Συμφωνία Επεξεργασίας Δεδομένων (DPA)
Συναφθείσα κατ' εφαρμογή του άρθρου 28 του Κανονισμού (ΕΕ) 2016/679 (ΓΚΠΔ) (πηγή: gdpr-info.eu/art-28-gdpr)
Σχετική υπηρεσία: SYAGA Audit - έλεγχος ασφάλειας και συμμόρφωσης Microsoft 365, μόνο ανάγνωση
Έκδοση: 1.0 - Ημερομηνία: 27 Ιουνίου 2026 - Ημερομηνία έναρξης ισχύος: 27 Ιουνίου 2026
Ταυτοποίηση των Μερών
Ο Εκτελών την επεξεργασία:
SYAGA CONSULTING, εταιρεία περιορισμένης ευθύνης (SARL) με κεφάλαιο 20.000 ευρώ, εγγεγραμμένη στο RCS του Aix-en-Provence με αριθμό SIREN 518 489 471, ιδρυθείσα στις 08/12/2009, εκπροσωπούμενη από τον διαχειριστή της Sébastien Questier, με έδρα στη διεύθυνση 2 Impasse Paul Langevin, 13110 Port-de-Bouc, εκδότρια της υπηρεσίας SYAGA Audit, εφεξής αναφερόμενη ως ο Εκτελών την επεξεργασία.
ΚΑΙ
Ο Υπεύθυνος επεξεργασίας: ο Πελάτης που έχει εγγραφεί στην υπηρεσία SYAGA Audit υπό τους όρους των ΓΟΠ, διαθέσιμων στη διεύθυνση cgu.html, με στοιχεία επικοινωνίας αυτά που δηλώθηκαν κατά την εγγραφή, εφεξής αναφερόμενος ως ο Υπεύθυνος επεξεργασίας.
Εφεξής αναφερόμενα από κοινού ως τα Μέρη.
Προοίμιο
Η παρούσα Συμφωνία Επεξεργασίας Δεδομένων (DPA) συνάπτεται κατ' εφαρμογή του άρθρου 28 του ΓΚΠΔ, το οποίο επιβάλλει η επεξεργασία που πραγματοποιείται από εκτελούντα την επεξεργασία για λογαριασμό υπεύθυνου επεξεργασίας να διέπεται από σύμβαση που καθορίζει το αντικείμενο, τη διάρκεια, τη φύση και τον σκοπό της επεξεργασίας, τον τύπο των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των ενδιαφερόμενων προσώπων, καθώς και τις υποχρεώσεις και τα δικαιώματα του υπεύθυνου επεξεργασίας.
Η παρούσα DPA είναι παρεπόμενη των Γενικών Όρων Πώλησης και Παροχής Υπηρεσιών (ΓΟΠ) του SYAGA Audit (η Κύρια Σύμβαση). Σε περίπτωση αντίφασης μεταξύ της παρούσας DPA και της Κύριας Σύμβασης σε ζήτημα σχετικό με την προστασία δεδομένων, υπερισχύει η παρούσα DPA. Σε περίπτωση αντίφασης σχετικής με την προστασία δεδομένων προσωπικού χαρακτήρα, η παρούσα DPA υπερισχύει των ΓΟΧ.
Εγγραφόμενος στην υπηρεσία SYAGA Audit, ο Πελάτης αποδέχεται τους όρους της παρούσας DPA. Η ηλεκτρονική αποδοχή ισοδυναμεί με αποδοχή της DPA σύμφωνα με τις διατάξεις που εφαρμόζονται στη σύναψη συμβάσεων με ηλεκτρονικά μέσα.
Άρθρο 1 - Αντικείμενο και δόγμα της υπηρεσίας
Η παρούσα DPA καθορίζει τους όρους υπό τους οποίους ο Εκτελών την επεξεργασία δεσμεύεται να πραγματοποιεί, για λογαριασμό και κατόπιν τεκμηριωμένης εντολής του Υπεύθυνου επεξεργασίας, τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που είναι απαραίτητες για την παροχή της υπηρεσίας SYAGA Audit.
