Smlouva o zpracování údajů (DPA)
Uzavřeno podle článku 28 nařízení (EU) 2016/679 (GDPR) (zdroj: gdpr-info.eu/art-28-gdpr)
Dotčená služba: SYAGA Audit, bezpečnostní audit a audit souladu Microsoft 365, pouze čtení
Verze: 1.0, Datum: 27. června 2026, Datum účinnosti: 27. června 2026
Identifikace Stran
Zpracovatel:
SYAGA CONSULTING, společnost s ručením omezeným (SARL) se základním kapitálem 20 000 eur, zapsaná v obchodním rejstříku Aix-en-Provence pod číslem SIREN 518 489 471, založená 8. 12. 2009, zastoupená jednatelem Sébastienem Questierem, se sídlem 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Francie, vydavatel služby SYAGA Audit, dále jen Zpracovatel.
A
Správce: Klient, který si předplatil službu SYAGA Audit za podmínek VOP dostupných na adrese cgu.html, jehož kontaktní údaje jsou ty uvedené při registraci, dále jen Správce.
Dále společně označované jako Strany.
Preambule
Tato Smlouva o zpracování údajů (DPA) je uzavřena podle článku 28 GDPR, který stanoví, že zpracování prováděné zpracovatelem jménem správce musí být upraveno smlouvou vymezující předmět, dobu trvání, povahu a účel zpracování, typ osobních údajů, kategorie subjektů údajů a povinnosti a práva správce.
Tato DPA je vedlejším dokumentem ke Všeobecným obchodním podmínkám a podmínkám poskytování služeb (VOP) SYAGA Audit (hlavní Smlouva). V případě rozporu mezi touto DPA a hlavní Smlouvou v otázce ochrany dat má přednost tato DPA. V případě rozporu týkajícího se ochrany osobních údajů má tato DPA přednost před VOP.
Předplacením služby SYAGA Audit Klient přijímá podmínky této DPA. Elektronické přijetí se považuje za přijetí DPA v souladu s ustanoveními platnými pro uzavírání smluv elektronickou cestou.
Článek 1, Předmět a zásady služby
Tato DPA vymezuje podmínky, za nichž se Zpracovatel zavazuje provádět jménem a na základě zdokumentovaného pokynu Správce operace zpracování osobních údajů nezbytné pro poskytování služby SYAGA Audit.
SYAGA Audit provádí bezpečnostní audit a audit souladu prostředí Microsoft 365 Správce výhradně v režimu čtení: Služba nikdy nezapisuje, neupravuje ani nemaže žádná data v auditovaném tenantu.
Zpracovatel uplatňuje zásadu zero-knowledge: sběr a pseudonymizace probíhají v prohlížeči Klienta (rozšíření). Zpracovatel nikdy nedostává surová data tenantu ani přístupový token Microsoft Klienta, pouze pseudonymizované otisky. Tokenizované výsledky auditu jsou uchovávány v klientském prostoru, aby je Klient mohl znovu otevřít, po dobu, kdy je aktivní; do čitelné podoby jsou znovu sestaveny výhradně na zařízení Klienta.
Článek 2, Povaha, účel a doba trvání zpracování
2.1 Povaha operací. Operace zahrnují: sběr (čtení, nejnižší možná oprávnění) prostřednictvím Microsoft API, prováděný rozšířením prohlížeče spuštěným na zařízení Klienta; lokální pseudonymizaci; analýzu, kterou Zpracovatel provádí výhradně nad pseudonymizovanými otisky, vůči bezpečnostním referenčním rámcům (ANSSI, doporučení Microsoftu, GDPR, NIS2); předání ve formě zpráv znovu sestavených na zařízení Klienta.
2.2 Výlučný účel. Účelem je vyhodnocení stavu zabezpečení a souladu tenantu Microsoft 365 Správce a vytvoření souvisejících zpráv z auditu. Žádný jiný účel (marketing, profilování, opětovné využití pro vlastní účely Zpracovatele) není povolen.
