Adatfeldolgozási Megállapodás (DPA)
A (EU) 2016/679 rendelet (GDPR) 28. cikke alapján megkötve (forrás: gdpr-info.eu/art-28-gdpr)
Érintett szolgáltatás: SYAGA Audit -- Microsoft 365 biztonsági és megfelelőségi audit, kizárólag olvasási joggal
Verzió: 1.0 -- Dátum: 2026. június 27. -- Hatálybalépés napja: 2026. június 27.
A Felek azonosítása
Az Adatfeldolgozó:
SYAGA CONSULTING, 20 000 eurós törzstőkéjű korlátolt felelősségű társaság (SARL), amelyet az Aix-en-Provence-i Cégjegyzékben 518 489 471 SIREN szám alatt jegyeztek be, alapítva 2009.12.08-án, képviseli ügyvezetője, Sébastien Questier, székhelye: 2 Impasse Paul Langevin, 13110 Port-de-Bouc, a SYAGA Audit szolgáltatás kiadója, a továbbiakban: Adatfeldolgozó.
ÉS
Az Adatkezelő: az Ügyfél, aki a SYAGA Audit szolgáltatásra a cgu.html oldalon elérhető ÁSZF feltételei szerint fizetett elő, elérhetőségei a feliratkozáskor megadottak, a továbbiakban: Adatkezelő.
A továbbiakban együttesen: Felek.
Preambulum
A jelen Adatfeldolgozási Megállapodás (DPA) a GDPR 28. cikke alapján jött létre, amely előírja, hogy az adatfeldolgozó által az adatkezelő nevében végzett adatkezelést olyan szerződés szabályozza, amely meghatározza az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait.
A jelen DPA a SYAGA Audit Általános Szerződési és Szolgáltatási Feltételeinek (ÁSZF) (a Fő Szerződés) járulékos dokumentuma. Amennyiben a jelen DPA és a Fő Szerződés valamely adatvédelmi kérdésben ellentmond egymásnak, a jelen DPA az irányadó. Amennyiben a személyes adatok védelmével kapcsolatban ellentmondás merül fel, a jelen DPA elsőbbséget élvez az ÁSZF-fel szemben.
A SYAGA Audit szolgáltatásra való feliratkozással az Ügyfél elfogadja a jelen DPA feltételeit. Az elektronikus elfogadás a DPA elfogadásának minősül, az elektronikus úton kötött szerződésekre alkalmazandó rendelkezésekkel összhangban.
1. cikk -- A szolgáltatás tárgya és elve
A jelen DPA meghatározza azokat a feltételeket, amelyek mellett az Adatfeldolgozó vállalja, hogy az Adatkezelő nevében és dokumentált utasítására elvégzi a SYAGA Audit szolgáltatás nyújtásához szükséges személyesadat-kezelési műveleteket.
A SYAGA Audit kizárólag olvasási joggal auditálja az Adatkezelő Microsoft 365 környezetének biztonságát és megfelelőségét: a Szolgáltatás semmilyen adatot nem ír, módosít vagy töröl az auditált tenantban.
Az Adatfeldolgozó zero-knowledge elvet alkalmaz: a gyűjtés és az álnevesítés az Ügyfél böngészőjében (kiterjesztésben) zajlik. Az Adatfeldolgozó soha nem kapja meg a tenant nyers adatait, sem az Ügyfél Microsoft hozzáférési tokenjét: kizárólag álnevesített lenyomatokat. A tokenizált audit eredményeket az ügyfélfiókban őrizzük meg, hogy az Ügyfél újra megnyithassa azokat, ameddig aktív ügyfél; ezeket kizárólag az Ügyfél gépén állítjuk vissza tiszta szövegre.
