SYAGA AuditMicrosoft 365 Edition
Avaleht Funktsioonid Turvalisus Kuidas see toimib Hinnad
Logi sisse Alusta tasuta diagnostikat

Privaatsuspoliitika

Versioon 1.0 - Viimane uuendus: 25. juuni 2026


Sissejuhatus

Käesoleva privaatsuspoliitika eesmärk on teavitada SYAGA Audit teenuse kasutajaid ja kliente sellest, kuidas nende isikuandmeid kogutakse, töödeldakse ja kaitstakse, kooskõlas 27. aprilli 2016. aasta määrusega (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel (GDPR), ning 6. jaanuari 1978. aasta muudetud seadusega nr 78-17, mis käsitleb infotehnoloogiat, andmefaile ja vabadusi.

SYAGA Audit on Microsoft 365 keskkonna turva- ja vastavusauditi teenus, mis toimib ainult lugemisõigusega kliendi Microsoft 365 tenandi konfiguratsioonide ja metaandmete osas. Teenus ei pääse ligi auditeeritava tenandi kasutajate sõnumite, failide ega e-kirjade sisule ega salvesta ühtegi parooli.

Käesolev dokument täidab isikuandmete kaitse üldmääruse artiklites 13 (otsene kogumine) ja 14 (kaudne kogumine) sätestatud teavitamiskohustuse.


1. Vastutava töötleja andmed ja kontaktandmed

Konto- ja kliendisuhte haldamise andmete vastutav töötleja on:

SYAGA CONSULTING

  • Vorm: osaühing (SARL) osakapitaliga 20 000 eurot
  • SIREN: 518 489 471, RCS Aix-en-Provence
  • Registrijärgne asukoht: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa
  • Ühenduse käibemaksukohustuslase number: FR93 518489471
  • contact@syaga.fr

Volitatud töötleja ja vastutava töötleja rollide jaotus: auditi käigus kogutavate Microsoft 365 tenandi konfiguratsiooni- ja metaandmete osas tegutseb SYAGA isikuandmete kaitse üldmääruse artikli 28 tähenduses volitatud töötlejana, klient jääb oma M365 andmete vastutavaks töötlejaks. Käesolev poliitika hõlmab valdkonda, kus SYAGA tegutseb vastutava töötlejana (konto-, arveldus- ja toeandmed). Kliendi nimel teostatavat töötlemist reguleerib andmetöötlusleping (DPA).

Andmekaitsekontakt

Andmekaitsega seotud küsimuste jaoks: contact@syaga.fr

Andmekaitsespetsialisti määramine ei ole isikuandmete kaitse üldmääruse artikli 37 tähenduses kohustuslik; vastutav töötleja, juhataja isikus, on kontaktisik kõigis isikuandmetega seotud küsimustes.


2. Kogutavad isikuandmed

2.1 Konto- ja kliendisuhte haldamise andmed

SYAGA kogub vastutava töötlejana:

  • Kontaktisiku andmed: ees- ja perekonnanimi, ametikoht
  • Ametialased kontaktandmed: e-posti aadress, ärinimi
  • Teenuse autentimisandmed (Microsofti OAuth-token, ühtegi parooli ei salvestata SYAGA Audit poolel)
  • Arveldus- ja lepinguhaldusandmed
  • Toe- ja suhtlusandmed
  • Tehnilised ühenduse logid (IP-aadressid, ajatemplid)

2.2 Auditiandmed (Microsoft 365 konfiguratsioon ja metaandmed)

Auditi käigus pääseb Teenus ainult lugemisõigusega Microsoft Graph API kaudu ligi kliendi M365 tenandi konfiguratsiooni- ja metaandmetele, muu hulgas:

  • Turvakonfiguratsiooni sätted (tingimusliku juurdepääsu reeglid, MFA sätted, jagamise sätted)
  • Kasutajakontode metaandmed (UPN, rollid, MFA staatus, Entra ID kataloogi atribuudid)
  • Turvaolukorra näitajad ja metaandmed (Secure Score, konfiguratsiooniteated)

Mida Teenus ei kogu: e-kirjade, failide, dokumentide, sõnumite sisu, paroolid, isikuandmete kaitse üldmääruse artikli 9 tähenduses tundlikud andmed.