Το SYAGA Audit πραγματοποιεί έλεγχο ασφάλειας και συμμόρφωσης του περιβάλλοντος Microsoft 365 του Υπεύθυνου επεξεργασίας σε λειτουργία μόνο ανάγνωσης: η Υπηρεσία δεν γράφει, δεν τροποποιεί ούτε διαγράφει κανένα δεδομένο στο ελεγχόμενο tenant.
Ο Εκτελών την επεξεργασία εφαρμόζει δόγμα μηδενικής γνώσης: η συλλογή και η ψευδωνυμοποίηση εκτελούνται στο πρόγραμμα περιήγησης του Πελάτη (extension). Ο Εκτελών την επεξεργασία δεν λαμβάνει ποτέ τα ακατέργαστα δεδομένα του tenant ούτε το token πρόσβασης Microsoft του Πελάτη: μόνο ψευδωνυμοποιημένα αποτυπώματα. Τα αποτελέσματα ελέγχου με tokens διατηρούνται στον χώρο πελάτη ώστε να μπορεί ο Πελάτης να τα ξανανοίγει, όσο διάστημα είναι ενεργός· επανασυσχετίζονται σε καθαρή μορφή μόνο στον υπολογιστή του Πελάτη.
Άρθρο 2 - Φύση, σκοπός και διάρκεια της επεξεργασίας
2.1 Φύση των πράξεων. Οι πράξεις συνίστανται σε: συλλογή (ανάγνωση, ελάχιστο προνόμιο) μέσω των API της Microsoft, πραγματοποιούμενη από extension προγράμματος περιήγησης εκτελούμενο στον υπολογιστή του Πελάτη· τοπική ψευδωνυμοποίηση· ανάλυση από τον Εκτελούντα την επεξεργασία μόνο των ψευδωνυμοποιημένων αποτυπωμάτων σε σχέση με πλαίσια αναφοράς ασφαλείας (ANSSI, συστάσεις Microsoft, ΓΚΠΔ, NIS2)· απόδοση σε μορφή εκθέσεων επανασυσχετισμένων στον υπολογιστή του Πελάτη.
2.2 Αποκλειστικός σκοπός. Ο σκοπός είναι η αξιολόγηση της στάσης ασφαλείας και συμμόρφωσης του tenant Microsoft 365 του Υπεύθυνου επεξεργασίας και η παραγωγή των σχετικών εκθέσεων ελέγχου. Κανένας άλλος σκοπός (προώθηση, κατάρτιση προφίλ, επαναχρησιμοποίηση για ίδιους σκοπούς του Εκτελούντος την επεξεργασία) δεν επιτρέπεται.
2.3 Διάρκεια. Η επεξεργασία πραγματοποιείται κατά τη διάρκεια εκτέλεσης της Κύριας Σύμβασης. Τα ακατέργαστα δεδομένα διαγράφονται αμέσως με την παράδοση της Έκθεσης.
Άρθρο 3 - Κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία
Ο Εκτελών την επεξεργασία επεξεργάζεται τις ακόλουθες κατηγορίες δεδομένων:
- Δεδομένα διαμόρφωσης και μεταδεδομένα ασφαλείας: παράμετροι tenant, στρατηγικές υπό όρους πρόσβασης, διαμόρφωση MFA, ρόλοι και δικαιώματα διαχείρισης, παράμετροι διαμοιρασμού, καταστάσεις ενεργοποίησης λειτουργιών ασφαλείας
- Μεταδεδομένα ταυτότητας και καταλόγου: αναγνωριστικά λογαριασμών (UPN), ονόματα εμφάνισης, συμμετοχή σε ομάδες, χαρακτηριστικά καταλόγου σχετικά με τον έλεγχο
- Αρχεία καταγραφής και μεταδεδομένα συμβάντων ασφαλείας: αρχεία σύνδεσης, συμβάντα ελέγχου, μεταδεδομένα απαραίτητα για την αξιολόγηση των ελέγχων
Ρητές εξαιρέσεις. Ο Εκτελών την επεξεργασία δεν επεξεργάζεται το περιεχόμενο των email, των αρχείων ή των εγγράφων. Υποβάλλονται σε επεξεργασία μόνο μεταδεδομένα και δεδομένα διαμόρφωσης.
