Privaatsuspoliitika
Versioon 1.0 - Viimane uuendus: 25. juuni 2026
Sissejuhatus
Käesoleva privaatsuspoliitika eesmärk on teavitada SYAGA Audit teenuse kasutajaid ja kliente sellest, kuidas nende isikuandmeid kogutakse, töödeldakse ja kaitstakse, kooskõlas 27. aprilli 2016. aasta määrusega (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel (GDPR), ning 6. jaanuari 1978. aasta muudetud seadusega nr 78-17, mis käsitleb infotehnoloogiat, andmefaile ja vabadusi.
SYAGA Audit on Microsoft 365 keskkonna turva- ja vastavusauditi teenus, mis toimib ainult lugemisõigusega kliendi Microsoft 365 tenandi konfiguratsioonide ja metaandmete osas. Teenus ei pääse ligi auditeeritava tenandi kasutajate sõnumite, failide ega e-kirjade sisule ega salvesta ühtegi parooli.
Käesolev dokument täidab isikuandmete kaitse üldmääruse artiklites 13 (otsene kogumine) ja 14 (kaudne kogumine) sätestatud teavitamiskohustuse.
1. Vastutava töötleja andmed ja kontaktandmed
Konto- ja kliendisuhte haldamise andmete vastutav töötleja on:
SYAGA CONSULTING
- Vorm: osaühing (SARL) osakapitaliga 20 000 eurot
- SIREN: 518 489 471, RCS Aix-en-Provence
- Registrijärgne asukoht: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa
- Ühenduse käibemaksukohustuslase number: FR93 518489471
- contact@syaga.fr
Volitatud töötleja ja vastutava töötleja rollide jaotus: auditi käigus kogutavate Microsoft 365 tenandi konfiguratsiooni- ja metaandmete osas tegutseb SYAGA isikuandmete kaitse üldmääruse artikli 28 tähenduses volitatud töötlejana, klient jääb oma M365 andmete vastutavaks töötlejaks. Käesolev poliitika hõlmab valdkonda, kus SYAGA tegutseb vastutava töötlejana (konto-, arveldus- ja toeandmed). Kliendi nimel teostatavat töötlemist reguleerib andmetöötlusleping (DPA).
Andmekaitsekontakt
Andmekaitsega seotud küsimuste jaoks: contact@syaga.fr
Andmekaitsespetsialisti määramine ei ole isikuandmete kaitse üldmääruse artikli 37 tähenduses kohustuslik; vastutav töötleja, juhataja isikus, on kontaktisik kõigis isikuandmetega seotud küsimustes.
2. Kogutavad isikuandmed
2.1 Konto- ja kliendisuhte haldamise andmed
SYAGA kogub vastutava töötlejana:
- Kontaktisiku andmed: ees- ja perekonnanimi, ametikoht
- Ametialased kontaktandmed: e-posti aadress, ärinimi
- Teenuse autentimisandmed (Microsofti OAuth-token, ühtegi parooli ei salvestata SYAGA Audit poolel)
- Arveldus- ja lepinguhaldusandmed
- Toe- ja suhtlusandmed
- Tehnilised ühenduse logid (IP-aadressid, ajatemplid)
2.2 Auditiandmed (Microsoft 365 konfiguratsioon ja metaandmed)
Auditi käigus pääseb Teenus ainult lugemisõigusega Microsoft Graph API kaudu ligi kliendi M365 tenandi konfiguratsiooni- ja metaandmetele, muu hulgas:
- Turvakonfiguratsiooni sätted (tingimusliku juurdepääsu reeglid, MFA sätted, jagamise sätted)
- Kasutajakontode metaandmed (UPN, rollid, MFA staatus, Entra ID kataloogi atribuudid)
- Turvaolukorra näitajad ja metaandmed (Secure Score, konfiguratsiooniteated)
Mida Teenus ei kogu: e-kirjade, failide, dokumentide, sõnumite sisu, paroolid, isikuandmete kaitse üldmääruse artikli 9 tähenduses tundlikud andmed.
Ajutine arhitektuur: audit teostatakse muutmälus ühekordses skannimiskonteineris (ilma kettale salvestamata). Aruanne edastatakse kliendile üks kord, seejärel kustutatakse skannimise toorandmed ja juurdepääsutoken. Token on auditi kestel puhkeolekus krüpteeritud (Fernet). Maksimaalne turvaline TTL: 2 tundi. SYAGA säilitab serveri poolel ainult arveldusandmed, vastavalt seadusest tulenevatele kohustustele.