Ajutine arhitektuur: audit teostatakse muutmälus ühekordses skannimiskonteineris (ilma kettale salvestamata). Aruanne edastatakse kliendile üks kord, seejärel kustutatakse skannimise toorandmed ja juurdepääsutoken. Token on auditi kestel puhkeolekus krüpteeritud (Fernet). Maksimaalne turvaline TTL: 2 tundi. SYAGA säilitab serveri poolel ainult arveldusandmed, vastavalt seadusest tulenevatele kohustustele.

2.3 Küpsised ja jälgimisvahendid

Sait syaga.eu kasutab ainult Teenuse toimimiseks rangelt vajalikke küpsiseid:

  • __jsc: robotitõrje turvaküpsis, seansi kestus
  • vigil_audit: seansiküpsis, seansi kestus

Ühtegi külastatavuse mõõtmise küpsist (Google Analytics, Matomo või samaväärne) ega reklaamiküpsist ei salvestata. Need rangelt vajalikud küpsised on CNIL-i 4. juuli 2023. aasta suuniste kohaselt vabastatud eelnevast nõusolekust (allikas: cnil.fr, küpsised ja jälgimisvahendid). Nende küpsiste kohta piisab teavitusest.


3. Töötlemise eesmärgid ja õiguslikud alused

Vastavalt isikuandmete kaitse üldmääruse artiklile 6 põhineb iga töötlemine kindlaks määratud õiguslikul alusel:

EesmärkÕiguslik alus (GDPR art 6)
Auditeenuse osutamine ja täitmine; kliendikonto loomine ja haldamineLepingu täitmine, art 6.1.b
Arveldamine, raamatupidamine, sissenõudmineSeadusjärgne kohustus (kaubandusseadustiku art L.123-22) ja lepingu täitmine, art 6.1.c ja 6.1.b
Tehniline tugi ja abiLepingu täitmine, art 6.1.b
Teenuse turvalisus, pettuste ennetamine, logimineÕigustatud huvi, art 6.1.f
Rangelt vajalikud küpsisedVabastatud nõusolekust (CNIL-i suunised)

Tenandi auditiandmete osas (jaotis 2.2) tegutseb SYAGA kliendi (vastutava töötleja) juhistel. Vt andmetöötluslepingut (DPA).


4. Saajad ja volitatud töötlejad

Andmeid edastatakse ainult SYAGA CONSULTINGu volitatud isikutele ning artiklis 28 sätestatud tingimustel tegutsevatele volitatud töötlejatele:

  • Microsoft Corporation: Microsoft Graph API pakkuja, mida kasutatakse ainult lugemisõigusega kliendi tenandi konfiguratsiooniandmetele ligipääsuks. Auditeeritavad andmed on kliendi enda Microsoft 365 tenandi andmed, mida vaadatakse tema nimel ainult lugemisõigusega Microsoft Graphi kaudu. Microsoft tegutseb Kliendi teenusepakkujana; SYAGA ei ole tema järgnev volitatud töötleja.
  • Stripe Inc.: makseteenuse pakkuja arveldusandmete töötlemiseks. Edastused Stripele on reguleeritud EL-USA andmekaitseraamistikuga, millega Stripe on sertifitseeritud, ja täiendavalt Euroopa Komisjoni standardsete lepingutingimustega (2021), mis on lisatud Stripe'i Data Transfers Addendum'isse (allikad: stripe.com/legal/dpa ja stripe.com/legal/dta).
  • Majutaja: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Prantsusmaa (RCS Lille Métropole 424 761 419). Teenust majutatakse Prantsusmaal OVH SAS (Prantsuse majutaja) poolt, kes on SYAGA CONSULTINGu tehniline volitatud töötleja. SYAGA CONSULTING saab ainult pseudonümiseeritud andmeid (tokeneid).

Ühtegi andmeid ei müüda ega loovutata kolmandatele isikutele ärilistel eesmärkidel.

Andmeid võidakse seaduse nõudmisel edastada haldus- või kohtuasutustele.


