SYAGA AuditMicrosoft 365 Edition
Avaleht Funktsioonid Turvalisus Kuidas see toimib Hinnad
Logi sisse Alusta tasuta diagnostikat

Andmetöötlusleping (DPA)

Sõlmitud määruse (EL) 2016/679 (GDPR) artikli 28 alusel (allikas: gdpr-info.eu/art-28-gdpr)

Asjaomane teenus: SYAGA Audit, Microsoft 365 turva- ja vastavusaudit, ainult lugemisõigus

Versioon: 1.0. Kuupäev: 27. juuni 2026. Jõustumiskuupäev: 27. juuni 2026


Poolte tuvastamine

Volitatud töötleja:

SYAGA CONSULTING, osaühing (SARL) osakapitaliga 20 000 eurot, registreeritud Aix-en-Provence'i äriregistris SIREN-numbriga 518 489 471, asutatud 08.12.2009, esindaja juhataja Sébastien Questier, registrijärgse asukohaga 2 Impasse Paul Langevin, 13110 Port-de-Bouc, SYAGA Audit teenuse väljaandja, edaspidi volitatud töötleja.

JA

Vastutav töötleja: Klient, kes on tellinud SYAGA Audit teenuse aadressil cgu.html kättesaadavate CGV tingimustel, kelle kontaktandmed on need, mis esitati tellimisel, edaspidi vastutav töötleja.

Edaspidi koos nimetatud Pooled.


Sissejuhatus

Käesolev andmetöötlusleping (DPA) on sõlmitud GDPR artikli 28 alusel, mis nõuab, et volitatud töötleja poolt vastutava töötleja nimel teostatavat töötlemist reguleeriks leping, milles on määratletud töötlemise ese, kestus, laad ja eesmärk, isikuandmete liik, andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused.

Käesolev andmetöötlusleping (DPA) on SYAGA Audit üld- ja teenustingimuste (CGV, põhileping) lisa. Kui käesoleva DPA ja põhilepingu vahel esineb vastuolu andmekaitseküsimuses, on ülimuslik käesolev DPA. Isikuandmete kaitsega seotud vastuolu korral on käesolev DPA ülimuslik kasutustingimuste (CGU) suhtes.

SYAGA Audit teenust tellides aktsepteerib Klient käesoleva DPA tingimusi. Elektrooniline nõustumine tähendab DPA aktsepteerimist vastavalt elektrooniliste lepingute sõlmimisele kohaldatavatele sätetele.


Artikkel 1 - Teenuse ese ja doktriin

Käesolev DPA määrab kindlaks tingimused, mille alusel volitatud töötleja kohustub teostama vastutava töötleja nimel ja dokumenteeritud juhiste alusel SYAGA Audit teenuse osutamiseks vajalikke isikuandmete töötlemise toiminguid.

SYAGA Audit teostab vastutava töötleja Microsoft 365 keskkonna turva- ja vastavusauditit ainult lugemisõigusega: Teenus ei kirjuta, ei muuda ega kustuta auditeeritavas tenandis ühtegi andmeid.

Volitatud töötleja rakendab nullteadmise (zero-knowledge) doktriini: kogumine ja pseudonümiseerimine toimuvad Kliendi brauseris (laiendus). Volitatud töötleja ei saa kunagi tenandi toorandmeid ega Kliendi Microsofti juurdepääsutokenit, ainult pseudonümiseeritud sõrmejälgi. Tokeniseeritud audititulemused säilitatakse kliendikontol, et Klient saaks neid uuesti avada, seni kuni tema konto on aktiivne; need muudetakse selgeks tekstiks üksnes Kliendi enda seadmes.


Artikkel 2 - Töötlemise laad, eesmärk ja kestus

2.1 Toimingute laad. Toimingud seisnevad järgnevas: kogumine (lugemine, minimaalsed õigused) Microsofti API-de kaudu, mida teostab Kliendi seadmes töötav brauserilaiendus; kohalik pseudonümiseerimine; volitatud töötleja poolt ainult pseudonümiseeritud sõrmejälgede analüüs turvaraamistike alusel (ANSSI, Microsofti soovitused, GDPR, NIS2); tulemuste esitamine Kliendi seadmes taaskontekstualiseeritud aruannetena.

2.2 Ainueesmärk. Eesmärk on hinnata vastutava töötleja Microsoft 365 tenandi turva- ja vastavusolukorda ning koostada sellega seotud auditiaruandeid. Ühtegi muud eesmärki (turundus, profileerimine, volitatud töötleja enda huvides taaskasutamine) ei ole lubatud.

