SYAGA AuditMicrosoft 365 Edition
Kezdőlap Funkciók Biztonság Hogyan működik Árak
Bejelentkezés Ingyenes diagnosztika indítása

Adatfeldolgozási Megállapodás (DPA)

A (EU) 2016/679 rendelet (GDPR) 28. cikke alapján megkötve (forrás: gdpr-info.eu/art-28-gdpr)

Érintett szolgáltatás: SYAGA Audit -- Microsoft 365 biztonsági és megfelelőségi audit, kizárólag olvasási joggal

Verzió: 1.0 -- Dátum: 2026. június 27. -- Hatálybalépés napja: 2026. június 27.


A Felek azonosítása

Az Adatfeldolgozó:

SYAGA CONSULTING, 20 000 eurós törzstőkéjű korlátolt felelősségű társaság (SARL), amelyet az Aix-en-Provence-i Cégjegyzékben 518 489 471 SIREN szám alatt jegyeztek be, alapítva 2009.12.08-án, képviseli ügyvezetője, Sébastien Questier, székhelye: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, a SYAGA Audit szolgáltatás kiadója, a továbbiakban: Adatfeldolgozó.

ÉS

Az Adatkezelő: az Ügyfél, aki a SYAGA Audit szolgáltatásra a cgu.html oldalon elérhető ÁSZF feltételei szerint fizetett elő, elérhetőségei a feliratkozáskor megadottak, a továbbiakban: Adatkezelő.

A továbbiakban együttesen: Felek.


Preambulum

A jelen Adatfeldolgozási Megállapodás (DPA) a GDPR 28. cikke alapján jött létre, amely előírja, hogy az adatfeldolgozó által az adatkezelő nevében végzett adatkezelést olyan szerződés szabályozza, amely meghatározza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait.

A jelen DPA a SYAGA Audit Általános Szerződési és Szolgáltatási Feltételeinek (ÁSZF) (a Fő Szerződés) járulékos dokumentuma. Amennyiben a jelen DPA és a Fő Szerződés valamely adatvédelmi kérdésben ellentmond egymásnak, a jelen DPA az irányadó. Amennyiben a személyes adatok védelmével kapcsolatban ellentmondás merül fel, a jelen DPA elsőbbséget élvez az ÁSZF-fel szemben.

A SYAGA Audit szolgáltatásra való feliratkozással az Ügyfél elfogadja a jelen DPA feltételeit. Az elektronikus elfogadás a DPA elfogadásának minősül, az elektronikus úton kötött szerződésekre alkalmazandó rendelkezésekkel összhangban.


1. cikk -- A szolgáltatás tárgya és elve

A jelen DPA meghatározza azokat a feltételeket, amelyek mellett az Adatfeldolgozó vállalja, hogy az Adatkezelő nevében és dokumentált utasítására elvégzi a SYAGA Audit szolgáltatás nyújtásához szükséges személyesadat-kezelési műveleteket.

A SYAGA Audit kizárólag olvasási joggal auditálja az Adatkezelő Microsoft 365 környezetének biztonságát és megfelelőségét: a Szolgáltatás semmilyen adatot nem ír, módosít vagy töröl az auditált tenantban.

Az Adatfeldolgozó zero-knowledge elvet alkalmaz: a gyűjtés és az álnevesítés az Ügyfél böngészőjében (kiterjesztésben) zajlik. Az Adatfeldolgozó soha nem kapja meg a tenant nyers adatait, sem az Ügyfél Microsoft hozzáférési tokenjét: kizárólag álnevesített lenyomatokat. A tokenizált audit eredményeket az ügyfélfiókban őrizzük meg, hogy az Ügyfél újra megnyithassa azokat, ameddig aktív ügyfél; ezeket kizárólag az Ügyfél gépén állítjuk vissza tiszta szövegre.


2. cikk -- Az adatkezelés jellege, célja és időtartama

2.1 A műveletek jellege. A műveletek a következőkből állnak: gyűjtés (olvasás, legkisebb jogosultság) a Microsoft API-kon keresztül, amelyet az Ügyfél gépén futó böngészőkiterjesztés végez; helyi álnevesítés; az Adatfeldolgozó által kizárólag az álnevesített lenyomatok elemzése biztonsági keretrendszerek alapján (ANSSI, Microsoft ajánlások, GDPR, NIS2); az eredmények visszaadása jelentések formájában, az Ügyfél gépén visszaállítva tiszta szövegre.

