SYAGA AuditMicrosoft 365 Edition
Početna Značajke Sigurnost Kako to funkcionira Cijene
Prijava Pokreni besplatnu dijagnostiku

Ugovor o obradi podataka (DPA)

Sklopljen u primjeni članka 28. Uredbe (EU) 2016/679 (GDPR) (izvor: gdpr-info.eu/art-28-gdpr)

Predmetna usluga: SYAGA Audit - revizija sigurnosti i usklađenosti Microsoft 365, isključivo čitanje

Verzija: 1.0 - Datum: 27. lipnja 2026. - Datum stupanja na snagu: 27. lipnja 2026.


Identifikacija Strana

Izvršitelj obrade:

SYAGA CONSULTING, društvo s ograničenom odgovornošću (SARL) temeljnog kapitala 20.000 eura, upisano u Trgovački registar Aix-en-Provencea pod brojem SIREN 518 489 471, osnovano 8. 12. 2009., koje zastupa direktor Sébastien Questier, sa sjedištem na adresi 2 Impasse Paul Langevin, 13110 Port-de-Bouc, izdavatelj usluge SYAGA Audit, dalje u tekstu: izvršitelj obrade.

I

Voditelj obrade: Klijent koji je pretplaćen na uslugu SYAGA Audit pod uvjetima Općih uvjeta prodaje dostupnih na adresi cgu.html, čiji su podaci oni navedeni prilikom pretplate, dalje u tekstu: voditelj obrade.

Dalje u tekstu zajednički: Strane.


Uvod

Ovaj Ugovor o obradi podataka (DPA) sklopljen je u primjeni članka 28. GDPR-a, koji zahtijeva da obrada koju provodi izvršitelj obrade u ime voditelja obrade bude uređena ugovorom koji određuje predmet, trajanje, prirodu i svrhu obrade, vrstu osobnih podataka, kategorije ispitanika, kao i obveze i prava voditelja obrade.

Ovaj DPA prilog je Općim uvjetima prodaje i pružanja usluge (CGV) SYAGA Audit (Glavni ugovor). U slučaju proturječnosti između ovog DPA-a i Glavnog ugovora u pogledu pitanja zaštite podataka, prednost ima ovaj DPA. U slučaju proturječnosti vezane uz zaštitu osobnih podataka, ovaj DPA ima prednost pred Općim uvjetima korištenja.

Pretplatom na uslugu SYAGA Audit, Klijent prihvaća uvjete ovog DPA-a. Elektroničko prihvaćanje smatra se prihvaćanjem DPA-a u skladu s odredbama primjenjivima na sklapanje ugovora elektroničkim putem.


Članak 1. - Predmet i doktrina usluge

Ovaj DPA određuje uvjete pod kojima se izvršitelj obrade obvezuje provoditi, u ime i prema dokumentiranim uputama voditelja obrade, radnje obrade osobnih podataka potrebne za pružanje usluge SYAGA Audit.

SYAGA Audit provodi reviziju sigurnosti i usklađenosti Microsoft 365 okruženja voditelja obrade isključivo u načinu čitanja: Usluga ne piše, ne mijenja niti ne briše nijedan podatak u revidiranom tenantu.

Izvršitelj obrade primjenjuje doktrinu nulte spoznaje (zero-knowledge): prikupljanje i pseudonimizacija provode se u Klijentovu pregledniku (ekstenzija). Izvršitelj obrade nikada ne prima sirove podatke tenanta niti Microsoftov pristupni token Klijenta: isključivo pseudonimizirane otiske. Tokenizirani rezultati revizije čuvaju se u klijentskom prostoru kako bi ih Klijent mogao ponovno otvoriti, dok je aktivan; u čitljiv oblik vraćaju se isključivo na Klijentovu uređaju.


Članak 2. - Priroda, svrha i trajanje obrade

2.1 Priroda radnji. Radnje se sastoje od: prikupljanja (čitanje, najmanja privilegija) putem Microsoftovih API-ja, koje provodi ekstenzija preglednika pokrenuta na Klijentovu uređaju; lokalne pseudonimizacije; analize koju izvršitelj obrade provodi isključivo nad pseudonimiziranim otiscima u odnosu na sigurnosne okvire (ANSSI, Microsoftove preporuke, GDPR, NIS2); vraćanja rezultata u obliku izvješća koja se u čitljiv oblik vraćaju na Klijentovu uređaju.

