SYAGA AuditMicrosoft 365 Edition
Начало Функционалности Сигурност Как работи Цени
Вход Стартирайте безплатната ми диагностика

Споразумение за обработване на данни (DPA)

Сключено в приложение на член 28 от Регламент (ЕС) 2016/679 (ОРЗД) (източник: gdpr-info.eu/art-28-gdpr)

Засегната услуга: SYAGA Audit - одит на сигурността и съответствието на Microsoft 365, само за четене

Версия: 1.0 - Дата: 27 юни 2026 г. - Дата на влизане в сила: 27 юни 2026 г.


Идентификация на Страните

Обработващият лични данни:

SYAGA CONSULTING, дружество с ограничена отговорност (SARL) с капитал от 20 000 евро, вписано в Търговския регистър (RCS) на Aix-en-Provence под номер SIREN 518 489 471, учредено на 08.12.2009 г., представлявано от своя управител Sébastien Questier, със седалище на адрес 2 Impasse Paul Langevin, 13110 Port-de-Bouc, издател на услугата SYAGA Audit, наричано по-долу Обработващия лични данни.

И

Администраторът на лични данни: Клиентът, абонирал се за услугата SYAGA Audit съгласно условията на ОУ, достъпни на адрес cgu.html, чиито данни за контакт са тези, посочени при абонирането, наричан по-долу Администратора на лични данни.

Наричани по-долу заедно Страните.


Преамбюл

Настоящото Споразумение за обработване на данни (DPA) е сключено в приложение на член 28 от ОРЗД, който изисква обработване, извършвано от обработващ лица от името на администратор на лични данни, да бъде уредено с договор, определящ предмета, продължителността, естеството и целта на обработването, вида лични данни, категориите субекти на данни, както и задълженията и правата на администратора на лични данни.

Настоящото DPA е акцесорно към Общите условия за продажба и услуга (ОУ) на SYAGA Audit (Основния договор). В случай на противоречие между настоящото DPA и Основния договор по въпрос, свързан със защитата на данните, настоящото DPA има предимство. В случай на противоречие относно защитата на личните данни, настоящото DPA има предимство пред ОУ.

Абонирайки се за услугата SYAGA Audit, Клиентът приема условията на настоящото DPA. Електронното приемане се счита за приемане на DPA съгласно разпоредбите, приложими за сключването на договори по електронен път.


Член 1 - Предмет и доктрина на услугата

Настоящото DPA определя условията, при които Обработващият лични данни се задължава да извършва, от името и по документирано указание на Администратора на лични данни, операциите по обработване на лични данни, необходими за предоставянето на услугата SYAGA Audit.

SYAGA Audit извършва одит на сигурността и съответствието на средата Microsoft 365 на Администратора на лични данни само за четене: Услугата никога не записва, не изменя и не изтрива данни в одитирания тенант.

Обработващият лични данни прилага доктрина с нулево знание (zero-knowledge): събирането и псевдонимизацията се извършват в браузъра на Клиента (разширение). Обработващият лични данни никога не получава суровите данни на тенанта, нито токена за достъп на Microsoft на Клиента: единствено псевдонимизирани отпечатъци. Токенизираните одитни резултати се съхраняват в клиентския профил, за да могат да бъдат отваряни повторно от Клиента, докато той е активен; те се възстановяват в чист вид единствено на устройството на Клиента.


Член 2 - Естество, цел и срок на обработването

2.1 Естество на операциите. Операциите се състоят в: събиране (четене, най-малка привилегия) чрез API на Microsoft, извършвано от разширение за браузър, изпълнявано на устройството на Клиента; локална псевдонимизация; анализ от страна на Обработващия лични данни единствено на псевдонимизираните отпечатъци спрямо референтни рамки за сигурност (ANSSI, препоръки на Microsoft, ОРЗД, NIS2); предоставяне под формата на доклади, възстановени в контекст на устройството на Клиента.

