Polityka prywatności
Wersja 1.0 - Ostatnia aktualizacja: 25 czerwca 2026 r.
Preambuła
Niniejsza Polityka prywatności ma na celu poinformowanie użytkowników i klientów usługi SYAGA Audit o sposobie zbierania, przetwarzania i ochrony ich danych osobowych, zgodnie z Rozporządzeniem (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) oraz z francuską ustawą nr 78-17 z dnia 6 stycznia 1978 r., z późniejszymi zmianami, o informatyce, plikach i wolnościach.
SYAGA Audit to usługa audytu bezpieczeństwa i zgodności środowiska Microsoft 365, działająca w trybie tylko do odczytu na konfiguracjach i metadanych tenanta Microsoft 365 klienta. Usługa nie uzyskuje dostępu do treści wiadomości, plików ani e-maili użytkowników audytowanego tenanta i nie przechowuje żadnego hasła.
Niniejszy dokument spełnia obowiązek informacyjny przewidziany w art. 13 (zbieranie bezpośrednie) i art. 14 (zbieranie pośrednie) RODO.
1. Tożsamość i dane kontaktowe administratora danych
Administratorem danych w zakresie danych konta oraz zarządzania relacją z klientem jest:
SYAGA CONSULTING
- Forma: spółka z ograniczoną odpowiedzialnością (SARL) o kapitale 20 000 EUR
- SIREN: 518 489 471 -- RCS Aix-en-Provence
- Siedziba: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- Numer VAT UE: FR93 518489471
- E-mail: contact@syaga.fr
Podział ról: podmiot przetwarzający / administrator danych: w odniesieniu do danych konfiguracyjnych i metadanych tenanta Microsoft 365 zbieranych podczas audytu, SYAGA działa jako podmiot przetwarzający w rozumieniu art. 28 RODO, przy czym klient pozostaje administratorem swoich własnych danych M365. Niniejsza polityka obejmuje zakres, w którym SYAGA działa jako administrator danych (dane konta, rozliczenia, wsparcie). Przetwarzanie realizowane na zlecenie klienta regulowane jest przez Umowę powierzenia przetwarzania danych (DPA).
Kontakt w sprawie ochrony danych
W sprawach dotyczących ochrony danych: contact@syaga.fr
Wyznaczenie inspektora ochrony danych nie jest obowiązkowe w rozumieniu art. 37 RODO; administrator danych, w osobie zarządzającego, jest punktem kontaktowym w każdej sprawie dotyczącej danych osobowych.
2. Zbierane dane osobowe
2.1 Dane konta i zarządzania relacją z klientem
SYAGA zbiera, w charakterze administratora danych:
- Tożsamość osoby kontaktowej: imię, nazwisko, stanowisko
- Dane kontaktowe zawodowe: adres e-mail, nazwa firmy
- Dane uwierzytelniające do Usługi (token OAuth Microsoft, żadne hasło nie jest przechowywane po stronie SYAGA Audit)
- Dane rozliczeniowe i związane z zarządzaniem umową
- Dane wsparcia i korespondencji
- Dzienniki techniczne połączeń (adresy IP, znaczniki czasu)
2.2 Dane z audytu (konfiguracja i metadane Microsoft 365)
W ramach audytu Usługa uzyskuje dostęp w trybie tylko do odczytu, za pośrednictwem interfejsu API Microsoft Graph, do danych konfiguracyjnych i metadanych tenanta M365 klienta, w szczególności:
- Parametry konfiguracji bezpieczeństwa (zasady dostępu warunkowego, ustawienia MFA, ustawienia udostępniania)
- Metadane dotyczące kont użytkowników (UPN, role, status MFA, atrybuty katalogu Entra ID)
- Wskaźniki i metadane postawy bezpieczeństwa (Secure Score, alerty konfiguracyjne)
Czego Usługa nie zbiera: treści e-maili, plików, dokumentów, wiadomości, haseł, danych szczególnych kategorii w rozumieniu art. 9 RODO.
Architektura efemeryczna: audyt wykonywany jest w pamięci operacyjnej, w jednorazowym kontenerze skanującym (bez zapisu na dysku). Raport jest przekazywany klientowi jednorazowo, po czym surowe dane skanu oraz token dostępu zostają usunięte. Token jest szyfrowany w spoczynku (Fernet) przez czas trwania audytu. Maksymalny czas życia (TTL) ze względów bezpieczeństwa: 2 godziny. SYAGA przechowuje po stronie serwera wyłącznie dane rozliczeniowe, zgodnie z obowiązkami prawnymi.
