Zásady ochrany osobních údajů
Verze 1.0 - Poslední aktualizace: 25. června 2026
Preambule
Účelem těchto Zásad ochrany osobních údajů je informovat uživatele a klienty služby SYAGA Audit o způsobu, jakým jsou jejich osobní údaje shromažďovány, zpracovávány a chráněny, v souladu s nařízením (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (GDPR) a se zákonem č. 78-17 ze dne 6. ledna 1978 v platném znění o výpočetní technice, souborech a svobodách.
SYAGA Audit je služba bezpečnostního auditu a auditu souladu prostředí Microsoft 365, fungující výhradně v režimu čtení nad konfiguracemi a metadaty tenantu Microsoft 365 klienta. Služba nepřistupuje k obsahu zpráv, souborů ani e-mailů uživatelů auditovaného tenantu a neukládá žádná hesla.
Tento dokument splňuje informační povinnost stanovenou v článcích 13 (přímý sběr) a 14 (nepřímý sběr) GDPR.
1. Identifikace a kontaktní údaje správce
Správcem údajů pro data účtu a řízení vztahu s klientem je:
SYAGA CONSULTING
- Forma: společnost s ručením omezeným (SARL) se základním kapitálem 20 000 EUR
- SIREN: 518 489 471, obchodní rejstřík Aix-en-Provence
- Sídlo: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francie
- Identifikační číslo pro DPH v rámci EU: FR93 518489471
- E-mail: contact@syaga.fr
Vztah zpracovatel / správce: u konfiguračních dat a metadat tenantu Microsoft 365 shromážděných při auditu vystupuje SYAGA jako zpracovatel ve smyslu článku 28 GDPR, přičemž klient zůstává správcem svých vlastních dat M365. Tyto zásady se vztahují na rozsah, v němž SYAGA vystupuje jako správce (data účtu, fakturace, podpora). Zpracování prováděné jménem klienta se řídí Smlouvou o zpracování údajů (DPA).
Kontakt pro ochranu osobních údajů
Pro jakýkoli požadavek týkající se ochrany dat: contact@syaga.fr
Jmenování pověřence pro ochranu osobních údajů není podle článku 37 GDPR povinné; kontaktní osobou pro veškeré dotazy týkající se osobních údajů je správce údajů v osobě jednatele.
2. Shromažďované osobní údaje
2.1 Data účtu a řízení vztahu s klientem
SYAGA jako správce shromažďuje:
- Identita kontaktní osoby: jméno, příjmení, funkce
- Pracovní kontaktní údaje: e-mailová adresa, obchodní firma
- Autentizační data ke Službě (token OAuth Microsoft, žádné heslo se na straně SYAGA Audit neukládá)
- Fakturační a smluvní data
- Data podpory a komunikace
- Technické protokoly připojení (IP adresy, časová razítka)
2.2 Auditní data (konfigurace a metadata Microsoft 365)
V rámci auditu Služba přistupuje výhradně ke čtení, prostřednictvím rozhraní Microsoft Graph API, ke konfiguračním datům a metadatům tenantu M365 klienta, zejména:
- Bezpečnostní konfigurační parametry (zásady podmíněného přístupu, nastavení MFA, nastavení sdílení)
- Metadata týkající se uživatelských účtů (UPN, role, stav MFA, atributy adresáře Entra ID)
- Ukazatele a metadata stavu zabezpečení (Secure Score, konfigurační upozornění)
Co Služba neshromažďuje: obsah e-mailů, souborů, dokumentů, zpráv, hesla, citlivé údaje ve smyslu článku 9 GDPR.
Efemérní architektura: audit běží v operační paměti v jednorázovém skenovacím kontejneru (bez ukládání na disk). Zpráva je klientovi doručena jednorázově, poté jsou surová data ze skenu a přístupový token vymazány. Token je po dobu auditu šifrován v klidovém stavu (Fernet). Maximální bezpečnostní TTL: 2 hodiny. SYAGA na straně serveru uchovává pouze fakturační údaje, v souladu se zákonnými povinnostmi.
