Tietosuojaseloste
Versio 1.0 - Viimeisin päivitys: 25. kesäkuuta 2026
Johdanto
Tämän tietosuojaselosteen tarkoituksena on kertoa SYAGA Audit -palvelun käyttäjille ja asiakkaille, miten heidän henkilötietojaan kerätään, käsitellään ja suojataan, 27.4.2016 annetun asetuksen (EU) 2016/679 (luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä, GDPR) ja muutetun 6.1.1978 annetun lain n:o 78-17 (tietotekniikka, tiedostot ja vapaudet) mukaisesti.
SYAGA Audit on Microsoft 365 -ympäristön tietoturva- ja vaatimustenmukaisuusauditointipalvelu, joka toimii vain luku -oikeuksin asiakkaan Microsoft 365 -tenantin määrityksiin ja metatietoihin. Palvelu ei pääse käsiksi auditoidun tenantin käyttäjien viestien, tiedostojen tai sähköpostien sisältöön eikä tallenna mitään salasanoja.
Tämä asiakirja täyttää GDPR-asetuksen 13 artiklan (suora keräys) ja 14 artiklan (välillinen keräys) mukaisen tiedonantovelvollisuuden.
1. Rekisterinpitäjän tiedot ja yhteystiedot
Tili- ja asiakassuhdetietojen rekisterinpitäjä on:
SYAGA CONSULTING
- Yhtiömuoto: rajavastuuyhtiö (SARL), osakepääoma 20 000 EUR
- SIREN: 518 489 471 -- kaupparekisteri (RCS) Aix-en-Provence
- Kotipaikka: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- EU:n sisäinen alv-tunniste: FR93 518489471
- Sähköposti: contact@syaga.fr
Käsittelijän ja rekisterinpitäjän välinen suhde: auditoinnin yhteydessä kerättyjen Microsoft 365 -tenantin määritys- ja metatietojen osalta SYAGA toimii GDPR-asetuksen 28 artiklan mukaisena henkilötietojen käsittelijänä, ja asiakas pysyy omien M365-tietojensa rekisterinpitäjänä. Tämä käytäntö kattaa sen osa-alueen, jossa SYAGA toimii rekisterinpitäjänä (tilitiedot, laskutus, tuki). Asiakkaan puolesta tehtävää käsittelyä säätelee tietojenkäsittelysopimus (DPA).
Tietosuojayhteydenotot
Kaikki tietosuojaa koskevat pyynnöt: contact@syaga.fr
Tietosuojavastaavan nimittäminen ei ole pakollista GDPR-asetuksen 37 artiklan tarkoittamalla tavalla; rekisterinpitäjä, toimitusjohtajan henkilössä, on yhteyshenkilö kaikissa henkilötietoja koskevissa kysymyksissä.
2. Kerätyt henkilötiedot
2.1 Tili- ja asiakassuhdetiedot
SYAGA kerää rekisterinpitäjänä:
- Yhteyshenkilön tiedot: suku- ja etunimi, tehtävänimike
- Yritysyhteystiedot: sähköpostiosoite, toiminimi
- Palveluun kirjautumisen tunnistautumistiedot (Microsoftin OAuth-token -- SYAGA Audit ei tallenna salasanoja)
- Laskutus- ja sopimushallintatiedot
- Tuki- ja viestintätiedot
- Tekniset kirjautumislokit (IP-osoitteet, aikaleimat)
2.2 Auditointitiedot (Microsoft 365:n määritys- ja metatiedot)
Auditoinnin yhteydessä Palvelu käyttää vain luku -oikeuksin, Microsoft Graph -rajapinnan kautta, asiakkaan M365-tenantin määritys- ja metatietoja, muun muassa:
- Tietoturva-asetukset (ehdolliset käyttöoikeuskäytännöt, MFA-asetukset, jakoasetukset)
- Käyttäjätileihin liittyvät metatiedot (UPN, roolit, MFA-tila, Entra ID -hakemiston attribuutit)
- Tietoturvatason indikaattorit ja metatiedot (Secure Score, määritysvaroitukset)
Mitä Palvelu ei kerää: sähköpostien, tiedostojen, asiakirjojen ja viestien sisältöä, salasanoja, GDPR-asetuksen 9 artiklan tarkoittamia arkaluonteisia tietoja.
Väliaikainen arkkitehtuuri: auditointi suoritetaan keskusmuistissa kertakäyttöisessä skannauskontissa (ei tallennusta levylle). Raportti toimitetaan asiakkaalle kerran, minkä jälkeen skannauksen raakadata ja käyttöoikeustoken poistetaan pysyvästi. Token salataan levossa (Fernet) auditoinnin keston ajan. Enimmäiselinaika (TTL): 2 tuntia. SYAGA säilyttää palvelinpuolella ainoastaan laskutustiedot, lakisääteisten velvoitteiden mukaisesti.