Ειδικές κατηγορίες. Η επεξεργασία δεν έχει ως αντικείμενο την επεξεργασία ειδικών κατηγοριών δεδομένων κατά την έννοια του άρθρου 9 του ΓΚΠΔ. Ο Υπεύθυνος επεξεργασίας δεσμεύεται να μη διαμορφώνει την υπηρεσία με τρόπο που να οδηγεί σε τέτοια επεξεργασία.
Άρθρο 4 - Κατηγορίες ενδιαφερόμενων προσώπων
Τα ενδιαφερόμενα πρόσωπα είναι οι κάτοχοι λογαριασμών και ταυτοτήτων εντός του tenant Microsoft 365 του Υπεύθυνου επεξεργασίας: εργαζόμενοι, στελέχη, διαχειριστές, πάροχοι και προσκεκλημένοι που διαθέτουν λογαριασμό στον ελεγχόμενο κατάλογο.
Άρθρο 5 - Τεκμηριωμένες εντολές του Υπεύθυνου επεξεργασίας
Ο Εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα μόνο κατόπιν τεκμηριωμένης εντολής του Υπεύθυνου επεξεργασίας (άρθρο 28.3.α ΓΚΠΔ), συμπεριλαμβανομένων των μεταφορών προς τρίτη χώρα, εκτός επιτακτικής νόμιμης υποχρέωσης (οπότε ενημερώνει τον Υπεύθυνο επεξεργασίας πριν από την επεξεργασία, εκτός νόμιμης απαγόρευσης).
Η παρούσα DPA, τα παραρτήματά της και οι ΓΟΠ αποτελούν τις αρχικές τεκμηριωμένες εντολές. Ο Εκτελών την επεξεργασία ενημερώνει αμέσως τον Υπεύθυνο επεξεργασίας εάν κρίνει ότι μια εντολή συνιστά παράβαση του ΓΚΠΔ (άρθρο 28.3, τελευταίο εδάφιο ΓΚΠΔ).
Άρθρο 6 - Εμπιστευτικότητα
Ο Εκτελών την επεξεργασία μεριμνά ώστε τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα να δεσμεύονται να τηρούν την εμπιστευτικότητα ή να υπόκεινται σε κατάλληλη νόμιμη υποχρέωση εμπιστευτικότητας (άρθρο 28.3.β ΓΚΠΔ), και να λαμβάνουν την απαραίτητη εκπαίδευση σε θέματα προστασίας δεδομένων. Αυτή η δέσμευση επιβιώνει της παύσης των καθηκόντων και της λήξης της παρούσας DPA.
Άρθρο 7 - Μέτρα ασφαλείας (άρθρο 32 ΓΚΠΔ) και ευθυγράμμιση πλαισίων αναφοράς
Ο Εκτελών την επεξεργασία εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει επίπεδο ασφαλείας ανάλογο του κινδύνου (άρθρο 32 ΓΚΠΔ). Τα μέτρα σε ισχύ περιλαμβάνουν ιδίως:
- Αρχιτεκτονική μηδενικής γνώσης: συλλογή και ψευδωνυμοποίηση εκτελούμενες στο πρόγραμμα περιήγησης του Πελάτη (extension)· ο Εκτελών την επεξεργασία λαμβάνει μόνο ψευδωνυμοποιημένα αποτυπώματα· τα ακατέργαστα δεδομένα του tenant και το token Microsoft δεν του διαβιβάζονται ποτέ
- Ελάχιστο προνόμιο: σύνδεση μέσω OAuth Microsoft με τα στενότερα δικαιώματα που προσφέρει η Microsoft για κάθε εύρος· η Υπηρεσία δεν γράφει, δεν τροποποιεί ούτε διαγράφει ποτέ κανένα δεδομένο του ελεγχόμενου tenant
- Κρυπτογράφηση κατά τη μεταφορά: TLS 1.2/1.3 σε όλες τις επικοινωνίες· SPF, DKIM και DMARC ενεργοποιημένα
- Token Microsoft: δεν εξέρχεται ποτέ από το πρόγραμμα περιήγησης του Πελάτη· ο Εκτελών την επεξεργασία δεν το λαμβάνει ούτε το αποθηκεύει ποτέ
- Φιλοξενία στη Γαλλία: υποδομή OVH (Γαλλία) που λειτουργεί για λογαριασμό της SYAGA CONSULTING
- Διαχείριση προσβάσεων: αρχή του ελάχιστου προνομίου· ονομαστικές εξουσιοδοτήσεις· τακτική επισκόπηση
- Κατά της κατάχρησης: ανώτατο όριο 2 ελέγχων/ημέρα/tenant· μέτρα κατά επιθέσεων DDoS
