Privatumo politika
1.0 versija - Paskutinis atnaujinimas: 2026 m. birželio 25 d.
Preambulė
Šios Privatumo politikos tikslas yra informuoti paslaugos SYAGA Audit naudotojus ir klientus apie tai, kaip jų asmens duomenys yra renkami, tvarkomi ir saugomi, laikantis 2016 m. balandžio 27 d. Reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis (BDAR) ir 1978 m. sausio 6 d. Įstatymo Nr. 78-17 su pakeitimais dėl informatikos, duomenų bazių ir laisvių.
SYAGA Audit yra Microsoft 365 aplinkos saugumo ir atitikties audito paslauga, veikianti tik skaitymo režimu kliento Microsoft 365 tenant konfigūracijos ir metaduomenų atžvilgiu. Paslauga nepasiekia audituojamo tenant naudotojų žinučių, failų ar el. laiškų turinio ir nesaugo jokių slaptažodžių.
Šis dokumentas tenkina BDAR 13 straipsnyje (tiesioginis rinkimas) ir 14 straipsnyje (netiesioginis rinkimas) numatytą informavimo pareigą.
1. Duomenų valdytojo tapatybė ir kontaktiniai duomenys
Duomenų valdytojas paskyros ir kliento santykių valdymo duomenų atžvilgiu yra:
SYAGA CONSULTING
- Forma: ribotos atsakomybės bendrovė (SARL), kurios kapitalas 20 000 EUR
- SIREN: 518 489 471 -- RCS Aix-en-Provence
- Buveinė: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- ES PVM mokėtojo kodas: FR93 518489471
- El. paštas: contact@syaga.fr
Duomenų tvarkytojo / duomenų valdytojo santykis: audito metu surinktų Microsoft 365 tenant konfigūracijos ir metaduomenų atžvilgiu SYAGA veikia kaip duomenų tvarkytojas pagal BDAR 28 straipsnį, o klientas lieka savo M365 duomenų valdytoju. Ši politika apima sritį, kurioje SYAGA veikia kaip duomenų valdytojas (paskyros, atsiskaitymo, pagalbos duomenys). Kliento vardu vykdomą duomenų tvarkymą reglamentuoja Duomenų tvarkymo sutartis (DPA).
Kontaktas duomenų apsaugos klausimais
Dėl bet kokio su duomenų apsauga susijusio prašymo: contact@syaga.fr
Duomenų apsaugos pareigūno skyrimas nėra privalomas pagal BDAR 37 straipsnį; duomenų valdytojas, kurio vardu veikia vadovas, yra kontaktinis asmuo bet kokiu su asmens duomenimis susijusiu klausimu.
2. Renkami asmens duomenys
2.1 Paskyros ir kliento santykių valdymo duomenys
SYAGA, veikdama kaip duomenų valdytojas, renka:
- Kontaktinio asmens tapatybė: vardas, pavardė, pareigos
- Profesiniai kontaktiniai duomenys: el. pašto adresas, įmonės pavadinimas
- Prisijungimo prie Paslaugos duomenys (OAuth Microsoft prieigos raktas, joks slaptažodis SYAGA Audit pusėje nesaugomas)
- Atsiskaitymo ir sutarčių valdymo duomenys
- Pagalbos ir susirašinėjimo duomenys
- Techniniai prisijungimo žurnalai (IP adresai, laiko žymos)
2.2 Audito duomenys (Microsoft 365 konfigūracija ir metaduomenys)
Audito metu Paslauga tik skaitymo režimu, per Microsoft Graph API, pasiekia kliento M365 tenant konfigūracijos ir metaduomenų duomenis, tarp jų:
- Saugumo konfigūracijos parametrai (sąlyginės prieigos politikos, DFA nustatymai, bendrinimo nustatymai)
- Naudotojų paskyrų metaduomenys (UPN, vaidmenys, DFA būsena, Entra ID katalogo atributai)
- Saugumo būklės rodikliai ir metaduomenys (Secure Score, konfigūracijos įspėjimai)
Ko Paslauga nerenka: el. laiškų, failų, dokumentų, žinučių turinio, slaptažodžių, ypatingų kategorijų duomenų, kaip apibrėžta BDAR 9 straipsnyje.
Laikina (efemerinė) architektūra: auditas vykdomas laisvojoje atmintyje, vienkartiniame skenavimo konteineryje (be jokio saugojimo diske). Ataskaita klientui pateikiama vieną kartą, po to neapdoroti skenavimo duomenys ir prieigos raktas ištrinami. Raktas šifruojamas ramybės būsenoje (Fernet) audito trukmei. Maksimalus saugumo TTL: 2 valandos. Serverio pusėje SYAGA saugo tik atsiskaitymo duomenis, laikantis teisinių įsipareigojimų.