2.2 Kizárólagos cél. A cél az Adatkezelő Microsoft 365 tenantja biztonsági és megfelelőségi állapotának felmérése, valamint a kapcsolódó auditjelentések elkészítése. Semmilyen más cél (üzletszerzés, profilalkotás, az Adatfeldolgozó saját céljaira történő újrafelhasználás) nem megengedett.

2.3 Időtartam. Az adatkezelés a Fő Szerződés teljesítésének időtartama alatt zajlik. A nyers adatokat a Jelentés kézbesítésekor azonnal töröljük.


3. cikk -- A kezelt személyes adatok kategóriái

Az Adatfeldolgozó a következő adatkategóriákat kezeli:

  • Konfigurációs és biztonsági metaadatok: tenant-beállítások, feltételes hozzáférési szabályzatok, MFA-konfiguráció, adminisztrátori szerepkörök és jogosultságok, megosztási beállítások, biztonsági funkciók aktiválási állapota
  • Identitási és címtár-metaadatok: fiókazonosítók (UPN), megjelenített nevek, csoporttagság, az audithoz releváns címtár-attribútumok
  • Biztonsági események naplói és metaadatai: bejelentkezési naplók, auditesemények, a kontrollok kiértékeléséhez szükséges metaadatok

Kifejezett kizárások. Az Adatfeldolgozó nem kezeli az e-mailek, fájlok vagy dokumentumok tartalmát. Kizárólag metaadatokat és konfigurációs adatokat kezel.

Különleges kategóriák. Az adatkezelés célja nem a GDPR 9. cikke szerinti különleges adatkategóriák kezelése. Az Adatkezelő vállalja, hogy nem konfigurálja a szolgáltatást úgy, hogy az ilyen adatkezeléshez vezessen.


4. cikk -- Az érintettek kategóriái

Az érintettek az Adatkezelő Microsoft 365 tenantjában fiókkal és identitással rendelkező személyek: munkavállalók, vezetők, adminisztrátorok, szolgáltatók és az auditált címtárban fiókkal rendelkező vendégek.


5. cikk -- Az Adatkezelő dokumentált utasításai

Az Adatfeldolgozó az adatokat kizárólag az Adatkezelő dokumentált utasítására kezeli (GDPR 28.3.a cikk), ideértve a harmadik országba történő adattovábbítást is, kivéve, ha jogszabályi kötelezettség írja elő másképp (amely esetben az adatkezelést megelőzően tájékoztatja az Adatkezelőt, kivéve, ha ezt jogszabály tiltja).

A jelen DPA, mellékletei és az ÁSZF alkotják a kezdeti dokumentált utasításokat. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy egy utasítás sérti a GDPR-t (GDPR 28.3. cikk utolsó bekezdése).


6. cikk -- Titoktartás

Az Adatfeldolgozó gondoskodik arról, hogy az adatkezelésre feljogosított személyek kötelezettséget vállaljanak a titoktartásra, vagy megfelelő jogszabályi titoktartási kötelezettség hatálya alá tartozzanak (GDPR 28.3.b cikk), és megkapják a szükséges adatvédelmi képzést. Ez a kötelezettségvállalás túléli a feladatkör megszűnését és a jelen DPA lejártát.


7. cikk -- Biztonsági intézkedések (GDPR 32. cikk) és keretrendszer-igazodás

Az Adatfeldolgozó a kockázatnak megfelelő biztonsági szint biztosítása érdekében megfelelő technikai és szervezési intézkedéseket alkalmaz (GDPR 32. cikk). A bevezetett intézkedések többek között a következők:

  • Zero-knowledge architektúra: a gyűjtés és az álnevesítés az Ügyfél böngészőjében (kiterjesztésben) zajlik; az Adatfeldolgozó kizárólag álnevesített lenyomatokat kap; a tenant nyers adatait és a Microsoft tokent soha nem kapja meg
  • Legkisebb jogosultság: Microsoft OAuth-on keresztüli kapcsolódás, az egyes körökhöz a Microsoft által kínált legszűkebb jogosultságokkal; a Szolgáltatás soha nem ír, módosít vagy töröl semmilyen adatot az auditált tenantban
  • Titkosítás átvitel közben: TLS 1.2/1.3 minden kommunikáción; SPF, DKIM és DMARC aktiválva
  • Microsoft token: soha nem hagyja el az Ügyfél böngészőjét; az Adatfeldolgozó soha nem kapja meg és nem tárolja
  • Franciaországi üzemeltetés: OVH (Franciaország) infrastruktúra, a SYAGA CONSULTING üzemeltetésében
  • Hozzáférés-kezelés: a legkisebb jogosultság elve; névre szóló jogosultságok; rendszeres felülvizsgálat
  • Visszaélés elleni védelem: napi 2 audit/tenant korlát; DDoS elleni intézkedések
  • Naplózás: az adatokhoz való hozzáférések nyomon követhetősége
  • A biztonsági intézkedések hatékonyságának rendszeres tesztelése

