Duomenų tvarkymo sutartis (DPA)
Sudaryta pagal Reglamento (ES) 2016/679 (BDAR) 28 straipsnį (šaltinis: gdpr-info.eu/art-28-gdpr)
Aptariama paslauga: SYAGA Audit - Microsoft 365 saugumo ir atitikties auditas, tik skaitymo režimu
Versija: 1.0 - Data: 2026 m. birželio 27 d. - Įsigaliojimo data: 2026 m. birželio 27 d.
Šalių identifikavimas
Duomenų tvarkytojas:
SYAGA CONSULTING, ribotos atsakomybės bendrovė (SARL), kurios kapitalas 20 000 eurų, įregistruota Aix-en-Provence prekybos ir įmonių registre SIREN numeriu 518 489 471, įsteigta 2009 m. gruodžio 8 d., atstovaujama vadovo Sébastien Questier, kurios buveinė yra 2 Impasse Paul Langevin, 13110 Port-de-Bouc, SYAGA Audit paslaugos leidėja, toliau vadinama Duomenų tvarkytoju.
IR
Duomenų valdytojas: Klientas, sudaręs sutartį dėl SYAGA Audit paslaugos pagal BPS, prieinamas adresu cgu.html, kurio duomenys nurodyti registruojantis, toliau vadinamas Duomenų valdytoju.
Toliau kartu vadinamos Šalimis.
Preambulė
Ši Duomenų tvarkymo sutartis (DPA) sudaryta pagal BDAR 28 straipsnį, pagal kurį duomenų tvarkytojo, veikiančio duomenų valdytojo vardu, vykdomas tvarkymas turi būti reglamentuotas sutartimi, apibrėžiančia tvarkymo dalyką, trukmę, pobūdį ir tikslą, asmens duomenų tipą, duomenų subjektų kategorijas bei duomenų valdytojo pareigas ir teises.
Ši Duomenų tvarkymo sutartis (DPA) yra papildoma prie SYAGA Audit Bendrųjų pardavimo ir paslaugų sąlygų (BPS) (Pagrindinės sutarties). Kilus prieštaravimui tarp šios DPA ir Pagrindinės sutarties dėl duomenų apsaugos klausimo, taikoma ši DPA. Kilus prieštaravimui dėl asmens duomenų apsaugos, ši DPA turi viršenybę prieš naudojimosi sąlygas.
Užsisakydamas SYAGA Audit paslaugą, Klientas sutinka su šios DPA sąlygomis. Elektroninis sutikimas prilyginamas DPA priėmimui pagal nuostatas, taikomas sutarčių sudarymui elektroniniu būdu.
1 straipsnis - Paslaugos dalykas ir doktrina
Ši DPA nustato sąlygas, kuriomis Duomenų tvarkytojas įsipareigoja Duomenų valdytojo vardu ir pagal jo dokumentuotus nurodymus atlikti asmens duomenų tvarkymo operacijas, būtinas SYAGA Audit paslaugai teikti.
SYAGA Audit atlieka Duomenų valdytojo Microsoft 365 aplinkos saugumo ir atitikties auditą tik skaitymo režimu: Paslauga nerašo, nekeičia ir nešalina jokių duomenų audituojamame tenante.
Duomenų tvarkytojas taiko nulinio žinojimo (zero-knowledge) doktriną: rinkimas ir pseudonimizavimas vyksta Kliento naršyklėje (plėtinys). Duomenų tvarkytojas niekada negauna nei neapdorotų tenanto duomenų, nei Kliento Microsoft prieigos rakto - tik pseudonimizuotus žymenis. Tokenizuoti audito rezultatai saugomi kliento erdvėje, kad Klientas galėtų juos vėl atsiverti, kol jo paskyra aktyvi; jie iššifruojami tik Kliento kompiuteryje.