2.3 Küpsised ja jälgimisvahendid
Sait syaga.eu kasutab ainult Teenuse toimimiseks rangelt vajalikke küpsiseid:
__jsc: robotitõrje turvaküpsis, seansi kestusvigil_audit: seansiküpsis, seansi kestus
Ühtegi külastatavuse mõõtmise küpsist (Google Analytics, Matomo või samaväärne) ega reklaamiküpsist ei salvestata. Need rangelt vajalikud küpsised on CNIL-i 4. juuli 2023. aasta suuniste kohaselt vabastatud eelnevast nõusolekust (allikas: cnil.fr, küpsised ja jälgimisvahendid). Nende küpsiste kohta piisab teavitusest.
3. Töötlemise eesmärgid ja õiguslikud alused
Vastavalt isikuandmete kaitse üldmääruse artiklile 6 põhineb iga töötlemine kindlaks määratud õiguslikul alusel:
| Eesmärk | Õiguslik alus (GDPR art 6) |
|---|---|
| Auditeenuse osutamine ja täitmine; kliendikonto loomine ja haldamine | Lepingu täitmine, art 6.1.b |
| Arveldamine, raamatupidamine, sissenõudmine | Seadusjärgne kohustus (kaubandusseadustiku art L.123-22) ja lepingu täitmine, art 6.1.c ja 6.1.b |
| Tehniline tugi ja abi | Lepingu täitmine, art 6.1.b |
| Teenuse turvalisus, pettuste ennetamine, logimine | Õigustatud huvi, art 6.1.f |
| Rangelt vajalikud küpsised | Vabastatud nõusolekust (CNIL-i suunised) |
Tenandi auditiandmete osas (jaotis 2.2) tegutseb SYAGA kliendi (vastutava töötleja) juhistel. Vt andmetöötluslepingut (DPA).
4. Saajad ja volitatud töötlejad
Andmeid edastatakse ainult SYAGA CONSULTINGu volitatud isikutele ning artiklis 28 sätestatud tingimustel tegutsevatele volitatud töötlejatele:
- Microsoft Corporation: Microsoft Graph API pakkuja, mida kasutatakse ainult lugemisõigusega kliendi tenandi konfiguratsiooniandmetele ligipääsuks. Auditeeritavad andmed on kliendi enda Microsoft 365 tenandi andmed, mida vaadatakse tema nimel ainult lugemisõigusega Microsoft Graphi kaudu. Microsoft tegutseb Kliendi teenusepakkujana; SYAGA ei ole tema järgnev volitatud töötleja.
- Stripe Inc.: makseteenuse pakkuja arveldusandmete töötlemiseks. Edastused Stripele on reguleeritud EL-USA andmekaitseraamistikuga, millega Stripe on sertifitseeritud, ja täiendavalt Euroopa Komisjoni standardsete lepingutingimustega (2021), mis on lisatud Stripe'i Data Transfers Addendum'isse (allikad: stripe.com/legal/dpa ja stripe.com/legal/dta).
- Majutaja: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Prantsusmaa (RCS Lille Métropole 424 761 419). Teenust majutatakse Prantsusmaal OVH SAS (Prantsuse majutaja) poolt, kes on SYAGA CONSULTINGu tehniline volitatud töötleja. SYAGA CONSULTING saab ainult pseudonümiseeritud andmeid (tokeneid).
Ühtegi andmeid ei müüda ega loovutata kolmandatele isikutele ärilistel eesmärkidel.
Andmeid võidakse seaduse nõudmisel edastada haldus- või kohtuasutustele.