2. cikk -- Az adatkezelés jellege, célja és időtartama
2.1 A műveletek jellege. A műveletek a következőkből állnak: gyűjtés (olvasás, legkisebb jogosultság) a Microsoft API-kon keresztül, amelyet az Ügyfél gépén futó böngészőkiterjesztés végez; helyi álnevesítés; az Adatfeldolgozó által kizárólag az álnevesített lenyomatok elemzése biztonsági keretrendszerek alapján (ANSSI, Microsoft ajánlások, GDPR, NIS2); az eredmények visszaadása jelentések formájában, az Ügyfél gépén visszaállítva tiszta szövegre.
2.2 Kizárólagos cél. A cél az Adatkezelő Microsoft 365 tenantja biztonsági és megfelelőségi állapotának felmérése, valamint a kapcsolódó auditjelentések elkészítése. Semmilyen más cél (üzletszerzés, profilalkotás, az Adatfeldolgozó saját céljaira történő újrafelhasználás) nem megengedett.
2.3 Időtartam. Az adatkezelés a Fő Szerződés teljesítésének időtartama alatt zajlik. A nyers adatokat a Jelentés kézbesítésekor azonnal töröljük.
3. cikk -- A kezelt személyes adatok kategóriái
Az Adatfeldolgozó a következő adatkategóriákat kezeli:
- Konfigurációs és biztonsági metaadatok: tenant-beállítások, feltételes hozzáférési szabályzatok, MFA-konfiguráció, adminisztrátori szerepkörök és jogosultságok, megosztási beállítások, biztonsági funkciók aktiválási állapota
- Identitási és címtár-metaadatok: fiókazonosítók (UPN), megjelenített nevek, csoporttagság, az audithoz releváns címtár-attribútumok
- Biztonsági események naplói és metaadatai: bejelentkezési naplók, auditesemények, a kontrollok kiértékeléséhez szükséges metaadatok
Kifejezett kizárások. Az Adatfeldolgozó nem kezeli az e-mailek, fájlok vagy dokumentumok tartalmát. Kizárólag metaadatokat és konfigurációs adatokat kezel.
Különleges kategóriák. Az adatkezelés célja nem a GDPR 9. cikke szerinti különleges adatkategóriák kezelése. Az Adatkezelő vállalja, hogy nem konfigurálja a szolgáltatást úgy, hogy az ilyen adatkezeléshez vezessen.
4. cikk -- Az érintettek kategóriái
Az érintettek az Adatkezelő Microsoft 365 tenantjában fiókkal és identitással rendelkező személyek: munkavállalók, vezetők, adminisztrátorok, szolgáltatók és az auditált címtárban fiókkal rendelkező vendégek.
5. cikk -- Az Adatkezelő dokumentált utasításai
Az Adatfeldolgozó az adatokat kizárólag az Adatkezelő dokumentált utasítására kezeli (GDPR 28.3.a cikk), ideértve a harmadik országba történő adattovábbítást is, kivéve, ha jogszabályi kötelezettség írja elő másképp (amely esetben az adatkezelést megelőzően tájékoztatja az Adatkezelőt, kivéve, ha ezt jogszabály tiltja).
A jelen DPA, mellékletei és az ÁSZF alkotják a kezdeti dokumentált utasításokat. Az Adatfeldolgozó haladéktalanul tájékoztatja az Adatkezelőt, ha úgy ítéli meg, hogy egy utasítás sérti a GDPR-t (GDPR 28.3. cikk utolsó bekezdése).
6. cikk -- Titoktartás
Az Adatfeldolgozó gondoskodik arról, hogy az adatkezelésre feljogosított személyek kötelezettséget vállaljanak a titoktartásra, vagy megfelelő jogszabályi titoktartási kötelezettség hatálya alá tartozzanak (GDPR 28.3.b cikk), és megkapják a szükséges adatvédelmi képzést. Ez a kötelezettségvállalás túléli a feladatkör megszűnését és a jelen DPA lejártát.