2 straipsnis - Tvarkymo pobūdis, tikslas ir trukmė
2.1 Operacijų pobūdis. Operacijas sudaro: rinkimas (skaitymas, mažiausia privilegija) per Microsoft API, atliekamas naršyklės plėtinio Kliento kompiuteryje; vietinis pseudonimizavimas; Duomenų tvarkytojo atliekama tik pseudonimizuotų žymenų analizė pagal saugumo standartus (ANSSI, Microsoft rekomendacijos, BDAR, NIS2); rezultatų pateikimas ataskaitų forma, iššifruotomis Kliento kompiuteryje.
2.2 Išskirtinis tikslas. Tikslas - įvertinti Duomenų valdytojo Microsoft 365 tenanto saugumo ir atitikties būklę bei parengti susijusias audito ataskaitas. Joks kitas tikslas (prekyba, profiliavimas, pakartotinis naudojimas Duomenų tvarkytojo tikslais) neleidžiamas.
2.3 Trukmė. Tvarkymas vykdomas Pagrindinės sutarties galiojimo laikotarpiu. Neapdoroti duomenys ištrinami iškart pateikus ataskaitą.
3 straipsnis - Tvarkomų asmens duomenų kategorijos
Duomenų tvarkytojas tvarko šias duomenų kategorijas:
- Konfigūracijos duomenys ir saugumo metaduomenys: tenanto nustatymai, sąlyginės prieigos politikos, MFA konfigūracija, administratorių vaidmenys ir leidimai, bendrinimo nustatymai, saugumo funkcijų aktyvavimo būsenos
- Tapatybės ir katalogo metaduomenys: paskyrų identifikatoriai (UPN), rodomi vardai, priklausymas grupėms, katalogo atributai, svarbūs auditui
- Saugumo įvykių žurnalai ir metaduomenys: prisijungimo žurnalai, audito įvykiai, metaduomenys, būtini kontrolės priemonių vertinimui
Aiškios išimtys. Duomenų tvarkytojas netvarko el. laiškų, failų ar dokumentų turinio. Tvarkomi tik metaduomenys ir konfigūracijos duomenys.
Specialios kategorijos. Tvarkymo tikslas nėra specialių kategorijų duomenų, kaip apibrėžta BDAR 9 straipsnyje, tvarkymas. Duomenų valdytojas įsipareigoja nekonfigūruoti paslaugos taip, kad tai lemtų tokį tvarkymą.
4 straipsnis - Duomenų subjektų kategorijos
Duomenų subjektai - tai Duomenų valdytojo Microsoft 365 tenanto paskyrų ir tapatybių turėtojai: darbuotojai, vadovai, administratoriai, paslaugų teikėjai ir svečiai, turintys paskyrą audituojamame kataloge.
5 straipsnis - Dokumentuoti Duomenų valdytojo nurodymai
Duomenų tvarkytojas tvarko duomenis tik pagal dokumentuotus Duomenų valdytojo nurodymus (BDAR 28.3.a str.), įskaitant perdavimus į trečiąją šalį, išskyrus atvejus, kai to reikalauja privalomos teisės aktų nuostatos (tokiu atveju jis informuoja Duomenų valdytoją prieš tvarkymą, nebent tai draudžia teisės aktai).
Ši DPA, jos priedai ir BPS sudaro pradinius dokumentuotus nurodymus. Duomenų tvarkytojas nedelsdamas informuoja Duomenų valdytoją, jei mano, kad nurodymas pažeidžia BDAR (BDAR 28.3 str. paskutinė pastraipa).
6 straipsnis - Konfidencialumas
Duomenų tvarkytojas užtikrina, kad duomenis tvarkyti įgalioti asmenys būtų įsipareigoję laikytis konfidencialumo arba jiems būtų taikoma atitinkama teisinė konfidencialumo pareiga (BDAR 28.3.b str.), ir kad jie gautų reikiamą mokymą duomenų apsaugos srityje. Šis įsipareigojimas galioja ir pasibaigus jų funkcijoms bei šiai DPA.