2.3 Doba trvání. Zpracování probíhá po dobu plnění hlavní Smlouvy. Surová data jsou vymazána okamžitě při doručení Zprávy.
Článek 3, Kategorie zpracovávaných osobních údajů
Zpracovatel zpracovává následující kategorie dat:
- Konfigurační data a bezpečnostní metadata: nastavení tenantu, zásady podmíněného přístupu, konfigurace MFA, administrátorské role a oprávnění, nastavení sdílení, stavy aktivace bezpečnostních funkcí
- Metadata identity a adresáře: identifikátory účtů (UPN), zobrazovaná jména, členství ve skupinách, atributy adresáře relevantní pro audit
- Protokoly a metadata bezpečnostních událostí: protokoly přihlášení, auditní události, metadata nezbytná pro vyhodnocení kontrol
Výslovná vyloučení. Zpracovatel nezpracovává obsah e-mailů, souborů ani dokumentů. Zpracovávána jsou pouze metadata a konfigurační data.
Zvláštní kategorie. Účelem zpracování není zpracování zvláštních kategorií údajů ve smyslu článku 9 GDPR. Správce se zavazuje nekonfigurovat službu způsobem, který by k takovému zpracování vedl.
Článek 4, Kategorie subjektů údajů
Subjekty údajů jsou držitelé účtů a identit v rámci tenantu Microsoft 365 Správce: zaměstnanci, vedoucí pracovníci, administrátoři, dodavatelé a hosté s účtem v auditovaném adresáři.
Článek 5, Zdokumentované pokyny Správce
Zpracovatel zpracovává data výhradně na základě zdokumentovaného pokynu Správce (čl. 28.3.a GDPR), a to i pokud jde o přenosy do třetí země, s výjimkou kogentní zákonné povinnosti (v takovém případě o tom informuje Správce před zpracováním, není-li to zákonem zakázáno).
Tato DPA, její přílohy a VOP tvoří počáteční zdokumentované pokyny. Zpracovatel okamžitě informuje Správce, domnívá-li se, že některý pokyn představuje porušení GDPR (čl. 28.3, poslední pododstavec GDPR).
Článek 6, Důvěrnost
Zpracovatel zajistí, aby se osoby oprávněné zpracovávat data zavázaly k dodržování důvěrnosti nebo podléhaly odpovídající zákonné povinnosti mlčenlivosti (čl. 28.3.b GDPR) a absolvovaly potřebné školení v oblasti ochrany dat. Tento závazek přetrvává i po ukončení jejich funkce a po skončení této DPA.
Článek 7, Bezpečnostní opatření (čl. 32 GDPR) a soulad s referenčními rámci
Zpracovatel zavádí vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku (čl. 32 GDPR). Zavedená opatření zahrnují zejména:
- Architektura zero-knowledge: sběr a pseudonymizace probíhají v prohlížeči Klienta (rozšíření); Zpracovatel dostává pouze pseudonymizované otisky; surová data tenantu a token Microsoftu mu nejsou nikdy předány
- Nejnižší možná oprávnění: přihlášení přes OAuth Microsoft s nejužšími oprávněními, která Microsoft pro daný rozsah nabízí; Služba nikdy nezapisuje, neupravuje ani nemaže žádná data auditovaného tenantu
- Šifrování při přenosu: TLS 1.2/1.3 na veškeré komunikaci; SPF, DKIM a DMARC aktivní
- Token Microsoft: nikdy neopustí prohlížeč Klienta; Zpracovatel jej nikdy nedostává ani neukládá
- Hosting ve Francii: infrastruktura OVH (Francie) provozovaná pro SYAGA CONSULTING
- Řízení přístupu: zásada nejnižších oprávnění; jmenovité přístupové oprávnění; pravidelná kontrola
- Ochrana proti zneužití: limit 2 audity/den/tenant; opatření proti DDoS
- Protokolování: vysledovatelnost přístupů k datům
- Pravidelné testování účinnosti bezpečnostních opatření
Soulad s uznávanými bezpečnostními rámci
