SYAGA AuditMicrosoft 365 Edition
Sākums Funkcijas Drošība Kā tas darbojas Cenas
Pieslēgties Sākt bezmaksas diagnostiku

Datu apstrādes līgums (DAL)

Noslēgts saskaņā ar Regulas (ES) 2016/679 (VDAR) 28. pantu (avots: gdpr-info.eu/art-28-gdpr)

Attiecīgais pakalpojums: SYAGA Audit -- Microsoft 365 drošības un atbilstības audits, tikai lasīšana

Versija: 1.0 -- Datums: 2026. gada 27. jūnijs -- Spēkā stāšanās datums: 2026. gada 27. jūnijs


Pušu identifikācija

Apstrādātājs:

SYAGA CONSULTING, sabiedrība ar ierobežotu atbildību (SARL) ar 20 000 eiro pamatkapitālu, reģistrēta Aix-en-Provence Komercreģistrā ar SIREN numuru 518 489 471, dibināta 08.12.2009., ko pārstāv tās vadītājs Sébastien Questier, ar juridisko adresi 2 Impasse Paul Langevin, 13110 Port-de-Bouc, pakalpojuma SYAGA Audit izdevēja, turpmāk saukta Apstrādātājs.

UN

Pārzinis: Klients, kas noformējis pakalpojumu SYAGA Audit saskaņā ar VPN nosacījumiem, kas pieejami adresē cgu.html, kura kontaktinformācija ir tā, kas norādīta pasūtīšanas brīdī, turpmāk saukts Pārzinis.

Turpmāk kopā sauktas Puses.


Ievads

Šis Datu apstrādes līgums (DAL) ir noslēgts saskaņā ar VDAR 28. pantu, kas nosaka, ka apstrādei, ko apstrādātājs veic pārziņa vārdā, jābūt regulētai ar līgumu, kurā noteikts apstrādes priekšmets, ilgums, raksturs un mērķis, personas datu veids, datu subjektu kategorijas, kā arī pārziņa pienākumi un tiesības.

Šis DAL papildina SYAGA Audit Vispārīgos pārdošanas un pakalpojumu noteikumus (VPN) (Pamatlīgums). Ja starp šo DAL un Pamatlīgumu rodas pretruna jautājumā par datu aizsardzību, prevalē šis DAL. Ja rodas pretruna attiecībā uz personas datu aizsardzību, šis DAL prevalē pār Lietošanas noteikumiem.

Noformējot pakalpojumu SYAGA Audit, Klients akceptē šī DAL nosacījumus. Elektroniska akceptēšana nozīmē DAL akceptēšanu saskaņā ar noteikumiem, kas piemērojami līgumu slēgšanai elektroniskā veidā.


1. pants - Pakalpojuma priekšmets un doktrīna

Šis DAL nosaka nosacījumus, ar kādiem Apstrādātājs apņemas Pārziņa vārdā un pēc tā dokumentētiem norādījumiem veikt personas datu apstrādes darbības, kas nepieciešamas pakalpojuma SYAGA Audit sniegšanai.

SYAGA Audit veic Pārziņa Microsoft 365 vides drošības un atbilstības auditu tikai lasīšanas režīmā: Pakalpojums nekad neraksta, nemaina un nedzēš nevienu datu auditētajā tenant.

Apstrādātājs piemēro zero-knowledge doktrīnu: datu vākšana un pseidonimizācija notiek Klienta pārlūkā (paplašinājums). Apstrādātājs nekad nesaņem tenant neapstrādātos datus vai Klienta Microsoft piekļuves marķieri: tikai pseidonimizētas pēdas. Marķētie audita rezultāti tiek glabāti klienta kontā, lai Klients tos varētu atkārtoti atvērt, kamēr tas ir aktīvs; tie tiek atkārtoti kontekstualizēti atklātā veidā tikai Klienta datorā.


2. pants - Apstrādes raksturs, mērķis un ilgums

2.1 Darbību raksturs. Darbības ietver: datu vākšanu (lasīšana, minimālo tiesību princips), izmantojot Microsoft API, ko veic pārlūka paplašinājums Klienta datorā; lokālu pseidonimizāciju; Apstrādātāja veiktu tikai pseidonimizēto pēdu analīzi salīdzinājumā ar drošības ietvariem (ANSSI, Microsoft ieteikumi, VDAR, NIS2); rezultātu nodošanu rekontekstualizētu pārskatu veidā Klienta datorā.

