アトラシアン データ処理補遺

1. 範囲と期間。

1.1 当事者の役割。本契約において、両当事者は以下のことに同意します。

(a) お客様はお客様データの管理者、または別の管理者 (お客様の関連会社など) の代理となるお客様データの処理者のいずれかとして、処理に関連する指示をアトラシアンに伝えます。処理に関する詳細は、別紙 1 (処理の説明) に記載されています。

(b) アトラシアンはお客様データのデータ処理者 (または、それぞれ復処理者) です。処理に関する詳細は、別紙 1 (処理の説明) に記載されています。

1.2 DPA の期間。本 DPA の期間は契約の期間と一致し、契約の満了または早期解約 (または、契約満了日より後の場合は、アトラシアンがお客様の個人データの処理をすべて停止した日) に終了します。

1.3 優先順位。以下の文書間で矛盾または不一致がある場合、優先順位は、優先度の高い順に (1) 別紙 2 に記載されている該当する条件 (移転条項を含む地域固有の条件)、(2) 別紙 1 (処理の説明)、(3) 本 DPA の本文、(4) 本契約です。

2. 個人データの処理。

2.1 お客様の指示。

(a) 本 DPA、本契約、該当する注文、お客様による本製品の使用 (関連する構成と設定を含む) および関連するサポート、アドバイザリー サービスは、アトラシアンが顧客データを処理することに関してお客様が作成した文書による指示 (「文書による指示」) に該当します。

(b) 別紙 1 (処理の説明) のセクション 6.1 に詳しく記載されているように、アトラシアンは文書による指示に従ってのみ顧客データを処理する義務があります。お客様は、以下の事項を守ります。

(i) お客様の文書による指示が、適用されるデータ保護法に準拠していることを必ず確認します。適用されるデータ保護法のお客様による遵守状況の監視について、アトラシアンは責任を負いません。

(ii) 適用されるデータ保護法に基づいて、本製品および関連するサポート、アドバイザリー サービスが顧客データの処理に適しているか否かを判断する責任を負います。

2.2 機密性。アトラシアンは、お客様の個人データを契約に基づくお客様の機密情報として扱う必要があります。アトラシアンは、個人データを処理する権限を与えられた担当者が、書面または法定の守秘義務を守ることを保証する必要があります。

3. セキュリティ。

3.1 セキュリティ対策。アトラシアンは、お客様データのセキュリティ、機密性、完全性、可用性を保護し、セキュリティ インシデントから保護するために設計された適切な技術的および組織的対策を実施しており、今後も維持します。お客様は、お客様データの性質を考慮して適切なセキュリティを維持できるように製品を設定し、アトラシアンが提供する機能を使用する責任を負っています。アトラシアンの現在の技術的および組織的な対策については、こちらに記載しています。お客様は、セキュリティ対策は技術の進歩と発展の影響を受け、サブスクリプション期間中、アトラシアンがセキュリティ対策を随時更新または変更する可能性があることを承認するものとします (ただし、そのような更新や変更によってクラウド製品全体のセキュリティが大幅に低下しない場合に限ります)。

3.2 セキュリティ インシデント。アトラシアンは、セキュリティ インシデントに気づいた後、過度の遅滞なく、可能であれば 72 時間以内にお客様に通知する必要があります。アトラシアンは、アトラシアンの合理的な管理の範囲内でセキュリティ インシデントの原因を特定し、その影響を軽減し、原因を修復するために相応の努力をする必要があります。お客様からの要請に応じて、また処理の性質とアトラシアンが入手できる情報を考慮して、アトラシアンはお客様が該当するデータ保護法に基づくセキュリティ インシデントの通知義務を果たすために合理的に必要な情報を提供して、お客様を支援する必要があります。セキュリティ インシデントに関するアトラシアンからの通知は、アトラシアンがその過失または責任を認めるものではありません。