2.3 Cookies a sledovací nástroje
Web syaga.eu používá výhradně cookies nezbytně nutné pro fungování Služby:
__jsc: bezpečnostní cookie proti botům, doba trvání relacevigil_audit: relační cookie, doba trvání relace
Neukládá se žádný cookie pro měření návštěvnosti (Google Analytics, Matomo či obdobný nástroj) ani žádný reklamní cookie. Tyto nezbytně nutné cookies jsou v souladu s pokyny CNIL ze dne 4. července 2023 vyňaty z povinnosti předchozího souhlasu (zdroj: cnil.fr, cookies a sledovací nástroje). Postačuje informační sdělení o těchto cookies.
3. Účely a právní základy zpracování
V souladu s článkem 6 GDPR se každé zpracování opírá o identifikovaný právní základ:
| Účel | Právní základ (čl. 6 GDPR) |
|---|---|
| Poskytování a plnění auditní Služby; vytvoření a správa klientského účtu | Plnění smlouvy, čl. 6.1.b |
| Fakturace, účetnictví, vymáhání pohledávek | Zákonná povinnost (obchodní zákoník, čl. L.123-22) a plnění smlouvy, čl. 6.1.c a 6.1.b |
| Podpora a technická asistence | Plnění smlouvy, čl. 6.1.b |
| Bezpečnost Služby, prevence podvodů, protokolování | Oprávněný zájem, čl. 6.1.f |
| Nezbytně nutné cookies | Vyňaty z povinnosti souhlasu (pokyny CNIL) |
U auditních dat tenantu (oddíl 2.2) jedná SYAGA na pokyn klienta (správce). Viz DPA.
4. Příjemci a zpracovatelé
Data jsou sdělována pouze oprávněným osobám v rámci SYAGA CONSULTING a zpracovatelům jednajícím za podmínek článku 28 GDPR:
- Microsoft Corporation: poskytovatel rozhraní Microsoft Graph API, používaného výhradně ke čtení pro přístup ke konfiguračním datům tenantu klienta. Auditovaná data jsou daty vlastního tenantu Microsoft 365 Klienta, k nimž se přistupuje pouze ke čtení jeho jménem prostřednictvím Microsoft Graph. Microsoft vystupuje jako dodavatel Klienta; SYAGA není jeho dalším zpracovatelem.
- Stripe Inc.: platební poskytovatel pro zpracování fakturačních údajů. Přenosy dat společnosti Stripe se řídí rámcem EU-U.S. Data Privacy Framework, ke kterému je Stripe certifikován, a podpůrně standardními smluvními doložkami Evropské komise (2021) začleněnými do Data Transfers Addendum společnosti Stripe (zdroje: stripe.com/legal/dpa a stripe.com/legal/dta).
- Poskytovatel hostingu: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francie (obchodní rejstřík Lille Métropole 424 761 419). Služba je hostována ve Francii společností OVH SAS (francouzský poskytovatel hostingu), technickým zpracovatelem SYAGA CONSULTING. SYAGA CONSULTING dostává pouze pseudonymizovaná data (tokeny).
Žádná data se neprodávají ani nepředávají třetím stranám pro komerční účely.
Data mohou být sdělena správním nebo soudním orgánům, vyžaduje-li to zákon.
5. Doby uchovávání
Data jsou uchovávána po dobu nepřesahující dobu nezbytnou pro sledované účely (čl. 5.1.e GDPR):
| Kategorie dat | Doba uchovávání |
|---|---|
| Surová auditní data (zjištění, přístupový token) | Nulová retence na straně serveru: data jsou vymazána po doručení Zprávy (efemérní architektura, maximální TTL 2 hodiny) |
| Data aktivního klientského účtu | Po dobu trvání smluvního vztahu, poté smazání do 30 dnů po ukončení |
| Fakturační data a účetní doklady | 10 let od uzávěrky účetního období (zákonná povinnost, čl. L.123-22 francouzského obchodního zákoníku) |
| Technické protokoly (protokoly připojení) | 12 měsíců (doporučení CNIL) |
6. Přenosy dat mimo Evropskou unii
Infrastruktura, na které je Služba SYAGA Audit hostována, se nachází ve Francii. SYAGA v zásadě nepřevádí žádná data mimo EU/EHP.