Igazodás elismert biztonsági keretrendszerekhez

A fenti intézkedéseket a következő keretrendszerekkel összhangban alakítottuk ki. A SYAGA nem állít semmilyen formális tanúsítást ezekre a keretrendszerekre vonatkozóan, az intézkedések az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig; ez egy funkcionális igazodás:

KeretrendszerRelevancia a SYAGA Audit szempontjábólHivatalos forrás
GDPR (EU) 2016/679 Közvetlenül alkalmazandó szabályozási alap. 32. cikk: technikai és szervezési intézkedések. Az ideiglenes architektúra = az 5.1.e cikknek megfelelő minimalizálási intézkedés. eur-lex.europa.eu CELEX:32016R0679
NIS2 irányelv (EU) 2022/2555 Kiberbiztonsági kockázatkezelési intézkedések (NIS2 21. cikk): üzletmenet-folytonosság, incidenskezelés, hálózatbiztonság, titkosítás. A SYAGA Audit segíti az ügyfeleket saját NIS2 megfelelőségük felmérésében az M365 tenantjukban. A SYAGA, mivel létszáma és árbevétele a (EU) 2022/2555 irányelv szerinti jelentős szervezetekre vonatkozó küszöbérték alatt marad (50 munkavállaló vagy 10 M EUR), nem tartozik a NIS2 hatálya alá tartozó szervezetek körébe. A SYAGA Audit ennek ellenére segíti ügyfeleit e keretrendszernek való megfelelésük felmérésében. eur-lex.europa.eu CELEX:32022L2555
DORA rendelet (EU) 2022/2554 Digitális működési reziliencia a szabályozott pénzügyi szervezetek számára. A SYAGA Audit segíthet a pénzügyi ügyfeleknek DORA biztonsági állapotuk dokumentálásában az M365 tenantjukban. Mivel a SYAGA nem szabályozott pénzügyi szervezet, a DORA nem alkalmazandó rá közvetlenül; szerződéses kötelezettségek esetenként alkalmazandók lehetnek a DORA hatálya alá tartozó pénzügyi ágazati ügyfelek esetében. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS keretrendszer: biztonsági szabályzat, kockázatkezelés, hozzáférés-ellenőrzés, titkosítás, naplózás. A SYAGA Audit intézkedései a megfelelő ISO 27002 kontrollokhoz igazodnak. A SYAGA Audit intézkedései az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig. iso.org/standard/27001
ANSSI ajánlások Informatikai higiéniai útmutató, információbiztonsági ajánlások. Az ANSSI fiókkezelésre, titkosításra és naplózásra vonatkozó ajánlásaiból merített intézkedések. A SYAGA Audit az M365 konfigurációkat az ANSSI ajánlásaihoz méri. ssi.gouv.fr

A technikai és szervezési intézkedések teljes részletezése az 1. mellékletben található.


8. cikk -- További adatfeldolgozók igénybevétele

Az Adatkezelő felhatalmazza az Adatfeldolgozót, hogy a 2. mellékletben felsorolt további adatfeldolgozókat vegye igénybe. Minden új vagy cserélt adatfeldolgozó esetében az Adatfeldolgozó írásban tájékoztatja az Adatkezelőt legalább harminc (30) nappal a hatálybalépés előtt, az Adatkezelő pedig harminc (30) napos határidővel tiltakozhat az adatvédelemhez kapcsolódó, ésszerű indokok alapján (GDPR 28.2. és 28.4. cikk). Ezek a határidők és módozatok alkalmazandók, kivéve, ha a Felek másban állapodnak meg.

Az Adatfeldolgozó szerződésben ugyanazokat az adatvédelmi kötelezettségeket írja elő a további adatfeldolgozóknak, mint amelyeket a jelen DPA tartalmaz (GDPR 28.4. cikk), és teljes felelősséggel tartozik az Adatkezelő felé azok teljesítéséért.


9. cikk -- Segítségnyújtás az Adatkezelőnek

9.1 Az érintettek jogai (GDPR 12-22. és 28.3.e cikk). Az Adatfeldolgozó haladéktalanul továbbítja az Adatkezelőnek minden, közvetlenül egy érintettől kapott jogérvényesítési kérelmet, és segíti a válaszadásban.