7 straipsnis - Saugumo priemonės (BDAR 32 str.) ir suderinamumas su standartais
Duomenų tvarkytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų riziką atitinkantį saugumo lygį (BDAR 32 str.). Taikomos priemonės apima:
- Nulinio žinojimo (zero-knowledge) architektūra: rinkimas ir pseudonimizavimas vyksta Kliento naršyklėje (plėtinys); Duomenų tvarkytojas gauna tik pseudonimizuotus žymenis; neapdoroti tenanto duomenys ir Microsoft prieigos raktas jam niekada neperduodami
- Mažiausia privilegija: prisijungimas per Microsoft OAuth naudojant siauriausius Microsoft siūlomus leidimus kiekvienai sričiai; Paslauga niekada nerašo, nekeičia ir nešalina jokių audituojamo tenanto duomenų
- Šifravimas perdavimo metu: TLS 1.2/1.3 visiems ryšiams; įjungti SPF, DKIM ir DMARC
- Microsoft prieigos raktas: niekada neišeina iš Kliento naršyklės; Duomenų tvarkytojas jo niekada negauna ir nesaugo
- Talpinimas Prancūzijoje: OVH (Prancūzija) infrastruktūra, valdoma SYAGA CONSULTING
- Prieigos valdymas: mažiausios privilegijos principas; asmeniniai leidimai; reguliari peržiūra
- Apsauga nuo piktnaudžiavimo: riba - 2 auditai per dieną vienam tenantui; apsauga nuo DDoS
- Žurnalų kaupimas: prieigos prie duomenų atsekamumas
- Reguliarūs testai, tikrinantys saugumo priemonių veiksmingumą
Suderinamumas su pripažintais saugumo standartais
Pirmiau nurodytos priemonės parengtos suderinamai su šiais standartais. SYAGA nedeklaruoja jokio oficialaus sertifikato pagal šiuos standartus - priemonės suderintos su ISO/IEC 27001 standarto reikalavimais, sertifikavimo procesas yra pradėtas, tačiau sertifikatas dar negautas; tai yra funkcinis suderinamumas.
| Standartas | Aktualumas SYAGA Audit | Oficialus šaltinis |
|---|---|---|
| BDAR (ES) 2016/679 | Tiesiogiai taikomas teisinis pagrindas. 32 str.: techninės ir organizacinės priemonės. Efemerinė architektūra = duomenų kiekio mažinimo priemonė, atitinkanti 5.1.e straipsnį. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2 direktyva (ES) 2022/2555 | Kibernetinio saugumo rizikos valdymo priemonės (NIS2 21 str.): veiklos tęstinumas, incidentų valdymas, tinklų saugumas, šifravimas. SYAGA Audit padeda klientams įvertinti savo pačių NIS2 atitiktį jų M365 tenante. SYAGA, kurios darbuotojų skaičius ir apyvarta yra mažesni už svarbių subjektų ribas pagal direktyvą (ES) 2022/2555 (50 darbuotojų arba 10 mln. EUR), nepatenka į NIS2 taikymo sritį. Nepaisant to, SYAGA Audit padeda savo klientams įvertinti atitiktį šiam standartui. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA reglamentas (ES) 2022/2554 | Skaitmeninis veiklos atsparumas reguliuojamiems finansų subjektams. SYAGA Audit gali padėti finansų sektoriaus klientams dokumentuoti savo DORA padėtį jų M365 tenante. Kadangi SYAGA nėra reguliuojamas finansų subjektas, DORA jai tiesiogiai netaikoma; sutartinės pareigos gali būti taikomos individualiai finansų sektoriaus klientams, kuriems taikoma DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | VSVS (saugumo valdymo sistema): saugumo politika, rizikos valdymas, prieigos kontrolė, šifravimas, žurnalų kaupimas. SYAGA Audit priemonės suderintos su atitinkamomis ISO 27002 kontrolėmis. SYAGA Audit priemonės suderintos su ISO/IEC 27001 standarto reikalavimais, sertifikavimo procesas yra pradėtas, tačiau sertifikatas dar negautas. | iso.org/standard/27001 |
| ANSSI (Prancūzijos nacionalinės informacinių sistemų saugumo agentūros) rekomendacijos | Informacinių technologijų higienos gidas, informacinių sistemų saugumo rekomendacijos. Priemonės įkvėptos ANSSI rekomendacijų dėl paskyrų valdymo, šifravimo ir žurnalų kaupimo. SYAGA Audit vertina M365 konfigūracijas pagal ANSSI rekomendacijas. | ssi.gouv.fr |
Išsamus techninių ir organizacinių priemonių aprašymas pateiktas 1 priede.
