Adatvédelmi szabályzat
1.0 verzió - Utolsó frissítés: 2026. június 25.
Preambulum
A jelen Adatvédelmi szabályzat célja, hogy tájékoztassa a SYAGA Audit szolgáltatás felhasználóit és ügyfeleit arról, hogy személyes adataikat hogyan gyűjtjük, kezeljük és védjük, a személyes adatok kezelése tekintetében a természetes személyek védelméről szóló 2016. április 27-i (EU) 2016/679 rendelettel (GDPR) és a módosított, informatikáról, fájlokról és szabadságjogokról szóló 1978. január 6-i 78-17. számú törvénnyel összhangban.
A SYAGA Audit a Microsoft 365 környezet biztonsági és megfelelőségi auditjára szolgáló szolgáltatás, amely kizárólag olvasási joggal működik az ügyfél Microsoft 365 tenantjának konfigurációin és metaadatain. A Szolgáltatás nem fér hozzá az auditált tenant felhasználóinak üzeneteihez, fájljaihoz vagy e-mailjeinek tartalmához, és semmilyen jelszót nem tárol.
A jelen dokumentum teljesíti a GDPR 13. cikke (közvetlen gyűjtés) és 14. cikke (közvetett gyűjtés) szerinti tájékoztatási kötelezettséget.
1. Az adatkezelő azonosítása és elérhetőségei
A fiók- és ügyfélkapcsolat-kezelési adatok tekintetében az adatkezelő:
SYAGA CONSULTING
- Forma: 20 000 EUR törzstőkéjű korlátolt felelősségű társaság (SARL)
- SIREN: 518 489 471 -- RCS Aix-en-Provence
- Székhely: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- Közösségi adószám: FR93 518489471
- E-mail: contact@syaga.fr
Adatfeldolgozó / adatkezelő viszony: az audit során gyűjtött, a Microsoft 365 tenant konfigurációjára és metaadataira vonatkozó adatok tekintetében a SYAGA a GDPR 28. cikke szerinti adatfeldolgozóként jár el, míg az ügyfél marad a saját M365 adatainak adatkezelője. A jelen szabályzat azt a kört fedi le, amelyben a SYAGA adatkezelőként jár el (fiókadatok, számlázás, ügyfélszolgálat). Az ügyfél nevében végzett adatkezelést az Adatfeldolgozási Megállapodás (DPA) szabályozza.
Adatvédelmi kapcsolattartó
Az adatvédelemmel kapcsolatos minden kérdésben: contact@syaga.fr
Adatvédelmi tisztviselő kijelölése a GDPR 37. cikke értelmében nem kötelező; az adatkezelő, az ügyvezető személyében, a kapcsolattartó pont minden, személyes adatokkal kapcsolatos kérdésben.
2. Gyűjtött személyes adatok
2.1 Fiók- és ügyfélkapcsolat-kezelési adatok
A SYAGA adatkezelőként a következőket gyűjti:
- A kapcsolattartó személyazonossága: vezetéknév, keresztnév, beosztás
- Szakmai elérhetőségek: e-mail cím, cégnév
- A Szolgáltatáshoz való hitelesítési adatok (Microsoft OAuth token -- a SYAGA Audit oldalán semmilyen jelszó nincs tárolva)
- Számlázási és szerződéskezelési adatok
- Ügyfélszolgálati adatok és levelezés
- Technikai bejelentkezési naplók (IP-címek, időbélyegek)
2.2 Auditadatok (Microsoft 365 konfiguráció és metaadatok)
Az audit keretében a Szolgáltatás kizárólag olvasási joggal fér hozzá, a Microsoft Graph API-n keresztül, az ügyfél M365 tenantjának konfigurációs adataihoz és metaadataihoz, többek között:
- Biztonsági konfigurációs beállítások (feltételes hozzáférési szabályzatok, MFA-beállítások, megosztási beállítások)
- A felhasználói fiókokra vonatkozó metaadatok (UPN, szerepkörök, MFA-státusz, Entra ID címtár-attribútumok)
- Biztonsági állapotra vonatkozó mutatók és metaadatok (Secure Score, konfigurációs riasztások)
Amit a Szolgáltatás nem gyűjt: e-mailek, fájlok, dokumentumok, üzenetek tartalma, jelszavak, a GDPR 9. cikke szerinti különleges adatok.