Ohledně Microsoftu: Správce uznává, že rozhraní Microsoft Graph API provozuje společnost Microsoft Corporation (Spojené státy). Případné přenosy dat týkající se Microsoftu se řídí jeho standardními smluvními doložkami schválenými Evropskou komisí a případně jeho účastí v rámci EU-U.S. Data Privacy Framework. Auditovaná data jsou daty vlastního tenantu Microsoft 365 Klienta, k nimž se přistupuje pouze ke čtení jeho jménem prostřednictvím Microsoft Graph. Microsoft vystupuje jako dodavatel Klienta. Případné přenosy dat týkající se infrastruktury Microsoftu se řídí standardními smluvními doložkami schválenými Evropskou komisí a účastí Microsoftu v rámci EU-U.S. Data Privacy Framework.
Stripe Inc. provádí přenosy dat mimo EU řízené mechanismy v souladu s kapitolou V GDPR. Přenosy dat společnosti Stripe se řídí rámcem EU-U.S. Data Privacy Framework, ke kterému je Stripe certifikován, a podpůrně standardními smluvními doložkami Evropské komise (2021) začleněnými do Data Transfers Addendum společnosti Stripe.
7. Práva subjektů údajů
V souladu s články 15 až 22 GDPR má každý subjekt údajů následující práva:
- Právo na přístup (čl. 15 GDPR): získat potvrzení, zda jsou zpracovávána data týkající se subjektu údajů, a získat jejich kopii
- Právo na opravu (čl. 16): nechat opravit nepřesná nebo neúplná data
- Právo na výmaz (čl. 17): dosáhnout výmazu v případech stanovených GDPR
- Právo na omezení zpracování (čl. 18)
- Právo na přenositelnost údajů (čl. 20): obdržet svá data ve strukturovaném a strojově čitelném formátu
- Právo vznést námitku (čl. 21): vznést námitku proti zpracování z důvodů týkajících se konkrétní situace subjektu údajů, a kdykoli v případě přímého marketingu
- Právo odvolat souhlas (čl. 7.3) kdykoli, je-li zpracování založeno na souhlasu
- Právo post mortem (čl. 85 zákona Informatique et Libertés): stanovit pokyny týkající se osudu dat po úmrtí
Důležité pro auditní data: u konfiguračních dat a metadat tenantu je třeba žádosti o uplatnění práv směřovat na klienta (správce), který v případě potřeby osloví SYAGA (čl. 28.3.e GDPR).
Způsob uplatnění
Tato práva lze uplatnit zasláním žádosti na contact@syaga.fr nebo poštou na adresu SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francie. Odpověď je poskytnuta do jednoho měsíce (čl. 12.3 GDPR), s možností prodloužení o dva měsíce v případě složitosti žádosti.