5. Säilitusajad

Andmeid säilitatakse ainult nii kaua, kui see on eesmärkide saavutamiseks vajalik (GDPR art 5.1.e):

AndmekategooriaSäilitusaeg
Auditi toorandmed (leiud, juurdepääsutoken)Nullsäilitus serveri poolel: kustutatakse Aruande üleandmisel (ajutine arhitektuur, maksimaalne TTL 2 tundi)
Aktiivse kliendikonto andmedLepingulise suhte kestuse ajal, seejärel kustutatakse 30 päeva jooksul pärast lepingu lõpetamist
Arveldusandmed ja raamatupidamisdokumendid10 aastat alates majandusaasta lõpust (seadusjärgne kohustus, kaubandusseadustiku art L.123-22)
Tehnilised logid (ühenduse logid)12 kuud (CNIL-i soovitus)

6. Andmete edastamine väljapoole Euroopa Liitu

SYAGA Audit teenust majutav infrastruktuur asub Prantsusmaal. Põhimõtteliselt ei teosta SYAGA ühtegi andmeedastust väljapoole ELi/EMPd.

Microsofti osas: vastutav töötleja tunnistab, et Microsoft Graph API-d haldab Microsoft Corporation (USA). Microsofti puudutavad edastused on reguleeritud tema Euroopa Komisjoni heakskiidetud standardsete lepingutingimustega ja vajaduse korral tema osalemisega EL-USA andmekaitseraamistikus. Auditeeritavad andmed on kliendi enda Microsoft 365 tenandi andmed, mida vaadatakse tema nimel ainult lugemisõigusega Microsoft Graphi kaudu. Microsoft tegutseb Kliendi teenusepakkujana. Microsofti infrastruktuuri puudutavad edastused on reguleeritud Euroopa Komisjoni heakskiidetud standardsete lepingutingimustega ja Microsofti osalemisega EL-USA andmekaitseraamistikus.

Stripe Inc. teostab väljaspool ELi toimuvaid edastusi, mis on reguleeritud isikuandmete kaitse üldmääruse V peatükiga kooskõlas olevate mehhanismidega. Edastused Stripele on reguleeritud EL-USA andmekaitseraamistikuga, millega Stripe on sertifitseeritud, ja täiendavalt Euroopa Komisjoni standardsete lepingutingimustega (2021), mis on lisatud Stripe'i Data Transfers Addendum'isse.


7. Andmesubjektide õigused

Vastavalt GDPR artiklitele 15 kuni 22 on igal andmesubjektil järgmised õigused:

  • Juurdepääsuõigus (GDPR art 15): saada kinnitus, et teda puudutavaid andmeid töödeldakse, ning saada nendest koopia
  • Parandamisõigus (art 16): lasta parandada ebaõiged või mittetäielikud andmed
  • Kustutamisõigus (art 17): saada andmed kustutatud GDPR-is ette nähtud juhtudel
  • Töötlemise piiramise õigus (art 18)
  • Andmete ülekantavuse õigus (art 20): saada oma andmed struktureeritud ja masinloetavas vormingus
  • Vastuväite esitamise õigus (art 21): esitada vastuväide töötlemisele oma erilise olukorraga seotud põhjustel ning otseturunduse suhtes igal ajal
  • Nõusoleku tagasivõtmise õigus (art 7.3) igal ajal, kui töötlemine põhineb nõusolekul
  • Surmajärgne õigus (Informatique et Libertés seaduse art 85): kehtestada juhised andmete saatuse kohta pärast surma

Oluline auditiandmete kohta: tenandi konfiguratsiooni- ja metaandmete osas tuleb õiguste teostamise taotlused esitada kliendile (vastutavale töötlejale), kes pöördub vajaduse korral SYAGA poole (isikuandmete kaitse üldmääruse art 28.3.e).

Õiguste teostamise kord

Neid õigusi saab teostada, saates taotluse aadressile contact@syaga.fr või postiga aadressile SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa. Vastus antakse ühe kuu jooksul (isikuandmete kaitse üldmääruse art 12.3), mida võib keerukuse korral pikendada kahe kuu võrra.

Kaebus CNIL-ile

Igal andmesubjektil on õigus esitada kaebus CNIL-ile (GDPR art 77):

CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Prantsusmaa. Vt www.cnil.fr


8. Andmete turvalisus (GDPR art 32)

SYAGA rakendab riskile vastava turvataseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid (GDPR art 32):