2.2 Vienīgais mērķis. Mērķis ir Pārziņa Microsoft 365 tenant drošības un atbilstības stāvokļa novērtēšana un ar to saistīto audita pārskatu sagatavošana. Neviens cits mērķis (piedāvājumu izplatīšana, profilēšana, atkārtota izmantošana Apstrādātāja pašu vajadzībām) nav atļauts.

2.3 Ilgums. Apstrāde tiek veikta Pamatlīguma izpildes laikā. Neapstrādātie dati tiek dzēsti nekavējoties pēc Pārskata nodošanas.


3. pants - Apstrādāto personas datu kategorijas

Apstrādātājs apstrādā šādas datu kategorijas:

  • Konfigurācijas un drošības metadati: tenant iestatījumi, nosacītās piekļuves politikas, MFA konfigurācija, administratora lomas un atļaujas, koplietošanas iestatījumi, drošības funkciju aktivizācijas statusi
  • Identitātes un kataloga metadati: kontu identifikatori (UPN), attēlojamie nosaukumi, piederība grupām, auditam būtiskie kataloga atribūti
  • Drošības notikumu žurnāli un metadati: pieslēgšanās žurnāli, audita notikumi, kontroļu novērtēšanai nepieciešamie metadati

Skaidri izņēmumi. Apstrādātājs neapstrādā e-pastu, failu vai dokumentu saturu. Tiek apstrādāti tikai metadati un konfigurācijas dati.

Īpašas kategorijas. Apstrādes mērķis nav VDAR 9. panta izpratnē īpašu kategoriju datu apstrāde. Pārzinis apņemas nekonfigurēt pakalpojumu tā, lai tas radītu šādu apstrādi.


4. pants - Datu subjektu kategorijas

Datu subjekti ir Pārziņa Microsoft 365 tenant kontu un identitāšu turētāji: darbinieki, vadītāji, administratori, pakalpojumu sniedzēji un viesi, kuriem ir konts auditētajā katalogā.


5. pants - Pārziņa dokumentētie norādījumi

Apstrādātājs apstrādā datus vienīgi pēc Pārziņa dokumentētiem norādījumiem (VDAR 28.3.a pants), tostarp attiecībā uz datu nodošanu trešajai valstij, izņemot obligātu juridisku pienākumu (šādā gadījumā tas informē Pārzini pirms apstrādes, ja vien to neaizliedz likums).

Šis DAL, tā pielikumi un VPN veido sākotnējos dokumentētos norādījumus. Apstrādātājs nekavējoties informē Pārzini, ja tas uzskata, ka kāds norādījums ir VDAR pārkāpums (VDAR 28.3. panta pēdējā daļa).


6. pants - Konfidencialitāte

Apstrādātājs nodrošina, ka personas, kas ir pilnvarotas apstrādāt datus, apņemas ievērot konfidencialitāti vai uz tām attiecas atbilstošs likumīgs konfidencialitātes pienākums (VDAR 28.3.b pants), un saņem nepieciešamo datu aizsardzības apmācību. Šī apņemšanās paliek spēkā arī pēc funkciju izbeigšanas un šī DAL beigām.


7. pants - Drošības pasākumi (VDAR 32. pants) un ietvaru saskaņojums

Apstrādātājs īsteno atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni (VDAR 32. pants). Ieviestie pasākumi cita starpā ietver:

  • Zero-knowledge arhitektūra: datu vākšana un pseidonimizācija tiek veikta Klienta pārlūkā (paplašinājums); Apstrādātājs saņem tikai pseidonimizētas pēdas; tenant neapstrādātie dati un Microsoft marķieris tam nekad netiek nodoti
  • Minimālo tiesību princips: pieslēgšanās ar Microsoft OAuth, izmantojot šaurākās atļaujas, ko Microsoft piedāvā katram apjomam; Pakalpojums nekad neraksta, nemaina un nedzēš nevienu auditētā tenant datu
  • Šifrēšana pārraidē: TLS 1.2/1.3 visai saziņai; SPF, DKIM un DMARC aktivizēti
  • Microsoft marķieris: nekad neatstāj Klienta pārlūku; Apstrādātājs to nekad nesaņem un neglabā
  • Mitināšana Francijā: OVH (Francija) infrastruktūra, ko uztur SYAGA CONSULTING
  • Piekļuves pārvaldība: minimālo tiesību princips; personalizētas atļaujas; regulāra pārskatīšana
  • PretĻaunprātīga izmantošana: ierobežojums 2 auditi dienā uz vienu tenant; pretDDoS pasākumi
  • Žurnalēšana: piekļuves datiem izsekojamība
  • Regulāri testi drošības pasākumu efektivitātes pārbaudei