- Καταγραφή συμβάντων: ιχνηλασιμότητα των προσβάσεων στα δεδομένα
- Τακτικές δοκιμές της αποτελεσματικότητας των μέτρων ασφαλείας
Ευθυγράμμιση με αναγνωρισμένα πλαίσια ασφαλείας
Τα ανωτέρω μέτρα έχουν σχεδιαστεί σε συνάφεια με τα ακόλουθα πλαίσια αναφοράς. Η SYAGA δεν διεκδικεί καμία επίσημη πιστοποίηση σε αυτά τα πλαίσια αναφοράς· τα μέτρα είναι ευθυγραμμισμένα με τις απαιτήσεις του προτύπου ISO/IEC 27001, με διαδικασία πιστοποίησης σε εξέλιξη, χωρίς πιστοποίηση που να έχει αποκτηθεί μέχρι σήμερα· πρόκειται για λειτουργική ευθυγράμμιση:
| Πλαίσιο αναφοράς | Συνάφεια με το SYAGA Audit | Επίσημη πηγή |
|---|---|---|
| ΓΚΠΔ (ΕΕ) 2016/679 | Άμεσα εφαρμοστέα κανονιστική βάση. Άρθρο 32: τεχνικά και οργανωτικά μέτρα. Εφήμερη αρχιτεκτονική = μέτρο ελαχιστοποίησης σύμφωνο με το άρθρο 5.1.ε. | eur-lex.europa.eu CELEX:32016R0679 |
| Οδηγία NIS2 (ΕΕ) 2022/2555 | Μέτρα διαχείρισης κινδύνων κυβερνοασφάλειας (άρθρο 21 NIS2): επιχειρησιακή συνέχεια, διαχείριση συμβάντων, ασφάλεια δικτύων, κρυπτογράφηση. Το SYAGA Audit βοηθά τους πελάτες να αξιολογήσουν τη δική τους συμμόρφωση NIS2 στο tenant M365 τους. Η SYAGA, της οποίας το προσωπικό και ο κύκλος εργασιών βρίσκονται κάτω από τα όρια των σημαντικών οντοτήτων κατά την έννοια της οδηγίας (ΕΕ) 2022/2555 (50 εργαζόμενοι ή 10 εκατ. EUR), δεν εμπίπτει στο πεδίο εφαρμογής των οντοτήτων που υπόκεινται στην NIS2. Το SYAGA Audit βοηθά ωστόσο τους πελάτες του να μετρήσουν τη συμμόρφωσή τους με αυτό το πλαίσιο αναφοράς. | eur-lex.europa.eu CELEX:32022L2555 |
| Κανονισμός DORA (ΕΕ) 2022/2554 | Ψηφιακή επιχειρησιακή ανθεκτικότητα για ρυθμιζόμενες χρηματοοικονομικές οντότητες. Το SYAGA Audit μπορεί να βοηθήσει χρηματοοικονομικούς πελάτες να τεκμηριώσουν τη στάση DORA τους στο tenant M365 τους. Δεδομένου ότι η SYAGA δεν είναι ρυθμιζόμενη χρηματοοικονομική οντότητα, ο DORA δεν εφαρμόζεται άμεσα σε αυτήν· ενδέχεται να εφαρμόζονται συμβατικές υποχρεώσεις κατά περίπτωση για πελάτες του χρηματοοικονομικού τομέα που υπόκεινται στον DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Πλαίσιο ΣΔΑΠ: πολιτική ασφαλείας, διαχείριση κινδύνων, έλεγχοι πρόσβασης, κρυπτογράφηση, καταγραφή συμβάντων. Τα μέτρα του SYAGA Audit είναι ευθυγραμμισμένα με τους αντίστοιχους ελέγχους ISO 27002. Τα μέτρα του SYAGA Audit είναι ευθυγραμμισμένα με τις απαιτήσεις του προτύπου ISO/IEC 27001, με διαδικασία πιστοποίησης σε εξέλιξη, χωρίς πιστοποίηση που να έχει αποκτηθεί μέχρι σήμερα. | iso.org/standard/27001 |
| Συστάσεις ANSSI | Οδηγός ψηφιακής υγιεινής, συστάσεις ασφάλειας συστημάτων πληροφοριών. Μέτρα εμπνευσμένα από τις συστάσεις της ANSSI σχετικά με τη διαχείριση λογαριασμών, την κρυπτογράφηση και την καταγραφή συμβάντων. Το SYAGA Audit αξιολογεί τις διαμορφώσεις M365 σε σχέση με τις συστάσεις της ANSSI. | ssi.gouv.fr |
Η πλήρης λεπτομέρεια των τεχνικών και οργανωτικών μέτρων περιλαμβάνεται στο Παράρτημα 1.