2.3 Slapukai ir sekimo priemonės
Svetainė syaga.eu naudoja tik griežtai būtinus slapukus, reikalingus Paslaugos veikimui:
__jsc: apsaugos nuo botų slapukas, sesijos trukmėvigil_audit: sesijos slapukas, sesijos trukmė
Nenaudojamas joks lankomumo matavimo slapukas (Google Analytics, Matomo ar lygiavertis) ir joks reklaminis slapukas. Šie griežtai būtini slapukai yra atleisti nuo išankstinio sutikimo reikalavimo, laikantis 2023 m. liepos 4 d. CNIL gairių (šaltinis: cnil.fr, slapukai ir sekimo priemonės). Pakanka informacinio pranešimo apie šiuos slapukus.
3. Tvarkymo tikslai ir teisiniai pagrindai
Vadovaujantis BDAR 6 straipsniu, kiekvienas duomenų tvarkymas grindžiamas nustatytu teisiniu pagrindu:
| Tikslas | Teisinis pagrindas (BDAR 6 str.) |
|---|---|
| Audito paslaugos teikimas ir vykdymas; kliento paskyros kūrimas ir valdymas | Sutarties vykdymas, BDAR 6.1.b str. |
| Atsiskaitymas, apskaita, skolų išieškojimas | Teisinė prievolė (Prekybos kodekso L.123-22 str.) ir sutarties vykdymas, BDAR 6.1.c ir 6.1.b str. |
| Techninė pagalba ir palaikymas | Sutarties vykdymas, BDAR 6.1.b str. |
| Paslaugos saugumas, sukčiavimo prevencija, žurnalų registravimas | Teisėtas interesas, BDAR 6.1.f str. |
| Griežtai būtini slapukai | Atleisti nuo sutikimo reikalavimo (CNIL gairės) |
Dėl tenant audito duomenų (2.2 skirsnis) SYAGA veikia kliento (duomenų valdytojo) nurodymu. Žr. DPA.
4. Duomenų gavėjai ir duomenų tvarkytojai
Duomenys perduodami tik įgaliotiems SYAGA CONSULTING darbuotojams bei duomenų tvarkytojams, veikiantiems pagal BDAR 28 straipsnio sąlygas:
- Microsoft Corporation: Microsoft Graph API teikėjas, naudojamas tik skaitymo režimu kliento tenant konfigūracijos duomenims pasiekti. Audituojami yra paties Kliento Microsoft 365 tenant duomenys, peržiūrimi tik skaitymo režimu jo vardu per Microsoft Graph. Microsoft veikia kaip Kliento paslaugų teikėjas; SYAGA nėra tolesnis jo duomenų tvarkytojas.
- Stripe Inc.: mokėjimo paslaugų teikėjas, tvarkantis atsiskaitymo duomenis. Perdavimai Stripe reglamentuojami ES ir JAV duomenų privatumo sistemos (EU-U.S. Data Privacy Framework), kuriai Stripe yra sertifikuota, o papildomai, Europos Komisijos standartinėmis sutarčių sąlygomis (2021 m.), integruotomis į Stripe Duomenų perdavimo priedą (šaltiniai: stripe.com/legal/dpa ir stripe.com/legal/dta).
- Talpinimo paslaugų teikėjas: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Prancūzija (RCS Lille Métropole 424 761 419). Paslauga talpinama Prancūzijoje, OVH SAS (Prancūzijos talpinimo paslaugų teikėjo), SYAGA CONSULTING techninio duomenų tvarkytojo, infrastruktūroje. SYAGA CONSULTING gauna tik pseudonimizuotus duomenis (prieigos raktus).
Jokie duomenys nėra parduodami ar perduodami tretiesiems asmenims komerciniais tikslais.
Duomenys gali būti perduodami administracinėms ar teisminėms institucijoms, kai to reikalauja teisės aktai.