2.3 Kestus. Töötlemine toimub põhilepingu täitmise kestuse ajal. Toorandmed kustutatakse kohe Aruande üleandmisel.


Artikkel 3 - Töödeldavate isikuandmete kategooriad

Volitatud töötleja töötleb järgmisi andmekategooriaid:

  • Konfiguratsiooni- ja turvametaandmed: tenandi sätted, tingimusliku juurdepääsu reeglid, MFA konfiguratsioon, administraatorirollid ja -õigused, jagamise sätted, turvafunktsioonide aktiveerimise olek
  • Identiteedi- ja kataloogimetaandmed: konto identifikaatorid (UPN), kuvatavad nimed, grupikuuluvus, auditi jaoks olulised kataloogi atribuudid
  • Turvasündmuste logid ja metaandmed: ühenduse logid, auditisündmused, kontrollide hindamiseks vajalikud metaandmed

Selgesõnalised välistused. Volitatud töötleja ei töötle e-kirjade, failide ega dokumentide sisu. Töödeldakse ainult metaandmeid ja konfiguratsiooniandmeid.

Erikategooriad. Töötlemise eesmärk ei ole isikuandmete kaitse üldmääruse artikli 9 tähenduses erikategooria andmete töötlemine. Vastutav töötleja kohustub mitte konfigureerima teenust viisil, mis viiks sellise töötlemiseni.


Artikkel 4 - Andmesubjektide kategooriad

Andmesubjektid on vastutava töötleja Microsoft 365 tenandi kontode ja identiteetide omanikud: töötajad, juhid, administraatorid, teenusepakkujad ja külalised, kellel on auditeeritavas kataloogis konto.


Artikkel 5 - Vastutava töötleja dokumenteeritud juhised

Volitatud töötleja töötleb andmeid ainult vastutava töötleja dokumenteeritud juhiste alusel (GDPR art 28.3.a), sealhulgas kolmandasse riiki edastamise osas, välja arvatud imperatiivse seadusjärgse kohustuse korral (millisel juhul teavitab ta sellest vastutavat töötlejat enne töötlemist, kui seadus seda ei keela).

Käesolev DPA, selle lisad ja CGV kujutavad endast esialgseid dokumenteeritud juhiseid. Volitatud töötleja teavitab vastutavat töötlejat viivitamata, kui ta leiab, et mõni juhis rikub GDPR-i (GDPR art 28.3, viimane lõik).


Artikkel 6 - Konfidentsiaalsus

Volitatud töötleja tagab, et andmete töötlemiseks volitatud isikud on võtnud konfidentsiaalsuskohustuse või alluvad asjakohasele seadusjärgsele konfidentsiaalsuskohustusele (GDPR art 28.3.b) ning saavad vajaliku andmekaitsealase koolituse. See kohustus jääb kehtima ka pärast ametist lahkumist ja käesoleva DPA lõppemist.


Artikkel 7 - Turvameetmed (GDPR art 32) ja raamistike kooskõla

Volitatud töötleja rakendab riskile vastava turvataseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid (GDPR art 32). Kehtestatud meetmed hõlmavad muu hulgas:

  • Nullteadmise arhitektuur (zero-knowledge): kogumine ja pseudonümiseerimine toimuvad Kliendi brauseris (laiendus); volitatud töötleja saab ainult pseudonümiseeritud sõrmejälgi; tenandi toorandmeid ja Microsofti tokenit talle kunagi ei edastata
  • Minimaalsed õigused: ühendus Microsofti OAuth kaudu Microsofti poolt iga valdkonna jaoks pakutavate kõige kitsamate õigustega; Teenus ei kirjuta, ei muuda ega kustuta kunagi ühtegi auditeeritava tenandi andmeid
  • Krüpteerimine edastusel: TLS 1.2/1.3 kõikidel side kanalitel; SPF, DKIM ja DMARC aktiveeritud
  • Microsofti token: ei lahku kunagi Kliendi brauserist; volitatud töötleja ei saa ega salvesta seda kunagi
  • Majutus Prantsusmaal: OVH (Prantsusmaa) infrastruktuur, mida haldab SYAGA CONSULTING
  • Juurdepääsude haldamine: minimaalsete õiguste põhimõte; isikustatud õigused; regulaarne ülevaatus
  • Kuritarvituste vastu: piirang 2 auditit päevas tenanti kohta; DDoS-vastased meetmed
  • Logimine: andmetele juurdepääsu jälgitavus
  • Regulaarne testimine turvameetmete tõhususe kontrollimiseks