4. 復処理

4.1 一般的権限。本 DPA を締結することにより、お客様はアトラシアンがお客様の個人データを処理するために復処理者を使用する一般的な権限を与えます。アトラシアンは、(i) 復処理者が適用されるデータ保護法で規定されている基準と本 DPA で規定されている同じ基準に従ってお客様の個人データを保護することを要求するデータ保護条件を課す書面による契約を各復処理者と締結する、および (ii) 当該復処理者が契約に基づく関連するデータ処理活動に関するデータ保護義務を履行しなかった場合、お客様に対して責任を負う必要があります。

4.2 新しい復処理者の通知。アトラシアンは、最新の復処理者リストをこちらに保管しています。ここには、お客様が新しい復処理者の通知を購読するための仕組みが含まれています。アトラシアンは、新しい復処理者にお客様の個人データの処理を許可する少なくとも 30 日前 (「復処理者通知期間」) に、購読者のメール宛てにその旨を通知します。

4.3 新しい復処理者への異議申し立て。お客様は、復処理者通知期間中、アトラシアンによる新しい復処理者の任命に異議を申し立てることができます。異議を申し立てた場合、お客様は、唯一かつ排他的な救済策として、本契約の第 12 条 2 項 (発注者の都合による契約解除) に従って、影響を受けるクラウド製品および関連するサポートと Advisory Service に適用される注文を取り消すことができます。

5. 支援および協力義務。

5.1 データ主体の権利。処理の性質を考慮して、アトラシアンは、お客様の個人データに関するデータ主体の権利 (アクセス、修正、消去、制限、異議申し立て、データ ポータビリティの権利を含む) の行使の要求にお客様が対応できるように、合理的かつ適時に支援をお客様に提供する必要があります。

5.2 協力義務。アトラシアンは、お客様からの合理的な要請に応じて、処理の性質を考慮して、お客様が適用されるデータ保護法に基づく義務を履行するために必要な合理的な支援をお客様に提供します (データ保護影響評価および規制当局との協議を含む)。ただし、お客様が入手可能な文書を利用してそのような義務を単独で合理的に履行できない場合に限ります。

5.3 第三者からの要請。法律で禁じられていない限り、アトラシアンは、お客様の個人データの開示を強制する有効で執行可能な法的手続きまたは行政からの要請について、速やかにお客様に通知します。アトラシアンは、法執行機関のガイドラインに従ってそのような要請に対応します。アトラシアンがお客様の個人データの処理に関してその他の第三者 (規制当局やデータ主体など) から問い合わせや情報の要求を受けた場合、アトラシアンはそのような問い合わせをお客様にリダイレクトし、適用される法で義務付けられている場合を除き、アトラシアンからは情報を提供しません。

6. お客様の個人データの削除と返却。

6.1 サブスクリプションの期間中。サブスクリプション期間中、お客様とそのユーザーは、クラウド製品の機能を通じて、お客様の個人データへのアクセス、取得、削除を行うことができます。

6.2 契約終了後。契約の満了または終了後、アトラシアンは文書に従ってお客様の個人データをすべて削除する必要があります。上記にかかわらず、アトラシアンは (i) 適用されるデータ保護法の規定に従って、または (ii) 標準バックアップまたは記録保持ポリシーに従って、お客様の個人データを保持することができます。ただし、いずれの場合も、アトラシアンは、保持するお客様の個人データに関する機密性を維持するか、本 DPA の該当する規定を遵守し、適用されるデータ保護法で義務付けられている場合を除き、さらなる処理は行わないものとします。

7. 監査。

7.1 監査報告書。アトラシアンは、ここに記載されているものを含め、独立した第三者監査人および/または内部監査人によって定期的に監査されています。要請があれば、お客様がアトラシアンと該当する秘密保持契約を締結していることを条件に、アトラシアンは関連する監査報告書 (「報告書」) の要約コピーをお客様に提供します。これにより、お客様はアトラシアンが評価基準となった監査基準および本 DPA に準拠していることを確認できます。アトラシアンが本 DPA の条件を遵守していることをお客様が合理的に確認できない場合、アトラシアンは、お客様の個人データの処理に関連する、お客様による合理的な情報要求に対して、書面で (機密事項として) 回答します。ただし、そのような権利は 12 か月に 1 回に限り行使することができます。

