SYAGA AuditMicrosoft 365 Edition
Strona główna Funkcje Bezpieczeństwo Jak to działa Cennik
Zaloguj się Uruchom bezpłatną diagnozę

Umowa powierzenia przetwarzania danych (DPA)

Zawarte na podstawie art. 28 Rozporządzenia (UE) 2016/679 (RODO) (źródło: gdpr-info.eu/art-28-gdpr)

Usługa objęta umową: SYAGA Audit, audyt bezpieczeństwa i zgodności Microsoft 365, tylko do odczytu

Wersja: 1.0 -- Data: 27 czerwca 2026 r. -- Data wejścia w życie: 27 czerwca 2026 r.


Identyfikacja Stron

Podmiot przetwarzający:

SYAGA CONSULTING, spółka z ograniczoną odpowiedzialnością (SARL) o kapitale 20 000 euro, wpisana do RCS Aix-en-Provence pod numerem SIREN 518 489 471, utworzona 08.12.2009, reprezentowana przez zarządzającego Sébastiena Questiera, z siedzibą pod adresem 2 Impasse Paul Langevin, 13110 Port-de-Bouc, wydawca usługi SYAGA Audit, zwana dalej Podmiotem przetwarzającym.

ORAZ

Administrator danych: Klient, który wykupił usługę SYAGA Audit na warunkach OWS dostępnych pod adresem cgu.html, którego dane kontaktowe są tymi podanymi przy rejestracji, zwany dalej Administratorem danych.

Zwane dalej łącznie Stronami.


Preambuła

Niniejsza Umowa powierzenia przetwarzania danych (DPA) zawarta jest na podstawie art. 28 RODO, który wymaga, aby przetwarzanie realizowane przez podmiot przetwarzający na rzecz administratora danych było regulowane umową określającą przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, oraz obowiązki i prawa administratora danych.

Niniejsza DPA stanowi załącznik do Ogólnych Warunków Sprzedaży i Świadczenia Usług (OWS) SYAGA Audit (Umowa główna). W przypadku sprzeczności między niniejszą DPA a Umową główną w kwestii dotyczącej ochrony danych, niniejsza DPA ma pierwszeństwo. W przypadku sprzeczności dotyczącej ochrony danych osobowych, niniejsza DPA ma pierwszeństwo przed OWU.

Wykupując usługę SYAGA Audit, Klient akceptuje warunki niniejszej DPA. Akceptacja elektroniczna jest równoznaczna z akceptacją DPA zgodnie z przepisami mającymi zastosowanie do zawierania umów drogą elektroniczną.


Artykuł 1 -- Przedmiot i doktryna usługi

Niniejsza DPA określa warunki, na jakich Podmiot przetwarzający zobowiązuje się wykonywać, na rzecz i na udokumentowane polecenie Administratora danych, czynności przetwarzania danych osobowych niezbędne do świadczenia usługi SYAGA Audit.

SYAGA Audit przeprowadza audyt bezpieczeństwa i zgodności środowiska Microsoft 365 Administratora danych w trybie tylko do odczytu: Usługa nigdy nie zapisuje, nie modyfikuje ani nie usuwa żadnych danych w audytowanym tenancie.

Podmiot przetwarzający stosuje doktrynę zero-knowledge: zbieranie i pseudonimizacja wykonywane są w przeglądarce Klienta (rozszerzenie). Podmiot przetwarzający nigdy nie otrzymuje surowych danych tenanta ani tokenu dostępu Microsoft Klienta: wyłącznie pseudonimizowane odciski. Zjetonizowane wyniki audytu są przechowywane w koncie klienta, aby umożliwić Klientowi ich ponowne otwarcie, dopóki jest aktywny; są rekontekstualizowane w postaci jawnej wyłącznie na stacji Klienta.


Artykuł 2 -- Charakter, cel i czas trwania przetwarzania

2.1 Charakter operacji. Operacje obejmują: zbieranie (odczyt, najmniejsze uprawnienia) za pośrednictwem interfejsów API Microsoft, wykonywane przez rozszerzenie przeglądarki działające na stacji Klienta; lokalną pseudonimizację; analizę przez Podmiot przetwarzający wyłącznie pseudonimizowanych odcisków w świetle referencji bezpieczeństwa (ANSSI, rekomendacje Microsoft, RODO, NIS2); przekazanie w formie raportów rekontekstualizowanych na stacji Klienta.