2.3 Pliki cookie i technologie śledzące
Strona syaga.eu wykorzystuje wyłącznie pliki cookie ściśle niezbędne do działania Usługi:
__jsc: plik cookie zabezpieczający antybotowy, czas trwania sesjivigil_audit: plik cookie sesyjny, czas trwania sesji
Nie są stosowane żadne pliki cookie do pomiaru odwiedzin (Google Analytics, Matomo lub podobne) ani żadne reklamowe pliki cookie. Te ściśle niezbędne pliki cookie są zwolnione z wymogu uprzedniej zgody zgodnie z wytycznymi CNIL z dnia 4 lipca 2023 r. (źródło: cnil.fr, pliki cookie i inne technologie śledzące). Wystarczająca jest informacja na ich temat.
3. Cele i podstawy prawne przetwarzania
Zgodnie z art. 6 RODO, każde przetwarzanie opiera się na określonej podstawie prawnej:
| Cel | Podstawa prawna (art. 6 RODO) |
|---|---|
| Dostarczenie i realizacja Usługi audytu; utworzenie i zarządzanie kontem klienta | Wykonanie umowy, art. 6.1.b |
| Fakturowanie, księgowość, windykacja | Obowiązek prawny (Kodeks handlowy, art. L.123-22) oraz wykonanie umowy, art. 6.1.c i 6.1.b |
| Wsparcie i pomoc techniczna | Wykonanie umowy, art. 6.1.b |
| Bezpieczeństwo Usługi, zapobieganie oszustwom, rejestrowanie zdarzeń | Prawnie uzasadniony interes, art. 6.1.f |
| Pliki cookie ściśle niezbędne | Zwolnione z obowiązku zgody (wytyczne CNIL) |
W odniesieniu do danych z audytu tenanta (sekcja 2.2), SYAGA działa na polecenie klienta (administratora danych). Patrz DPA.
4. Odbiorcy i podmioty przetwarzające
Dane są przekazywane wyłącznie osobom upoważnionym w ramach SYAGA CONSULTING oraz podmiotom przetwarzającym działającym na warunkach określonych w art. 28 RODO:
- Microsoft Corporation: dostawca interfejsu API Microsoft Graph, wykorzystywanego w trybie tylko do odczytu w celu dostępu do danych konfiguracyjnych tenanta klienta. Audytowane dane to dane własnego tenanta Microsoft 365 Klienta, przeglądane w trybie tylko do odczytu w jego imieniu za pośrednictwem Microsoft Graph. Microsoft działa jako dostawca Klienta; SYAGA nie jest jego dalszym podmiotem przetwarzającym.
- Stripe Inc.: dostawca płatności odpowiedzialny za przetwarzanie danych rozliczeniowych. Transfery do Stripe są objęte ramami EU-U.S. Data Privacy Framework, do których Stripe jest certyfikowany, a pomocniczo Standardowymi Klauzulami Umownymi Komisji Europejskiej (2021) włączonymi do Data Transfers Addendum Stripe (źródła: stripe.com/legal/dpa oraz stripe.com/legal/dta).
- Dostawca hostingu: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francja (RCS Lille Métropole 424 761 419). Usługa jest hostowana we Francji przez OVH SAS (francuskiego dostawcę hostingu), podwykonawcę technicznego SYAGA CONSULTING. SYAGA CONSULTING otrzymuje wyłącznie dane pseudonimizowane (tokeny).
Żadne dane nie są sprzedawane ani przekazywane podmiotom trzecim w celach handlowych.
Dane mogą być przekazywane organom administracyjnym lub sądowym, gdy wymaga tego prawo.