7.2 オンサイト監査。お客様が上記第 7 条 1 項に基づく権利の行使に当たりアトラシアンの本 DPA への準拠に合理的に満足できない場合、または適用されるデータ保護法あるいは規制当局で規定されている場合に限り、お客様またはその権限を有する代表者は、お客様の費用負担により、アトラシアンが本 DPA の条件を遵守しているかどうかを評価するために、契約期間中に監査 (および検査) を実施することができます。すべての監査は、(i) アトラシアンの通常の営業時間中に、少なくとも 60 暦日の合理的な事前の書面による通知をもって実施する (適用されるデータ保護法または規制当局でより短期の通知期間が規定されている場合を除く)、(ii) 開示された情報のうち、その性質から秘密であるべき情報の機密保持をお客様 (およびその権限を有する代表者) に義務付ける、合理的な機密保持の管理対象とする、(iii) 12 か月に 1 回限り実施する、(iv) その結果をお客様に関連する情報に限定する必要があります。

8. 国際規定。アトラシアンが、別紙 2 (地域別規約) に記載の地域のいずれかで適用されるデータ保護法によって保護されている個人データを処理する範囲で、個人データの (直接または二次移転による) 国際移転に関連する規定を含め、該当する地域に指定された規約も適用されます。

9. 定義。

「適用されるデータ保護法」とは、本契約に基づく個人データの処理に適用されるすべての法律を意味します。

「管理者」とは、単独または他者と共同で、個人データの処理の目的と手段を決定する自然人、法人、公的機関、機関、またはその他の団体を意味します。

「お客様の個人データ」とは、アトラシアンが本契約に基づいてお客様に代わってのみ処理する、お客様のデータおよび/またはお客様の資料に含まれる個人データを意味します。明確にするため付言すると、お客様の個人データには、お客様またはそのユーザーが技術サポート リクエストに提供した添付ファイルに含まれる個人データも含まれます。

「個人データ」とは、特定された、または特定可能な自然人に関する情報、または適用されるデータ保護法で定義されている「個人データ」、「個人情報」、「個人を特定できる情報」または類する用語を構成する情報を意味します。

「処理」(および「プロセス」) および「処理された」とは、自動化された手段であるか否かにかかわらず、収集、記録、編集、構造化、保管、修正または変更、復旧、参照、使用、転送による開示、配布、またはその他使用を可能にすること、整列または結合、制限、消去、または破壊など、個人データまたは一連の個人データに対して実行されるすべての操作、または一連の操作を意味します。

「処理者」とは、管理者に代わって個人データを処理する主体を意味します。

「セキュリティ インシデント」とは、アトラシアンおよび/またはその復処理者によって処理されたお客様のデータの偶発的または違法な破壊、損失、改ざん、不正開示、またはアクセスにつながるセキュリティ違反を意味し、この定義において「処理」には個人データおよび顧客データが含まれます。

「復処理者」とは、アトラシアンに使用され、お客様の個人データを処理するあらゆる第三者 (例えばアトラシアンの関連会社) を意味します。

1. 個人データが処理されるデータ主体のカテゴリ: お客様とそのユーザー。

2. 処理される個人データの分類: お客様の個人データの内容は、お客様とそのユーザーによってのみ決定され、管理されます。

3. 移転される機密データ: 本契約のセクション 6.3 (機密健康情報および Health Insurance Portability and Accountability Act) に従って、お客様またはお客様のユーザーはクラウド製品にコンテンツをアップロードすることができます。コンテンツには、(i) 人種や民族的出自、政治的見解、宗教的または哲学的思想、または労働組合への加入を明らかにするデータ、(ii) 遺伝データ、自然人を一意に識別する目的で処理される生体認証データ、健康に関するデータ、自然人の性生活や性的指向に関するデータ、または (iii) 刑事上の有罪判決や犯罪に関するデータ (総じて「機密データ」) を含めることができます。