2.2 Wyłączny cel. Celem jest ocena postawy bezpieczeństwa i zgodności tenanta Microsoft 365 Administratora danych oraz sporządzanie związanych z tym raportów z audytu. Żaden inny cel (marketing, profilowanie, ponowne wykorzystanie do własnych celów Podmiotu przetwarzającego) nie jest dozwolony.

2.3 Czas trwania. Przetwarzanie odbywa się przez czas obowiązywania Umowy głównej. Surowe dane są usuwane natychmiast po dostarczeniu Raportu.


Artykuł 3 -- Kategorie przetwarzanych danych osobowych

Podmiot przetwarzający przetwarza następujące kategorie danych:

  • Dane konfiguracyjne i metadane bezpieczeństwa: parametry tenanta, zasady dostępu warunkowego, konfiguracja MFA, role i uprawnienia administracyjne, ustawienia udostępniania, stany aktywacji funkcji bezpieczeństwa
  • Metadane tożsamości i katalogu: identyfikatory kont (UPN), nazwy wyświetlane, przynależność do grup, atrybuty katalogu istotne dla audytu
  • Dzienniki i metadane zdarzeń bezpieczeństwa: dzienniki logowania, zdarzenia audytu, metadane niezbędne do oceny kontroli

Wyraźne wyłączenia. Podmiot przetwarzający nie przetwarza treści wiadomości e-mail, plików ani dokumentów. Przetwarzane są wyłącznie metadane i dane konfiguracyjne.

Szczególne kategorie danych. Przetwarzanie nie ma za przedmiot przetwarzania szczególnych kategorii danych w rozumieniu art. 9 RODO. Administrator danych zobowiązuje się nie konfigurować usługi w sposób prowadzący do takiego przetwarzania.


Artykuł 4 -- Kategorie osób, których dane dotyczą

Osobami, których dane dotyczą, są posiadacze kont i tożsamości w ramach tenanta Microsoft 365 Administratora danych: pracownicy, kadra kierownicza, administratorzy, dostawcy i goście posiadający konto w audytowanym katalogu.


Artykuł 5 -- Udokumentowane polecenia Administratora danych

Podmiot przetwarzający przetwarza dane wyłącznie na udokumentowane polecenie Administratora danych (art. 28.3.a RODO), w tym w zakresie transferów do państwa trzeciego, chyba że wynika to z bezwzględnie obowiązującego przepisu prawa (w takim przypadku informuje o tym Administratora danych przed przetwarzaniem, chyba że prawo tego zabrania).

Niniejsza DPA, jej załączniki oraz OWS stanowią wstępne udokumentowane polecenia. Podmiot przetwarzający niezwłocznie informuje Administratora danych, jeśli uzna, że dane polecenie stanowi naruszenie RODO (art. 28.3, ostatni akapit RODO).


Artykuł 6 -- Poufność

Podmiot przetwarzający dba o to, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu prawnemu obowiązkowi poufności (art. 28.3.b RODO) oraz otrzymały niezbędne szkolenie z zakresu ochrony danych. Zobowiązanie to trwa po zakończeniu funkcji oraz po wygaśnięciu niniejszej DPA.


Artykuł 7 -- Środki bezpieczeństwa (art. 32 RODO) i zgodność z referencjami

Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku (art. 32 RODO). Wdrożone środki obejmują w szczególności:

  • Architektura zero-knowledge: zbieranie i pseudonimizacja wykonywane w przeglądarce Klienta (rozszerzenie); Podmiot przetwarzający otrzymuje wyłącznie pseudonimizowane odciski; surowe dane tenanta oraz token Microsoft nigdy nie są mu przekazywane
  • Zasada najmniejszych uprawnień: logowanie przez OAuth Microsoft z najwęższymi uprawnieniami oferowanymi przez Microsoft dla każdego zakresu; Usługa nigdy nie zapisuje, nie modyfikuje ani nie usuwa żadnych danych audytowanego tenanta
  • Szyfrowanie w tranzycie: TLS 1.2/1.3 na wszystkich komunikacjach; SPF, DKIM i DMARC aktywne
  • Token Microsoft: nigdy nie opuszcza przeglądarki Klienta; Podmiot przetwarzający nigdy go nie otrzymuje ani nie przechowuje
  • Hosting we Francji: infrastruktura OVH (Francja) obsługiwana na rzecz SYAGA CONSULTING
  • Zarządzanie dostępem: zasada najmniejszych uprawnień; uprawnienia imienne; regularny przegląd
  • Ochrona przed nadużyciami: limit 2 audytów dziennie na tenant; środki anty-DDoS
  • Rejestrowanie zdarzeń: identyfikowalność dostępu do danych
  • Regularne testy skuteczności środków bezpieczeństwa