2.3 Evästeet ja seurantatekniikat
Sivusto syaga.eu käyttää ainoastaan Palvelun toiminnan kannalta ehdottoman välttämättömiä evästeitä:
__jsc: botintorjunnan tietoturvaeväste, voimassa istunnon ajanvigil_audit: istuntoeväste, voimassa istunnon ajan
Mitään kävijäseurantaevästeitä (Google Analytics, Matomo tai vastaava) tai mainontaevästeitä ei aseteta. Nämä ehdottoman välttämättömät evästeet on vapautettu ennakkosuostumusvaatimuksesta CNIL:n 4.7.2023 antamien ohjeiden mukaisesti (lähde: cnil.fr -- evästeet ja seurantatekniikat). Näistä evästeistä kertova ilmoitus riittää.
3. Käsittelyn tarkoitukset ja oikeusperusteet
GDPR-asetuksen 6 artiklan mukaisesti jokainen käsittely perustuu tunnistettuun oikeusperusteeseen:
| Tarkoitus | Oikeusperuste (GDPR 6 artikla) |
|---|---|
| Auditointipalvelun tarjoaminen ja suorittaminen; asiakastilin luonti ja hallinta | Sopimuksen täytäntöönpano -- GDPR 6.1.b artikla |
| Laskutus, kirjanpito, perintä | Lakisääteinen velvoite (kauppalain L.123-22 artikla) ja sopimuksen täytäntöönpano -- GDPR 6.1.c ja 6.1.b artikla |
| Tuki ja tekninen apu | Sopimuksen täytäntöönpano -- GDPR 6.1.b artikla |
| Palvelun tietoturva, petostentorjunta, lokitus | Oikeutettu etu -- GDPR 6.1.f artikla |
| Ehdottoman välttämättömät evästeet | Vapautettu suostumusvaatimuksesta (CNIL:n ohjeet) |
Tenantin auditointitietojen osalta (kohta 2.2) SYAGA toimii asiakkaan (rekisterinpitäjän) ohjeiden mukaisesti. Ks. DPA.
4. Vastaanottajat ja käsittelijät
Tietoja luovutetaan ainoastaan SYAGA CONSULTINGin sisällä valtuutetuille henkilöille sekä GDPR-asetuksen 28 artiklan ehdoin toimiville käsittelijöille:
- Microsoft Corporation: Microsoft Graph -rajapinnan toimittaja, jota käytetään vain luku -oikeuksin asiakkaan tenantin määritystietojen hakemiseen. Auditoidut tiedot ovat Asiakkaan oman Microsoft 365 -tenantin tietoja, joita luetaan Asiakkaan puolesta vain luku -oikeuksin Microsoft Graphin kautta. Microsoft toimii Asiakkaan toimittajana; SYAGA ei ole sen alikäsittelijä.
- Stripe Inc.: maksupalveluntarjoaja laskutustietojen käsittelyä varten. Stripelle siirrettävät tiedot on suojattu EU-U.S. Data Privacy Framework -kehyksellä, johon Stripe on sertifioitu, ja toissijaisesti Euroopan komission vakiosopimuslausekkeilla (2021), jotka on sisällytetty Stripen Data Transfers Addendumiin (lähteet: stripe.com/legal/dpa ja stripe.com/legal/dta).
- Palveluntarjoaja: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Ranska (RCS Lille Métropole 424 761 419). Palvelu isännöidään Ranskassa ranskalaisen OVH SAS:n palvelimilla, joka toimii SYAGA CONSULTINGin teknisenä alihankkijana. SYAGA CONSULTING vastaanottaa ainoastaan pseudonymisoitua dataa (tokenit).
Mitään tietoa ei myydä eikä luovuteta kolmansille osapuolille kaupallisiin tarkoituksiin.
Tietoja voidaan luovuttaa hallinto- tai oikeusviranomaisille, kun laki sitä edellyttää.
5. Säilytysajat
Tietoja säilytetään ainoastaan niin kauan kuin käyttötarkoitus edellyttää (GDPR-asetuksen 5.1.e artikla):
| Tietoluokka | Säilytysaika |
|---|---|
| Auditoinnin raakadata (havainnot, käyttöoikeustoken) | Ei säilytystä palvelinpuolella: poistetaan pysyvästi Raportin toimituksen yhteydessä (väliaikainen arkkitehtuuri, enimmäis-TTL 2 tuntia) |
| Aktiivisen asiakastilin tiedot | Sopimussuhteen keston ajan, minkä jälkeen tiedot poistetaan 30 päivän kuluessa irtisanomisesta |
| Laskutustiedot ja kirjanpitoasiakirjat | 10 vuotta tilikauden päättymisestä (lakisääteinen velvoite, kauppalain L.123-22 artikla) |
| Tekniset lokit (kirjautumislokit) | 12 kuukautta (CNIL:n suositus) |
6. Tiedonsiirrot Euroopan unionin ulkopuolelle
SYAGA Audit -palvelun infrastruktuuri sijaitsee Ranskassa. SYAGA ei lähtökohtaisesti siirrä tietoja EU:n/ETA:n ulkopuolelle.