5. Säilitusajad
Andmeid säilitatakse ainult nii kaua, kui see on eesmärkide saavutamiseks vajalik (GDPR art 5.1.e):
| Andmekategooria | Säilitusaeg |
|---|---|
| Auditi toorandmed (leiud, juurdepääsutoken) | Nullsäilitus serveri poolel: kustutatakse Aruande üleandmisel (ajutine arhitektuur, maksimaalne TTL 2 tundi) |
| Aktiivse kliendikonto andmed | Lepingulise suhte kestuse ajal, seejärel kustutatakse 30 päeva jooksul pärast lepingu lõpetamist |
| Arveldusandmed ja raamatupidamisdokumendid | 10 aastat alates majandusaasta lõpust (seadusjärgne kohustus, kaubandusseadustiku art L.123-22) |
| Tehnilised logid (ühenduse logid) | 12 kuud (CNIL-i soovitus) |
6. Andmete edastamine väljapoole Euroopa Liitu
SYAGA Audit teenust majutav infrastruktuur asub Prantsusmaal. Põhimõtteliselt ei teosta SYAGA ühtegi andmeedastust väljapoole ELi/EMPd.
Microsofti osas: vastutav töötleja tunnistab, et Microsoft Graph API-d haldab Microsoft Corporation (USA). Microsofti puudutavad edastused on reguleeritud tema Euroopa Komisjoni heakskiidetud standardsete lepingutingimustega ja vajaduse korral tema osalemisega EL-USA andmekaitseraamistikus. Auditeeritavad andmed on kliendi enda Microsoft 365 tenandi andmed, mida vaadatakse tema nimel ainult lugemisõigusega Microsoft Graphi kaudu. Microsoft tegutseb Kliendi teenusepakkujana. Microsofti infrastruktuuri puudutavad edastused on reguleeritud Euroopa Komisjoni heakskiidetud standardsete lepingutingimustega ja Microsofti osalemisega EL-USA andmekaitseraamistikus.
Stripe Inc. teostab väljaspool ELi toimuvaid edastusi, mis on reguleeritud isikuandmete kaitse üldmääruse V peatükiga kooskõlas olevate mehhanismidega. Edastused Stripele on reguleeritud EL-USA andmekaitseraamistikuga, millega Stripe on sertifitseeritud, ja täiendavalt Euroopa Komisjoni standardsete lepingutingimustega (2021), mis on lisatud Stripe'i Data Transfers Addendum'isse.
7. Andmesubjektide õigused
Vastavalt GDPR artiklitele 15 kuni 22 on igal andmesubjektil järgmised õigused:
- Juurdepääsuõigus (GDPR art 15): saada kinnitus, et teda puudutavaid andmeid töödeldakse, ning saada nendest koopia
- Parandamisõigus (art 16): lasta parandada ebaõiged või mittetäielikud andmed
- Kustutamisõigus (art 17): saada andmed kustutatud GDPR-is ette nähtud juhtudel
- Töötlemise piiramise õigus (art 18)
- Andmete ülekantavuse õigus (art 20): saada oma andmed struktureeritud ja masinloetavas vormingus
- Vastuväite esitamise õigus (art 21): esitada vastuväide töötlemisele oma erilise olukorraga seotud põhjustel ning otseturunduse suhtes igal ajal
- Nõusoleku tagasivõtmise õigus (art 7.3) igal ajal, kui töötlemine põhineb nõusolekul
- Surmajärgne õigus (Informatique et Libertés seaduse art 85): kehtestada juhised andmete saatuse kohta pärast surma
Oluline auditiandmete kohta: tenandi konfiguratsiooni- ja metaandmete osas tuleb õiguste teostamise taotlused esitada kliendile (vastutavale töötlejale), kes pöördub vajaduse korral SYAGA poole (isikuandmete kaitse üldmääruse art 28.3.e).
Õiguste teostamise kord
Neid õigusi saab teostada, saates taotluse aadressile contact@syaga.fr või postiga aadressile SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa. Vastus antakse ühe kuu jooksul (isikuandmete kaitse üldmääruse art 12.3), mida võib keerukuse korral pikendada kahe kuu võrra.