2.2 Isključiva svrha. Svrha je procjena sigurnosnog stanja i stanja usklađenosti Microsoft 365 tenanta voditelja obrade te izrada povezanih revizijskih izvješća. Nijedna druga svrha (promidžba, profiliranje, ponovna uporaba za vlastite potrebe izvršitelja obrade) nije dopuštena.

2.3 Trajanje. Obrada se provodi tijekom trajanja izvršenja Glavnog ugovora. Sirovi podaci brišu se odmah po isporuci Izvješća.


Članak 3. - Kategorije obrađenih osobnih podataka

Izvršitelj obrade obrađuje sljedeće kategorije podataka:

  • Konfiguracijski podaci i sigurnosni metapodaci: postavke tenanta, politike uvjetovanog pristupa, MFA konfiguracija, administrativne uloge i dozvole, postavke dijeljenja, statusi aktivacije sigurnosnih značajki
  • Metapodaci identiteta i direktorija: identifikatori računa (UPN), prikazna imena, članstvo u grupama, atributi direktorija relevantni za reviziju
  • Zapisi i metapodaci sigurnosnih događaja: dnevnici prijave, revizijski događaji, metapodaci potrebni za ocjenu kontrola

Izričita isključenja. Izvršitelj obrade ne obrađuje sadržaj e-pošte, datoteka ni dokumenata. Obrađuju se isključivo metapodaci i konfiguracijski podaci.

Posebne kategorije podataka. Predmet obrade nisu posebne kategorije podataka u smislu članka 9. GDPR-a. Voditelj obrade obvezuje se da neće konfigurirati uslugu na način koji bi doveo do takve obrade.


Članak 4. - Kategorije ispitanika

Ispitanici su nositelji računa i identiteta unutar Microsoft 365 tenanta voditelja obrade: zaposlenici, rukovoditelji, administratori, izvođači i gosti koji imaju račun u revidiranom direktoriju.


Članak 5. - Dokumentirane upute voditelja obrade

Izvršitelj obrade obrađuje podatke isključivo prema dokumentiranim uputama voditelja obrade (čl. 28.3.a GDPR), uključujući u pogledu prijenosa u treću zemlju, osim ako to zahtijeva obvezujuće pravo (u kojem slučaju o tome obavještava voditelja obrade prije obrade, osim ako je to zakonom zabranjeno).

Ovaj DPA, njegovi prilozi i Opći uvjeti prodaje čine početne dokumentirane upute. Izvršitelj obrade odmah obavještava voditelja obrade ako smatra da neka uputa predstavlja povredu GDPR-a (čl. 28.3, zadnji stavak GDPR).


Članak 6. - Povjerljivost

Izvršitelj obrade osigurava da se osobe ovlaštene za obradu podataka obvežu na povjerljivost ili podliježu odgovarajućoj zakonskoj obvezi povjerljivosti (čl. 28.3.b GDPR) te da prime potrebnu izobrazbu o zaštiti podataka. Ova obveza vrijedi i nakon prestanka njihove funkcije te nakon isteka ovog DPA-a.


Članak 7. - Sigurnosne mjere (čl. 32. GDPR) i usklađenost s okvirima

Izvršitelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti primjerenu riziku (čl. 32. GDPR). Postojeće mjere obuhvaćaju osobito:

  • Arhitektura nulte spoznaje (zero-knowledge): prikupljanje i pseudonimizacija provode se u Klijentovu pregledniku (ekstenzija); izvršitelj obrade prima isključivo pseudonimizirane otiske; sirovi podaci tenanta i Microsoft token nikada mu se ne dostavljaju
  • Načelo najmanje privilegije: prijava putem Microsoft OAuth-a s najužim dozvolama koje Microsoft nudi za svako područje; Usluga nikada ne piše, ne mijenja niti ne briše nijedan podatak revidiranog tenanta
  • Šifriranje u prijenosu: TLS 1.2/1.3 na svim komunikacijama; SPF, DKIM i DMARC aktivirani
  • Microsoft token: nikada ne napušta Klijentov preglednik; izvršitelj obrade ga nikada ne prima niti pohranjuje
  • Hosting u Francuskoj: OVH infrastruktura (Francuska) koja se koristi za SYAGA CONSULTING
  • Upravljanje pristupom: načelo najmanje privilegije; imenovana ovlaštenja; redoviti pregled
  • Zaštita od zlouporabe: ograničenje od 2 revizije/dan/tenant; mjere protiv DDoS napada
  • Vođenje zapisa: sljedivost pristupa podacima
  • Redovito testiranje učinkovitosti sigurnosnih mjera