4. 移転の頻度: 連続的。

5. 処理の性質: アトラシアンは、本 DPA を含め、本契約に従って製品と関連するサポート、および Advisory Service を提供するために個人データを処理します。処理 (移転を含む) の性質に関する追加情報は、関連する製品のそれぞれの注文書および技術的な能力や機能に言及した文書に記載されており、その内容は個人データの収集、構造化、保管、転送、または自動化された手段により使用可能にすることを含みますが、それに限定されません。

6. 処理の目的:

6.1. お客様のデータ: アトラシアンは、お客様のデータを処理者として、以下の目的でお客様の書面による指示に従って処理します。

(a) 製品および関連するサポート、アドバイザリー サービスをお客様に提供ならびに改善し、セキュリティ インシデントの調査、問題およびバグ、エラーの解決など、本文書およびユーザーの指示に従い、クラウド製品を通じてさまざまな機能の使用を可能にする。

(b) 利用規定を適用する。

(c) アトラシアンの法律上の義務を遵守する。

6.2. 管理者の活動。アトラシアンは、アトラシアンのプライバシー ポリシーに規定されるとおり、個人データの管理者です。本 DPA は、アトラシアンがその立場において役割を果たすことを制限または禁止するものではありません。

7. 処理期間: アトラシアンは、第 6 条 (お客様の個人データの削除と返却) に概説されているように、契約期間中にお客様の個人データを処理します。

8. 復処理者への移転: アトラシアンは、第 4 条 (復処理) で許可されているとおり、お客様の個人データを復処理者に移転します。

本 DPA または契約で別途定義されていない限り、本別紙で使用されている大文字で始まるすべての用語は、本別紙の第 4 条で指定されている意味を持ちます。

1. ヨーロッパ、英国、スイス。

1.1 お客様の指示。上記の DPA 第 2 条 1 項 (お客様の指示) および別紙 1 (処理の説明) に加えて、アトラシアンは、アトラシアンに適用されるデータ保護法で規定されている場合を除き、お客様からの書面による指示に基づいてのみ、当該お客様の個人データの第三国または国際組織への移転に関する場合を含め、お客様の個人データを処理します。この場合、アトラシアンは、公共の利益という重要な根拠に基づいて、お客様にその法的要件を通知します。ただし、当該法令が公益重要な根拠に基づきこれを禁じている場合を除きます。アトラシアンは、お客様の処理に対する指示が適用されるデータ保護法に違反していることに気付いた場合、ただちにお客様に通知します。

1.2 欧州移転。EU のデータ保護法で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならないヨーロッパ以外の国に移転される場合、以下が適用されます。

(a) EU SCC は以下を参照してこの DPA に組み込まれます。

(i) お客様は「データ輸出者」であり、アトラシアンは「データ輸入者」です。
(iv) モジュール 2 (管理者から処理者) は、お客様がその個人データの管理者であり、アトラシアンがお客様の個人データを処理者として処理する場合に適用されます。
(iii) モジュール 3 (処理者から処理者) は、お客様がその個人データの処理者であり、アトラシアンがお客様の個人データを別の処理者として処理する場合に適用されます。
(iv) この DPA を締結することにより、各当事者は契約の開始日に EU SCC に署名したものとみなされます。

(b) 各モジュールについて、該当する場合:

(i) 第 7 項では、オプションのドッキング条項は適用されません。
(ii) 第 9 項ではオプション 2 が適用され、復処理者変更の事前通知の期間は、本 DPA の第 4 条 (復処理) に記載されています。
(iii) 第 11 項では、オプションの言語は適用されません。
(iv) 第 17 項ではオプション 1 が適用され、EU SCC はアイルランドの法律に準拠します。
(v) 第 18 項 (b) では、紛争はアイルランドの裁判所により解決されます。
(vi) EU SCC の付録には次のように記載されています。

• 付録 I(A) に必要な情報は、契約書および/または関連する命令に記載されています。
• 付録 I(B) に必要な情報は、この DPA の別紙 1 (処理の説明) に記載されています。
• 別紙 I(C) の管轄の監督機関は、適用されるデータ保護法に従って決定されます。
• 付録 II に必要な情報はここにあります。

1.3 スイスの移転。スイスのデータ保護法で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならない他の国に移転される場合、上記の第 1 条 2 項 (欧州移転) に記載されているとおり、以下の変更を加えた上で EU SCC が適用されます。

