Politika privatnosti
Verzija 1.0 - Posljednje ažuriranje: 25. lipnja 2026.
Uvod
Svrha ove Politike privatnosti jest informirati korisnike i klijente usluge SYAGA Audit o načinu na koji se njihovi osobni podaci prikupljaju, obrađuju i štite, u skladu s Uredbom (EU) 2016/679 od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka (GDPR) i francuskim Zakonom br. 78-17 od 6. siječnja 1978., s izmjenama, o informatici, evidencijama i slobodama.
SYAGA Audit je usluga sigurnosne revizije i revizije usklađenosti Microsoft 365 okruženja, koja djeluje isključivo u načinu čitanja na konfiguracijama i metapodacima klijentova Microsoft 365 tenanta. Usluga ne pristupa sadržaju poruka, datoteka ni e-pošte korisnika revidiranog tenanta, i ne pohranjuje nikakvu lozinku.
Ovaj dokument ispunjava obvezu informiranja predviđenu člankom 13. (izravno prikupljanje) i člankom 14. (neizravno prikupljanje) GDPR-a.
1. Identitet i podaci za kontakt voditelja obrade
Voditelj obrade za podatke o računu i upravljanju odnosom s klijentima je:
SYAGA CONSULTING
- Oblik: društvo s ograničenom odgovornošću (SARL) temeljnog kapitala 20.000 EUR
- SIREN: 518 489 471 - RCS Aix-en-Provence
- Sjedište: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- PDV broj unutar EU: FR93 518489471
- E-pošta: contact@syaga.fr
Odnos izvršitelja obrade i voditelja obrade: za konfiguracijske podatke i metapodatke Microsoft 365 tenanta prikupljene tijekom revizije, SYAGA djeluje kao izvršitelj obrade u smislu članka 28. GDPR-a, dok klijent ostaje voditelj obrade svojih vlastitih M365 podataka. Ova politika obuhvaća područje za koje SYAGA djeluje kao voditelj obrade (podaci o računu, naplati, podršci). Obrada koja se provodi u ime klijenta uređena je Ugovorom o obradi podataka (DPA).
Kontakt za zaštitu podataka
Za svaki zahtjev vezan uz zaštitu podataka: contact@syaga.fr
Imenovanje službenika za zaštitu podataka nije obvezno u smislu članka 37. GDPR-a; voditelj obrade, u osobi direktora, kontaktna je točka za sva pitanja vezana uz osobne podatke.
2. Prikupljeni osobni podaci
2.1 Podaci o računu i upravljanju odnosom s klijentima
SYAGA, u svojstvu voditelja obrade, prikuplja:
- Identitet kontakt osobe: ime, prezime, funkcija
- Poslovni podaci za kontakt: e-adresa, naziv tvrtke
- Podaci za autentifikaciju u Usluzi (Microsoft OAuth token, nikakva lozinka se ne pohranjuje kod SYAGA Audit)
- Podaci o naplati i ugovornom upravljanju
- Podaci podrške i komunikacije
- Tehnički zapisi prijave (IP adrese, vremenske oznake)
2.2 Podaci revizije (Microsoft 365 konfiguracija i metapodaci)
U okviru revizije, Usluga isključivo u načinu čitanja pristupa, putem Microsoft Graph API-ja, konfiguracijskim podacima i metapodacima klijentova M365 tenanta, posebice:
- Sigurnosne konfiguracijske postavke (politike uvjetovanog pristupa, MFA postavke, postavke dijeljenja)
- Metapodaci o korisničkim računima (UPN, uloge, status MFA, atributi Entra ID direktorija)
- Pokazatelji i metapodaci sigurnosnog stanja (Secure Score, upozorenja o konfiguraciji)
Što Usluga ne prikuplja: sadržaj e-pošte, datoteka, dokumenata, poruka, lozinki, osjetljivih podataka u smislu članka 9. GDPR-a.
Efemerna arhitektura: revizija se izvršava u radnoj memoriji, u jednokratnom skeniranom kontejneru (bez pohrane na disk). Izvješće se klijentu isporučuje jednokratno, nakon čega se sirovi podaci skeniranja i pristupni token brišu. Token je šifriran u mirovanju (Fernet) tijekom trajanja revizije. Najdulji sigurnosni TTL: 2 sata. SYAGA na poslužitelju čuva isključivo podatke o naplati, u skladu sa zakonskim obvezama.