Ideiglenes (efemer) architektúra: az audit egy eldobható scan-konténerben, a memóriában fut (lemezre írás nélkül). A jelentést egyszer adjuk át az ügyfélnek, ezt követően a nyers scan-adatokat és a hozzáférési tokent töröljük. A token az audit időtartama alatt nyugalmi állapotban titkosított (Fernet). Maximális biztonsági TTL: 2 óra. A SYAGA szerveroldalon kizárólag a számlázási adatokat őrzi meg, a jogszabályi kötelezettségeknek megfelelően.
2.3 Sütik és nyomkövetők
Az syaga.eu weboldal kizárólag a Szolgáltatás működéséhez feltétlenül szükséges sütiket használja:
__jsc: bot elleni biztonsági süti, munkamenet időtartamavigil_audit: munkamenet-süti, munkamenet időtartama
Semmilyen közönségmérési sütit (Google Analytics, Matomo vagy hasonló), sem reklámsütit nem helyezünk el. Ezek a feltétlenül szükséges sütik mentesülnek az előzetes hozzájárulás alól, a CNIL 2023. július 4-i iránymutatásainak megfelelően (forrás: cnil.fr -- sütik és nyomkövetők). Egy tájékoztató közlemény ezekről a sütikről elegendő.
3. Az adatkezelés céljai és jogalapjai
A GDPR 6. cikkével összhangban minden adatkezelés azonosított jogalapon nyugszik:
| Cél | Jogalap (GDPR 6. cikk) |
|---|---|
| Az Audit Szolgáltatás nyújtása és teljesítése; az ügyfélfiók létrehozása és kezelése | Szerződés teljesítése -- 6.1.b cikk |
| Számlázás, könyvelés, behajtás | Jogszabályi kötelezettség (Code de commerce L.123-22. cikk) és szerződés teljesítése -- 6.1.c és 6.1.b cikk |
| Ügyfélszolgálat és technikai támogatás | Szerződés teljesítése -- 6.1.b cikk |
| A Szolgáltatás biztonsága, csalás megelőzése, naplózás | Jogos érdek -- 6.1.f cikk |
| Feltétlenül szükséges sütik | Mentesülnek a hozzájárulás alól (CNIL iránymutatások) |
A tenant auditadatai tekintetében (2.2. szakasz) a SYAGA az ügyfél (adatkezelő) utasítására jár el. Lásd a DPA-t.
4. Címzettek és adatfeldolgozók
Az adatokat kizárólag a SYAGA CONSULTING erre feljogosított munkatársai, valamint a GDPR 28. cikkének feltételei szerint eljáró adatfeldolgozók kapják meg:
- Microsoft Corporation: a Microsoft Graph API szolgáltatója, amelyet kizárólag olvasási joggal használunk az ügyfél tenantja konfigurációs adataihoz való hozzáféréshez. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el; a SYAGA nem minősül a Microsoft további adatfeldolgozójának.
- Stripe Inc.: fizetési szolgáltató a számlázási adatok kezeléséhez. A Stripe-hoz történő adattovábbításokat az EU-U.S. Data Privacy Framework szabályozza, amelyre a Stripe tanúsítvánnyal rendelkezik, valamint másodlagosan az Európai Bizottság Általános Szerződési Feltételei (2021), amelyeket a Stripe Data Transfers Addendumába építettek be (források: stripe.com/legal/dpa és stripe.com/legal/dta).
- Tárhelyszolgáltató: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Franciaország (RCS Lille Métropole 424 761 419). A szolgáltatást Franciaországban az OVH SAS (francia tárhelyszolgáltató) üzemelteti, a SYAGA CONSULTING technikai alvállalkozójaként. A SYAGA CONSULTING kizárólag álnevesített adatokat (tokeneket) kap.
Semmilyen adatot nem értékesítünk vagy adunk át harmadik félnek kereskedelmi célból.
Az adatokat közigazgatási vagy igazságügyi hatóságokkal közölhetjük, amennyiben a törvény ezt előírja.