(a) EU SCC における「規制 (EU) 2016/679」に対する言及はすべてスイスのデータ保護法に対する言及として解釈され、「規制 (EU) 2016/679」の特定の条項に対する言及はスイスのデータ保護法の同等の項または条に置き換えられます。本 DPA における EU データ保護法に対する言及はすべて、データ保護法への言及として解釈されます。

(b) 第 13 条で、管轄の監督機関はスイス連邦データ保護情報委員会です。

(c) 第 17 条で、EU SCC はスイスの法律に準拠しています。

(d) 第 18 条 (b) で、紛争はスイスの裁判所で解決されます。

(e) 加盟国に対する言及はすべてスイスを含むものと解釈され、スイスのデータ主体は、第 18 条 (c) に従い、常居所での権利の行使から除外されません。

1.4 英国の移転。英国のデータ保護法で保護されている個人データが、直接または二次移転によって、十分性認定の対象とならないイギリス以外の国に移転される場合、以下が適用されます。

(a) EU SCC は、上記の第 1 条 2 項 (欧州移転) に記載されているとおり、以下の変更を加えた上で適用されます。

(i) 各当事者は英国補遺に署名したものとみなされます。
(ii) 英国補遺の表 1 で、両当事者の主な連絡先情報は、契約および/または関連する命令に記載されています。
(iii) 英国補遺の表 2 で、この英国補遺が添付されている EU SCC、モジュール、および一部の条項のバージョンに関する関連情報は、本別紙の第 1 条 2 項 (欧州移転) の上にあります。
(iv) 英国補遺の表 3:

• 付録 1A に必要な情報は、契約書および/または関連する命令に記載されています。
• 付録 1B に必要な情報は本 DPA の別紙 1 (処理の説明) に記載されています。
• 付録 II に必要な情報はここにあります。
• 付録 III に必要な情報は、本 DPA の第 4 条 (復処理) に記載されています。

(b) 英国補遺の表 4 では、データ輸入者とデータ輸出者の両方が英国補遺を終了できます。

1.5 データ プライバシー フレームワーク。アトラシアンはデータ プライバシー フレームワークに参加し、その遵守を証明しています。データ プライバシー フレームワークで規定されているとおり、アトラシアンは (i) データ プライバシー フレームワーク原則で規定されているのと少なくとも同じレベルのプライバシー保護を提供します。(ii) データ プライバシー フレームワーク原則で規定されているのと同じレベルの保護を提供する義務を果たせなくなったと判断した場合は、お客様に通知します。(iii) 書面による通知をもって、個人データの不正処理を是正するために合理的かつ適切な措置を講じます。

2. アメリカ合衆国。アトラシアンが米国州のプライバシー法に従って個人データを処理する場合、以下の条件が適用されます。

2.1. お客様の個人データに米国州のプライバシー法で保護されている個人情報が含まれており、それをアトラシアンがお客様に代わってサービス提供者または処理者として処理する場合、アトラシアンは、米国州のプライバシー法の該当する項を遵守し、米国州のプライバシー法で規定されているのと同じレベルのプライバシー保護を提供することを含め、米国州のプライバシー法に従って、またお客様の書面による指示に従って、本 DPA の第 6 条 1 項と別紙 1 (処理の説明) で特定された限定的および特定の目的に必要な範囲で、当該お客様の個人データを処理します。アトラシアンは、

(a) 米国州のプライバシー法で許可されている場合を除き、本 DPA、契約、および/または関連する命令で特定された限定的かつ特定の目的以外の商業目的で当該お客様の個人データを保持、使用、開示、またはその他の方法で処理しません。

(b) 米国州のプライバシー法の意味の範囲内で当該お客様の個人データを「販売」または「共有」しません。および

(c) 米国州のプライバシー法で許可されている場合を除き、お客様の個人データをお客様との直接の取引関係の外で保持、使用、開示、またはその他の方法で処理せず、当該お客様の個人データを他の情報源から入手した個人情報と組み合わせません。