7. cikk -- Biztonsági intézkedések (GDPR 32. cikk) és keretrendszer-igazodás
Az Adatfeldolgozó a kockázatnak megfelelő biztonsági szint biztosítása érdekében megfelelő technikai és szervezési intézkedéseket alkalmaz (GDPR 32. cikk). A bevezetett intézkedések többek között a következők:
- Zero-knowledge architektúra: a gyűjtés és az álnevesítés az Ügyfél böngészőjében (kiterjesztésben) zajlik; az Adatfeldolgozó kizárólag álnevesített lenyomatokat kap; a tenant nyers adatait és a Microsoft tokent soha nem kapja meg
- Legkisebb jogosultság: Microsoft OAuth-on keresztüli kapcsolódás, az egyes körökhöz a Microsoft által kínált legszűkebb jogosultságokkal; a Szolgáltatás soha nem ír, módosít vagy töröl semmilyen adatot az auditált tenantban
- Titkosítás átvitel közben: TLS 1.2/1.3 minden kommunikáción; SPF, DKIM és DMARC aktiválva
- Microsoft token: soha nem hagyja el az Ügyfél böngészőjét; az Adatfeldolgozó soha nem kapja meg és nem tárolja
- Franciaországi üzemeltetés: OVH (Franciaország) infrastruktúra, a SYAGA CONSULTING üzemeltetésében
- Hozzáférés-kezelés: a legkisebb jogosultság elve; névre szóló jogosultságok; rendszeres felülvizsgálat
- Visszaélés elleni védelem: napi 2 audit/tenant korlát; DDoS elleni intézkedések
- Naplózás: az adatokhoz való hozzáférések nyomon követhetősége
- A biztonsági intézkedések hatékonyságának rendszeres tesztelése
Igazodás elismert biztonsági keretrendszerekhez
A fenti intézkedéseket a következő keretrendszerekkel összhangban alakítottuk ki. A SYAGA nem állít semmilyen formális tanúsítást ezekre a keretrendszerekre vonatkozóan, az intézkedések az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig; ez egy funkcionális igazodás:
| Keretrendszer | Relevancia a SYAGA Audit szempontjából | Hivatalos forrás |
|---|---|---|
| GDPR (EU) 2016/679 | Közvetlenül alkalmazandó szabályozási alap. 32. cikk: technikai és szervezési intézkedések. Az ideiglenes architektúra = az 5.1.e cikknek megfelelő minimalizálási intézkedés. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2 irányelv (EU) 2022/2555 | Kiberbiztonsági kockázatkezelési intézkedések (NIS2 21. cikk): üzletmenet-folytonosság, incidenskezelés, hálózatbiztonság, titkosítás. A SYAGA Audit segíti az ügyfeleket saját NIS2 megfelelőségük felmérésében az M365 tenantjukban. A SYAGA, mivel létszáma és árbevétele a (EU) 2022/2555 irányelv szerinti jelentős szervezetekre vonatkozó küszöbérték alatt marad (50 munkavállaló vagy 10 M EUR), nem tartozik a NIS2 hatálya alá tartozó szervezetek körébe. A SYAGA Audit ennek ellenére segíti ügyfeleit e keretrendszernek való megfelelésük felmérésében. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA rendelet (EU) 2022/2554 | Digitális működési reziliencia a szabályozott pénzügyi szervezetek számára. A SYAGA Audit segíthet a pénzügyi ügyfeleknek DORA biztonsági állapotuk dokumentálásában az M365 tenantjukban. Mivel a SYAGA nem szabályozott pénzügyi szervezet, a DORA nem alkalmazandó rá közvetlenül; szerződéses kötelezettségek esetenként alkalmazandók lehetnek a DORA hatálya alá tartozó pénzügyi ágazati ügyfelek esetében. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | ISMS keretrendszer: biztonsági szabályzat, kockázatkezelés, hozzáférés-ellenőrzés, titkosítás, naplózás. A SYAGA Audit intézkedései a megfelelő ISO 27002 kontrollokhoz igazodnak. A SYAGA Audit intézkedései az ISO/IEC 27001 szabvány követelményeihez igazodnak, tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig. | iso.org/standard/27001 |
| ANSSI ajánlások | Informatikai higiéniai útmutató, információbiztonsági ajánlások. Az ANSSI fiókkezelésre, titkosításra és naplózásra vonatkozó ajánlásaiból merített intézkedések. A SYAGA Audit az M365 konfigurációkat az ANSSI ajánlásaihoz méri. | ssi.gouv.fr |
A technikai és szervezési intézkedések teljes részletezése az 1. mellékletben található.