2.2 Изключителна цел. Целта е оценка на състоянието на сигурността и съответствието на тенанта Microsoft 365 на Администратора на лични данни и изготвянето на свързаните одитни доклади. Не се допуска никаква друга цел (маркетинг, профилиране, повторно използване за собствени нужди на Обработващия лични данни).

2.3 Продължителност. Обработването се извършва през времетраенето на изпълнение на Основния договор. Суровите данни се заличават незабавно при предаването на Доклада.


Член 3 - Категории обработвани лични данни

Обработващият лични данни обработва следните категории данни:

  • Данни за конфигурацията и метаданни за сигурността: настройки на тенанта, политики за условен достъп, конфигурация на MFA, административни роли и разрешения, настройки за споделяне, статус на активиране на функциите за сигурност
  • Метаданни за самоличност и директория: идентификатори на акаунти (UPN), показвани имена, членство в групи, атрибути от директорията, релевантни за одита
  • Журнали и метаданни на събития за сигурност: журнали за връзка, одитни събития, метаданни, необходими за оценката на проверките

Изрични изключения. Обработващият лични данни не обработва съдържанието на имейли, файлове или документи. Обработват се единствено метаданни и данни за конфигурацията.

Специални категории данни. Обработването няма за предмет обработването на специални категории данни по смисъла на член 9 от ОРЗД. Администраторът на лични данни се задължава да не конфигурира услугата по начин, водещ до такова обработване.


Член 4 - Категории субекти на данни

Субектите на данни са титулярите на акаунти и самоличности в рамките на тенанта Microsoft 365 на Администратора на лични данни: служители, ръководители, администратори, доставчици и гости, разполагащи с акаунт в одитираната директория.


Член 5 - Документирани указания на Администратора на лични данни

Обработващият лични данни обработва данните единствено по документирано указание на Администратора на лични данни (чл. 28, § 3, б. „а“ от ОРЗД), включително по отношение на трансфери към трета държава, освен при императивно законово задължение (в който случай уведомява Администратора на лични данни преди обработването, освен ако законова забрана не допуска това).

Настоящото DPA, приложенията към него и ОУ представляват първоначалните документирани указания. Обработващият лични данни уведомява незабавно Администратора на лични данни, ако прецени, че дадено указание представлява нарушение на ОРЗД (чл. 28, § 3, последна алинея от ОРЗД).


Член 6 - Поверителност

Обработващият лични данни следи лицата, оправомощени да обработват данните, да се задължат да спазват поверителност или да бъдат обвързани от подходящо законово задължение за поверителност (чл. 28, § 3, б. „б“ от ОРЗД), както и да преминат необходимото обучение по защита на данните. Това задължение остава в сила след прекратяването на функциите и след приключването на настоящото DPA.


Член 7 - Мерки за сигурност (чл. 32 от ОРЗД) и съответствие с референтни рамки

Обработващият лични данни прилага подходящи технически и организационни мерки за гарантиране на ниво на сигурност, съответстващо на риска (чл. 32 от ОРЗД). Действащите мерки включват по-специално:

  • Архитектура с нулево знание (zero-knowledge): събирането и псевдонимизацията се извършват в браузъра на Клиента (разширение); Обработващият лични данни получава само псевдонимизирани отпечатъци; суровите данни на тенанта и токенът на Microsoft никога не му се предават
  • Най-малка привилегия: свързване чрез OAuth Microsoft с най-тесните разрешения, предлагани от Microsoft за всеки обхват; Услугата никога не записва, не изменя и не изтрива данни от одитирания тенант
  • Шифроване при пренос: TLS 1.2/1.3 за всички комуникации; активирани SPF, DKIM и DMARC
  • Токен на Microsoft: никога не напуска браузъра на Клиента; Обработващият лични данни никога не го получава, нито го съхранява
  • Хостинг във Франция: инфраструктура на OVH (Франция), стопанисвана за SYAGA CONSULTING
  • Управление на достъпа: принцип на най-малката привилегия; поименни разрешения; редовен преглед
  • Защита срещу злоупотреби: таван от 2 одита на ден за тенант; мерки срещу DDoS атаки
  • Водене на журнали: проследимост на достъпите до данните
  • Редовни тестове на ефективността на мерките за сигурност

