Dopady Atlassian Data-contribution v souvislosti s GDPR a NIS2
Atlassian od 17. srpna 2026 mění způsob nakládání se zákaznickými daty. V rámci programu Data Contribution budou metadata a volitelně i obsah z produktů Jira, Confluence a Rovo využívány ke zlepšování AI funkcí napříč zákazníky. Pro organizace podléhající GDPR a NIS2 to znamená nutnost přijmout konkrétní opatření – jejich rozsah se liší podle typu licence.
Společné kroky pro všechny plány
Tyto kroky platí bez ohledu na plán:
-
Aktualizovat záznamy o zpracování (čl. 30 GDPR) – doplnit nový účel zpracování: „zlepšování produktů a AI funkcí Atlassian napříč zákazníky (de-identifikovaná metadata a případně in-app data)".
-
Posoudit právní základ zpracování – ověřit, zda stávající právní základ pokrývá rozšířený účel; případně provést balancing test oprávněného zájmu.
-
Aktualizovat informační povinnost (čl. 13/14 GDPR) – informovat subjekty údajů (zaměstnance, uživatele) o novém účelu a rozsahu sdílení dat s Atlassianem.
-
Provést nebo aktualizovat DPIA (čl. 35 GDPR) – posoudit dopad sdílení metadat i in-app dat na práva subjektů údajů, včetně rizika re-identifikace.
-
Ověřit přenosy dat do třetích zemí – zkontrolovat, zda DPA a EU SCCs pokrývají i nově sdílená data; ověřit, zda data residency platí i pro odvozená metadata.
-
Aktualizovat analýzu rizik dodavatelského řetězce (NIS2 čl. 21/2/d) – zdokumentovat změnu rizikového profilu Atlassianu jako dodavatele ICT.
-
Zdokumentovat rozhodnutí a audit trail – zaznamenat kdo, kdy a jak nastavil Data Contribution konfiguraci; uložit jako důkaz pro audit.
-
Nastavit pravidelnou revizi – zařadit konfiguraci do cyklu bezpečnostních auditů; monitorovat změny v Atlassian DPA.
Free a Standard plán
Možnosti nastavení:
-
✅ In-app data contribution → lze vypnout (Off)
-
❌ Metadata contribution → nelze vypnout
Specifické kroky:
-
Vypnout in-app data contribution – nastavit na „Off" v admin.atlassian.com ihned po zpřístupnění (květen 2026).
-
Minimalizovat citlivý obsah v metadatech (kompenzační opatření):
-
Vyhnout se citlivým termínům v názvech projektů, issues a prostorů.
-
Omezit používání Rovo Chatu a Rovo Search pro dotazy na citlivá témata (common patterns se extrahují z vyhledávání).
Zvážit přesun nejcitlivějších dat mimo Atlassian nástroje.
-
Formálně zdokumentovat residuální riziko – zaznamenat do registru rizik, že metadata nelze vypnout; definovat vlastníka rizika a termín revize.
-
Zvážit upgrade na Enterprise – jako jediný způsob, jak metadata contribution zcela eliminovat.
Premium plán
Možnosti nastavení:
-
✅ In-app data contribution → lze vypnout (Off)
-
❌ Metadata contribution → nelze vypnout
Specifické kroky:
Kroky 9–12 jsou totožné s Free/Standard. Premium plán nepřináší v oblasti Data Contribution žádné dodatečné možnosti oproti Standard.
Enterprise plán
Možnosti nastavení:
-
✅ In-app data contribution → lze vypnout (Off)
-
✅ Metadata contribution → lze vypnout (Off)
Specifické kroky:
-
Vypnout in-app data contribution – nastavit na „Off" v admin.atlassian.com.
-
Vypnout metadata contribution – nastavit na „Off" v admin.atlassian.com.
-
Pokud se organizace rozhodne ponechat in-app data zapnuté – využít granulární nastavení: selektivně vyloučit konkrétní Confluence prostory a Jira projekty obsahující citlivý obsah.
Srovnávací tabulka
|
Krok |
Free |
Standard |
Premium |
Enterprise |
|---|---|---|---|---|
|
Společné GDPR/NIS2 kroky (1–8) |
✅ |
✅ |
✅ |
✅ |
|
Vypnout in-app data |
✅ |
✅ |
✅ |
✅ |
|
Vypnout metadata |
❌ |
❌ |
❌ |
✅ |
|
Granulární výběr prostorů/projektů |
❌ |
❌ |
❌ |
✅ |
|
Kompenzační opatření pro metadata |
✅ nutné |
✅ nutné |
✅ nutné |
⚪ volitelné |
|
Dokumentace residuálního rizika |
✅ nutné |
✅ nutné |
✅ nutné |
⚪ není třeba |
|
Zvážit upgrade na Enterprise |
✅ doporučeno |
✅ doporučeno |
✅ doporučeno |
— |
Sdílejte