5. Okresy przechowywania
Dane są przechowywane przez okres nieprzekraczający tego, który jest niezbędny do realizacji celów przetwarzania (art. 5.1.e RODO):
| Kategoria danych | Okres przechowywania |
|---|---|
| Surowe dane z audytu (ustalenia, token dostępu) | Zero retencji po stronie serwera: dane usuwane w momencie dostarczenia Raportu (architektura efemeryczna, maksymalny TTL 2 godziny) |
| Dane aktywnego konta klienta | Czas trwania relacji umownej, a następnie usunięcie w terminie 30 dni po rozwiązaniu umowy |
| Dane rozliczeniowe i dokumenty księgowe | 10 lat od zamknięcia roku obrotowego (obowiązek prawny, art. L.123-22 francuskiego Kodeksu handlowego) |
| Dzienniki techniczne (logi połączeń) | 12 miesięcy (zalecenie CNIL) |
6. Transfery danych poza Unię Europejską
Infrastruktura hostująca Usługę SYAGA Audit znajduje się we Francji. Co do zasady SYAGA nie dokonuje żadnego transferu danych poza UE / EOG.
W odniesieniu do Microsoft: Administrator danych przyjmuje do wiadomości, że interfejs API Microsoft Graph jest obsługiwany przez Microsoft Corporation (Stany Zjednoczone). Ewentualne transfery danych z udziałem Microsoft są objęte jego standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejską oraz, w stosownych przypadkach, uczestnictwem w ramach EU-U.S. Data Privacy Framework. Audytowane dane to dane własnego tenanta Microsoft 365 Klienta, przeglądane w trybie tylko do odczytu w jego imieniu za pośrednictwem Microsoft Graph. Microsoft działa jako dostawca Klienta. Ewentualne transfery z udziałem infrastruktury Microsoft są objęte standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejską oraz uczestnictwem Microsoft w ramach EU-U.S. Data Privacy Framework.
Stripe Inc. dokonuje transferów poza UE, objętych mechanizmami zgodnymi z rozdziałem V RODO. Transfery do Stripe są objęte ramami EU-U.S. Data Privacy Framework, do których Stripe jest certyfikowany, a pomocniczo Standardowymi Klauzulami Umownymi Komisji Europejskiej (2021) włączonymi do Data Transfers Addendum Stripe.
7. Prawa osób, których dane dotyczą
Zgodnie z art. 15-22 RODO, każdej osobie, której dane dotyczą, przysługują następujące prawa:
- Prawo dostępu (art. 15 RODO): uzyskanie potwierdzenia, że dane jej dotyczące są przetwarzane, oraz ich kopii
- Prawo do sprostowania (art. 16): poprawienie danych niedokładnych lub niekompletnych
- Prawo do usunięcia danych (art. 17): uzyskanie usunięcia danych w przypadkach przewidzianych przez RODO
- Prawo do ograniczenia przetwarzania (art. 18)
- Prawo do przenoszenia danych (art. 20): otrzymanie swoich danych w formacie ustrukturyzowanym i odczytywalnym maszynowo
- Prawo sprzeciwu (art. 21): sprzeciwienie się przetwarzaniu z przyczyn związanych ze szczególną sytuacją osoby oraz w każdym momencie w przypadku marketingu bezpośredniego
- Prawo do wycofania zgody (art. 7.3) w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie
- Prawo pośmiertne (art. 85 francuskiej ustawy o informatyce i wolnościach): ustalenie wytycznych dotyczących losu danych po śmierci
Ważne w przypadku danych z audytu: w odniesieniu do danych konfiguracyjnych i metadanych tenanta żądania dotyczące wykonania praw należy kierować do klienta (administratora danych), który w razie potrzeby zwróci się do SYAGA (art. 28.3.e RODO).
Sposoby wykonania
Prawa te wykonuje się, kierując żądanie na adres contact@syaga.fr lub listownie na adres SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Odpowiedź udzielana jest w terminie jednego miesiąca (art. 12.3 RODO), z możliwością przedłużenia o dwa miesiące w przypadku złożoności sprawy.