9.2 Biztonság és adatvédelmi hatásvizsgálat (DPIA) (GDPR 32-36. és 28.3.f cikk). Az Adatfeldolgozó segíti az Adatkezelőt az adatkezelés biztonságában, szükség esetén az adatvédelmi hatásvizsgálat (DPIA) elkészítésében, és adott esetben a CNIL előzetes konzultációjában.

9.3 Adatvédelmi incidensek (GDPR 33. és 34. cikk). Az Adatfeldolgozó legfeljebb negyvennyolc (48) órán belül értesíti az Adatkezelőt minden adatvédelmi incidensről, amint arról tudomást szerez, a lehető legrövidebb időn belül, oly módon, hogy az Adatkezelő betarthassa a GDPR 33. cikke szerinti 72 órás határidőt, az esetleges bejelentéshez szükséges információk átadásával.


10. cikk -- Az adatok sorsa a szerződés végén

A jelen DPA lejártakor az Adatfeldolgozó a szerződés végét követő harminc (30) napon belül, az Adatkezelő írásban közölt választása szerint (GDPR 28.3.g cikk) eljár:

Megjegyzés: a szolgáltatás ideiglenes (efemer) architektúrájára tekintettel a szolgáltatás teljesítését követően semmilyen auditadatot nem őrzünk meg; kizárólag a számlázási adatokat őrizzük meg a jogszabályi kötelezettségeknek megfelelően (10 év).

  • vagy a kezelt személyes adatok visszaadására az Adatkezelőnek, strukturált formátumban (JSON vagy CSV, elérhetőség szerint);
  • vagy az összes adat, a másolatokat is beleértve, biztonságos törlésére, kivéve, ha jogszabályi megőrzési kötelezettség áll fenn.

A szolgáltatás ideiglenes (efemer) architektúrájának megfelelően a nyers auditadatokat már a Jelentés kézbesítésekor töröljük. Az Adatfeldolgozó kérésre törlési igazolást ad.


11. cikk -- Auditok és ellenőrzések

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden, a GDPR 28. cikke szerinti kötelezettségek teljesítésének igazolásához szükséges információt, és lehetővé teszi auditok, ideértve helyszíni ellenőrzések elvégzését is (GDPR 28.3.h cikk).

Az auditok a következő feltételek mellett végezhetők: legalább harminc (30) munkanapos írásbeli előzetes értesítés, munkaidőben történő lebonyolítás, legfeljebb egy (1) audit tizenkét (12) hónapos időszakonként, kivéve kivételes körülmények esetén (különösen igazolt biztonsági incidens), a költségek az Adatkezelőt terhelik, a megszerzett információk bizalmas kezelése.


12. cikk -- Adattovábbítás az Európai Unión kívülre

12.1 Elsődleges tárolási hely. Az adatokat Franciaországban kezeljük és tároljuk. A SYAGA CONSULTING francia jog szerinti jogalany. A harmadik fél szolgáltatókon keresztüli, közvetett Cloud Act kitettség nem zárható ki teljes mértékben; a SYAGA ezt a franciaországi tárhelyszolgáltatással (OVH SAS), és mindenekelőtt az álnevesítéssel korlátozza: a szolgáltatás kizárólag tokeneket kap, soha nem az Ön nyers adatait.

12.2 A Microsoft igénybevétele. Az Adatkezelő elismeri, hogy a Microsoft Graph API-t a Microsoft Corporation (Egyesült Államok) üzemelteti. A Microsofttal kapcsolatos adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételek, és adott esetben az EU-U.S. Data Privacy Framework keretrendszer szabályozza. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el; a SYAGA nem minősül a Microsoft további adatfeldolgozójának.

12.3 Általános garanciák. Az Adatfeldolgozó vagy egy további adatfeldolgozó által végzett minden, EU-n kívüli adattovábbítás feltétele a GDPR V. fejezete szerinti érvényes mechanizmus (megfelelőségi határozat, általános szerződési feltételek vagy más megfelelő garancia) alkalmazása.


13. cikk -- Adatvédelmi kapcsolattartó

Adatfeldolgozó (SYAGA CONSULTING): adatvédelmi kapcsolattartó -- contact@syaga.fr. Adatvédelmi tisztviselő kijelölése a GDPR 37. cikke értelmében nem kötelező; az adatvédelemért felelős személy az ügyvezető, Sébastien Questier, aki minden, személyes adatokkal kapcsolatos kérdés kapcsolattartója.

Adatkezelő: az Ügyfél által saját kötelezettségei szerint kijelölt GDPR-kapcsolattartó.