Microsoftin osalta: rekisterinpitäjä tunnustaa, että Microsoft Graph -rajapintaa ylläpitää Microsoft Corporation (Yhdysvallat). Mahdolliset Microsoftia koskevat tiedonsiirrot on suojattu Euroopan komission hyväksymillä vakiosopimuslausekkeilla ja tarvittaessa Microsoftin osallistumisella EU-U.S. Data Privacy Framework -kehykseen. Auditoidut tiedot ovat Asiakkaan oman Microsoft 365 -tenantin tietoja, joita luetaan Asiakkaan puolesta vain luku -oikeuksin Microsoft Graphin kautta. Microsoft toimii Asiakkaan toimittajana. Mahdolliset Microsoftin infrastruktuuria koskevat tiedonsiirrot on suojattu Euroopan komission hyväksymillä vakiosopimuslausekkeilla ja Microsoftin osallistumisella EU-U.S. Data Privacy Framework -kehykseen.
Stripe Inc. suorittaa EU:n ulkopuolisia tiedonsiirtoja, jotka on suojattu GDPR-asetuksen V luvun mukaisilla mekanismeilla. Stripelle siirrettävät tiedot on suojattu EU-U.S. Data Privacy Framework -kehyksellä, johon Stripe on sertifioitu, ja toissijaisesti Euroopan komission vakiosopimuslausekkeilla (2021), jotka on sisällytetty Stripen Data Transfers Addendumiin.
7. Rekisteröidyn oikeudet
GDPR-asetuksen 15-22 artiklan mukaisesti jokaisella rekisteröidyllä on seuraavat oikeudet:
- Tarkastusoikeus (GDPR-asetuksen 15 artikla): saada vahvistus siitä, käsitelläänkö hänen tietojaan, ja saada niistä jäljennös
- Oikaisuoikeus (16 artikla): saada virheelliset tai puutteelliset tiedot korjatuksi
- Oikeus tietojen poistamiseen (17 artikla): saada tietonsa poistettua GDPR-asetuksen määrittelemissä tapauksissa
- Oikeus käsittelyn rajoittamiseen (18 artikla)
- Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla): saada tietonsa jäsennellyssä, koneluettavassa muodossa
- Vastustamisoikeus (21 artikla): vastustaa käsittelyä henkilökohtaiseen tilanteeseensa liittyvistä syistä sekä milloin tahansa suoramarkkinoinnin osalta
- Oikeus peruuttaa suostumus (7.3 artikla) milloin tahansa, kun käsittely perustuu suostumukseen
- Kuoleman jälkeiset oikeudet (tietotekniikka ja vapaudet -lain 85 artikla): antaa ohjeita tietojen kohtalosta kuoleman jälkeen
Tärkeää auditointitietojen osalta: tenantin määritys- ja metatietojen osalta oikeuksien käyttöä koskevat pyynnöt tulee osoittaa asiakkaalle (rekisterinpitäjä), joka tarvittaessa kääntyy SYAGA:n puoleen (GDPR-asetuksen 28.3.e artikla).
Käyttötavat
Näitä oikeuksia käytetään lähettämällä pyyntö osoitteeseen contact@syaga.fr tai postitse osoitteeseen SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Vastaus annetaan kuukauden kuluessa (GDPR-asetuksen 12.3 artikla), määräaikaa voidaan pidentää kahdella kuukaudella monimutkaisissa tapauksissa.