Kaebus CNIL-ile
Igal andmesubjektil on õigus esitada kaebus CNIL-ile (GDPR art 77):
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Prantsusmaa. Vt www.cnil.fr
8. Andmete turvalisus (GDPR art 32)
SYAGA rakendab riskile vastava turvataseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid (GDPR art 32):
- Ajutine arhitektuur: audit teostatakse muutmälus, ühekordses skannimiskonteineris ilma kettale salvestamata; toorandmed kustutatakse Aruande üleandmisel
- Minimaalsed õigused: ühendus Microsofti OAuth kaudu Microsofti poolt iga auditeeritava valdkonna jaoks pakutavate kõige kitsamate õigustega; Teenus ei kirjuta, ei muuda ega kustuta kunagi ühtegi tenandi andmeid
- Krüpteerimine edastusel: TLS 1.2/1.3 kõikidel side kanalitel; SPF, DKIM ja DMARC aktiveeritud e-kirjadel
- Krüpteerimine puhkeolekus: auditi kestel krüpteeritud (Fernet) juurdepääsutoken
- Majutus Prantsusmaal: OVH (Prantsusmaa) infrastruktuur
- Juurdepääsu kontroll: minimaalsete õiguste põhimõte; isikustatud õigused
- Kuritarvituste vastane kaitse: piirang 2 auditit päevas tenanti kohta, DDoS-vastased meetmed
- Rikkumistest teavitamine: menetlus vastab GDPR artiklitele 33 ja 34 (CNIL-i teavitamine 72 tunni jooksul)
Mitme raamistiku kooskola
SYAGA Audit turvameetmed on kavandatud kooskõlas mitme tunnustatud turvaraamistikuga. SYAGA ei väida omavat ühtegi ametlikku sertifikaati nende raamistike osas, meetmed on kooskõlastatud standardi ISO/IEC 27001 nõuetega ning sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud; meetmed on kooskõlas ja inspireeritud nendest raamistikest:
- GDPR (määrus (EL) 2016/679): otsekohalduv õiguslik alus. Vt eur-lex.europa.eu CELEX:32016R0679
- NIS2 direktiiv (direktiiv (EL) 2022/2555): võrgu- ja infosüsteemide riskijuhtimis- ja turvameetmed. Vt eur-lex.europa.eu CELEX:32022L2555. SYAGA, kelle töötajate arv ja käive jäävad direktiivi (EL) 2022/2555 tähenduses olulise üksuse künnistest allapoole (50 töötajat või 10 miljonit eurot), ei kuulu NIS2 kohustatud üksuste kohaldamisalasse. SYAGA Audit aitab siiski oma klientidel hinnata oma vastavust sellele raamistikule (allikas: monespacenis2.cyber.gouv.fr).
- DORA (määrus (EL) 2022/2554): finantssektori digitaalne tegevuskerksus. Vt eur-lex.europa.eu CELEX:32022R2554. Kuna SYAGA ei ole reguleeritud finantsüksus, ei kohaldu määrus (EL) 2022/2554 (DORA) talle otseselt; lepingulised kohustused võivad siiski juhtumipõhiselt kohalduda, kui klient on DORA-le alluv finantsüksus (allikas: eur-lex.europa.eu DORA).
- ISO/IEC 27001: infoturbe halduse süsteemide (ISMS) võrdlusraamistik. Vt iso.org/standard/27001. SYAGA Audit meetmed on kooskõlas standardi ISO/IEC 27001 nõuetega, sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud.
- ANSSI soovitused: Prantsuse riikliku infosüsteemide turbeagentuuri infohügieeni juhend ja soovitused. Vt ssi.gouv.fr.
SYAGA Audit aitab oma klientidel just mõõta oma vastavust nendele raamistikele (GDPR, NIS2, ANSSI) nende Microsoft 365 keskkonnas.
9. Käesoleva poliitika muudatused
Käesolevat poliitikat võidakse uuendada, et kajastada õiguslikke, regulatiivseid või tehnilisi muudatusi. Kehtiv versioon on avaldatud aadressil https://syaga.eu/confidentialite.html. Olulise muudatuse korral teavitatakse registreeritud kasutajaid e-kirjaga mõistliku aja jooksul enne muudatuste jõustumist.
10. Kontakt
Käesoleva poliitika või teie andmete kaitsega seotud küsimuste korral:
- contact@syaga.fr
- Aadress: SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc, Prantsusmaa
Õiguslikud ja dokumentaalsed viited
- Määrus (EL) 2016/679 (GDPR), täistekst: eur-lex.europa.eu CELEX:32016R0679
- Prantsuse 6. jaanuari 1978. aasta muudetud seadus nr 78-17: Légifrance
- CNIL, andmesubjektide õigused: cnil.fr
- CNIL, küpsised: cnil.fr
- NIS2 direktiiv (EL) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA määrus (EL) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, infohügieeni juhend: ssi.gouv.fr