2.3 Kolačići i pratitelji
Stranica syaga.eu koristi isključivo strogo nužne kolačiće za funkcioniranje Usluge:
__jsc: sigurnosni kolačić protiv botova, trajanje sesijevigil_audit: kolačić sesije, trajanje sesije
Ne postavlja se nijedan kolačić za mjerenje posjećenosti (Google Analytics, Matomo ili slično) niti oglasni kolačić. Ovi strogo nužni kolačići izuzeti su od prethodne privole u skladu sa smjernicama CNIL-a od 4. srpnja 2023. (izvor: cnil.fr - kolačići i pratitelji). Obavijest o tim kolačićima je dovoljna.
3. Svrhe i pravne osnove obrade
U skladu s člankom 6. GDPR-a, svaka obrada temelji se na utvrđenoj pravnoj osnovi:
| Svrha | Pravna osnova (čl. 6. GDPR) |
|---|---|
| Pružanje i izvršenje Usluge revizije; otvaranje i upravljanje klijentskim računom | Izvršenje ugovora - čl. 6.1.b |
| Naplata, računovodstvo, naplata potraživanja | Zakonska obveza (francuski Trgovački zakonik, čl. L.123-22) i izvršenje ugovora - čl. 6.1.c i 6.1.b |
| Podrška i tehnička pomoć | Izvršenje ugovora - čl. 6.1.b |
| Sigurnost Usluge, sprječavanje prijevare, vođenje zapisa | Legitimni interes - čl. 6.1.f |
| Strogo nužni kolačići | Izuzeti od privole (smjernice CNIL-a) |
Za podatke revizije tenanta (odjeljak 2.2), SYAGA djeluje po uputama klijenta (voditelja obrade). Vidi DPA.
4. Primatelji i izvršitelji obrade
Podaci se otkrivaju isključivo ovlaštenim osobama unutar SYAGA CONSULTING te izvršiteljima obrade koji sudjeluju pod uvjetima iz članka 28. GDPR-a:
- Microsoft Corporation: pružatelj Microsoft Graph API-ja, korištenog isključivo u načinu čitanja za pristup konfiguracijskim podacima klijentova tenanta. Revidirani podaci su podaci iz vlastitog Microsoft 365 tenanta Klijenta, dostupni isključivo u načinu čitanja za njegov račun putem Microsoft Graph-a. Microsoft djeluje kao pružatelj usluge Klijentu; SYAGA nije njegov daljnji izvršitelj obrade.
- Stripe Inc.: pružatelj platnih usluga za obradu podataka o naplati. Prijenosi prema Stripeu uređeni su okvirom EU-U.S. Data Privacy Framework, za koji je Stripe certificiran, te, podredno, Standardnim ugovornim klauzulama Europske komisije (2021) uključenima u Stripeov Data Transfers Addendum (izvori: stripe.com/legal/dpa i stripe.com/legal/dta).
- Pružatelj hostinga: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francuska (RCS Lille Métropole 424 761 419). Usluga je hostirana u Francuskoj kod OVH SAS (francuski pružatelj hostinga), tehničkog izvršitelja obrade za SYAGA CONSULTING. SYAGA CONSULTING prima isključivo pseudonimizirane podatke (tokene).
Nijedan podatak se ne prodaje niti ustupa trećim stranama u komercijalne svrhe.
Podaci se mogu dostaviti upravnim ili sudskim tijelima kada to zahtijeva zakon.
5. Rokovi čuvanja
Podaci se čuvaju u razdoblju koje ne prelazi ono potrebno za ostvarenje svrha (čl. 5.1.e GDPR):
| Kategorija podataka | Rok čuvanja |
|---|---|
| Sirovi podaci revizije (nalazi, pristupni token) | Nula zadržavanja na poslužitelju: podaci se brišu po isporuci Izvješća (efemerna arhitektura, najdulji TTL 2 sata) |
| Podaci aktivnog korisničkog računa | Trajanje ugovornog odnosa, zatim brisanje u roku od 30 dana nakon raskida |
| Podaci o naplati i računovodstvena dokumentacija | 10 godina od zatvaranja poslovne godine (zakonska obveza, čl. L.123-22 francuskog Trgovačkog zakonika) |
| Tehnički zapisi (dnevnici prijave) | 12 mjeseci (preporuka CNIL-a) |
6. Prijenosi podataka izvan Europske unije
Infrastruktura koja hostira Uslugu SYAGA Audit nalazi se u Francuskoj. Načelno, SYAGA ne provodi nikakav prijenos podataka izvan EU-a / EGP-a.