Kooskõla tunnustatud turvaraamistikega

Ülaltoodud meetmed on kavandatud kooskõlas järgmiste raamistikega. SYAGA ei väida omavat ühtegi ametlikku sertifikaati nende raamistike osas - meetmed on kooskõlas standardi ISO/IEC 27001 nõuetega ning sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud; tegemist on funktsionaalse kooskõlaga:

RaamistikAsjakohasus SYAGA Audit'ileAmetlik allikas
GDPR (EL) 2016/679 Otsekohalduv õiguslik alus. Art 32: tehnilised ja korralduslikud meetmed. Ajutine arhitektuur = art 5.1.e-ga kooskõlas olev minimeerimismeede. eur-lex.europa.eu CELEX:32016R0679
NIS2 direktiiv (EL) 2022/2555 Küberturvalisuse riskijuhtimise meetmed (NIS2 art 21): äritegevuse jätkuvus, intsidentide haldamine, võrguturve, krüpteerimine. SYAGA Audit aitab klientidel hinnata oma NIS2 vastavust oma M365 tenandis. SYAGA, kelle töötajate arv ja käive jäävad direktiivi (EL) 2022/2555 tähenduses olulise üksuse künnistest allapoole (50 töötajat või 10 miljonit eurot), ei kuulu NIS2 kohustatud üksuste kohaldamisalasse. SYAGA Audit aitab siiski oma klientidel hinnata oma vastavust sellele raamistikule. eur-lex.europa.eu CELEX:32022L2555
DORA määrus (EL) 2022/2554 Digitaalne tegevuskerksus reguleeritud finantsüksustele. SYAGA Audit võib aidata finantsklientidel dokumenteerida oma DORA-alast turvaolukorda oma M365 tenandis. Kuna SYAGA ei ole reguleeritud finantsüksus, ei kohaldu DORA talle otseselt; lepingulised kohustused võivad juhtumipõhiselt kohalduda DORA-le alluvatele finantssektori klientidele. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS raamistik: turvapoliitika, riskijuhtimine, juurdepääsukontroll, krüpteerimine, logimine. SYAGA Audit meetmed on kooskõlas vastavate ISO 27002 kontrollidega. SYAGA Audit meetmed on kooskõlas standardi ISO/IEC 27001 nõuetega, sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud. iso.org/standard/27001
ANSSI soovitused Infohügieeni juhend, infosüsteemide turvasoovitused. Meetmed on inspireeritud ANSSI kontode haldamise, krüpteerimise ja logimise soovitustest. SYAGA Audit hindab M365 konfiguratsioone ANSSI soovituste alusel. ssi.gouv.fr

Täielik ülevaade tehnilistest ja korralduslikest meetmetest on toodud Lisas 1.


Artikkel 8 - Järgnevate volitatud töötlejate kasutamine

Vastutav töötleja lubab volitatud töötlejal kasutada Lisas 2 loetletud järgnevaid volitatud töötlejaid. Iga uue volitatud töötleja lisamise või asendamise korral teavitab volitatud töötleja vastutavat töötlejat kirjalikult vähemalt kolmkümmend (30) päeva enne jõustumist, vastutaval töötlejal on kolmkümmend (30) päeva aega esitada vastuväide andmekaitsega seotud mõistlikel põhjustel (GDPR art 28.2 ja 28.4). Need tähtajad ja tingimused kehtivad, kui Pooled ei ole kokku leppinud teisiti.

Volitatud töötleja kehtestab lepinguga järgnevatele volitatud töötlejatele samad andmekaitsekohustused, mis on sätestatud käesolevas DPA-s (GDPR art 28.4), ja jääb nende täitmise eest vastutava töötleja ees täielikult vastutavaks.


Artikkel 9 - Abi vastutavale töötlejale

9.1 Andmesubjektide õigused (GDPR art 12-22 ja 28.3.e). Volitatud töötleja edastab viivitamata vastutavale töötlejale iga otse andmesubjektilt saadud õiguste teostamise taotluse ja abistab tal sellele vastamisel.

9.2 Turvalisus ja mõjuhinnang (GDPR art 32-36 ja 28.3.f). Volitatud töötleja abistab vastutavat töötlejat töötlemise turvalisuse tagamisel, andmekaitsealase mõjuhinnangu (DPIA) koostamisel vajaduse korral ning vajaduse korral CNIL-iga eelnevalt konsulteerimisel.