Zgodność z uznanymi ramami bezpieczeństwa

Powyższe środki są zaprojektowane w sposób spójny z następującymi referencjami. SYAGA nie rości sobie żadnej formalnej certyfikacji w oparciu o te referencje; środki są dostosowane do wymogów normy ISO/IEC 27001, przy czym proces certyfikacji został rozpoczęty, ale certyfikacja nie została jeszcze uzyskana; jest to zgodność funkcjonalna:

ReferencjaZnaczenie dla SYAGA AuditŹródło oficjalne
RODO (UE) 2016/679 Podstawa regulacyjna mająca bezpośrednie zastosowanie. Art. 32: środki techniczne i organizacyjne. Architektura efemeryczna to środek minimalizacji zgodny z art. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
Dyrektywa NIS2 (UE) 2022/2555 Środki zarządzania ryzykiem cyberbezpieczeństwa (art. 21 NIS2): ciągłość działania, zarządzanie incydentami, bezpieczeństwo sieci, szyfrowanie. SYAGA Audit pomaga klientom oceniać ich własną zgodność z NIS2 w ich tenancie M365. SYAGA, której zatrudnienie i obrót pozostają poniżej progów podmiotów ważnych w rozumieniu dyrektywy (UE) 2022/2555 (50 pracowników lub 10 mln EUR), nie wchodzi w zakres podmiotów objętych NIS2. SYAGA Audit pomaga jednak swoim klientom mierzyć ich zgodność z tą referencją. eur-lex.europa.eu CELEX:32022L2555
Rozporządzenie DORA (UE) 2022/2554 Cyfrowa odporność operacyjna dla regulowanych podmiotów finansowych. SYAGA Audit może pomóc klientom z sektora finansowego udokumentować ich postawę DORA w swoim tenancie M365. Ponieważ SYAGA nie jest regulowanym podmiotem finansowym, DORA nie ma do niej bezpośredniego zastosowania; obowiązki umowne mogą mieć zastosowanie w indywidualnych przypadkach wobec klientów z sektora finansowego podlegających DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Ramy SZBI: polityka bezpieczeństwa, zarządzanie ryzykiem, kontrola dostępu, szyfrowanie, rejestrowanie zdarzeń. Środki SYAGA Audit są dostosowane do odpowiednich kontroli ISO 27002. Środki SYAGA Audit są dostosowane do wymogów normy ISO/IEC 27001, przy czym proces certyfikacji został rozpoczęty, ale certyfikacja nie została jeszcze uzyskana. iso.org/standard/27001
Rekomendacje ANSSI Przewodnik higieny informatycznej, rekomendacje dotyczące bezpieczeństwa systemów informatycznych. Środki inspirowane rekomendacjami ANSSI w zakresie zarządzania kontami, szyfrowania i rejestrowania zdarzeń. SYAGA Audit ocenia konfiguracje M365 w świetle rekomendacji ANSSI. ssi.gouv.fr

Pełny opis środków technicznych i organizacyjnych znajduje się w Załączniku 1.


Artykuł 8 -- Korzystanie z dalszych podmiotów przetwarzających

Administrator danych upoważnia Podmiot przetwarzający do korzystania z dalszych podmiotów przetwarzających wymienionych w Załączniku 2. W przypadku każdego nowego podmiotu przetwarzającego lub jego zastąpienia, Podmiot przetwarzający informuje Administratora danych na piśmie co najmniej trzydzieści (30) dni przed wejściem zmiany w życie, przy czym Administrator danych dysponuje terminem trzydziestu (30) dni na wniesienie sprzeciwu z uzasadnionych powodów związanych z ochroną danych (art. 28.2 i 28.4 RODO). Te terminy i zasady mają zastosowanie, chyba że Strony uzgodnią inaczej.

Podmiot przetwarzający nakłada na dalszych podmiotów przetwarzających, na mocy umowy, te same obowiązki ochrony danych, które przewiduje niniejsza DPA (art. 28.4 RODO), i pozostaje w pełni odpowiedzialny wobec Administratora danych za ich wykonanie.


Artykuł 9 -- Wsparcie dla Administratora danych

9.1 Prawa osób, których dane dotyczą (art. 12-22 i 28.3.e RODO). Podmiot przetwarzający przekazuje niezwłocznie Administratorowi danych każde żądanie wykonania praw otrzymane bezpośrednio od osoby, której dane dotyczą, i wspiera go w udzieleniu odpowiedzi.