Съответствие с признати рамки за сигурност

Горепосочените мерки са разработени в съответствие със следните референтни рамки. SYAGA не претендира за никаква формална сертификация по тези референтни рамки - мерките са съобразени с изискванията на стандарта ISO/IEC 27001, като процедура по сертифициране е започната, но към момента сертификат не е получен; става въпрос за функционално съответствие:

Референтна рамкаПриложимост за SYAGA AuditОфициален източник
ОРЗД (ЕС) 2016/679 Пряко приложима нормативна база. Чл. 32: технически и организационни мерки. Ефимерната архитектура = мярка за минимизиране, съответстваща на чл. 5, § 1, б. „д“. eur-lex.europa.eu CELEX:32016R0679
Директива NIS2 (ЕС) 2022/2555 Мерки за управление на риска в киберсигурността (чл. 21 от NIS2): непрекъснатост на дейността, управление на инциденти, сигурност на мрежите, шифроване. SYAGA Audit помага на клиентите да оценят собственото си съответствие с NIS2 в своя тенант M365. SYAGA, чиито персонал и оборот са под праговете за „важни субекти“ по смисъла на Директива (ЕС) 2022/2555 (50 служители или 10 млн. EUR), не попада в обхвата на субектите, задължени по NIS2. Въпреки това SYAGA Audit помага на своите клиенти да измерят своето съответствие с тази референтна рамка. eur-lex.europa.eu CELEX:32022L2555
Регламент DORA (ЕС) 2022/2554 Цифрова оперативна устойчивост за регулираните финансови субекти. SYAGA Audit може да помогне на клиентите от финансовия сектор да документират своята позиция по DORA в своя тенант M365. Тъй като SYAGA не е регулиран финансов субект, DORA не ѝ се прилага пряко; договорни задължения могат да се прилагат за конкретния случай за клиенти от финансовия сектор, попадащи в обхвата на DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Рамка на СУСИ: политика за сигурност, управление на риска, контрол на достъпа, шифроване, водене на журнали. Мерките на SYAGA Audit са съобразени със съответните контроли на ISO 27002. Мерките на SYAGA Audit са съобразени с изискванията на стандарта ISO/IEC 27001, като процедура по сертифициране е започната, но към момента сертификат не е получен. iso.org/standard/27001
Препоръки на ANSSI Ръководство за информационна хигиена, препоръки за сигурност на информационните системи. Мерки, вдъхновени от препоръките на ANSSI относно управлението на акаунтите, шифроването и воденето на журнали. SYAGA Audit оценява конфигурациите на M365 спрямо препоръките на ANSSI. ssi.gouv.fr

Пълните подробности за техническите и организационните мерки са посочени в Приложение 1.


Член 8 - Използване на последващи обработващи лица

Администраторът на лични данни разрешава на Обработващия лични данни да ползва последващите обработващи лица, изброени в Приложение 2. За всеки нов или заменящ обработващ, Обработващият лични данни уведомява Администратора на лични данни писмено най-малко тридесет (30) дни преди влизането в сила, като Администраторът на лични данни разполага със срок от тридесет (30) дни, за да възрази по разумни причини, свързани със защитата на данните (чл. 28, § 2 и § 4 от ОРЗД). Тези срокове и условия се прилагат, освен ако между Страните не е постигнато специално споразумение.

Обработващият лични данни налага на последващите обработващи, по договорен път, същите задължения за защита на данните като предвидените в настоящото DPA (чл. 28, § 4 от ОРЗД) и остава изцяло отговорен пред Администратора на лични данни за тяхното изпълнение.


Член 9 - Съдействие на Администратора на лични данни

9.1 Права на субектите на данни (чл. 12-22 и чл. 28, § 3, б. „д“ от ОРЗД). Обработващият лични данни предава без забавяне на Администратора на лични данни всяко искане за упражняване на права, получено директно от субект на данни, и му съдейства за отговора.