Valitus CNIL:lle
Jokaisella rekisteröidyllä on oikeus tehdä valitus CNIL:lle (GDPR-asetuksen 77 artikla):
CNIL (Ranskan tietosuojaviranomainen) -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Tietoturva (GDPR-asetuksen 32 artikla)
SYAGA toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan tietoturvatason varmistamiseksi (GDPR-asetuksen 32 artikla):
- Väliaikainen arkkitehtuuri: auditointi suoritetaan keskusmuistissa, kertakäyttöisessä skannauskontissa ilman tallennusta levylle; raakadata poistetaan pysyvästi Raportin toimituksen yhteydessä
- Vähimmät oikeudet: yhteys Microsoftin OAuthin kautta käyttäen kunkin auditoidun osa-alueen suppeimpia Microsoftin tarjoamia käyttöoikeuksia; Palvelu ei koskaan kirjoita, muuta tai poista mitään tenantin tietoa
- Salaus siirron aikana: TLS 1.2/1.3 kaikessa viestinnässä; SPF, DKIM ja DMARC käytössä sähköposteissa
- Salaus levossa: käyttöoikeustoken salattu (Fernet) auditoinnin keston ajan
- Palvelimet Ranskassa: OVH:n infrastruktuuri (Ranska)
- Käyttöoikeuksien hallinta: vähimpien oikeuksien periaate; henkilökohtaiset valtuutukset
- Väärinkäytösten esto: enimmäismäärä 2 auditointia/päivä/tenantti, DDoS-torjuntatoimenpiteet
- Tietoturvaloukkauksista ilmoittaminen: GDPR-asetuksen 33 ja 34 artiklan mukainen menettely (ilmoitus CNIL:lle 72 tunnin kuluessa)
Usean säädöksen yhteensovittaminen
SYAGA Auditin tietoturvatoimenpiteet on suunniteltu yhdenmukaisiksi useiden tunnustettujen tietoturvaviitekehysten kanssa. SYAGA ei väitä omaavansa muodollista sertifiointia näihin viitekehyksiin; toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa, sertifiointiprosessi on käynnissä mutta sertifikaattia ei ole tähän mennessä saatu; toimenpiteet ovat näiden kehysten mukaisia ja niistä inspiroituneita:
- GDPR (asetus (EU) 2016/679): suoraan sovellettava sääntelyperusta -- eur-lex.europa.eu CELEX:32016R0679
- NIS2-direktiivi (direktiivi (EU) 2022/2555): riskienhallintatoimenpiteet, verkko- ja tietojärjestelmien turvallisuus -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, jonka henkilöstömäärä ja liikevaihto alittavat direktiivin (EU) 2022/2555 tarkoittamat merkittävien toimijoiden kynnysarvot (50 työntekijää tai 10 miljoonaa euroa), ei kuulu NIS2-velvoitteiden piiriin. SYAGA Audit auttaa silti asiakkaitaan arvioimaan omaa vaatimustenmukaisuuttaan tämän viitekehyksen suhteen (lähde: monespacenis2.cyber.gouv.fr).
- DORA (asetus (EU) 2022/2554): rahoitussektorin digitaalinen operatiivinen häiriönsietokyky -- eur-lex.europa.eu CELEX:32022R2554. Koska SYAGA ei ole säännelty rahoitusalan toimija, asetus (EU) 2022/2554 (DORA) ei koske sitä suoraan; sopimusvelvoitteita voi kuitenkin syntyä tapauskohtaisesti, kun asiakas on DORA:n piiriin kuuluva rahoitusalan toimija (lähde: eur-lex.europa.eu DORA).
- ISO/IEC 27001: tietoturvallisuuden hallintajärjestelmien (ISMS) viitekehys -- iso.org/standard/27001. SYAGA Auditin toimenpiteet on linjattu ISO/IEC 27001 -standardin vaatimusten kanssa; sertifiointiprosessi on käynnissä, mutta sertifikaattia ei ole tähän mennessä saatu.
- ANSSI:n suositukset: Ranskan kansallisen tietoturvaviraston (ANSSI) tietoturvahygieniaopas ja suositukset -- ssi.gouv.fr.
SYAGA Audit auttaa nimenomaan asiakkaitaan arvioimaan omaa vaatimustenmukaisuuttaan näiden viitekehysten (GDPR, NIS2, ANSSI) suhteen omassa Microsoft 365 -ympäristössään.
9. Tämän tietosuojaselosteen muutokset
Tätä tietosuojaselostetta voidaan päivittää lainsäädännön, sääntelyn tai tekniikan muuttuessa. Voimassa oleva versio on aina osoitteessa https://syaga.eu/confidentialite.html julkaistu versio. Merkittävästä muutoksesta rekisteröityneille käyttäjille ilmoitetaan sähköpostitse kohtuullisessa ajassa ennen muutosten voimaantuloa.
10. Yhteystiedot
Kaikki tätä tietosuojaselostetta tai tietojesi suojaa koskevat kysymykset:
- Sähköposti: contact@syaga.fr
- Osoite: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Oikeudelliset ja dokumentaariset viittaukset
- Asetus (EU) 2016/679 (GDPR) -- koko teksti: eur-lex.europa.eu CELEX:32016R0679
- Muutettu laki n:o 78-17, 6.1.1978: Légifrance
- CNIL -- rekisteröidyn oikeudet: cnil.fr
- CNIL -- evästeet: cnil.fr
- NIS2-direktiivi (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA-asetus (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- tietoturvahygieniaopas: ssi.gouv.fr