8. cikk -- További adatfeldolgozók igénybevétele
Az Adatkezelő felhatalmazza az Adatfeldolgozót, hogy a 2. mellékletben felsorolt további adatfeldolgozókat vegye igénybe. Minden új vagy cserélt adatfeldolgozó esetében az Adatfeldolgozó írásban tájékoztatja az Adatkezelőt legalább harminc (30) nappal a hatálybalépés előtt, az Adatkezelő pedig harminc (30) napos határidővel tiltakozhat az adatvédelemhez kapcsolódó, ésszerű indokok alapján (GDPR 28.2. és 28.4. cikk). Ezek a határidők és módozatok alkalmazandók, kivéve, ha a Felek másban állapodnak meg.
Az Adatfeldolgozó szerződésben ugyanazokat az adatvédelmi kötelezettségeket írja elő a további adatfeldolgozóknak, mint amelyeket a jelen DPA tartalmaz (GDPR 28.4. cikk), és teljes felelősséggel tartozik az Adatkezelő felé azok teljesítéséért.
9. cikk -- Segítségnyújtás az Adatkezelőnek
9.1 Az érintettek jogai (GDPR 12-22. és 28.3.e cikk). Az Adatfeldolgozó haladéktalanul továbbítja az Adatkezelőnek minden, közvetlenül egy érintettől kapott jogérvényesítési kérelmet, és segíti a válaszadásban.
9.2 Biztonság és adatvédelmi hatásvizsgálat (DPIA) (GDPR 32-36. és 28.3.f cikk). Az Adatfeldolgozó segíti az Adatkezelőt az adatkezelés biztonságában, szükség esetén az adatvédelmi hatásvizsgálat (DPIA) elkészítésében, és adott esetben a CNIL előzetes konzultációjában.
9.3 Adatvédelmi incidensek (GDPR 33. és 34. cikk). Az Adatfeldolgozó legfeljebb negyvennyolc (48) órán belül értesíti az Adatkezelőt minden adatvédelmi incidensről, amint arról tudomást szerez, a lehető legrövidebb időn belül, oly módon, hogy az Adatkezelő betarthassa a GDPR 33. cikke szerinti 72 órás határidőt, az esetleges bejelentéshez szükséges információk átadásával.
10. cikk -- Az adatok sorsa a szerződés végén
A jelen DPA lejártakor az Adatfeldolgozó a szerződés végét követő harminc (30) napon belül, az Adatkezelő írásban közölt választása szerint (GDPR 28.3.g cikk) eljár:
Megjegyzés: a szolgáltatás ideiglenes (efemer) architektúrájára tekintettel a szolgáltatás teljesítését követően semmilyen auditadatot nem őrzünk meg; kizárólag a számlázási adatokat őrizzük meg a jogszabályi kötelezettségeknek megfelelően (10 év).
- vagy a kezelt személyes adatok visszaadására az Adatkezelőnek, strukturált formátumban (JSON vagy CSV, elérhetőség szerint);
- vagy az összes adat, a másolatokat is beleértve, biztonságos törlésére, kivéve, ha jogszabályi megőrzési kötelezettség áll fenn.
A szolgáltatás ideiglenes (efemer) architektúrájának megfelelően a nyers auditadatokat már a Jelentés kézbesítésekor töröljük. Az Adatfeldolgozó kérésre törlési igazolást ad.