9.2 Сигурност и ОВЛД (чл. 32-36 и чл. 28, § 3, б. „е“ от ОРЗД). Обработващият лични данни съдейства на Администратора на лични данни за сигурността на обработването, извършването на оценка на въздействието (ОВЛД), ако е необходимо, и предварителна консултация с CNIL, когато е приложимо.

9.3 Нарушения на сигурността на данните (чл. 33 и 34 от ОРЗД). Обработващият лични данни уведомява Администратора на лични данни за всяко нарушение на сигурността на данните в максимален срок от четиридесет и осем (48) часа, след като е узнал за него, в най-кратък срок, така че да позволи на администратора на лични данни да спази 72-часовия срок, предвиден в член 33 от ОРЗД, като предоставя полезната за евентуалното уведомление информация.


Член 10 - Съдба на данните при прекратяване на договора

При приключването на настоящото DPA, Обработващият лични данни пристъпва, в срок от тридесет (30) дни след прекратяването на договора, съгласно избора на Администратора на лични данни, съобщен писмено (чл. 28, § 3, б. „ж“ от ОРЗД):

Забележка: предвид ефимерната архитектура на услугата, никакви одитни данни не се съхраняват след приключването на услугата; съхраняват се единствено данните за фактуриране, съгласно законовите задължения (10 години).

  • или към връщането на Администратора на лични данни на обработваните лични данни, в структуриран формат (JSON или CSV, в зависимост от наличността);
  • или към сигурното изтриване на всички данни, включително копията, освен при законово задължение за съхранение.

Съгласно ефимерната архитектура на услугата, суровите одитни данни вече са заличени при предаването на Доклада. Обработващият лични данни предоставя, при поискване, удостоверение за заличаване.


Член 11 - Одити и проверки

Обработващият лични данни предоставя на разположение на Администратора на лични данни цялата информация, необходима за доказване на спазването на задълженията по член 28 от ОРЗД, и допуска извършването на одити, включително проверки на място (чл. 28, § 3, б. „з“ от ОРЗД).

Одитите се извършват при следните условия: писмено предизвестие от най-малко тридесет (30) работни дни, извършване в рамките на работното време, максимална честота от един (1) одит за период от дванадесет (12) месеца, освен при извънредни обстоятелства (по-специално доказан инцидент със сигурността), разходите се поемат от Администратора на лични данни, поверителност на получената информация.


Член 12 - Трансфери извън Европейския съюз

12.1 Основно място на обработване. Данните се обработват и хостват във Франция. SYAGA CONSULTING е субект по френското право. Косвена изложеност на CLOUD Act чрез трети доставчици не може да бъде напълно изключена; SYAGA я ограничава чрез хостинг във Франция (OVH SAS) и най-вече чрез псевдонимизацията: услугата получава само токени, никога данните ви в чист вид.

12.2 Използване на Microsoft. Администраторът на лични данни признава, че API Microsoft Graph се стопанисва от Microsoft Corporation (САЩ). Трансферите с участието на Microsoft са уредени от стандартните договорни клаузи, одобрени от Европейската комисия, и при необходимост, от рамката EU-U.S. Data Privacy Framework. Одитираните данни са тези от собствения тенант Microsoft 365 на Клиента, преглеждани само за четене от негово име чрез Microsoft Graph. Microsoft действа като доставчик на Клиента; SYAGA не е неин последващ обработващ лични данни.

12.3 Общи гаранции. Всеки трансфер извън ЕС, извършен от Обработващия лични данни или от последващ обработващ, се обуславя от прилагането на валиден механизъм по смисъла на глава V от ОРЗД (решение за адекватност, стандартни договорни клаузи или друга подходяща гаранция).


Член 13 - Контакт за защита на данните

Обработващ лични данни (SYAGA CONSULTING): точка за контакт по защита на данните - contact@syaga.fr. Назначаването на длъжностно лице по защита на данните не е задължително по смисъла на член 37 от ОРЗД; отговорник за защитата на данните е управителят Sébastien Questier, точка за контакт по всички въпроси, свързани с личните данни.