Stížnost u CNIL
Každý subjekt údajů má právo podat stížnost u CNIL (čl. 77 GDPR):
CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francie, www.cnil.fr
8. Zabezpečení dat (čl. 32 GDPR)
SYAGA zavádí vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku (čl. 32 GDPR):
- Efemérní architektura: audit běží v operační paměti, jednorázový skenovací kontejner bez ukládání na disk; surová data jsou po doručení Zprávy vymazána
- Nejnižší možná oprávnění: přihlášení přes OAuth Microsoft s nejužšími oprávněními, která Microsoft pro daný auditovaný rozsah nabízí; Služba nikdy nezapisuje, neupravuje ani nemaže žádná data tenantu
- Šifrování při přenosu: TLS 1.2/1.3 na veškeré komunikaci; SPF, DKIM a DMARC aktivní na e-mailech
- Šifrování v klidovém stavu: přístupový token šifrován (Fernet) po dobu trvání auditu
- Hosting ve Francii: infrastruktura OVH (Francie)
- Řízení přístupu: zásada nejnižších oprávnění; jmenovité přístupové oprávnění
- Ochrana proti zneužití: limit 2 auditů/den/tenant, opatření proti DDoS
- Oznamování narušení bezpečnosti: postup v souladu s čl. 33 a 34 GDPR (oznámení CNIL do 72 hodin)
Soulad s více referenčními rámci
Bezpečnostní opatření SYAGA Audit jsou navržena v souladu s několika uznávanými bezpečnostními referenčními rámci. SYAGA si nenárokuje žádnou formální certifikaci podle těchto rámců; opatření jsou v souladu s požadavky normy ISO/IEC 27001, přičemž proces certifikace byl zahájen, ale certifikace zatím nebyla získána; opatření jsou v souladu s těmito rámci a inspirována jimi:
- GDPR (nařízení EU 2016/679): přímo použitelný právní základ, eur-lex.europa.eu CELEX:32016R0679
- Směrnice NIS2 (směrnice EU 2022/2555): opatření k řízení rizik, bezpečnost sítí a informačních systémů, eur-lex.europa.eu CELEX:32022L2555. SYAGA, jejíž počet zaměstnanců a obrat jsou pod prahovými hodnotami pro významné subjekty ve smyslu směrnice (EU) 2022/2555 (50 zaměstnanců nebo 10 mil. EUR), nespadá do okruhu subjektů povinných dle NIS2. SYAGA Audit přesto svým klientům pomáhá měřit jejich soulad s tímto referenčním rámcem (zdroj: monespacenis2.cyber.gouv.fr).
- DORA (nařízení EU 2022/2554): digitální provozní odolnost pro finanční sektor, eur-lex.europa.eu CELEX:32022R2554. Vzhledem k tomu, že SYAGA není regulovaným finančním subjektem, nařízení (EU) 2022/2554 (DORA) se na ni přímo nevztahuje; smluvní povinnosti se však mohou uplatnit případ od případu, je-li klientem finanční subjekt podléhající DORA (zdroj: eur-lex.europa.eu DORA).
- ISO/IEC 27001: referenční rámec pro systémy řízení bezpečnosti informací (ISMS), iso.org/standard/27001. Opatření SYAGA Audit jsou v souladu s požadavky normy ISO/IEC 27001, přičemž proces certifikace byl zahájen, ale certifikace zatím nebyla získána.
- Doporučení ANSSI: Průvodce počítačovou hygienou a doporučení francouzské Národní agentury pro bezpečnost informačních systémů, ssi.gouv.fr.
SYAGA Audit přesně pomáhá svým klientům měřit jejich vlastní soulad s těmito referenčními rámci (GDPR, NIS2, ANSSI) v rámci jejich prostředí Microsoft 365.
9. Změny těchto zásad
Tyto Zásady mohou být aktualizovány tak, aby odrážely právní, regulační nebo technické změny. Platnou verzí je verze zveřejněná na https://syaga.eu/confidentialite.html. V případě podstatné změny budou registrovaní uživatelé informováni e-mailem v přiměřené lhůtě před nabytím účinnosti změn.
10. Kontakt
Pro jakýkoli dotaz týkající se těchto zásad nebo ochrany vašich dat:
- E-mail: contact@syaga.fr
- Adresa: SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francie
Právní a dokumentační odkazy
- Nařízení (EU) 2016/679 (GDPR), úplné znění: eur-lex.europa.eu CELEX:32016R0679
- Zákon č. 78-17 ze dne 6. ledna 1978 v platném znění: Légifrance
- CNIL, práva subjektů údajů: cnil.fr
- CNIL, cookies: cnil.fr
- Směrnice NIS2 (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Nařízení DORA (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, Průvodce počítačovou hygienou: ssi.gouv.fr