Usklađenost s priznatim sigurnosnim okvirima

Gore navedene mjere osmišljene su u skladu sa sljedećim okvirima. SYAGA ne ističe nikakvu formalnu certifikaciju za te okvire: mjere su usklađene sa zahtjevima norme ISO/IEC 27001, pri čemu je postupak certifikacije pokrenut, ali certifikacija do danas nije dobivena; riječ je o funkcionalnoj usklađenosti:

OkvirRelevantnost za SYAGA AuditSlužbeni izvor
GDPR (EU) 2016/679 Izravno primjenjiva pravna osnova. Čl. 32.: tehničke i organizacijske mjere. Efemerna arhitektura = mjera minimizacije u skladu s čl. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
Direktiva NIS2 (EU) 2022/2555 Mjere upravljanja rizicima kibernetičke sigurnosti (čl. 21. NIS2): kontinuitet poslovanja, upravljanje incidentima, sigurnost mreža, šifriranje. SYAGA Audit pomaže klijentima da procijene vlastitu NIS2 usklađenost u svom M365 tenantu. SYAGA, čiji su broj zaposlenika i promet ispod pragova za značajne subjekte u smislu Direktive (EU) 2022/2555 (50 zaposlenika ili 10 milijuna EUR), ne ulazi u područje primjene subjekata obveznika NIS2. SYAGA Audit ipak pomaže svojim klijentima da izmjere svoju usklađenost s ovim okvirom. eur-lex.europa.eu CELEX:32022L2555
Uredba DORA (EU) 2022/2554 Digitalna operativna otpornost za regulirane financijske subjekte. SYAGA Audit može pomoći klijentima iz financijskog sektora da dokumentiraju svoje DORA stanje u vlastitom M365 tenantu. Budući da SYAGA nije regulirani financijski subjekt, DORA se na nju izravno ne primjenjuje; ugovorne obveze ipak mogu vrijediti od slučaja do slučaja za klijente iz financijskog sektora koji podliježu DORA-i. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 SMSI okvir: sigurnosna politika, upravljanje rizicima, kontrola pristupa, šifriranje, vođenje zapisa. Mjere usluge SYAGA Audit usklađene su s odgovarajućim kontrolama norme ISO 27002. Mjere usluge SYAGA Audit usklađene su sa zahtjevima norme ISO/IEC 27001, pri čemu je postupak certifikacije pokrenut, ali certifikacija do danas nije dobivena. iso.org/standard/27001
Preporuke agencije ANSSI Vodič informatičke higijene, preporuke za sigurnost informacijskih sustava. Mjere nadahnute preporukama agencije ANSSI o upravljanju računima, šifriranju i vođenju zapisa. SYAGA Audit ocjenjuje M365 konfiguracije u odnosu na preporuke agencije ANSSI. ssi.gouv.fr

Cjelovit popis tehničkih i organizacijskih mjera nalazi se u Prilogu 1.


Članak 8. - Angažiranje daljnjih izvršitelja obrade

Voditelj obrade ovlašćuje izvršitelja obrade da angažira daljnje izvršitelje obrade navedene u Prilogu 2. Za svakog novog izvršitelja obrade ili zamjenu, izvršitelj obrade pisanim putem obavještava voditelja obrade najmanje trideset (30) dana prije stupanja na snagu, pri čemu voditelj obrade ima rok od trideset (30) dana da se tome usprotivi zbog razumnih razloga vezanih uz zaštitu podataka (čl. 28.2 i 28.4 GDPR). Ovi rokovi i načini primjenjuju se osim ako Strane ne dogovore drukčije.

Izvršitelj obrade ugovorom nameće daljnjim izvršiteljima obrade iste obveze zaštite podataka kao one predviđene ovim DPA-om (čl. 28.4 GDPR) te ostaje u potpunosti odgovoran voditelju obrade za njihovo izvršavanje.


Članak 9. - Pomoć voditelju obrade

9.1 Prava ispitanika (čl. 12. do 22. i 28.3.e GDPR). Izvršitelj obrade bez odgode prosljeđuje voditelju obrade svaki zahtjev za ostvarivanje prava zaprimljen izravno od ispitanika te mu pomaže u odgovaranju na njega.