9.3 Andmerikkumised (GDPR art 33 ja 34). Volitatud töötleja teavitab vastutavat töötlejat igast andmerikkumisest hiljemalt nelikümmend kaheksa (48) tunni jooksul pärast sellest teadasaamist, esimesel võimalusel, et võimaldada vastutaval töötlejal järgida GDPR artiklis 33 sätestatud 72-tunnist tähtaega, edastades teavitamiseks vajaliku teabe.


Artikkel 10 - Andmete saatus lepingu lõppedes

Käesoleva DPA lõppedes toimib volitatud töötleja vastutava töötleja kirjalikult teatatud valiku kohaselt (GDPR art 28.3.g) kolmekümne (30) päeva jooksul pärast lepingu lõppu:

Märkus: arvestades teenuse ajutist arhitektuuri, ei säilitata pärast teenuse osutamist ühtegi auditiandmeid; säilitatakse ainult arveldusandmed vastavalt seadusest tulenevatele kohustustele (10 aastat).

  • tagastab vastutavale töötlejale töödeldud isikuandmed struktureeritud vormingus (JSON või CSV, olenevalt saadavusest); või
  • kustutab turvaliselt kõik andmed, sealhulgas koopiad, välja arvatud seadusjärgse säilitamiskohustuse korral.

Vastavalt teenuse ajutisele arhitektuurile on auditi toorandmed juba Aruande üleandmisel kustutatud. Volitatud töötleja väljastab nõudmisel kustutamistõendi.


Artikkel 11 - Auditid ja kontrollid

Volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik GDPR artikli 28 kohustuste täitmise tõendamiseks, ja võimaldab auditite, sealhulgas inspekteerimiste, läbiviimist (GDPR art 28.3.h).

Auditid alluvad järgmistele tingimustele: kirjalik etteteatamine vähemalt kolmkümmend (30) tööpäeva ette, teostamine tööaja jooksul, maksimaalne sagedus üks (1) audit kaheteistkümne (12) kuu kohta, välja arvatud erandlikel asjaoludel (eelkõige tõendatud turvaintsident), kulud kannab vastutav töötleja, saadud teabe konfidentsiaalsus.


Artikkel 12 - Edastused väljapoole Euroopa Liitu

12.1 Peamine asukoht. Andmeid töödeldakse ja majutatakse Prantsusmaal. SYAGA CONSULTING on Prantsuse õiguse alusel asutatud üksus. Kaudset CLOUD Act'i mõju kolmandate teenusepakkujate kaudu ei saa täielikult välistada; SYAGA piirab seda Prantsusmaal majutusega (OVH SAS) ja eelkõige pseudonümiseerimisega: teenus saab ainult tokeneid, mitte kunagi teie andmeid selges vormis.

12.2 Microsofti kasutamine. Vastutav töötleja tunnistab, et Microsoft Graph API-d haldab Microsoft Corporation (USA). Microsofti puudutavad edastused on reguleeritud Euroopa Komisjoni heakskiidetud standardsete lepingutingimustega ja vajaduse korral EL-USA andmekaitseraamistikuga. Auditeeritavad andmed on kliendi enda Microsoft 365 tenandi andmed, mida vaadatakse tema nimel ainult lugemisõigusega Microsoft Graphi kaudu. Microsoft tegutseb Kliendi teenusepakkujana; SYAGA ei ole tema järgnev volitatud töötleja.

12.3 Üldised tagatised. Iga volitatud töötleja või järgneva volitatud töötleja teostatud edastus väljapoole ELi eeldab GDPR V peatüki tähenduses kehtiva mehhanismi rakendamist (adekvaatsusotsus, standardsed lepingutingimused või muu asjakohane tagatis).


Artikkel 13 - Andmekaitsekontakt

Volitatud töötleja (SYAGA CONSULTING): andmekaitse kontaktisik: contact@syaga.fr. Andmekaitsespetsialisti määramine ei ole isikuandmete kaitse üldmääruse artikli 37 tähenduses kohustuslik; andmekaitse eest vastutab juhataja Sébastien Questier, kontaktisik kõigis isikuandmetega seotud küsimustes.

Vastutav töötleja: Kliendi poolt tema oma kohustuste kohaselt määratud GDPR-kontakt.