U vezi s Microsoftom: voditelj obrade priznaje da Microsoft Graph API upravlja Microsoft Corporation (Sjedinjene Američke Države). Eventualni prijenosi koji uključuju Microsoft uređeni su njegovim standardnim ugovornim klauzulama koje je odobrila Europska komisija te, prema potrebi, njegovim sudjelovanjem u okviru EU-U.S. Data Privacy Framework. Revidirani podaci su podaci iz vlastitog Microsoft 365 tenanta Klijenta, dostupni isključivo u načinu čitanja za njegov račun putem Microsoft Graph-a. Microsoft djeluje kao pružatelj usluge Klijentu. Eventualni prijenosi koji uključuju Microsoftovu infrastrukturu uređeni su standardnim ugovornim klauzulama koje je odobrila Europska komisija i Microsoftovim sudjelovanjem u okviru EU-U.S. Data Privacy Framework.
Stripe Inc. provodi prijenose izvan EU-a uređene mehanizmima usklađenima s poglavljem V. GDPR-a. Prijenosi prema Stripeu uređeni su okvirom EU-U.S. Data Privacy Framework, za koji je Stripe certificiran, te, podredno, Standardnim ugovornim klauzulama Europske komisije (2021) uključenima u Stripeov Data Transfers Addendum.
7. Prava ispitanika
U skladu s člancima 15. do 22. GDPR-a, svaki ispitanik ima sljedeća prava:
- Pravo na pristup (čl. 15. GDPR): dobiti potvrdu obrađuju li se podaci koji se na nju odnose te dobiti njihovu presliku
- Pravo na ispravak (čl. 16.): ispraviti netočne ili nepotpune podatke
- Pravo na brisanje (čl. 17.): dobiti brisanje u slučajevima predviđenima GDPR-om
- Pravo na ograničenje obrade (čl. 18.)
- Pravo na prenosivost podataka (čl. 20.): primiti svoje podatke u strukturiranom, strojno čitljivom formatu
- Pravo na prigovor (čl. 21.): prigovoriti obradi zbog razloga povezanih s vlastitom posebnom situacijom, te u bilo kojem trenutku u pogledu izravnog marketinga
- Pravo na povlačenje privole (čl. 7.3) u bilo kojem trenutku kada se obrada temelji na privoli
- Pravo nakon smrti (čl. 85. francuskog Zakona o informatici i slobodama): utvrditi upute o sudbini podataka nakon smrti
Važno za podatke revizije: za konfiguracijske podatke i metapodatke tenanta, zahtjeve za ostvarivanje prava potrebno je uputiti klijentu (voditelju obrade), koji će se prema potrebi obratiti SYAGA-i (čl. 28.3.e GDPR).
Način ostvarivanja prava
Ova prava ostvaruju se slanjem zahtjeva na contact@syaga.fr ili poštom na adresu SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Odgovor se dostavlja u roku od mjesec dana (čl. 12.3 GDPR), s mogućnošću produljenja za dva mjeseca u slučaju složenosti.