Saskaņojums ar atzītiem drošības ietvariem

Iepriekš minētie pasākumi ir izstrādāti saskaņā ar šādiem ietvariem. SYAGA nepretendē uz nekādu formālu sertifikāciju šajos ietvaros - pasākumi ir saskaņoti ar ISO/IEC 27001 standarta prasībām, sertifikācijas process ir uzsākts, bet sertifikāts pagaidām nav iegūts; runa ir par funkcionālu saskaņojumu:

IetvarsNozīme SYAGA Audit kontekstāOficiālais avots
VDAR (ES) 2016/679 Tieši piemērojamais regulējuma pamats. 32. pants: tehniskie un organizatoriskie pasākumi. Efemēra arhitektūra = minimizācijas pasākums saskaņā ar 5.1.e pantu. eur-lex.europa.eu CELEX:32016R0679
NIS2 direktīva (ES) 2022/2555 Kiberdrošības riska pārvaldības pasākumi (NIS2 21. pants): darbības nepārtrauktība, incidentu pārvaldība, tīklu drošība, šifrēšana. SYAGA Audit palīdz klientiem novērtēt savu NIS2 atbilstību savā M365 tenant. SYAGA, kuras darbinieku skaits un apgrozījums ir zem svarīgo subjektu sliekšņiem Direktīvas (ES) 2022/2555 izpratnē (50 darbinieki vai 10 milj. EUR), neietilpst NIS2 subjektu lokā. Tomēr SYAGA Audit palīdz saviem klientiem novērtēt savu atbilstību šim regulējumam. eur-lex.europa.eu CELEX:32022L2555
DORA regula (ES) 2022/2554 Digitālā darbības noturība regulētām finanšu iestādēm. SYAGA Audit var palīdzēt finanšu klientiem dokumentēt savu DORA stāvokli savā M365 tenant. Tā kā SYAGA nav regulēta finanšu iestāde, DORA tai tieši nav piemērojama; līgumiskas saistības var rasties katrā gadījumā atsevišķi finanšu nozares klientiem, kas pakļauti DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 ISMS ietvars: drošības politika, riska pārvaldība, piekļuves kontrole, šifrēšana, žurnalēšana. SYAGA Audit pasākumi ir saskaņoti ar atbilstošajām ISO 27002 kontrolēm. SYAGA Audit pasākumi ir saskaņoti ar ISO/IEC 27001 standarta prasībām, sertifikācijas process ir uzsākts, bet sertifikāts pagaidām nav iegūts. iso.org/standard/27001
ANSSI ieteikumi Informātikas higiēnas rokasgrāmata, informācijas sistēmu drošības ieteikumi. Pasākumi iedvesmoti no ANSSI ieteikumiem par kontu pārvaldību, šifrēšanu un žurnalēšanu. SYAGA Audit novērtē M365 konfigurācijas atbilstoši ANSSI ieteikumiem. ssi.gouv.fr

Pilns tehnisko un organizatorisko pasākumu apraksts ir 1. pielikumā.


8. pants - Turpmāko apstrādātāju izmantošana

Pārzinis atļauj Apstrādātājam izmantot 2. pielikumā uzskaitītos turpmākos apstrādātājus. Par jebkuru jaunu apstrādātāju vai aizstāšanu Apstrādātājs rakstiski informē Pārzini vismaz trīsdesmit (30) dienas pirms tā stāšanās spēkā, Pārzinim tiekot dotam trīsdesmit (30) dienu termiņš iebilst pamatotu ar datu aizsardzību saistītu iemeslu dēļ (VDAR 28.2. un 28.4. pants). Šie termiņi un kārtība ir piemērojami, izņemot ja Puses vienojas citādi.

Apstrādātājs ar līgumu uzliek turpmākajiem apstrādātājiem tādus pašus datu aizsardzības pienākumus, kādi paredzēti šajā DAL (VDAR 28.4. pants), un paliek pilnībā atbildīgs Pārziņa priekšā par to izpildi.


9. pants - Palīdzība Pārzinim

9.1 Datu subjektu tiesības (VDAR 12.-22. un 28.3.e pants). Apstrādātājs nekavējoties nodod Pārzinim jebkuru no datu subjekta tieši saņemtu tiesību izmantošanas pieprasījumu un palīdz uz to atbildēt.