9.2 Sigurnost i procjena učinka (čl. 32. do 36. i 28.3.f GDPR). Izvršitelj obrade pomaže voditelju obrade u pogledu sigurnosti obrade, izrade procjene učinka na zaštitu podataka (DPIA) ako je potrebno, te prethodnog savjetovanja s CNIL-om prema potrebi.

9.3 Povrede podataka (čl. 33. i 34. GDPR). Izvršitelj obrade obavještava voditelja obrade o svakoj povredi podataka najkasnije u roku od četrdeset osam (48) sati od saznanja za nju, u najkraćem mogućem roku, kako bi voditelju obrade omogućio poštivanje roka od 72 sata predviđenog člankom 33. GDPR-a, dostavljajući pritom informacije korisne za eventualnu prijavu.


Članak 10. - Sudbina podataka po prestanku ugovora

Po isteku ovog DPA-a, izvršitelj obrade u roku od trideset (30) dana od prestanka ugovora, prema izboru voditelja obrade dostavljenom u pisanom obliku (čl. 28.3.g GDPR), postupa na jedan od sljedećih načina:

Napomena: s obzirom na efemernu arhitekturu usluge, nijedan podatak revizije ne čuva se nakon pružanja usluge; čuvaju se isključivo podaci o naplati, u skladu sa zakonskim obvezama (10 godina).

  • ili vraćanje voditelju obrade obrađenih osobnih podataka, u strukturiranom formatu (JSON ili CSV, ovisno o dostupnosti);
  • ili sigurno brisanje svih podataka, uključujući kopije, osim ako postoji zakonska obveza čuvanja.

U skladu s efemernom arhitekturom usluge, sirovi podaci revizije već su izbrisani po isporuci Izvješća. Izvršitelj obrade na zahtjev dostavlja potvrdu o brisanju.


Članak 11. - Revizije i nadzor

Izvršitelj obrade stavlja voditelju obrade na raspolaganje sve informacije potrebne za dokazivanje poštivanja obveza iz članka 28. GDPR-a i omogućuje provedbu revizija, uključujući inspekcije (čl. 28.3.h GDPR).

Revizije podliježu sljedećim uvjetima: pisana najava od najmanje trideset (30) radnih dana, provedba tijekom radnog vremena, najveća učestalost jedna (1) revizija po razdoblju od dvanaest (12) mjeseci, osim u iznimnim okolnostima (posebice u slučaju potvrđenog sigurnosnog incidenta), troškovi na teret voditelja obrade, povjerljivost dobivenih informacija.


Članak 12. - Prijenosi izvan Europske unije

12.1 Glavna lokacija. Podaci se obrađuju i hostiraju u Francuskoj. SYAGA CONSULTING je subjekt francuskog prava. Neizravna izloženost američkom zakonu CLOUD Act putem trećih pružatelja usluga ne može se u potpunosti isključiti; SYAGA je ograničava hostingom u Francuskoj (OVH SAS) i, prije svega, pseudonimizacijom: usluga prima isključivo tokene, nikada vaše podatke u čitljivom obliku.

12.2 Korištenje Microsofta. Voditelj obrade priznaje da Microsoft Graph API upravlja Microsoft Corporation (Sjedinjene Američke Države). Prijenosi koji uključuju Microsoft uređeni su standardnim ugovornim klauzulama koje je odobrila Europska komisija te, prema potrebi, okvirom EU-U.S. Data Privacy Framework. Revidirani podaci su podaci iz vlastitog Microsoft 365 tenanta Klijenta, dostupni isključivo u načinu čitanja za njegov račun putem Microsoft Graph-a. Microsoft djeluje kao pružatelj usluge Klijentu; SYAGA nije njegov daljnji izvršitelj obrade.

12.3 Opća jamstva. Svaki prijenos izvan EU-a koji provede izvršitelj obrade ili daljnji izvršitelj obrade uvjetovan je primjenom valjanog mehanizma u smislu poglavlja V. GDPR-a (odluka o primjerenosti, standardne ugovorne klauzule ili drugo odgovarajuće jamstvo).


Članak 13. - Kontakt za zaštitu podataka

Izvršitelj obrade (SYAGA CONSULTING): kontakt za zaštitu podataka - contact@syaga.fr. Imenovanje službenika za zaštitu podataka nije obvezno u smislu članka 37. GDPR-a; osoba odgovorna za zaštitu podataka je direktor, Sébastien Questier, kontaktna točka za sva pitanja vezana uz osobne podatke.

Voditelj obrade: kontakt za GDPR koji imenuje Klijent u skladu sa svojim vlastitim obvezama.