Pritužba CNIL-u
Svaki ispitanik ima pravo podnijeti pritužbu CNIL-u (čl. 77. GDPR):
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 - www.cnil.fr
8. Sigurnost podataka (čl. 32. GDPR)
SYAGA provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurala razinu sigurnosti primjerenu riziku (čl. 32. GDPR):
- Efemerna arhitektura: revizija se izvršava u radnoj memoriji, u jednokratnom skeniranom kontejneru bez pohrane na disk; sirovi podaci brišu se po isporuci Izvješća
- Načelo najmanje privilegije: prijava putem Microsoft OAuth-a s najužim dozvolama koje Microsoft nudi za svako revidirano područje; Usluga nikada ne piše, ne mijenja niti ne briše nijedan podatak tenanta
- Šifriranje u prijenosu: TLS 1.2/1.3 na svim komunikacijama; SPF, DKIM i DMARC aktivirani na e-pošti
- Šifriranje u mirovanju: pristupni token šifriran (Fernet) tijekom trajanja revizije
- Hosting u Francuskoj: OVH infrastruktura (Francuska)
- Kontrola pristupa: načelo najmanje privilegije; imenovana ovlaštenja
- Zaštita od zlouporabe: ograničenje od 2 revizije dnevno po tenantu, mjere protiv DDoS napada
- Obavještavanje o povredama: postupak u skladu s čl. 33. i 34. GDPR-a (obavijest CNIL-u u roku od 72 sata)
Usklađenost s više okvira
Sigurnosne mjere usluge SYAGA Audit osmišljene su u skladu s nekoliko priznatih sigurnosnih okvira. SYAGA ne ističe nikakvu formalnu certifikaciju za te okvire: mjere su usklađene sa zahtjevima norme ISO/IEC 27001, pri čemu je postupak certifikacije pokrenut, ali certifikacija do danas nije dobivena; mjere su usklađene s i nadahnute ovim okvirima:
- GDPR (Uredba EU 2016/679): izravno primjenjiva pravna osnova - eur-lex.europa.eu CELEX:32016R0679
- Direktiva NIS2 (Direktiva EU 2022/2555): mjere upravljanja rizicima, sigurnost mreža i informacijskih sustava - eur-lex.europa.eu CELEX:32022L2555. SYAGA, čiji su broj zaposlenika i promet ispod pragova za značajne subjekte u smislu Direktive (EU) 2022/2555 (50 zaposlenika ili 10 milijuna EUR), ne ulazi u područje primjene subjekata obveznika NIS2. SYAGA Audit ipak pomaže svojim klijentima da izmjere svoju usklađenost s ovim okvirom (izvor: monespacenis2.cyber.gouv.fr).
- DORA (Uredba EU 2022/2554): digitalna operativna otpornost za financijski sektor - eur-lex.europa.eu CELEX:32022R2554. Budući da SYAGA nije regulirani financijski subjekt, Uredba (EU) 2022/2554 (DORA) se na nju izravno ne primjenjuje; ugovorne obveze ipak mogu vrijediti od slučaja do slučaja kada je klijent financijski subjekt koji podliježe DORA-i (izvor: eur-lex.europa.eu DORA).
- ISO/IEC 27001: referentni okvir za sustave upravljanja sigurnošću informacija (ISMS) - iso.org/standard/27001. Mjere usluge SYAGA Audit usklađene su sa zahtjevima norme ISO/IEC 27001, pri čemu je postupak certifikacije pokrenut, ali certifikacija do danas nije dobivena.
- Preporuke agencije ANSSI: Vodič informatičke higijene i preporuke francuske Nacionalne agencije za sigurnost informacijskih sustava - ssi.gouv.fr.
SYAGA Audit upravo pomaže svojim klijentima da izmjere vlastitu usklađenost s ovim okvirima (GDPR, NIS2, ANSSI) unutar svog Microsoft 365 okruženja.
9. Izmjene ove politike
Ova Politika može se ažurirati kako bi odražavala pravne, regulatorne ili tehničke promjene. Važeća je verzija ona objavljena na https://syaga.eu/confidentialite.html. U slučaju znatne izmjene, registrirani korisnici bit će obaviješteni e-poštom u razumnom roku prije stupanja izmjena na snagu.
10. Kontakt
Za sva pitanja vezana uz ovu politiku ili zaštitu vaših podataka:
- E-pošta: contact@syaga.fr
- Adresa: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Pravne i dokumentacijske reference
- Uredba (EU) 2016/679 (GDPR) - cjeloviti tekst: eur-lex.europa.eu CELEX:32016R0679
- Francuski zakon br. 78-17 od 6. siječnja 1978., s izmjenama: Légifrance
- CNIL - prava ispitanika: cnil.fr
- CNIL - kolačići: cnil.fr
- Direktiva NIS2 (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Uredba DORA (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - Vodič informatičke higijene: ssi.gouv.fr