8 straipsnis - Naudojimasis tolesniais duomenų tvarkytojais
Duomenų valdytojas leidžia Duomenų tvarkytojui naudotis 2 priede nurodytais tolesniais duomenų tvarkytojais. Apie kiekvieną naują ar pakeistą tolesnį duomenų tvarkytoją Duomenų tvarkytojas informuoja Duomenų valdytoją raštu ne vėliau kaip prieš trisdešimt (30) dienų iki įsigaliojimo; Duomenų valdytojas per trisdešimt (30) dienų gali pareikšti prieštaravimą dėl pagrįstų su duomenų apsauga susijusių priežasčių (BDAR 28.2 ir 28.4 str.). Šie terminai ir tvarka taikomi, jei Šalys nesusitaria kitaip.
Duomenų tvarkytojas sutartimi įpareigoja tolesnius duomenų tvarkytojus laikytis tų pačių duomenų apsaugos pareigų, kokios numatytos šioje DPA (BDAR 28.4 str.), ir išlieka visiškai atsakingas Duomenų valdytojui už jų vykdymą.
9 straipsnis - Pagalba Duomenų valdytojui
9.1 Duomenų subjektų teisės (BDAR 12-22 ir 28.3.e str.). Duomenų tvarkytojas nedelsdamas perduoda Duomenų valdytojui bet kokį tiesiogiai iš duomenų subjekto gautą prašymą įgyvendinti teises ir padeda į jį atsakyti.
9.2 Saugumas ir PDAV (BDAR 32-36 ir 28.3.f str.). Duomenų tvarkytojas padeda Duomenų valdytojui užtikrinti tvarkymo saugumą, atlikti poveikio duomenų apsaugai vertinimą (PDAV), jei reikia, ir, esant reikalui, iš anksto konsultuotis su CNIL.
9.3 Duomenų saugumo pažeidimai (BDAR 33 ir 34 str.). Duomenų tvarkytojas praneša Duomenų valdytojui apie bet kokį duomenų saugumo pažeidimą per ne ilgiau kaip keturiasdešimt aštuonias (48) valandas nuo sužinojimo, kuo greičiau, kad Duomenų valdytojas galėtų laikytis BDAR 33 straipsnyje numatyto 72 valandų termino, pateikdamas informaciją, reikalingą galimam pranešimui.
10 straipsnis - Duomenų likimas pasibaigus sutarčiai
Pasibaigus šiai DPA, Duomenų tvarkytojas per trisdešimt (30) dienų nuo sutarties pabaigos, pagal raštu pranešintą Duomenų valdytojo pasirinkimą (BDAR 28.3.g str.), atlieka vieną iš šių veiksmų:
Pastaba: atsižvelgiant į paslaugos efemerinę (laikiną) architektūrą, jokie audito duomenys po paslaugos suteikimo nesaugomi; saugomi tik sąskaitų faktūrų duomenys pagal teisės aktų reikalavimus (10 metų).
- arba grąžinti Duomenų valdytojui tvarkytus asmens duomenis struktūrizuotu formatu (JSON arba CSV, priklausomai nuo galimybių);
- arba saugiai sunaikinti visus duomenis, įskaitant kopijas, išskyrus atvejus, kai teisės aktai reikalauja juos saugoti.
Pagal paslaugos efemerinę architektūrą neapdoroti audito duomenys jau ištrinami ataskaitos pateikimo metu. Duomenų tvarkytojas, gavęs prašymą, pateikia ištrynimo patvirtinimą.