2.2. アトラシアンは、米国州のプライバシー法に基づく義務を履行できなくなったと判断した場合、お客様に通知する必要があります。

2.3. お客様は、お客様の個人データの不正処理を停止および是正するための合理的かつ適切な措置を講じることができます。

2.4. お客様が非識別データをアトラシアンに開示または提供する場合、またはアトラシアンがお客様の個人データから非識別データを作成する場合、いずれの場合も、アトラシアンはサービス提供者としての立場で、

(a) 当該非識別データが特定の自然人や世帯についての情報の推測に使用されたり、その他の方法で関連付けられたりすることを防ぐために、合理的な対策を講じます。

(b) 当該非識別データを非識別化された形式で維持および使用すること、および当該データの再特定化を試みないことを公に約束します。ただし、その非識別化プロセスが米国州のプライバシー法に準拠しているかどうかを判断する目的でのみ、当該データの再特定化を試みることができます。および

(c) 復処理者、請負業者、その他の人物を含む他の当事者 (「受領者」) に非識別データを共有する前に、当該受領者に本第 2 条 3 項のすべての要件を遵守するよう契約上義務付けます (この要件を他の受領者に課すことも含む)。

3. 韓国

3.1. お客様は、アトラシアンが本契約に従って個人データを処理するために通知を行い、韓国のデータ保護法に従って必要なすべての同意と権利を取得したことに同意します。

3.2. お客様が非識別データをアトラシアンに開示または他の方法で提供した場合、アトラシアンは、

(a) 当該非識別データを非識別化された形式で維持して使用し、非識別データの再特定化を試みません。および

(c) 復処理者、請負業者、その他の人物を含む他の当事者 (「受領者」) に非識別データを共有する前に、当該受領者に本第 3 条 2 項のすべての要件を遵守するよう契約上義務付けます (この要件を他の受領者に課すことも含む)。

4. 定義。

「非識別データ」とは、データ主体に関する情報を推測したり、その他の方法でデータ主体と関連付けたりするために合理的に使用できないデータを意味します。

「データ プライバシー フレームワーク」とは、EU - 米国間のデータ プライバシー フレームワーク、EU - 米国間のデータ プライバシー フレームワークの英国への拡張、および米国商務省が運営するスイス-米国間のデータ プライバシー フレームワークの自己認証プログラムを指します。

「ヨーロッパ」には、この DPA の目的上、欧州連合と欧州経済地域の加盟国が含まれます。

EU データ保護法には以下が含まれます。(i) 個人データの処理および当該データの自由な移動に関する自然人の保護についての欧州議会および理事会の規則 2016/679 (一般データ保護規則、または GDPR) および (ii) 随時改正、更新、または置換される EU e プライバシー指令 (指令 2002/58/EC)。

「EU SCC」とは、欧州議会および理事会による規制 (EU) 2016/679 に基づく第三国への個人データの移転に関する標準的契約条項について、2021 年 6 月 4 日の欧州委員会の実施決定 2021/914 に付属する契約条項であり、随時改正、更新、または置換されます。

「サービス提供者」は CCPA における定義と同じ意味を持ちます。

「韓国のプライバシー法」とは、韓国の個人情報保護法とその執行令を意味します。

「スイスのデータ保護法」とは、随時改正、更新、置換されるスイス連邦のデータ保護法とその施行規則を指します。

「英国補遺」とは、2022 年 3 月 21 日発効の、英国情報委員会によって発行された欧州委員会標準的契約条項バージョン B1.0 へのデータの国際的な移転に関する補遺であり、随時改正、更新、または置換されます。

英国のデータ保護法とは、随時改正、更新、置換される英国の 2018 年欧州連合 (撤退) 法の第 3 条により英国法に組み込まれた 2018 年のデータ保護法と GDPR を意味します。

「米国州のプライバシー法」とは、アメリカ合衆国で施行されている個人データの保護と処理に関連するすべての州法を意味します。これには、カリフォルニア州プライバシー権法およびその施行規則 (「CCPA」) によって改正されたカリフォルニア州消費者プライバシー法が含まれますが、これらに限定されません。