Άρθρο 8 - Προσφυγή σε μεταγενέστερους εκτελούντες την επεξεργασία
Ο Υπεύθυνος επεξεργασίας εξουσιοδοτεί τον Εκτελούντα την επεξεργασία να προσφεύγει στους μεταγενέστερους εκτελούντες την επεξεργασία που απαριθμούνται στο Παράρτημα 2. Για κάθε νέο εκτελούντα την επεξεργασία ή αντικατάσταση, ο Εκτελών την επεξεργασία ενημερώνει γραπτώς τον Υπεύθυνο επεξεργασίας τουλάχιστον τριάντα (30) ημέρες πριν από την έναρξη ισχύος, ενώ ο Υπεύθυνος επεξεργασίας διαθέτει προθεσμία τριάντα (30) ημερών για να αντιταχθεί για εύλογους λόγους σχετικούς με την προστασία δεδομένων (άρθρα 28.2 και 28.4 ΓΚΠΔ). Αυτές οι προθεσμίες και οι όροι ισχύουν εκτός ειδικής συμφωνίας μεταξύ των Μερών.
Ο Εκτελών την επεξεργασία επιβάλλει στους μεταγενέστερους εκτελούντες την επεξεργασία, με σύμβαση, τις ίδιες υποχρεώσεις προστασίας δεδομένων με αυτές που προβλέπονται στην παρούσα DPA (άρθρο 28.4 ΓΚΠΔ) και παραμένει πλήρως υπεύθυνος έναντι του Υπεύθυνου επεξεργασίας για την εκτέλεσή τους.
Άρθρο 9 - Υποστήριξη του Υπεύθυνου επεξεργασίας
9.1 Δικαιώματα των ενδιαφερόμενων προσώπων (άρθρα 12 έως 22 και 28.3.ε ΓΚΠΔ). Ο Εκτελών την επεξεργασία διαβιβάζει χωρίς καθυστέρηση στον Υπεύθυνο επεξεργασίας κάθε αίτημα άσκησης δικαιωμάτων που λαμβάνεται απευθείας από ενδιαφερόμενο πρόσωπο και τον υποστηρίζει για να το απαντήσει.
9.2 Ασφάλεια και ΕΑΠΔ (άρθρα 32 έως 36 και 28.3.στ ΓΚΠΔ). Ο Εκτελών την επεξεργασία υποστηρίζει τον Υπεύθυνο επεξεργασίας για την ασφάλεια της επεξεργασίας, την πραγματοποίηση εκτίμησης αντικτύπου (ΕΑΠΔ) εάν χρειάζεται, και προηγούμενη διαβούλευση με την CNIL κατά περίπτωση.
9.3 Παραβιάσεις δεδομένων (άρθρα 33 και 34 ΓΚΠΔ). Ο Εκτελών την επεξεργασία κοινοποιεί στον Υπεύθυνο επεξεργασίας κάθε παραβίαση δεδομένων εντός μέγιστης προθεσμίας σαράντα οκτώ (48) ωρών αφότου λάβει γνώση, το συντομότερο δυνατό, ώστε να επιτρέψει στον υπεύθυνο επεξεργασίας να τηρήσει την προθεσμία 72 ωρών του άρθρου 33 του ΓΚΠΔ, παρέχοντας τις χρήσιμες πληροφορίες για την ενδεχόμενη κοινοποίηση.