Výše uvedená opatření jsou navržena v souladu s následujícími referenčními rámci. SYAGA si nenárokuje žádnou formální certifikaci podle těchto rámců; opatření jsou v souladu s požadavky normy ISO/IEC 27001, přičemž proces certifikace byl zahájen, ale certifikace zatím nebyla získána; jde o funkční soulad:
| Referenční rámec | Relevance pro SYAGA Audit | Oficiální zdroj |
|---|---|---|
| GDPR (EU) 2016/679 | Přímo použitelný právní základ. Čl. 32: technická a organizační opatření. Efemérní architektura představuje opatření k minimalizaci údajů v souladu s čl. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| Směrnice NIS2 (EU) 2022/2555 | Opatření k řízení rizik kybernetické bezpečnosti (čl. 21 NIS2): kontinuita provozu, řízení incidentů, bezpečnost sítí, šifrování. SYAGA Audit pomáhá klientům vyhodnotit jejich vlastní soulad s NIS2 v jejich tenantu M365. SYAGA, jejíž počet zaměstnanců a obrat jsou pod prahovými hodnotami pro významné subjekty ve smyslu směrnice (EU) 2022/2555 (50 zaměstnanců nebo 10 mil. EUR), nespadá do okruhu subjektů povinných dle NIS2. SYAGA Audit přesto svým klientům pomáhá měřit jejich soulad s tímto referenčním rámcem. | eur-lex.europa.eu CELEX:32022L2555 |
| Nařízení DORA (EU) 2022/2554 | Digitální provozní odolnost pro regulované finanční subjekty. SYAGA Audit může finančním klientům pomoci zdokumentovat jejich stav podle DORA v jejich tenantu M365. Vzhledem k tomu, že SYAGA není regulovaným finančním subjektem, DORA se na ni přímo nevztahuje; smluvní povinnosti se mohou uplatnit případ od případu u klientů z finančního sektoru podléhajících DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Rámec ISMS: bezpečnostní politika, řízení rizik, řízení přístupu, šifrování, protokolování. Opatření SYAGA Audit jsou v souladu s příslušnými kontrolami ISO 27002. Opatření SYAGA Audit jsou v souladu s požadavky normy ISO/IEC 27001, přičemž proces certifikace byl zahájen, ale certifikace zatím nebyla získána. | iso.org/standard/27001 |
| Doporučení ANSSI | Průvodce počítačovou hygienou, doporučení k bezpečnosti informačních systémů. Opatření inspirovaná doporučeními ANSSI týkajícími se správy účtů, šifrování a protokolování. SYAGA Audit vyhodnocuje konfigurace M365 vůči doporučením ANSSI. | ssi.gouv.fr |
Úplný přehled technických a organizačních opatření je uveden v Příloze 1.
Článek 8, Využití dalších zpracovatelů
Správce opravňuje Zpracovatele využívat další zpracovatele uvedené v Příloze 2. O každém novém zpracovateli nebo jeho výměně informuje Zpracovatel Správce písemně nejméně třicet (30) dní předem, přičemž Správce má třicet (30) dní na to, aby vznesl námitku z rozumných důvodů souvisejících s ochranou dat (čl. 28.2 a 28.4 GDPR). Tyto lhůty a postupy platí, nedohodnou-li se Strany jinak.
Zpracovatel ukládá dalším zpracovatelům smluvně stejné povinnosti ochrany dat, jaké stanoví tato DPA (čl. 28.4 GDPR), a nese vůči Správci plnou odpovědnost za jejich plnění.
Článek 9, Pomoc Správci
9.1 Práva subjektů údajů (čl. 12 až 22 a 28.3.e GDPR). Zpracovatel neprodleně předá Správci jakoukoli žádost o uplatnění práv obdrženou přímo od subjektu údajů a pomáhá mu s odpovědí na ni.
9.2 Bezpečnost a DPIA (čl. 32 až 36 a 28.3.f GDPR). Zpracovatel pomáhá Správci se zabezpečením zpracování, s vypracováním posouzení vlivu na ochranu osobních údajů (DPIA), je-li to nutné, a s případnou předchozí konzultací s CNIL.