11 straipsnis - Auditai ir patikrinimai
Duomenų tvarkytojas pateikia Duomenų valdytojui visą informaciją, būtiną BDAR 28 straipsnio pareigų laikymuisi įrodyti, ir sudaro sąlygas atlikti auditus, įskaitant patikrinimus (BDAR 28.3.h str.).
Auditams taikomos šios sąlygos: raštiškas įspėjimas ne vėliau kaip prieš trisdešimt (30) darbo dienų, atlikimas darbo valandomis, maksimalus dažnumas - vienas (1) auditas per dvylikos (12) mėnesių laikotarpį, išskyrus išskirtines aplinkybes (visų pirma patvirtintą saugumo incidentą), išlaidos tenka Duomenų valdytojui, gautos informacijos konfidencialumas.
12 straipsnis - Perdavimai už Europos Sąjungos ribų
12.1 Pagrindinė vieta. Duomenys tvarkomi ir saugomi Prancūzijoje. SYAGA CONSULTING yra Prancūzijos teisės subjektas. Netiesioginio poveikio dėl JAV CLOUD Act per trečiųjų šalių tiekėjus negalima visiškai atmesti; SYAGA jį riboja talpindama duomenis Prancūzijoje (OVH SAS) ir, svarbiausia, pseudonimizavimu: paslauga gauna tik žymenis, niekada jūsų duomenis atviru tekstu.
12.2 Naudojimasis Microsoft paslaugomis. Duomenų valdytojas pripažįsta, kad Microsoft Graph API valdo Microsoft Corporation (Jungtinės Amerikos Valstijos). Perdavimus, susijusius su Microsoft, reglamentuoja Europos Komisijos patvirtintos standartinės sutarčių sąlygos ir, kai taikoma, ES ir JAV duomenų privatumo sistema (EU-U.S. Data Privacy Framework). Audituojami duomenys yra paties Kliento Microsoft 365 tenanto duomenys, prieinami tik skaitymo režimu jo vardu per Microsoft Graph. Microsoft veikia kaip Kliento paslaugų teikėjas; SYAGA nėra jo tolesnis duomenų tvarkytojas.
12.3 Bendrosios garantijos. Bet koks Duomenų tvarkytojo ar tolesnio duomenų tvarkytojo atliekamas perdavimas už ES ribų vykdomas tik įgyvendinus galiojantį mechanizmą pagal BDAR V skyrių (sprendimą dėl tinkamumo, standartines sutarčių sąlygas ar kitą tinkamą garantiją).
13 straipsnis - Duomenų apsaugos kontaktinis punktas
Duomenų tvarkytojas (SYAGA CONSULTING): asmens duomenų apsaugos kontaktinis punktas - contact@syaga.fr. Duomenų apsaugos pareigūno skyrimas nėra privalomas pagal BDAR 37 straipsnį; už asmens duomenų apsaugą atsakingas asmuo yra vadovas Sébastien Questier, kontaktinis asmuo visais su asmens duomenimis susijusiais klausimais.
Duomenų valdytojas: Kliento paskirtas BDAR kontaktinis asmuo pagal savo pareigas.
14 straipsnis - Trukmė, pakeitimai ir taikoma teisė
Ši DPA įsigalioja sudarius SYAGA Audit paslaugos sutartį ir galioja visą tvarkymo, atliekamo Duomenų valdytojo vardu, laikotarpį.
Apie kiekvieną esminį pakeitimą Duomenų valdytojas informuojamas iš anksto. Tolesnis paslaugos naudojimas pasibaigus pranešimo terminui laikomas pakeitimų priėmimu. Šios pakeitimo tvarkos atitinka BDAR 28 straipsnio reikalavimus duomenų tvarkymo sutartims.
Šiai DPA taikoma Prancūzijos teisė. Bet kokį ginčą nagrinėja Aix-en-Provence teismai, laikantis viešosios tvarkos taisyklių, taikomų tarpvalstybiniams ginčams.