5. Megőrzési időtartamok
Az adatokat a kitűzött célok eléréséhez szükséges időtartamon túl nem őrizzük meg (GDPR 5.1.e cikk):
| Adatkategória | Megőrzési idő |
|---|---|
| Nyers auditadatok (megállapítások, hozzáférési token) | Nulla szerveroldali megőrzés: a Jelentés kézbesítésekor törölve (ideiglenes architektúra, maximális TTL 2 óra) |
| Aktív ügyfélfiók adatai | A szerződéses jogviszony időtartama, majd törlés a felmondást követő 30 napon belül |
| Számlázási adatok és könyvelési bizonylatok | 10 év az üzleti év lezárásától számítva (jogszabályi kötelezettség, Code de commerce L.123-22. cikk) |
| Technikai naplók (bejelentkezési naplók) | 12 hónap (CNIL ajánlás) |
6. Adattovábbítás az Európai Unión kívülre
A SYAGA Audit Szolgáltatást üzemeltető infrastruktúra Franciaországban található. Elvben a SYAGA semmilyen adatot nem továbbít az EU/EGT-n kívülre.
A Microsofttal kapcsolatban: az Adatkezelő elismeri, hogy a Microsoft Graph API-t a Microsoft Corporation (Egyesült Államok) üzemelteti. A Microsofttal kapcsolatos esetleges adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételei, valamint adott esetben az EU-U.S. Data Privacy Framework-ben való részvétele szabályozza. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el. A Microsoft infrastruktúráját érintő esetleges adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételek és a Microsoft EU-U.S. Data Privacy Framework-ben való részvétele szabályozza.
A Stripe Inc. az EU-n kívüli adattovábbításokat a GDPR V. fejezetével összhangban lévő mechanizmusok keretében végzi. A Stripe-hoz történő adattovábbításokat az EU-U.S. Data Privacy Framework szabályozza, amelyre a Stripe tanúsítvánnyal rendelkezik, valamint másodlagosan az Európai Bizottság Általános Szerződési Feltételei (2021), amelyeket a Stripe Data Transfers Addendumába építettek be.
7. Az érintettek jogai
A GDPR 15-22. cikkével összhangban minden érintett a következő jogokkal rendelkezik:
- Hozzáférési jog (GDPR 15. cikk): megerősítést kapni arról, hogy adatait kezelik-e, és azokról másolatot kapni
- Helyesbítéshez való jog (16. cikk): pontatlan vagy hiányos adatok kijavíttatása
- Törléshez való jog (17. cikk): a GDPR-ban meghatározott esetekben törlést kérni
- Az adatkezelés korlátozásához való jog (18. cikk)
- Adathordozhatósághoz való jog (20. cikk): adatai strukturált, géppel olvasható formátumban történő átvétele
- Tiltakozási jog (21. cikk): tiltakozás az adatkezelés ellen egyedi helyzetéhez kapcsolódó okokból, valamint közvetlen üzletszerzés esetén bármikor
- A hozzájárulás visszavonásának joga (7.3. cikk) bármikor, amikor az adatkezelés hozzájáruláson alapul
- Elhalálozás utáni jogok (az Informatique et Libertés törvény 85. cikke): irányelvek meghatározása az adatok halál utáni sorsáról
Fontos az auditadatok tekintetében: a tenant konfigurációs adatai és metaadatai vonatkozásában a jogok gyakorlására irányuló kérelmeket az ügyfélhez (adatkezelő) kell intézni, aki szükség esetén megkeresi a SYAGA-t (GDPR 28.3.e cikk).
Gyakorlási módozatok
Ezeket a jogokat a contact@syaga.fr címre küldött kérelemmel, vagy a SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc postai címére küldött levéllel gyakorolhatja. A válaszadás egy hónapon belül történik (GDPR 12.3. cikk), amely bonyolultság esetén két hónappal meghosszabbítható.