9.2 Drošība un DAIN (VDAR 32.-36. un 28.3.f pants). Apstrādātājs palīdz Pārzinim nodrošināt apstrādes drošību, veikt ietekmes uz datu aizsardzību novērtējumu (DAIN), ja nepieciešams, un vajadzības gadījumā iepriekšēju konsultāciju ar CNIL.

9.3 Datu pārkāpumi (VDAR 33. un 34. pants). Apstrādātājs paziņo Pārzinim par jebkuru datu pārkāpumu ne vēlāk kā četrdesmit astoņu (48) stundu laikā pēc tam, kad par to uzzinājis, iespējami drīzāk, lai Pārzinis varētu ievērot VDAR 33. pantā paredzēto 72 stundu termiņu, sniedzot iespējamajai paziņošanai noderīgu informāciju.


10. pants - Datu liktenis līguma beigās

Šī DAL beigās Apstrādātājs trīsdesmit (30) dienu laikā pēc līguma beigām rīkojas saskaņā ar Pārziņa rakstiski paziņoto izvēli (VDAR 28.3.g pants):

Piezīme: ņemot vērā pakalpojuma efemēro arhitektūru, pēc pakalpojuma pabeigšanas netiek saglabāti nekādi audita dati; tiek glabāti tikai rēķinu dati saskaņā ar tiesiskajiem pienākumiem (10 gadi).

  • vai nu nodod atpakaļ Pārzinim apstrādātos personas datus strukturētā formātā (JSON vai CSV atkarībā no pieejamības);
  • vai nu droši dzēš visus datus, tostarp kopijas, izņemot ja pastāv juridisks glabāšanas pienākums.

Saskaņā ar pakalpojuma efemēro arhitektūru, neapstrādātie audita dati jau ir dzēsti Pārskata nodošanas brīdī. Apstrādātājs pēc pieprasījuma sniedz dzēšanas apliecinājumu.


11. pants - Audits un pārbaudes

Apstrādātājs dara Pārzinim pieejamu visu informāciju, kas nepieciešama, lai apliecinātu VDAR 28. panta pienākumu ievērošanu, un ļauj veikt auditus, tostarp pārbaudes (VDAR 28.3.h pants).

Auditiem tiek piemēroti šādi nosacījumi: vismaz trīsdesmit (30) darba dienu rakstisks iepriekšējs paziņojums, veikšana darba laikā, maksimālais biežums - viens (1) audits divpadsmit (12) mēnešu periodā, izņemot ārkārtas apstākļus (jo īpaši apstiprinātu drošības incidentu), izmaksas sedz Pārzinis, iegūtās informācijas konfidencialitāte.


12. pants - Datu nodošana ārpus Eiropas Savienības

12.1 Galvenā atrašanās vieta. Dati tiek apstrādāti un mitināti Francijā. SYAGA CONSULTING ir Francijas tiesību subjekts. Netiešu pakļautību CLOUD Act likumam caur trešo pušu pakalpojumu sniedzējiem nevar pilnībā izslēgt; SYAGA to ierobežo, mitinot Francijā (OVH SAS) un jo īpaši ar pseidonimizāciju: pakalpojums saņem tikai marķierus, nekad jūsu datus atklātā veidā.

12.2 Microsoft izmantošana. Pārzinis atzīst, ka Microsoft Graph API uztur Microsoft Corporation (ASV). Datu nodošanu, kas saistīta ar Microsoft, regulē Eiropas Komisijas apstiprinātie standarta līguma noteikumi un, ja piemērojams, ES un ASV Datu privātuma satvars. Auditētie dati ir Klienta paša Microsoft 365 tenant dati, kas apskatīti tikai lasīšanas režīmā viņa vārdā ar Microsoft Graph starpniecību. Microsoft darbojas kā Klienta pakalpojumu sniedzējs; SYAGA nav tā turpmākais apstrādātājs.

12.3 Vispārējās garantijas. Jebkura Apstrādātāja vai turpmākā apstrādātāja veikta datu nodošana ārpus ES ir pakļauta derīga VDAR V nodaļas izpratnē atbilstoša mehānisma īstenošanai (pietiekamības lēmums, standarta līguma noteikumi vai cita atbilstoša garantija).


13. pants - Kontakti datu aizsardzības jautājumos

Apstrādātājs (SYAGA CONSULTING): kontaktpunkts datu aizsardzības jautājumos -- contact@syaga.fr. Datu aizsardzības speciālista iecelšana nav obligāta VDAR 37. panta izpratnē; datu aizsardzības atbildīgā persona ir vadītājs Sébastien Questier, kontaktpunkts jebkuram jautājumam par personas datiem.