9.3 Narušení bezpečnosti dat (čl. 33 a 34 GDPR). Zpracovatel oznámí Správci jakékoli narušení bezpečnosti dat nejpozději do čtyřiceti osmi (48) hodin od okamžiku, kdy se o něm dozvěděl, a to co nejdříve, tak aby Správce mohl dodržet 72hodinovou lhůtu stanovenou v článku 33 GDPR, s poskytnutím informací potřebných pro případné oznámení.
Článek 10, Osud dat po skončení smlouvy
Po skončení této DPA postupuje Zpracovatel do třiceti (30) dnů od ukončení smlouvy, podle volby Správce oznámené písemně (čl. 28.3.g GDPR):
Poznámka: vzhledem k efemérní architektuře služby nejsou po skončení plnění uchovávána žádná auditní data; uchovávají se pouze fakturační údaje v souladu se zákonnými povinnostmi (10 let).
- buď k navrácení zpracovávaných osobních údajů Správci ve strukturovaném formátu (JSON nebo CSV podle dostupnosti);
- nebo k bezpečnému smazání veškerých dat, včetně kopií, s výjimkou zákonné povinnosti uchovávání.
V souladu s efemérní architekturou služby jsou surová auditní data vymazána již při doručení Zprávy. Zpracovatel na požádání poskytne potvrzení o smazání.
Článek 11, Audity a kontroly
Zpracovatel poskytuje Správci veškeré informace nezbytné k prokázání souladu s povinnostmi podle článku 28 GDPR a umožňuje provádění auditů, včetně inspekcí (čl. 28.3.h GDPR).
Audity podléhají následujícím podmínkám: písemné oznámení nejméně třicet (30) pracovních dní předem, provedení v pracovní době, maximální frekvence jeden (1) audit za období dvanácti (12) měsíců, s výjimkou mimořádné okolnosti (zejména prokázaného bezpečnostního incidentu), náklady nese Správce, důvěrnost získaných informací.
Článek 12, Přenosy mimo Evropskou unii
12.1 Hlavní umístění. Data jsou zpracovávána a hostována ve Francii. SYAGA CONSULTING je subjektem podle francouzského práva. Nepřímé vystavení CLOUD Actu prostřednictvím dodavatelů třetích stran nelze zcela vyloučit; SYAGA je omezuje hostingem ve Francii (OVH SAS) a zejména pseudonymizací: služba dostává pouze tokeny, nikdy vaše data v čitelné podobě.
12.2 Využití Microsoftu. Správce uznává, že rozhraní Microsoft Graph API provozuje společnost Microsoft Corporation (Spojené státy). Přenosy dat týkající se Microsoftu se řídí standardními smluvními doložkami schválenými Evropskou komisí a případně rámcem EU-U.S. Data Privacy Framework. Auditovaná data jsou daty vlastního tenantu Microsoft 365 Klienta, k nimž se přistupuje pouze ke čtení jeho jménem prostřednictvím Microsoft Graph. Microsoft vystupuje jako dodavatel Klienta; SYAGA není jeho dalším zpracovatelem.
12.3 Obecné záruky. Jakýkoli přenos mimo EU prováděný Zpracovatelem nebo dalším zpracovatelem podléhá zavedení mechanismu platného ve smyslu kapitoly V GDPR (rozhodnutí o odpovídající ochraně, standardní smluvní doložky nebo jiná vhodná záruka).
Článek 13, Kontakt pro ochranu osobních údajů
Zpracovatel (SYAGA CONSULTING): kontakt pro ochranu osobních údajů, contact@syaga.fr. Jmenování pověřence pro ochranu osobních údajů není podle článku 37 GDPR povinné; osobou odpovědnou za ochranu údajů je jednatel, Sébastien Questier, kontaktní osoba pro veškeré dotazy týkající se osobních údajů.
Správce: kontakt pro GDPR určený Klientem podle jeho vlastních povinností.