Panasz benyújtása a CNIL-hez
Minden érintett jogosult panaszt benyújtani a CNIL-hez (GDPR 77. cikk):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Az adatok biztonsága (GDPR 32. cikk)
A SYAGA a kockázatnak megfelelő biztonsági szint biztosítása érdekében megfelelő technikai és szervezési intézkedéseket alkalmaz (GDPR 32. cikk):
- Ideiglenes (efemer) architektúra: az audit a memóriában fut, eldobható scan-konténerben, lemezre írás nélkül; a nyers adatokat a Jelentés kézbesítésekor töröljük
- Legkisebb jogosultság: Microsoft OAuth-on keresztüli kapcsolódás, az adott auditált körhöz a Microsoft által kínált legszűkebb jogosultságokkal; a Szolgáltatás soha nem ír, módosít vagy töröl semmilyen tenant-adatot
- Titkosítás átvitel közben: TLS 1.2/1.3 minden kommunikáción; SPF, DKIM és DMARC aktiválva az e-maileken
- Titkosítás nyugalmi állapotban: a hozzáférési token az audit időtartama alatt titkosítva (Fernet)
- Franciaországi üzemeltetés: OVH (Franciaország) infrastruktúra
- Hozzáférés-ellenőrzés: a legkisebb jogosultság elve; névre szóló jogosultságok
- Visszaélés elleni védelem: napi 2 audit/tenant korlát, DDoS elleni intézkedések
- Adatvédelmi incidensek bejelentése: a GDPR 33. és 34. cikkével összhangban lévő eljárás (CNIL-bejelentés 72 órán belül)
Több keretrendszeres megfeleltetés
A SYAGA Audit biztonsági intézkedéseit több elismert biztonsági keretrendszerrel összhangban alakítottuk ki. A SYAGA nem állít semmilyen formális tanúsítást ezekre a keretrendszerekre vonatkozóan, az intézkedések az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig; az intézkedések ezekhez a keretrendszerekhez igazodnak, és ezek ihlették őket:
- GDPR ((EU) 2016/679 rendelet): közvetlenül alkalmazandó szabályozási alap -- eur-lex.europa.eu CELEX:32016R0679
- NIS2 irányelv ((EU) 2022/2555 irányelv): kockázatkezelési intézkedések, hálózat- és információbiztonság -- eur-lex.europa.eu CELEX:32022L2555. A SYAGA, mivel létszáma és árbevétele a (EU) 2022/2555 irányelv szerinti jelentős szervezetekre vonatkozó küszöbérték alatt marad (50 munkavállaló vagy 10 M EUR), nem tartozik a NIS2 hatálya alá tartozó szervezetek körébe. A SYAGA Audit ennek ellenére segíti ügyfeleit e keretrendszernek való megfelelésük felmérésében (forrás: monespacenis2.cyber.gouv.fr).
- DORA ((EU) 2022/2554 rendelet): a pénzügyi ágazat digitális működési rezilienciája -- eur-lex.europa.eu CELEX:32022R2554. Mivel a SYAGA nem szabályozott pénzügyi szervezet, a (EU) 2022/2554 rendelet (DORA) nem alkalmazandó rá közvetlenül; szerződéses kötelezettségek azonban esetenként alkalmazandók lehetnek, amikor egy ügyfél DORA hatálya alá tartozó pénzügyi szervezet (forrás: eur-lex.europa.eu DORA).
- ISO/IEC 27001: az információbiztonsági irányítási rendszerek (ISMS) referencia-keretrendszere -- iso.org/standard/27001. A SYAGA Audit intézkedései az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig.
- ANSSI ajánlások: az Informatikai Rendszerek Nemzeti Biztonsági Ügynökségének (ANSSI) informatikai higiéniai útmutatója és ajánlásai -- ssi.gouv.fr.
A SYAGA Audit pontosan abban segíti ügyfeleit, hogy felmérjék saját megfelelőségüket ezekhez a keretrendszerekhez (GDPR, NIS2, ANSSI) a Microsoft 365 környezetükben.
9. A jelen szabályzat módosításai
A jelen Szabályzatot frissíthetjük a jogi, szabályozási vagy technikai fejlemények tükrözése érdekében. A hatályos verzió a https://syaga.eu/confidentialite.html címen közzétett verzió. Lényeges módosítás esetén a regisztrált felhasználókat a módosítások hatálybalépése előtt, ésszerű határidővel, e-mailben tájékoztatjuk.
10. Kapcsolat
A jelen szabályzattal vagy az adatai védelmével kapcsolatos minden kérdésben:
- E-mail: contact@syaga.fr
- Cím: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Jogi és dokumentációs hivatkozások
- (EU) 2016/679 rendelet (GDPR) -- teljes szöveg: eur-lex.europa.eu CELEX:32016R0679
- A módosított, 1978. január 6-i 78-17. számú törvény: Légifrance
- CNIL -- az érintettek jogai: cnil.fr
- CNIL -- sütik: cnil.fr
- NIS2 irányelv (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA rendelet (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Informatikai higiéniai útmutató: ssi.gouv.fr