlassian 和 nFADP
与 GDPR 类似,nFADP 规定了控制方和处理方的角色。Atlassian 主要作为个人数据处理方,就我们提供云产品的相关事宜代表客户处理此类数据。如需了解更多信息,请参阅第 2.2 节,以及数据处理附录中“附录 A”的“附件 1(B) A 部分”。
nFADP 中规定的数据主体权利
Atlassian 在其隐私政策中向用户和客户提供了各种信息,包括其数据处理实践、目的和其他相关数据。
此外,我们的工具可帮助客户履行 nFADP 中与数据主体请求相关的义务。您可以在下文中进一步了解我们的工具。
1. 帮助客户获得删除权
- Atlassian 组织管理员可以帮助从管理门户的控制功能中删除其托管用户的帐户
- 非托管最终用户还可通过从其 Atlassian 帐户个人资料页面发起帐户删除请求来请求删除其个人数据。
- 已向 Atlassian 提供个人数据或个人数据提供给 Atlassian 但没有 Atlassian 帐户的用户也可以发起删除请求
2. 帮助用户获得访问权:
- Atlassian 组织管理员可通过 Atlassian 支持部门轻松访问其托管用户的数据。
- 非托管最终用户或许还可通过从 Atlassian 支持部门发起数据访问请求来请求访问其个人数据
- 已向 Atlassian 提供个人数据或个人数据提供给 Atlassian 但没有 Atlassian 帐户的用户也可以发起访问请求
选择和同意
我们重视在如何收集、使用和共享信息方面的选择和透明度,并在不同的产品或帐户设置中提供选择权。我们的隐私政策对这些选项、如何进行选择以及所有相关限制进行了总结。
有关最终用户数据权利的更多信息,请参阅“管理您的个人数据隐私”。
请注意,对于我们的瑞士最终用户,我们会为 Cookie 和营销信息提供许可,以便为收集点注入透明度和控制力。
数据处理协议
Atlassian 已更新其客户数据处理协议,以遵守 nFADP。它在此协议中整合了瑞士 FADP 的定义。最新版本的数据处理协议可在此处找到。
国际数据传输
作为一家拥有全球客户群和业务的公司,Atlassian 必须具备在全球范围内传输和访问数据的能力。我们了解并遵守在瑞士之外对个人数据进行跨国传输的规则,并根据 Atlassian 的“数据处理附录”(DPA) 承诺为客户提供强大的国际数据传输框架。考虑到瑞士法律所做的相关修改,DPA 可确保我们的客户可以依靠标准合同条款将个人数据合法地传输到瑞士以外的 Atlassian Cloud 产品。
与 GDPR 类似,瑞士数据保护法允许在符合法律要求的前提下进行国际数据传输。根据联邦数据保护和信息委员会 (FDPIC) 的规定,新的《欧盟标准示范条款》只要包含考虑到瑞士法律的必要修订,即可为从瑞士向缺乏足够数据保护水平的国家/地区进行跨国数据传输提供保障。
每当我们与 Atlassian 辅助处理者共享您的数据时,我们都会对这些组织的数据使用方式负责。我们要求所有服务提供商都经过彻底的调查程序,并签订合同,以确保我们客户的个人数据得到充分的保护和保障。我们将继续分析法律要求以及欧洲数据保护机构发布的所有其他要求。同时,请注意 Atlassian 会:
- 在我们的数据传输影响评估中提供与数据传输相关的信息
- 允许客户将范围内的产品内容以静态方式存储于某个位置。Atlassian 的 Cloud 路线图重点介绍了我们计划扩展的数据驻留计划(包括针对应用和其他位置的数据驻留)
- 对传输中和静止状态下的数据进行加密
- 每年发布透明度报告,内含与政府索取用户数据的请求以及与要求删除内容或暂停用户帐户的请求相关的信息。
- 我们的执法请求指南进一步说明了我们响应用户数据请求的相关政策和规程。
要详细了解我们的数据处理附录和标准合同条款,请参阅我们的隐私常见问题。
有关我们如何作为控制者根据 GDPR 处理个人数据的更多信息,请参阅我们的隐私政策。
有关最新动态(包括数据传输相关法律)的新闻,请访问我们的数据处理附录页面。
其他承诺
以下是在我们的 Cloud 中实施的其他几项计划:
- 我们已确保访问和处理 Atlassian 客户个人数据的 Atlassian 员工均已接受过相关的培训,并且一定会保持这些数据的机密性和安全性
- 我们在辅助处理者页面上提供了辅助处理者列表(请订阅我们的 RSS 源,以便您可以随时了解所有变更)
- 我们承诺进行数据影响评估,并酌情咨询监管机构
- 我们将协助向监管机构报告安全违规行为,并迅速向客户和用户通报所有违规行为
- 我们承诺履行《标准示范条款》规定的数据进口商的义务
我们的团队随时为您提供帮助
对我们的合规计划还有其他疑问?
你们有云认证吗?能否完成我的安全与风险调查问卷?哪里可以下载到更多信息?
信任与安全社区
加入 Atlassian 社区的信任与安全小组,获得我们安全团队的第一手资讯,并且分享以安全、可靠的方式使用 Atlassian 产品的各种信息、提示和最佳实践。
Atlassian 支持
联系我们训练有素的支持工程师,获得您的问题的答案。