Pārzinis: VDAR kontaktpersonu ieceļ Klients saskaņā ar saviem pienākumiem.


14. pants - Ilgums, izmaiņas un piemērojamie tiesību akti

Šis DAL stājas spēkā, noformējot pakalpojumu SYAGA Audit, un paliek spēkā visu Pārziņa vārdā veiktās apstrādes ilgumu.

Par jebkurām būtiskām izmaiņām Pārzinis tiek iepriekš informēts. Pakalpojuma turpmāka izmantošana pēc paziņošanas termiņa nozīmē izmaiņu akceptēšanu. Šī izmaiņu kārtība atbilst VDAR 28. panta prasībām attiecībā uz apstrādes līgumiem.

Šis DAL ir pakļauts Francijas tiesību aktiem. Jebkurš strīds ir Aix-en-Provence tiesu kompetencē, ievērojot pārrobežu strīdiem piemērojamos imperatīvos tiesību normas.


1. pielikums - Detalizēts apstrādes apraksts un drošības pasākumi (VDAR 32. pants)

ParametrsApraksts
MērķiM365 drošības un atbilstības audits -- pārskatu sagatavošana
Datu kategorijasKonfigurācijas metadati, identitātes metadati (UPN, vārdi), drošības žurnāli
Īpašas kategorijas (9. pants)Neviena
Datu subjektiKlienta Microsoft 365 tenant konti un identitātes
Glabāšana servera pusēTenant neapstrādātie dati: nekad netiek nodoti (pseidonimizācija pārlūkā). Marķētie rezultāti: glabāti klienta kontā, kamēr Klients ir aktīvs.
Apstrādes vietaFrancija (SYAGA CONSULTING infrastruktūra)
Šifrēšana pārraidēTLS 1.2/1.3 -- visa saziņa; SPF/DKIM/DMARC
Microsoft marķierisNekad neatstāj Klienta pārlūku; Apstrādātājs to nekad nesaņem
ArhitektūraDatu vākšana un pseidonimizācija ar paplašinājumu Klienta pārlūkā; Apstrādātājs analizē tikai pēdas
Piekļuves pārvaldībaMinimālo tiesību princips; personalizētas atļaujas
PretĻaunprātīga izmantošanaIerobežojums 2 auditi dienā uz vienu tenant; pretDDoS
ŽurnalēšanaMinimāli tehniski ekspluatācijas un drošības žurnāli, bez personas audita datiem, glabāti aptuveni 12 mēnešus saskaņā ar CNIL ieteikumiem.
Saskaņojums ar drošības ietvariemPasākumi saskaņoti ar VDAR 32. pantu, ISO/IEC 27001 (sertifikācijas process ir uzsākts, bet sertifikāts pagaidām nav iegūts), ANSSI ieteikumiem.

2. pielikums - Atļauto turpmāko apstrādātāju saraksts

Turpmākais apstrādātājsPakalpojumsAtrašanās vietaDatu nodošanas garantijas
Microsoft Corporation Microsoft Graph API -- lasīšanas piekļuve tenant konfigurācijas datiem ES + ASV (Microsoft infrastruktūra) Microsoft darbojas kā Klienta pakalpojumu sniedzējs (nav SYAGA turpmākais apstrādātājs). Datu nodošanu regulē EK standarta līguma noteikumi un Microsoft dalība ES un ASV Datu privātuma satvarā.
OVH SAS (mitināšana, Roubaix, Francija) SYAGA Audit platformas mitināšana Francija Nav piemērojams (ES)
Stripe Inc. Apmaksa -- tikai Klienta rēķinu dati (izņemot tenant datus) ASV / ES ES un ASV Datu privātuma satvars (Stripe sertificēts) un papildus - EK standarta līguma noteikumi (2021) - Stripe Datu nodošanas pielikums.

Juridiskās atsauces

  • CNIL - apstrādātājs, VDAR 28. panta pienākumi: cnil.fr/fr/sous-traitant
  • Regula (ES) 2016/679 (VDAR), 4., 9., 12.-22., 28., 32.-36. pants: EUR-Lex CELEX:32016R0679
  • NIS2 direktīva (ES) 2022/2555, 21. pants: EUR-Lex CELEX:32022L2555
  • DORA regula (ES) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - informātikas higiēnas rokasgrāmata: ssi.gouv.fr
  • 1978. gada 6. janvāra likums Nr. 78-17 ar grozījumiem: Légifrance
SYAGA Audit
Drošība Konfidencialitāte CGU DPA Juridiskā informācija © 2026 SYAGA