Článek 14, Doba trvání, změny a rozhodné právo
Tato DPA nabývá účinnosti při předplacení služby SYAGA Audit a zůstává v platnosti po celou dobu zpracování prováděného jménem Správce.
Jakákoli podstatná změna je Správci oznámena předem. Pokračování v používání služby po uplynutí lhůty pro oznámení znamená přijetí změn. Tento způsob provádění změn je v souladu s požadavky článku 28 GDPR na smlouvy o zpracování údajů.
Tato DPA se řídí francouzským právem. Jakýkoli spor spadá do příslušnosti soudů v obvodu Aix-en-Provence, s výhradou kogentních norem platných pro přeshraniční spory.
Příloha 1, Podrobný popis zpracování a bezpečnostních opatření (čl. 32 GDPR)
| Parametr | Popis |
|---|---|
| Účely | Bezpečnostní audit a audit souladu M365, vytváření zpráv |
| Kategorie dat | Konfigurační metadata, identitní metadata (UPN, jména), bezpečnostní protokoly |
| Zvláštní kategorie (čl. 9) | Žádné |
| Subjekty údajů | Účty a identity tenantu Microsoft 365 Klienta |
| Uchovávání na straně serveru | Surová data tenantu: nikdy nepředána (pseudonymizace probíhá v prohlížeči). Tokenizované výsledky: uchovávány v klientském prostoru po dobu, kdy je Klient aktivní. |
| Místo zpracování | Francie (infrastruktura SYAGA CONSULTING) |
| Šifrování při přenosu | TLS 1.2/1.3, veškerá komunikace; SPF/DKIM/DMARC |
| Token Microsoft | Nikdy neopustí prohlížeč Klienta; Zpracovatel jej nikdy nedostává |
| Architektura | Sběr a pseudonymizace prostřednictvím rozšíření v prohlížeči Klienta; Zpracovatel analyzuje pouze otisky |
| Řízení přístupu | Zásada nejnižších oprávnění; jmenovité přístupové oprávnění |
| Ochrana proti zneužití | Limit 2 audity/den/tenant; ochrana proti DDoS |
| Protokolování | Minimální technické provozní a bezpečnostní protokoly, bez osobních auditních dat, uchovávané přibližně 12 měsíců v souladu s doporučeními CNIL. |
| Soulad s bezpečnostními rámci | Opatření v souladu s čl. 32 GDPR, ISO/IEC 27001 (proces certifikace byl zahájen, ale certifikace zatím nebyla získána), doporučeními ANSSI. |
Příloha 2, Seznam povolených dalších zpracovatelů
| Další zpracovatel | Plnění | Umístění | Záruky pro přenos dat |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph API, přístup ke čtení ke konfiguračním datům tenantu | EU + Spojené státy (infrastruktura Microsoftu) | Microsoft vystupuje jako dodavatel Klienta (nikoli jako další zpracovatel SYAGA). Přenosy dat se řídí standardními smluvními doložkami EK a účastí Microsoftu v rámci EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Francie) | Hosting platformy SYAGA Audit | Francie | Nevztahuje se (EU) |
| Stripe Inc. | Platba, pouze fakturační data Klienta (bez dat tenantu) | Spojené státy / EU | EU-U.S. Data Privacy Framework (Stripe certifikován) a podpůrně standardní smluvní doložky EK (2021), Data Transfers Addendum společnosti Stripe. |
Právní odkazy
- CNIL, zpracovatel, povinnosti podle čl. 28 GDPR: cnil.fr/fr/sous-traitant
- Nařízení (EU) 2016/679 (GDPR), články 4, 9, 12 až 22, 28, 32 až 36: EUR-Lex CELEX:32016R0679
- Směrnice NIS2 (EU) 2022/2555, čl. 21: EUR-Lex CELEX:32022L2555
- Nařízení DORA (EU) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, Průvodce počítačovou hygienou: ssi.gouv.fr
- Zákon č. 78-17 ze dne 6. ledna 1978 v platném znění: Légifrance