  • Ajutine arhitektuur: audit teostatakse muutmälus, ühekordses skannimiskonteineris ilma kettale salvestamata; toorandmed kustutatakse Aruande üleandmisel
  • Minimaalsed õigused: ühendus Microsofti OAuth kaudu Microsofti poolt iga auditeeritava valdkonna jaoks pakutavate kõige kitsamate õigustega; Teenus ei kirjuta, ei muuda ega kustuta kunagi ühtegi tenandi andmeid
  • Krüpteerimine edastusel: TLS 1.2/1.3 kõikidel side kanalitel; SPF, DKIM ja DMARC aktiveeritud e-kirjadel
  • Krüpteerimine puhkeolekus: auditi kestel krüpteeritud (Fernet) juurdepääsutoken
  • Majutus Prantsusmaal: OVH (Prantsusmaa) infrastruktuur
  • Juurdepääsu kontroll: minimaalsete õiguste põhimõte; isikustatud õigused
  • Kuritarvituste vastane kaitse: piirang 2 auditit päevas tenanti kohta, DDoS-vastased meetmed
  • Rikkumistest teavitamine: menetlus vastab GDPR artiklitele 33 ja 34 (CNIL-i teavitamine 72 tunni jooksul)

Mitme raamistiku kooskola

SYAGA Audit turvameetmed on kavandatud kooskõlas mitme tunnustatud turvaraamistikuga. SYAGA ei väida omavat ühtegi ametlikku sertifikaati nende raamistike osas, meetmed on kooskõlastatud standardi ISO/IEC 27001 nõuetega ning sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud; meetmed on kooskõlas ja inspireeritud nendest raamistikest:

  • GDPR (määrus (EL) 2016/679): otsekohalduv õiguslik alus. Vt eur-lex.europa.eu CELEX:32016R0679
  • NIS2 direktiiv (direktiiv (EL) 2022/2555): võrgu- ja infosüsteemide riskijuhtimis- ja turvameetmed. Vt eur-lex.europa.eu CELEX:32022L2555. SYAGA, kelle töötajate arv ja käive jäävad direktiivi (EL) 2022/2555 tähenduses olulise üksuse künnistest allapoole (50 töötajat või 10 miljonit eurot), ei kuulu NIS2 kohustatud üksuste kohaldamisalasse. SYAGA Audit aitab siiski oma klientidel hinnata oma vastavust sellele raamistikule (allikas: monespacenis2.cyber.gouv.fr).
  • DORA (määrus (EL) 2022/2554): finantssektori digitaalne tegevuskerksus. Vt eur-lex.europa.eu CELEX:32022R2554. Kuna SYAGA ei ole reguleeritud finantsüksus, ei kohaldu määrus (EL) 2022/2554 (DORA) talle otseselt; lepingulised kohustused võivad siiski juhtumipõhiselt kohalduda, kui klient on DORA-le alluv finantsüksus (allikas: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: infoturbe halduse süsteemide (ISMS) võrdlusraamistik. Vt iso.org/standard/27001. SYAGA Audit meetmed on kooskõlas standardi ISO/IEC 27001 nõuetega, sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud.
  • ANSSI soovitused: Prantsuse riikliku infosüsteemide turbeagentuuri infohügieeni juhend ja soovitused. Vt ssi.gouv.fr.

SYAGA Audit aitab oma klientidel just mõõta oma vastavust nendele raamistikele (GDPR, NIS2, ANSSI) nende Microsoft 365 keskkonnas.


9. Käesoleva poliitika muudatused

Käesolevat poliitikat võidakse uuendada, et kajastada õiguslikke, regulatiivseid või tehnilisi muudatusi. Kehtiv versioon on avaldatud aadressil https://syaga.eu/confidentialite.html. Olulise muudatuse korral teavitatakse registreeritud kasutajaid e-kirjaga mõistliku aja jooksul enne muudatuste jõustumist.


10. Kontakt

Käesoleva poliitika või teie andmete kaitsega seotud küsimuste korral:

  • contact@syaga.fr
  • Aadress: SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa

Õiguslikud ja dokumentaalsed viited

  • Määrus (EL) 2016/679 (GDPR), täistekst: eur-lex.europa.eu CELEX:32016R0679
  • Prantsuse 6. jaanuari 1978. aasta muudetud seadus nr 78-17: Légifrance
  • CNIL, andmesubjektide õigused: cnil.fr
  • CNIL, küpsised: cnil.fr
  • NIS2 direktiiv (EL) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • DORA määrus (EL) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI, infohügieeni juhend: ssi.gouv.fr
SYAGA Audit
Turvalisus Privaatsus Kasutustingimused Andmetöötlusleping Juriidiline teave © 2026 SYAGA