1 priedas - Išsamus tvarkymo aprašymas ir saugumo priemonės (BDAR 32 str.)
| Parametras | Aprašymas |
|---|---|
| Tikslai | M365 saugumo ir atitikties auditas - ataskaitų rengimas |
| Duomenų kategorijos | Konfigūracijos metaduomenys, tapatybės metaduomenys (UPN, vardai), saugumo žurnalai |
| Specialios kategorijos (9 str.) | Jokio |
| Duomenų subjektai | Kliento Microsoft 365 tenanto paskyros ir tapatybės |
| Saugojimas serverio pusėje | Neapdoroti tenanto duomenys: niekada neperduodami (pseudonimizavimas vyksta naršyklėje). Tokenizuoti rezultatai: saugomi kliento erdvėje, kol Klientas aktyvus. |
| Tvarkymo vieta | Prancūzija (SYAGA CONSULTING infrastruktūra) |
| Šifravimas perdavimo metu | TLS 1.2/1.3 - visi ryšiai; SPF/DKIM/DMARC |
| Microsoft prieigos raktas (token) | Niekada neišeina iš Kliento naršyklės; Duomenų tvarkytojas jo niekada negauna |
| Architektūra | Rinkimą ir pseudonimizavimą atlieka Kliento naršyklės plėtinys; Duomenų tvarkytojas analizuoja tik žymenis |
| Prieigos valdymas | Mažiausios privilegijos principas; asmeniniai leidimai |
| Apsauga nuo piktnaudžiavimo | Riba - 2 auditai per dieną vienam tenantui; apsauga nuo DDoS |
| Žurnalų kaupimas | Minimalūs techniniai eksploatavimo ir saugumo žurnalai, be asmeninių audito duomenų, saugomi apie 12 mėnesių pagal CNIL rekomendacijas. |
| Suderinamumas su saugumo standartais | Priemonės suderintos su BDAR 32 str., ISO/IEC 27001 (sertifikavimo procesas pradėtas, tačiau sertifikatas dar negautas), ANSSI rekomendacijomis. |
2 priedas - Leidžiamų tolesnių duomenų tvarkytojų sąrašas
| Tolesnis duomenų tvarkytojas | Paslauga | Vieta | Perdavimo garantijos |
|---|---|---|---|
| Microsoft Corporation | Microsoft Graph API - skaitymo prieiga prie tenanto konfigūracijos duomenų | ES + Jungtinės Amerikos Valstijos (Microsoft infrastruktūra) | Microsoft veikia kaip Kliento paslaugų teikėjas (ne SYAGA tolesnis duomenų tvarkytojas). Perdavimus reglamentuoja EK standartinės sutarčių sąlygos ir Microsoft dalyvavimas ES ir JAV duomenų privatumo sistemoje (EU-U.S. Data Privacy Framework). |
| OVH SAS (talpinimas, Rubė, Prancūzija) | SYAGA Audit platformos talpinimas | Prancūzija | Netaikoma (ES) |
| Stripe Inc. | Mokėjimai - tik Kliento sąskaitų faktūrų duomenys (be tenanto duomenų) | Jungtinės Amerikos Valstijos / ES | ES ir JAV duomenų privatumo sistema (Stripe sertifikuota) ir, papildomai, EK standartinės sutarčių sąlygos (2021) - Stripe duomenų perdavimo priedas. |
Teisiniai pagrindai
- CNIL - duomenų tvarkytojas, BDAR 28 str. pareigos: cnil.fr/fr/sous-traitant
- Reglamentas (ES) 2016/679 (BDAR), 4, 9, 12-22, 28, 32-36 straipsniai: EUR-Lex CELEX:32016R0679
- NIS2 direktyva (ES) 2022/2555, 21 str.: EUR-Lex CELEX:32022L2555
- DORA reglamentas (ES) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - informacinių technologijų higienos gidas: ssi.gouv.fr
- 1978 m. sausio 6 d. įstatymas Nr. 78-17 su pakeitimais: Légifrance