Администратор на лични данни: лице за контакт по ОРЗД, определено от Клиента съгласно собствените му задължения.


Член 14 - Срок, изменение и приложимо право

Настоящото DPA влиза в сила при абонирането за услугата SYAGA Audit и остава в сила през цялото времетраене на обработването, извършвано от името на Администратора на лични данни.

Всяка съществена промяна подлежи на предварително уведомление до Администратора на лични данни. Продължаването на използването на услугата след срока за уведомление се счита за приемане на измененията. Тези условия за изменение съответстват на изискванията на член 28 от ОРЗД за споразуменията за обработване на данни.

Настоящото DPA се урежда от френското право. Всеки спор е от компетентността на съдилищата в юрисдикцията на Aix-en-Provence, при спазване на приложимите императивни норми за трансгранични спорове.


Приложение 1 - Подробно описание на обработването и мерките за сигурност (чл. 32 от ОРЗД)

ПараметърОписание
ЦелиОдит на сигурността и съответствието на M365 - изготвяне на доклади
Категории данниМетаданни за конфигурацията, метаданни за самоличност (UPN, имена), журнали за сигурност
Специални категории (чл. 9)Никакво
Субекти на данниАкаунти и самоличности на тенанта Microsoft 365 на Клиента
Съхранение на сървъраСурови данни на тенанта: никога не се предават (псевдонимизация в браузъра). Токенизирани резултати: съхраняват се в клиентския профил, докато Клиентът е активен.
Място на обработванеФранция (инфраструктура на SYAGA CONSULTING)
Шифроване при преносTLS 1.2/1.3 - всички комуникации; SPF/DKIM/DMARC
Токен на MicrosoftНикога не напуска браузъра на Клиента; никога не се получава от Обработващия лични данни
АрхитектураСъбиране и псевдонимизация чрез разширение в браузъра на Клиента; Обработващият лични данни анализира само отпечатъци
Управление на достъпаПринцип на най-малката привилегия; поименни разрешения
Защита срещу злоупотребиТаван 2 одита/ден/тенант; защита срещу DDoS
Водене на журналиМинимални технически журнали за експлоатация и сигурност, без лични одитни данни, съхранявани около 12 месеца, съгласно препоръките на CNIL.
Съответствие с референтни рамки за сигурностМерки, съобразени с чл. 32 от ОРЗД, ISO/IEC 27001 (процедура по сертифициране е започната, но към момента сертификат не е получен), препоръките на ANSSI.

Приложение 2 - Списък на разрешените последващи обработващи лица

Последващ обработващ лични данниУслугаМестоположениеГаранции при трансфер
Microsoft Corporation API Microsoft Graph - достъп за четене до данните за конфигурацията на тенанта ЕС + САЩ (инфраструктура на Microsoft) Microsoft действа като доставчик на Клиента (а не като последващ обработващ лични данни на SYAGA). Трансферите са уредени от стандартните договорни клаузи на ЕК и участието на Microsoft в рамката EU-U.S. Data Privacy Framework.
OVH SAS (хостинг, Roubaix, Франция) Хостинг на платформата SYAGA Audit Франция Неприложимо (ЕС)
Stripe Inc. Плащане - единствено данни за фактуриране на Клиента (без данни от тенанта) САЩ / ЕС EU-U.S. Data Privacy Framework (Stripe е сертифициран) и, при необходимост, Стандартни договорни клаузи на ЕК (2021) - Data Transfers Addendum на Stripe.

Правни препратки

  • CNIL - обработващ лични данни, задължения по чл. 28 от ОРЗД: cnil.fr/fr/sous-traitant
  • Регламент (ЕС) 2016/679 (ОРЗД), членове 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
  • Директива NIS2 (ЕС) 2022/2555, чл. 21: EUR-Lex CELEX:32022L2555
  • Регламент DORA (ЕС) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Ръководство за информационна хигиена: ssi.gouv.fr
  • Френски закон № 78-17 от 6 януари 1978 г., изменен: Légifrance
SYAGA Audit
Сигурност Поверителност CGU DPA Правна информация © 2026 SYAGA