11. cikk -- Auditok és ellenőrzések
Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsát minden, a GDPR 28. cikke szerinti kötelezettségek teljesítésének igazolásához szükséges információt, és lehetővé teszi auditok, ideértve helyszíni ellenőrzések elvégzését is (GDPR 28.3.h cikk).
Az auditok a következő feltételek mellett végezhetők: legalább harminc (30) munkanapos írásbeli előzetes értesítés, munkaidőben történő lebonyolítás, legfeljebb egy (1) audit tizenkét (12) hónapos időszakonként, kivéve kivételes körülmények esetén (különösen igazolt biztonsági incidens), a költségek az Adatkezelőt terhelik, a megszerzett információk bizalmas kezelése.
12. cikk -- Adattovábbítás az Európai Unión kívülre
12.1 Elsődleges tárolási hely. Az adatokat Franciaországban kezeljük és tároljuk. A SYAGA CONSULTING francia jog szerinti jogalany. A harmadik fél szolgáltatókon keresztüli, közvetett Cloud Act kitettség nem zárható ki teljes mértékben; a SYAGA ezt a franciaországi tárhelyszolgáltatással (OVH SAS), és mindenekelőtt az álnevesítéssel korlátozza: a szolgáltatás kizárólag tokeneket kap, soha nem az Ön nyers adatait.
12.2 A Microsoft igénybevétele. Az Adatkezelő elismeri, hogy a Microsoft Graph API-t a Microsoft Corporation (Egyesült Államok) üzemelteti. A Microsofttal kapcsolatos adattovábbításokat az Európai Bizottság által jóváhagyott általános szerződési feltételek, és adott esetben az EU-U.S. Data Privacy Framework keretrendszer szabályozza. Az auditált adatok az Ügyfél saját Microsoft 365 tenantjához tartoznak, amelyeket a Microsoft Graph-on keresztül, az Ügyfél nevében, kizárólag olvasási joggal érünk el. A Microsoft az Ügyfél szolgáltatójaként jár el; a SYAGA nem minősül a Microsoft további adatfeldolgozójának.
12.3 Általános garanciák. Az Adatfeldolgozó vagy egy további adatfeldolgozó által végzett minden, EU-n kívüli adattovábbítás feltétele a GDPR V. fejezete szerinti érvényes mechanizmus (megfelelőségi határozat, általános szerződési feltételek vagy más megfelelő garancia) alkalmazása.
13. cikk -- Adatvédelmi kapcsolattartó
Adatfeldolgozó (SYAGA CONSULTING): adatvédelmi kapcsolattartó -- contact@syaga.fr. Adatvédelmi tisztviselő kijelölése a GDPR 37. cikke értelmében nem kötelező; az adatvédelemért felelős személy az ügyvezető, Sébastien Questier, aki minden, személyes adatokkal kapcsolatos kérdés kapcsolattartója.
Adatkezelő: az Ügyfél által saját kötelezettségei szerint kijelölt GDPR-kapcsolattartó.
14. cikk -- Időtartam, módosítás és alkalmazandó jog
A jelen DPA a SYAGA Audit szolgáltatásra való feliratkozáskor lép hatályba, és az Adatkezelő nevében végzett adatkezelés teljes időtartama alatt hatályban marad.
Minden lényeges módosítást előzetesen bejelentünk az Adatkezelőnek. A szolgáltatás igénybevételének folytatása a bejelentési határidő lejárta után a módosítások elfogadásának minősül. Ezek a módosítási módozatok megfelelnek a GDPR 28. cikke szerinti adatfeldolgozási megállapodásokra vonatkozó követelményeknek.
A jelen DPA-ra a francia jog az irányadó. Minden jogvita az Aix-en-Provence-i bíróságok illetékességébe tartozik, a határon átnyúló jogvitákra alkalmazandó közrendi szabályok fenntartásával.