Skarga do CNIL
Każda osoba, której dane dotyczą, ma prawo złożyć skargę do CNIL (art. 77 RODO):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Bezpieczeństwo danych (art. 32 RODO)
SYAGA wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO):
- Architektura efemeryczna: audyt wykonywany w pamięci operacyjnej, w jednorazowym kontenerze skanującym bez zapisu na dysku; surowe dane są usuwane w momencie dostarczenia Raportu
- Zasada najmniejszych uprawnień: logowanie przez OAuth Microsoft z najwęższymi uprawnieniami oferowanymi przez Microsoft dla każdego audytowanego zakresu; Usługa nigdy nie zapisuje, nie modyfikuje ani nie usuwa żadnych danych tenanta
- Szyfrowanie w tranzycie: TLS 1.2/1.3 na wszystkich komunikacjach; SPF, DKIM i DMARC aktywne na wiadomościach e-mail
- Szyfrowanie w spoczynku: token dostępu szyfrowany (Fernet) przez czas trwania audytu
- Hosting we Francji: infrastruktura OVH (Francja)
- Kontrola dostępu: zasada najmniejszych uprawnień; uprawnienia imienne
- Ochrona przed nadużyciami: limit 2 audytów dziennie na tenant, środki anty-DDoS
- Zgłaszanie naruszeń: procedura zgodna z art. 33 i 34 RODO (zgłoszenie do CNIL w ciągu 72 godzin)
Zgodność z wieloma referencjami
Środki bezpieczeństwa SYAGA Audit są zaprojektowane w sposób spójny z kilkoma uznanymi referencjami bezpieczeństwa. SYAGA nie rości sobie żadnej formalnej certyfikacji w oparciu o te referencje; środki są dostosowane do wymogów normy ISO/IEC 27001, przy czym proces certyfikacji został rozpoczęty, ale certyfikacja nie została jeszcze uzyskana; środki są dostosowane do i inspirowane przez następujące ramy:
- RODO (Rozporządzenie UE 2016/679): podstawa regulacyjna mająca bezpośrednie zastosowanie -- eur-lex.europa.eu CELEX:32016R0679
- Dyrektywa NIS2 (Dyrektywa UE 2022/2555): środki zarządzania ryzykiem, bezpieczeństwo sieci i systemów informatycznych -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, której zatrudnienie i obrót pozostają poniżej progów podmiotów ważnych w rozumieniu dyrektywy (UE) 2022/2555 (50 pracowników lub 10 mln EUR), nie wchodzi w zakres podmiotów objętych NIS2. SYAGA Audit pomaga jednak swoim klientom mierzyć ich zgodność z tą referencją (źródło: monespacenis2.cyber.gouv.fr).
- DORA (Rozporządzenie UE 2022/2554): cyfrowa odporność operacyjna dla sektora finansowego -- eur-lex.europa.eu CELEX:32022R2554. Ponieważ SYAGA nie jest regulowanym podmiotem finansowym, rozporządzenie (UE) 2022/2554 (DORA) nie ma do niej bezpośredniego zastosowania; obowiązki umowne mogą jednak mieć zastosowanie w indywidualnych przypadkach, gdy klient jest podmiotem finansowym podlegającym DORA (źródło: eur-lex.europa.eu DORA).
- ISO/IEC 27001: ramy referencyjne dla systemów zarządzania bezpieczeństwem informacji (SZBI) -- iso.org/standard/27001. Środki SYAGA Audit są dostosowane do wymogów normy ISO/IEC 27001, przy czym proces certyfikacji został rozpoczęty, ale certyfikacja nie została jeszcze uzyskana.
- Rekomendacje ANSSI: Przewodnik higieny informatycznej i rekomendacje francuskiej Krajowej Agencji ds. Bezpieczeństwa Systemów Informatycznych -- ssi.gouv.fr.
SYAGA Audit pomaga właśnie swoim klientom mierzyć ich własną zgodność z tymi referencjami (RODO, NIS2, ANSSI) w ramach ich środowiska Microsoft 365.
9. Zmiany niniejszej polityki
Niniejsza Polityka może być aktualizowana w celu odzwierciedlenia zmian prawnych, regulacyjnych lub technicznych. Obowiązująca wersja jest publikowana pod adresem https://syaga.eu/confidentialite.html. W przypadku istotnej zmiany zarejestrowani użytkownicy zostaną poinformowani mailowo z odpowiednim wyprzedzeniem przed jej wejściem w życie.
10. Kontakt
W przypadku pytań dotyczących niniejszej polityki lub ochrony Państwa danych:
- E-mail: contact@syaga.fr
- Adres: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Odniesienia prawne i dokumentacyjne
- Rozporządzenie (UE) 2016/679 (RODO), tekst pełny: eur-lex.europa.eu CELEX:32016R0679
- Ustawa nr 78-17 z dnia 6 stycznia 1978 r., z późn. zm.: Légifrance
- CNIL, prawa osób: cnil.fr
- CNIL, pliki cookie: cnil.fr
- Dyrektywa NIS2 (UE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Rozporządzenie DORA (UE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI, Przewodnik higieny informatycznej: ssi.gouv.fr