5. Saugojimo trukmė
Duomenys saugomi ne ilgiau, nei būtina jų tvarkymo tikslams pasiekti (BDAR 5.1.e str.):
| Duomenų kategorija | Saugojimo trukmė |
|---|---|
| Neapdoroti audito duomenys (radiniai, prieigos raktas) | Jokio saugojimo serverio pusėje: ištrinama pateikus Ataskaitą (laikina architektūra, maksimalus TTL 2 valandos) |
| Aktyvios kliento paskyros duomenys | Sutartinių santykių trukmė, po to ištrinama per 30 dienų nuo sutarties nutraukimo |
| Atsiskaitymo duomenys ir apskaitos dokumentai | 10 metų nuo apskaitinių metų pabaigos (teisinė prievolė, Prekybos kodekso L.123-22 str.) |
| Techniniai žurnalai (prisijungimo žurnalai) | 12 mėnesių (CNIL rekomendacija) |
6. Duomenų perdavimas už Europos Sąjungos ribų
Infrastruktūra, kurioje talpinama Paslauga SYAGA Audit, yra Prancūzijoje. Iš esmės SYAGA neatlieka jokio duomenų perdavimo už ES / EEE ribų.
Dėl Microsoft: duomenų valdytojas pripažįsta, kad Microsoft Graph API valdo Microsoft Corporation (Jungtinės Valstijos). Galimus perdavimus, susijusius su Microsoft, reglamentuoja jos Europos Komisijos patvirtintos standartinės sutarčių sąlygos ir, prireikus, jos dalyvavimas ES ir JAV duomenų privatumo sistemoje (EU-U.S. Data Privacy Framework). Audituojami yra paties Kliento Microsoft 365 tenant duomenys, peržiūrimi tik skaitymo režimu jo vardu per Microsoft Graph. Microsoft veikia kaip Kliento paslaugų teikėjas. Galimus perdavimus, susijusius su Microsoft infrastruktūra, reglamentuoja Europos Komisijos patvirtintos standartinės sutarčių sąlygos ir Microsoft dalyvavimas ES ir JAV duomenų privatumo sistemoje.
Stripe Inc. atlieka perdavimus už ES ribų, reglamentuojamus mechanizmų, atitinkančių BDAR V skyrių. Perdavimai Stripe reglamentuojami ES ir JAV duomenų privatumo sistemos (EU-U.S. Data Privacy Framework), kuriai Stripe yra sertifikuota, o papildomai, Europos Komisijos standartinėmis sutarčių sąlygomis (2021 m.), integruotomis į Stripe Duomenų perdavimo priedą (Data Transfers Addendum).
7. Duomenų subjektų teisės
Vadovaujantis BDAR 15-22 straipsniais, kiekvienas duomenų subjektas turi šias teises:
- Teisė susipažinti (BDAR 15 str.): gauti patvirtinimą, ar su asmeniu susiję duomenys yra tvarkomi, ir jų kopiją
- Teisė reikalauti ištaisyti duomenis (16 str.): reikalauti ištaisyti netikslius ar neišsamius duomenis
- Teisė reikalauti ištrinti duomenis (17 str.): gauti duomenų ištrynimą BDAR numatytais atvejais
- Teisė apriboti duomenų tvarkymą (18 str.)
- Teisė į duomenų perkeliamumą (20 str.): gauti savo duomenis susistemintu, kompiuterio skaitomu formatu
- Teisė nesutikti (21 str.): nesutikti su tvarkymu dėl priežasčių, susijusių su konkrečia asmens situacija, o tiesioginės rinkodaros atveju, bet kuriuo metu
- Teisė bet kada atšaukti sutikimą (7.3 str.), kai tvarkymas grindžiamas sutikimu
- Teisė po mirties (Informatikos ir laisvių įstatymo 85 str.): nustatyti nurodymus dėl duomenų likimo po mirties
Svarbu dėl audito duomenų: dėl tenant konfigūracijos ir metaduomenų prašymai įgyvendinti teises turi būti siunčiami klientui (duomenų valdytojui), kuris prireikus kreipsis į SYAGA (BDAR 28.3.e str.).
Įgyvendinimo tvarka
Šios teisės įgyvendinamos siunčiant prašymą adresu contact@syaga.fr arba paštu SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Atsakymas pateikiamas per vieną mėnesį (BDAR 12.3 str.), šį terminą galima pratęsti dviem mėnesiais sudėtingų atvejų atveju.
Skundo pateikimas CNIL
Kiekvienas duomenų subjektas turi teisę pateikti skundą CNIL (BDAR 77 str.):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Duomenų saugumas (BDAR 32 str.)