14. cikk -- Időtartam, módosítás és alkalmazandó jog

A jelen DPA a SYAGA Audit szolgáltatásra való feliratkozáskor lép hatályba, és az Adatkezelő nevében végzett adatkezelés teljes időtartama alatt hatályban marad.

Minden lényeges módosítást előzetesen bejelentünk az Adatkezelőnek. A szolgáltatás igénybevételének folytatása a bejelentési határidő lejárta után a módosítások elfogadásának minősül. Ezek a módosítási módozatok megfelelnek a GDPR 28. cikke szerinti adatfeldolgozási megállapodásokra vonatkozó követelményeknek.

A jelen DPA-ra a francia jog az irányadó. Minden jogvita az Aix-en-Provence-i bíróságok illetékességébe tartozik, a határon átnyúló jogvitákra alkalmazandó közrendi szabályok fenntartásával.


1. melléklet -- Az adatkezelés részletes leírása és biztonsági intézkedések (GDPR 32. cikk)

ParaméterLeírás
CélokM365 biztonsági és megfelelőségi audit -- jelentések készítése
AdatkategóriákKonfigurációs metaadatok, identitási metaadatok (UPN, nevek), biztonsági naplók
Különleges kategóriák (9. cikk)Semmi
ÉrintettekAz Ügyfél Microsoft 365 tenantjának fiókjai és identitásai
Szerveroldali megőrzésA tenant nyers adatai: soha nem kerülnek továbbításra (álnevesítés a böngészőben). Tokenizált eredmények: az ügyfélfiókban megőrizve, ameddig az Ügyfél aktív.
Az adatkezelés helyeFranciaország (SYAGA CONSULTING infrastruktúra)
Titkosítás átvitel közbenTLS 1.2/1.3 -- minden kommunikáció; SPF/DKIM/DMARC
Microsoft tokenSoha nem hagyja el az Ügyfél böngészőjét; az Adatfeldolgozó soha nem kapja meg
ArchitektúraGyűjtés és álnevesítés az Ügyfél böngészőjében futó kiterjesztés által; az Adatfeldolgozó kizárólag lenyomatokat elemez
Hozzáférés-kezelésA legkisebb jogosultság elve; névre szóló jogosultságok
Visszaélés elleni védelemNapi 2 audit/tenant korlát; DDoS elleni védelem
NaplózásMinimális, üzemeltetési és biztonsági célú technikai naplók, személyes auditadatok nélkül, a CNIL ajánlásainak megfelelően kb. 12 hónapig megőrizve.
Igazodás a biztonsági keretrendszerekhezAz intézkedések a GDPR 32. cikkéhez, az ISO/IEC 27001 szabványhoz (tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig) és az ANSSI ajánlásaihoz igazodnak.

2. melléklet -- Az engedélyezett további adatfeldolgozók listája

További adatfeldolgozóSzolgáltatásElhelyezkedésAdattovábbítási garanciák
Microsoft Corporation Microsoft Graph API -- olvasási hozzáférés a tenant konfigurációs adataihoz EU + Egyesült Államok (Microsoft infrastruktúra) A Microsoft az Ügyfél szolgáltatójaként jár el (nem a SYAGA további adatfeldolgozója). Az adattovábbításokat az EB általános szerződési feltételei és a Microsoft EU-U.S. Data Privacy Framework-ben való részvétele szabályozza.
OVH SAS (tárhelyszolgáltatás, Roubaix, Franciaország) A SYAGA Audit platform üzemeltetése Franciaország Nem releváns (EU)
Stripe Inc. Fizetés -- kizárólag az Ügyfél számlázási adatai (a tenant adatai nélkül) Egyesült Államok / EU EU-U.S. Data Privacy Framework (a Stripe tanúsítvánnyal rendelkezik) és, másodlagosan, az EB Általános Szerződési Feltételei (2021) -- a Stripe Data Transfers Addenduma.

Jogi hivatkozások

  • CNIL -- adatfeldolgozó, GDPR 28. cikk szerinti kötelezettségek: cnil.fr/fr/sous-traitant
  • (EU) 2016/679 rendelet (GDPR), 4., 9., 12-22., 28., 32-36. cikk: EUR-Lex CELEX:32016R0679
  • NIS2 irányelv (EU) 2022/2555, 21. cikk: EUR-Lex CELEX:32022L2555
  • DORA rendelet (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Informatikai higiéniai útmutató: ssi.gouv.fr
  • A módosított, 1978. január 6-i 78-17. számú törvény: Légifrance
SYAGA Audit
Biztonság Adatvédelem CGU DPA Impresszum © 2026 SYAGA