Άρθρο 10 - Τύχη των δεδομένων κατά τη λήξη της σύμβασης
Κατά τη λήξη της παρούσας DPA, ο Εκτελών την επεξεργασία προβαίνει, εντός προθεσμίας τριάντα (30) ημερών από τη λήξη της σύμβασης, σύμφωνα με την επιλογή του Υπεύθυνου επεξεργασίας που κοινοποιείται γραπτώς (άρθρο 28.3.ζ ΓΚΠΔ):
Σημείωση: λόγω της εφήμερης αρχιτεκτονικής της υπηρεσίας, κανένα δεδομένο ελέγχου δεν διατηρείται μετά το πέρας της παροχής· διατηρούνται μόνο τα δεδομένα τιμολόγησης σύμφωνα με τις νόμιμες υποχρεώσεις (10 έτη).
- είτε στην απόδοση στον Υπεύθυνο επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που υποβλήθηκαν σε επεξεργασία, σε δομημένη μορφή (JSON ή CSV ανάλογα με τη διαθεσιμότητα)·
- είτε στην ασφαλή διαγραφή του συνόλου των δεδομένων, συμπεριλαμβανομένων των αντιγράφων, εκτός νόμιμης υποχρέωσης διατήρησης.
Σύμφωνα με την εφήμερη αρχιτεκτονική της υπηρεσίας, τα ακατέργαστα δεδομένα ελέγχου διαγράφονται ήδη με την παράδοση της Έκθεσης. Ο Εκτελών την επεξεργασία παρέχει, κατόπιν αιτήματος, βεβαίωση διαγραφής.
Άρθρο 11 - Έλεγχοι και επιθεωρήσεις
Ο Εκτελών την επεξεργασία θέτει στη διάθεση του Υπεύθυνου επεξεργασίας όλες τις απαραίτητες πληροφορίες για να αποδείξει τη συμμόρφωση με τις υποχρεώσεις του άρθρου 28 ΓΚΠΔ και επιτρέπει τη διεξαγωγή ελέγχων, συμπεριλαμβανομένων επιθεωρήσεων (άρθρο 28.3.η ΓΚΠΔ).
Οι έλεγχοι υπόκεινται στις ακόλουθες προϋποθέσεις: γραπτή προειδοποίηση τουλάχιστον τριάντα (30) εργάσιμων ημερών, διεξαγωγή κατά τις εργάσιμες ώρες, μέγιστη συχνότητα ενός (1) ελέγχου ανά περίοδο δώδεκα (12) μηνών εκτός εξαιρετικής περίστασης (ιδίως αποδεδειγμένο περιστατικό ασφαλείας), έξοδα σε βάρος του Υπεύθυνου επεξεργασίας, εμπιστευτικότητα των πληροφοριών που λαμβάνονται.
Άρθρο 12 - Μεταφορές εκτός Ευρωπαϊκής Ένωσης
12.1 Κύρια τοποθεσία. Τα δεδομένα υποβάλλονται σε επεξεργασία και φιλοξενούνται στη Γαλλία. Η SYAGA CONSULTING είναι οντότητα γαλλικού δικαίου. Δεν μπορεί να αποκλειστεί πλήρως έμμεση έκθεση στον CLOUD Act μέσω τρίτων παρόχων· η SYAGA την περιορίζει μέσω της φιλοξενίας στη Γαλλία (OVH SAS) και κυρίως μέσω της ψευδωνυμοποίησης: η υπηρεσία λαμβάνει μόνο tokens, ποτέ τα δεδομένα σας σε καθαρή μορφή.
12.2 Προσφυγή στη Microsoft. Ο Υπεύθυνος επεξεργασίας αναγνωρίζει ότι το API Microsoft Graph λειτουργείται από τη Microsoft Corporation (Ηνωμένες Πολιτείες). Οι μεταφορές που αφορούν τη Microsoft διέπονται από τις τυποποιημένες συμβατικές ρήτρες που έχουν εγκριθεί από την Ευρωπαϊκή Επιτροπή και, κατά περίπτωση, από το πλαίσιο EU-U.S. Data Privacy Framework. Τα ελεγχόμενα δεδομένα είναι αυτά του ίδιου του tenant Microsoft 365 του Πελάτη, στα οποία γίνεται πρόσβαση μόνο ανάγνωσης για λογαριασμό του μέσω του Microsoft Graph. Η Microsoft ενεργεί ως πάροχος του Πελάτη· η SYAGA δεν αποτελεί μεταγενέστερο εκτελούντα την επεξεργασία για λογαριασμό της.