1. melléklet -- Az adatkezelés részletes leírása és biztonsági intézkedések (GDPR 32. cikk)
| Paraméter | Leírás |
|---|---|
| Célok | M365 biztonsági és megfelelőségi audit -- jelentések készítése |
| Adatkategóriák | Konfigurációs metaadatok, identitási metaadatok (UPN, nevek), biztonsági naplók |
| Különleges kategóriák (9. cikk) | Semmi |
| Érintettek | Az Ügyfél Microsoft 365 tenantjának fiókjai és identitásai |
| Szerveroldali megőrzés | A tenant nyers adatai: soha nem kerülnek továbbításra (álnevesítés a böngészőben). Tokenizált eredmények: az ügyfélfiókban megőrizve, ameddig az Ügyfél aktív. |
| Az adatkezelés helye | Franciaország (SYAGA CONSULTING infrastruktúra) |
| Titkosítás átvitel közben | TLS 1.2/1.3 -- minden kommunikáció; SPF/DKIM/DMARC |
| Microsoft token | Soha nem hagyja el az Ügyfél böngészőjét; az Adatfeldolgozó soha nem kapja meg |
| Architektúra | Gyűjtés és álnevesítés az Ügyfél böngészőjében futó kiterjesztés által; az Adatfeldolgozó kizárólag lenyomatokat elemez |
| Hozzáférés-kezelés | A legkisebb jogosultság elve; névre szóló jogosultságok |
| Visszaélés elleni védelem | Napi 2 audit/tenant korlát; DDoS elleni védelem |
| Naplózás | Minimális, üzemeltetési és biztonsági célú technikai naplók, személyes auditadatok nélkül, a CNIL ajánlásainak megfelelően kb. 12 hónapig megőrizve. |
| Igazodás a biztonsági keretrendszerekhez | Az intézkedések a GDPR 32. cikkéhez, az ISO/IEC 27001 szabványhoz (tanúsítási eljárás folyamatban van, tanúsítás nélkül a mai napig) és az ANSSI ajánlásaihoz igazodnak. |
2. melléklet -- Az engedélyezett további adatfeldolgozók listája
| További adatfeldolgozó | Szolgáltatás | Elhelyezkedés | Adattovábbítási garanciák |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph API -- olvasási hozzáférés a tenant konfigurációs adataihoz | EU + Egyesült Államok (Microsoft infrastruktúra) | A Microsoft az Ügyfél szolgáltatójaként jár el (nem a SYAGA további adatfeldolgozója). Az adattovábbításokat az EB általános szerződési feltételei és a Microsoft EU-U.S. Data Privacy Framework-ben való részvétele szabályozza. |
| OVH SAS (tárhelyszolgáltatás, Roubaix, Franciaország) | A SYAGA Audit platform üzemeltetése | Franciaország | Nem releváns (EU) |
| Stripe Inc. | Fizetés -- kizárólag az Ügyfél számlázási adatai (a tenant adatai nélkül) | Egyesült Államok / EU | EU-U.S. Data Privacy Framework (a Stripe tanúsítvánnyal rendelkezik) és, másodlagosan, az EB Általános Szerződési Feltételei (2021) -- a Stripe Data Transfers Addenduma. |
Jogi hivatkozások
- CNIL -- adatfeldolgozó, GDPR 28. cikk szerinti kötelezettségek: cnil.fr/fr/sous-traitant
- (EU) 2016/679 rendelet (GDPR), 4., 9., 12-22., 28., 32-36. cikk: EUR-Lex CELEX:32016R0679
- NIS2 irányelv (EU) 2022/2555, 21. cikk: EUR-Lex CELEX:32022L2555
- DORA rendelet (EU) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Informatikai higiéniai útmutató: ssi.gouv.fr
- A módosított, 1978. január 6-i 78-17. számú törvény: Légifrance