Artikkel 14 - Kestus, muutmine ja kohaldatav õigus

Käesolev DPA jõustub SYAGA Audit teenuse tellimisel ja jääb kehtima kogu vastutava töötleja nimel teostatava töötlemise kestuse ajaks.

Igast olulisest muudatusest teavitatakse vastutavat töötlejat eelnevalt. Teenuse jätkuv kasutamine pärast teavitustähtaega tähendab muudatuste aktsepteerimist. Need muutmise tingimused vastavad isikuandmete kaitse üldmääruse artiklis 28 volitatud töötlemise lepingutele sätestatud nõuetele.

Käesolev DPA allub Prantsuse õigusele. Kõik vaidlused kuuluvad Aix-en-Provence'i kohtute pädevusse, piiriüleste vaidluste suhtes kohaldatavate imperatiivsete õigusnormide kohaldamise reservatsiooniga.


Lisa 1 - Töötlemise üksikasjalik kirjeldus ja turvameetmed (GDPR art 32)

ParameeterKirjeldus
EesmärgidM365 turva- ja vastavusaudit, aruannete koostamine
AndmekategooriadKonfiguratsioonimetaandmed, identiteedimetaandmed (UPN, nimed), turvalogid
Erikategooriad (art 9)Puudub
AndmesubjektidKliendi Microsoft 365 tenandi kontod ja identiteedid
Säilitamine serveri poolelTenandi toorandmed: ei edastata kunagi (pseudonümiseerimine toimub brauseris). Tokeniseeritud tulemused: säilitatakse kliendikontol seni, kuni Klient on aktiivne.
Töötlemise kohtPrantsusmaa (SYAGA CONSULTINGu infrastruktuur)
Krüpteerimine edastuselTLS 1.2/1.3, kõik sidekanalid; SPF/DKIM/DMARC
Microsofti tokenEi lahku kunagi Kliendi brauserist; volitatud töötleja ei saa seda kunagi
ArhitektuurKogumine ja pseudonümiseerimine toimuvad Kliendi brauseri laienduse kaudu; volitatud töötleja analüüsib ainult sõrmejälgi
Juurdepääsude haldamineMinimaalsete õiguste põhimõte; isikustatud õigused
Kuritarvituste vastuPiirang 2 auditit päevas tenanti kohta; DDoS-vastased meetmed
LogimineMinimaalsed tehnilised käitus- ja turvalogid, ilma isikustatud auditiandmeteta, säilitatakse umbes 12 kuud vastavalt CNIL-i soovitustele.
Kooskõla turvaraamistikegaMeetmed on kooskõlas GDPR artikliga 32, standardiga ISO/IEC 27001 (sertifitseerimisprotsess on käimas, kuid sertifikaati ei ole seni saadud), ANSSI soovitustega.

Lisa 2 - Lubatud järgnevate volitatud töötlejate loetelu

Järgnev volitatud töötlejaTeenusAsukohtEdastuse tagatised
Microsoft Corporation Microsoft Graph API, tenandi konfiguratsiooniandmete lugemisõigus EL + USA (Microsofti infrastruktuur) Microsoft tegutseb Kliendi teenusepakkujana (mitte SYAGA järgneva volitatud töötlejana). Edastused on reguleeritud Euroopa Komisjoni standardsete lepingutingimustega ja Microsofti osalemisega EL-USA andmekaitseraamistikus.
OVH SAS (majutus, Roubaix, Prantsusmaa) SYAGA Audit platvormi majutus Prantsusmaa Ei kohaldu (EL)
Stripe Inc. Maksmine, ainult Kliendi arveldusandmed (mitte tenandi andmed) USA / EL EL-USA andmekaitseraamistik (Stripe sertifitseeritud) ja täiendavalt Euroopa Komisjoni standardsed lepingutingimused (2021), Stripe'i Data Transfers Addendum.

Õiguslikud viited

  • CNIL, volitatud töötleja, GDPR artikli 28 kohustused: cnil.fr/fr/sous-traitant
  • Määrus (EL) 2016/679 (GDPR), artiklid 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
  • NIS2 direktiiv (EL) 2022/2555, art 21: EUR-Lex CELEX:32022L2555
  • DORA määrus (EL) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI, infohügieeni juhend: ssi.gouv.fr
  • Prantsuse 6. jaanuari 1978. aasta muudetud seadus nr 78-17: Légifrance
SYAGA Audit
Turvalisus Privaatsus CGU DPA Juriidiline teave © 2026 SYAGA