12.3 Γενικές εγγυήσεις. Κάθε μεταφορά εκτός ΕΕ που πραγματοποιείται από τον Εκτελούντα την επεξεργασία ή μεταγενέστερο εκτελούντα την επεξεργασία υπόκειται στην εφαρμογή έγκυρου μηχανισμού κατά την έννοια του κεφαλαίου V του ΓΚΠΔ (απόφαση επάρκειας, τυποποιημένες συμβατικές ρήτρες ή άλλη κατάλληλη εγγύηση).
Άρθρο 13 - Επικοινωνία για την προστασία δεδομένων
Εκτελών την επεξεργασία (SYAGA CONSULTING): σημείο επικοινωνίας για την προστασία δεδομένων - contact@syaga.fr. Ο ορισμός υπεύθυνου προστασίας δεδομένων δεν είναι υποχρεωτικός κατά την έννοια του άρθρου 37 του ΓΚΠΔ· υπεύθυνος για την προστασία δεδομένων είναι ο διαχειριστής, Sébastien Questier, σημείο επικοινωνίας για κάθε ζήτημα σχετικό με τα δεδομένα προσωπικού χαρακτήρα.
Υπεύθυνος επεξεργασίας: επαφή ΓΚΠΔ που ορίζεται από τον Πελάτη σύμφωνα με τις δικές του υποχρεώσεις.
Άρθρο 14 - Διάρκεια, τροποποίηση και εφαρμοστέο δίκαιο
Η παρούσα DPA τίθεται σε ισχύ κατά την εγγραφή στην υπηρεσία SYAGA Audit και παραμένει σε ισχύ καθ' όλη τη διάρκεια της επεξεργασίας που πραγματοποιείται για λογαριασμό του Υπεύθυνου επεξεργασίας.
Κάθε ουσιώδης τροποποίηση αποτελεί αντικείμενο προηγούμενης κοινοποίησης στον Υπεύθυνο επεξεργασίας. Η συνέχιση της χρήσης της υπηρεσίας μετά την προθεσμία κοινοποίησης ισοδυναμεί με αποδοχή των τροποποιήσεων. Αυτοί οι όροι τροποποίησης είναι σύμφωνοι με τις απαιτήσεις του άρθρου 28 του ΓΚΠΔ για τις συμφωνίες ανάθεσης επεξεργασίας.
Η παρούσα DPA υπόκειται στο γαλλικό δίκαιο. Κάθε διαφορά υπάγεται στην αρμοδιότητα των δικαστηρίων της περιφέρειας του Aix-en-Provence, με την επιφύλαξη των κανόνων δημόσιας τάξης που εφαρμόζονται στις διασυνοριακές διαφορές.
