GDPR a data residency

By Martin Cvrček
3 min

GDPR podle Atlassian

Obecná odpověď na řešení GDPR v rámci Atlassian produktů je zde https://www.atlassian.com/trust/privacy/country/europe-and-gdpr

Pokud tedy musí mít ze zákona GDPR data na Evropských serverech

pak obecná odpověď na umístění dat je zde https://www.atlassian.com/software/data-residency

Konkrétně pro Jira, Jira Service Management a Confluence pro předplatné plány Enterprise, Premium a Standard platí vyjádření zde Understand data residency | Atlassian Support

Lokace v EU zahrnuje regiony pro služby AWS (Amazon Web Services) Frankfurt a Dublin.

Odpověď pro není jedna, protože jde do více datových objektů a záleží, zda používaji i addony 3tích stran a pro jaká data, zde je komplentní tabulka z odkazu:

Product

✅ Can be pinned

❌ Can’t be pinned

Product

✅ Can be pinned

❌ Can’t be pinned

Jira Software

  • All attachments

  • Board and sprint data

  • Comments

  • In-product notification data

  • Jira issues and field content (including system and custom fields)

  • Jira search data

  • Project configuration data (including workflows, custom field configuration, and board configuration)

  • Connected DevOps data (including commits, branches, pull requests, builds, deployments. feature flags, remote links)

  • Product analytics

Jira Service Management

  • All attachments

  • Comments

  • In-product notification data

  • Asset object data and schema configuration data

  • Jira issues, request types, and field content (including system and custom fields)

  • Jira search data 

  • Project configuration data (including workflows and custom field configuration)

  • Queue data

  • Any incident management functionality powered by Opsgenie. Learn about data residency for Opsgenie.

  • Customer accounts

  • Knowledge base category data (if integrated with Confluence)

  • Product analytics

  • SLA configuration data

  • Halp data

  • Configuration management databases (CMDB) used for the external asset platform.

Confluence

  • All attachments

  • Comments

  • Confluence page and blog data

  • In-product notification data

  • Page and comment likes

  • Page metadata

  • Source data for notifications in emails

  • Permission and restriction configuration data

  • Product analytics (search data and space keys)

Atlassian Access

 

  • User account information data

  • Audit log events

All products

 

  • Atlassian Marketplace and app data

  • Automation rule configuration data

  • Cached content including emails and notifications (up to 30 days)

  • Data in transit (up to 30 days)

  • Product, audit, and operational logs

  • Product analytics

  • Team profile information data

  • Third-party product integration data

  • Transient rule execution data

  • User account information data

  • User analytics

Atlassian Analytics and Atlassian Data Lake

Product data stored in the Atlassian Data Lake

  • Chart metadata (including chart titles, settings, annotations, queries, and comments)

  • Dashboard metadata (including dashboard titles, URL slugs, and other settings; comments; variables; subscription configuration (including email, frequency, and variables); and text elements)

  • Data sources (including data source names and configuration data)

  • Activity (including query logs and activity logs for dashboards and data sources)

 

 

“Lidská odpověď“:

Oběcně - dá se to u Atlassianu pohlídat, pro některá data více pro jiná méně.

V rámci Confluence a Jira s osobními daty (osobní údaje):

  1. Jira - osobní data by neměly být řešeny v Product analytics.

  2. JSM - osobní data by neměly být řešeny tam, kde nebudou v EU, tedy Customer accounts, Knowledge base category data, Product analytics,…

  3. Confluence - osobní data by neměly být součástí Product analytics (search data and space keys).

  4. Atlassian Access - tam je to pro osobní data sporné pokud budou součástí User account information data.

  5. Všechny addony - obecně, tam záleží aby splňoval GDPR dodavatel addonu.

 

Dále je vhodné nastavit, nejen přístupová práva, ale i např. šifrovat citlivá data a ukázat jen pro vybrané skupiny uživatelů.

Není nutné uzavřít specifickou smlouvu, (obávám se) že to ani není možné, je nutné respektovat konkrétní konfiguraci produktů a zejména addonů, nebo nakoupit jiné addony, které GDPR splňují.

 

Zdroje:

Diskuze v komunitě s odpovědí od Atlassianu
https://community.atlassian.com/t5/Jira-questions/GDPR-European-quot-General-Data-Protection-Regulation-quot/qaq-p/638038

Atlassian Cloud Terms of Service

https://www.atlassian.com/legal/cloud-terms-of-service

Mezinárodní předávání údajů po rozhodnutí Schrems II

https://www.atlassian.com/trust/privacy/latest-updates/international-data-transfers