SYAGA taiko tinkamas technines ir organizacines priemones, kad užtikrintų rizikos lygį atitinkantį saugumo lygį (BDAR 32 str.):
- Laikina (efemerinė) architektūra: auditas vykdomas laisvojoje atmintyje, vienkartiniame skenavimo konteineryje be duomenų saugojimo diske; neapdoroti duomenys ištrinami pateikus Ataskaitą
- Mažiausios privilegijos principas: prisijungimas per OAuth Microsoft, taikant siauriausius Microsoft siūlomus leidimus kiekvienai audituojamai sričiai; Paslauga niekada nerašo, nekeičia ir nepašalina jokių tenant duomenų
- Šifravimas perdavimo metu: TLS 1.2/1.3 visuose ryšiuose; SPF, DKIM ir DMARC įjungti el. laiškuose
- Šifravimas ramybės būsenoje: prieigos raktas šifruojamas (Fernet) audito trukmei
- Talpinimas Prancūzijoje: OVH (Prancūzija) infrastruktūra
- Prieigos kontrolė: mažiausios privilegijos principas; vardinės prieigos teisės
- Apsauga nuo piktnaudžiavimo: 2 auditų per dieną vienam tenant riba, apsaugos nuo DDoS priemonės
- Pranešimas apie pažeidimus: procedūra, atitinkanti BDAR 33 ir 34 straipsnius (CNIL informuojama per 72 val.)
Atitiktis keliems standartams
SYAGA Audit saugumo priemonės sukurtos derinant su keliais pripažintais saugumo standartais. SYAGA nedeklaruoja jokio formalaus šių standartų sertifikavimo: priemonės atitinka ISO/IEC 27001 standarto reikalavimus, sertifikavimo procesas yra pradėtas, tačiau sertifikatas dar negautas; priemonės yra suderintos su šiais standartais ir jais įkvėptos:
- BDAR (Reglamentas (ES) 2016/679): tiesiogiai taikomas teisinis pagrindas -- eur-lex.europa.eu CELEX:32016R0679
- NIS2 direktyva (Direktyva (ES) 2022/2555): rizikos valdymo priemonės, tinklų ir informacinių sistemų saugumas -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, kurios darbuotojų skaičius ir apyvarta yra mažesni už svarbių subjektų ribas, nustatytas Direktyvoje (ES) 2022/2555 (50 darbuotojų arba 10 mln. EUR), nepatenka į NIS2 taikymo sritį. Vis dėlto SYAGA Audit padeda savo klientams įvertinti atitiktį šiam reglamentavimui (šaltinis: monespacenis2.cyber.gouv.fr).
- DORA (Reglamentas (ES) 2022/2554): finansų sektoriaus skaitmeninės veiklos atsparumas -- eur-lex.europa.eu CELEX:32022R2554. Kadangi SYAGA nėra reguliuojamas finansų subjektas, Reglamentas (ES) 2022/2554 (DORA) jai tiesiogiai netaikomas; tačiau sutartiniai įsipareigojimai gali būti taikomi kiekvienu konkrečiu atveju, kai klientas yra DORA reikalavimus atitinkantis finansų subjektas (šaltinis: eur-lex.europa.eu DORA).
- ISO/IEC 27001: informacijos saugumo valdymo sistemų (ISVS) etaloninis standartas -- iso.org/standard/27001. SYAGA Audit priemonės atitinka ISO/IEC 27001 standarto reikalavimus, sertifikavimo procesas yra pradėtas, tačiau sertifikatas dar negautas.
- ANSSI rekomendacijos: Prancūzijos nacionalinės informacinių sistemų saugumo agentūros informatikos higienos vadovas ir rekomendacijos -- ssi.gouv.fr.
SYAGA Audit padeda savo klientams tiksliai įvertinti savo pačių atitiktį šiems standartams (BDAR, NIS2, ANSSI) jų Microsoft 365 aplinkoje.
9. Šios politikos pakeitimai
Ši Politika gali būti atnaujinama, atsižvelgiant į teisinius, reguliavimo ar techninius pokyčius. Galiojanti versija yra ta, kuri paskelbta adresu https://syaga.eu/confidentialite.html. Iš esmės pakeitus politiką, registruoti naudotojai bus informuoti el. paštu per protingą terminą prieš pakeitimams įsigaliojant.
10. Kontaktai
Bet kokiu su šia politika ar jūsų duomenų apsauga susijusiu klausimu:
- El. paštas: contact@syaga.fr
- Adresas: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Teisinės ir dokumentinės nuorodos
- Reglamentas (ES) 2016/679 (BDAR), visas tekstas: eur-lex.europa.eu CELEX:32016R0679
- 1978 m. sausio 6 d. Įstatymas Nr. 78-17 su pakeitimais: Légifrance
- CNIL, asmenų teisės: cnil.fr
- CNIL, slapukai: cnil.fr
- NIS2 direktyva (ES) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- DORA reglamentas (ES) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, informatikos higienos vadovas: ssi.gouv.fr