Παράρτημα 1 - Αναλυτική περιγραφή της επεξεργασίας και μέτρα ασφαλείας (άρθρο 32 ΓΚΠΔ)
| Παράμετρος | Περιγραφή |
|---|---|
| Σκοποί | Έλεγχος ασφάλειας και συμμόρφωσης M365 - παραγωγή εκθέσεων |
| Κατηγορίες δεδομένων | Μεταδεδομένα διαμόρφωσης, μεταδεδομένα ταυτότητας (UPN, ονόματα), αρχεία καταγραφής ασφαλείας |
| Ειδικές κατηγορίες (άρθρο 9) | Καμία |
| Ενδιαφερόμενα πρόσωπα | Λογαριασμοί και ταυτότητες του tenant Microsoft 365 του Πελάτη |
| Διατήρηση από την πλευρά του διακομιστή | Ακατέργαστα δεδομένα του tenant: ποτέ δεν διαβιβάζονται (ψευδωνυμοποίηση στο πρόγραμμα περιήγησης). Αποτελέσματα με tokens: διατηρούνται στον χώρο πελάτη όσο διάστημα ο Πελάτης είναι ενεργός. |
| Τόπος επεξεργασίας | Γαλλία (υποδομή SYAGA CONSULTING) |
| Κρυπτογράφηση κατά τη μεταφορά | TLS 1.2/1.3 - όλες οι επικοινωνίες· SPF/DKIM/DMARC |
| Token Microsoft | Δεν εξέρχεται ποτέ από το πρόγραμμα περιήγησης του Πελάτη· δεν λαμβάνεται ποτέ από τον Εκτελούντα την επεξεργασία |
| Αρχιτεκτονική | Συλλογή και ψευδωνυμοποίηση από extension στο πρόγραμμα περιήγησης του Πελάτη· ο Εκτελών την επεξεργασία αναλύει μόνο αποτυπώματα |
| Διαχείριση προσβάσεων | Αρχή του ελάχιστου προνομίου· ονομαστικές εξουσιοδοτήσεις |
| Κατά της κατάχρησης | Ανώτατο όριο 2 ελέγχων/ημέρα/tenant· κατά επιθέσεων DDoS |
| Καταγραφή συμβάντων | Ελάχιστα τεχνικά αρχεία καταγραφής λειτουργίας και ασφαλείας, χωρίς προσωπικά δεδομένα ελέγχου, διατηρούμενα περίπου 12 μήνες σύμφωνα με τις συστάσεις της CNIL. |
| Ευθυγράμμιση πλαισίων αναφοράς ασφαλείας | Μέτρα ευθυγραμμισμένα με το άρθρο 32 ΓΚΠΔ, το ISO/IEC 27001 (με διαδικασία πιστοποίησης σε εξέλιξη, χωρίς πιστοποίηση που να έχει αποκτηθεί μέχρι σήμερα), συστάσεις της ANSSI. |
Παράρτημα 2 - Κατάλογος εξουσιοδοτημένων μεταγενέστερων εκτελούντων την επεξεργασία
| Μεταγενέστερος εκτελών την επεξεργασία | Παροχή | Τοποθεσία | Εγγυήσεις μεταφοράς |
|---|---|---|---|
| Microsoft Corporation | API Microsoft Graph - πρόσβαση ανάγνωσης στα δεδομένα διαμόρφωσης του tenant | ΕΕ + Ηνωμένες Πολιτείες (υποδομή Microsoft) | Η Microsoft ενεργεί ως πάροχος του Πελάτη (όχι μεταγενέστερος εκτελών την επεξεργασία της SYAGA). Μεταφορές που διέπονται από τις τυποποιημένες συμβατικές ρήτρες της ΕΕ και τη συμμετοχή της Microsoft στο πλαίσιο EU-U.S. Data Privacy Framework. |
| OVH SAS (φιλοξενία, Roubaix, Γαλλία) | Φιλοξενία πλατφόρμας SYAGA Audit | Γαλλία | Δεν εφαρμόζεται (ΕΕ) |
| Stripe Inc. | Πληρωμή - δεδομένα τιμολόγησης Πελάτη μόνο (εκτός δεδομένων του tenant) | Ηνωμένες Πολιτείες / ΕΕ | EU-U.S. Data Privacy Framework (η Stripe είναι πιστοποιημένη) και, επικουρικά, Τυποποιημένες Συμβατικές Ρήτρες ΕΕ (2021) - Data Transfers Addendum της Stripe. |
Νομικές αναφορές
- CNIL - εκτελών την επεξεργασία, υποχρεώσεις άρθρου 28 ΓΚΠΔ: cnil.fr/fr/sous-traitant
- Κανονισμός (ΕΕ) 2016/679 (ΓΚΠΔ), άρθρα 4, 9, 12 έως 22, 28, 32 έως 36: EUR-Lex CELEX:32016R0679
- Οδηγία NIS2 (ΕΕ) 2022/2555, άρθρο 21: EUR-Lex CELEX:32022L2555
- Κανονισμός DORA (ΕΕ) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - Οδηγός ψηφιακής υγιεινής: ssi.gouv.fr
- Γαλλικός νόμος αρ. 78-17 της 6ης Ιανουαρίου 1978, όπως τροποποιήθηκε: Légifrance