Članak 14. - Trajanje, izmjena i mjerodavno pravo

Ovaj DPA stupa na snagu prilikom pretplate na uslugu SYAGA Audit i ostaje na snazi tijekom cijelog trajanja obrade koja se provodi u ime voditelja obrade.

Svaka znatna izmjena prethodno se priopćuje voditelju obrade. Nastavak korištenja usluge nakon isteka roka za obavijest smatra se prihvaćanjem izmjena. Ovi načini izmjene u skladu su sa zahtjevima članka 28. GDPR-a za ugovore o obradi podataka.

Ovaj DPA podliježe francuskom pravu. Svaki spor u nadležnosti je sudova mjesno nadležnih za Aix-en-Provence, uz poštivanje prisilnih propisa primjenjivih na prekogranične sporove.


Prilog 1. - Detaljan opis obrade i sigurnosnih mjera (čl. 32. GDPR)

ParametarOpis
SvrheRevizija sigurnosti i usklađenosti M365 - izrada izvješća
Kategorije podatakaKonfiguracijski metapodaci, metapodaci identiteta (UPN, imena), sigurnosni zapisi
Posebne kategorije podataka (čl. 9.)Nijedna
IspitaniciRačuni i identiteti Microsoft 365 tenanta Klijenta
Čuvanje na poslužiteljuSirovi podaci tenanta: nikada se ne dostavljaju (pseudonimizacija u pregledniku). Tokenizirani rezultati: čuvaju se u klijentskom prostoru dok je Klijent aktivan.
Mjesto obradeFrancuska (infrastruktura SYAGA CONSULTING)
Šifriranje u prijenosuTLS 1.2/1.3 - sve komunikacije; SPF/DKIM/DMARC
Microsoft tokenNikada ne napušta Klijentov preglednik; izvršitelj obrade ga nikada ne prima
ArhitekturaPrikupljanje i pseudonimizacija putem ekstenzije u Klijentovu pregledniku; izvršitelj obrade analizira isključivo otiske
Upravljanje pristupomNačelo najmanje privilegije; imenovana ovlaštenja
Zaštita od zlouporabeOgraničenje 2 revizije/dan/tenant; zaštita od DDoS napada
Vođenje zapisaMinimalni tehnički zapisi rada i sigurnosti, bez osobnih podataka revizije, čuvaju se otprilike 12 mjeseci u skladu s preporukama CNIL-a.
Usklađenost sa sigurnosnim okvirimaMjere usklađene s čl. 32. GDPR-a, normom ISO/IEC 27001 (postupak certifikacije pokrenut, certifikacija do danas nije dobivena), preporukama agencije ANSSI.

Prilog 2. - Popis odobrenih daljnjih izvršitelja obrade

Daljnji izvršitelj obradeUslugaLokacijaJamstva prijenosa
Microsoft Corporation Microsoft Graph API - pristup za čitanje konfiguracijskim podacima tenanta EU + Sjedinjene Američke Države (Microsoftova infrastruktura) Microsoft djeluje kao pružatelj usluge Klijentu (nije daljnji izvršitelj obrade za SYAGA-u). Prijenosi su uređeni standardnim ugovornim klauzulama EK-a i Microsoftovim sudjelovanjem u okviru EU-U.S. Data Privacy Framework.
OVH SAS (hosting, Roubaix, Francuska) Hosting platforme SYAGA Audit Francuska Nije primjenjivo (EU)
Stripe Inc. Plaćanje - isključivo podaci o naplati Klijenta (bez podataka tenanta) Sjedinjene Američke Države / EU EU-U.S. Data Privacy Framework (Stripe certificiran) te, podredno, Standardne ugovorne klauzule EK-a (2021) - Stripeov Data Transfers Addendum.

Pravne reference

  • CNIL - izvršitelj obrade, obveze čl. 28. GDPR: cnil.fr/fr/sous-traitant
  • Uredba (EU) 2016/679 (GDPR), članci 4., 9., 12. do 22., 28., 32. do 36.: EUR-Lex CELEX:32016R0679
  • Direktiva NIS2 (EU) 2022/2555, čl. 21.: EUR-Lex CELEX:32022L2555
  • Uredba DORA (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Vodič informatičke higijene: ssi.gouv.fr
  • Francuski zakon br. 78-17 od 6. siječnja 1978., s izmjenama: Légifrance
SYAGA Audit
Sigurnost Privatnost CGU DPA Pravne napomene © 2026 SYAGA