9.2 Bezpieczeństwo i DPIA (art. 32-36 i 28.3.f RODO). Podmiot przetwarzający wspiera Administratora danych w zakresie bezpieczeństwa przetwarzania, przeprowadzenia oceny skutków dla ochrony danych (DPIA), jeśli to konieczne, oraz uprzedniej konsultacji z CNIL, jeśli zajdzie taka potrzeba.

9.3 Naruszenia danych (art. 33 i 34 RODO). Podmiot przetwarzający zgłasza Administratorowi danych każde naruszenie ochrony danych w maksymalnym terminie czterdziestu ośmiu (48) godzin od jego wykrycia, tak szybko jak to możliwe, aby umożliwić Administratorowi danych dotrzymanie terminu 72 godzin przewidzianego w art. 33 RODO, przekazując informacje przydatne do ewentualnego zgłoszenia.


Artykuł 10 -- Losy danych po zakończeniu umowy

Po zakończeniu niniejszej DPA, Podmiot przetwarzający w terminie trzydziestu (30) dni od zakończenia umowy postępuje, zgodnie z wyborem Administratora danych zgłoszonym na piśmie (art. 28.3.g RODO):

Uwaga: ze względu na efemeryczną architekturę usługi, żadne dane z audytu nie są przechowywane po zakończeniu świadczenia usługi; przechowywane są wyłącznie dane rozliczeniowe, zgodnie z obowiązkami prawnymi (10 lat).

  • albo do zwrotu Administratorowi danych przetwarzanych danych osobowych, w formacie ustrukturyzowanym (JSON lub CSV, w zależności od dostępności);
  • albo do bezpiecznego usunięcia wszystkich danych, w tym kopii, chyba że istnieje prawny obowiązek ich przechowywania.

Zgodnie z efemeryczną architekturą usługi, surowe dane z audytu są już usuwane w momencie dostarczenia Raportu. Podmiot przetwarzający dostarcza, na żądanie, poświadczenie usunięcia danych.


Artykuł 11 -- Audyty i kontrole

Podmiot przetwarzający udostępnia Administratorowi danych wszystkie informacje niezbędne do wykazania przestrzegania obowiązków wynikających z art. 28 RODO i umożliwia przeprowadzenie audytów, w tym inspekcji (art. 28.3.h RODO).

Audyty podlegają następującym warunkom: pisemne powiadomienie z wyprzedzeniem co najmniej trzydziestu (30) dni roboczych, przeprowadzenie w godzinach pracy, maksymalna częstotliwość jednego (1) audytu na okres dwunastu (12) miesięcy, chyba że zachodzi okoliczność wyjątkowa (w szczególności potwierdzony incydent bezpieczeństwa), koszty ponosi Administrator danych, poufność uzyskanych informacji.


Artykuł 12 -- Transfery poza Unię Europejską

12.1 Główna lokalizacja. Dane są przetwarzane i hostowane we Francji. SYAGA CONSULTING jest podmiotem prawa francuskiego. Pośredniej ekspozycji na Cloud Act za pośrednictwem zewnętrznych dostawców nie można całkowicie wykluczyć; SYAGA ogranicza to ryzyko poprzez hosting we Francji (OVH SAS), a przede wszystkim poprzez pseudonimizację: usługa otrzymuje wyłącznie tokeny, nigdy Państwa dane w postaci jawnej.

12.2 Korzystanie z Microsoft. Administrator danych przyjmuje do wiadomości, że interfejs API Microsoft Graph jest obsługiwany przez Microsoft Corporation (Stany Zjednoczone). Transfery z udziałem Microsoft są objęte standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejską oraz, w stosownych przypadkach, ramami EU-U.S. Data Privacy Framework. Audytowane dane to dane własnego tenanta Microsoft 365 Klienta, przeglądane w trybie tylko do odczytu w jego imieniu za pośrednictwem Microsoft Graph. Microsoft działa jako dostawca Klienta; SYAGA nie jest jego dalszym podmiotem przetwarzającym.

12.3 Ogólne gwarancje. Każdy transfer poza UE dokonywany przez Podmiot przetwarzający lub dalszy podmiot przetwarzający jest uzależniony od wdrożenia mechanizmu ważnego w rozumieniu rozdziału V RODO (decyzja stwierdzająca odpowiedni poziom ochrony, standardowe klauzule umowne lub inna odpowiednia gwarancja).


Artykuł 13 -- Kontakt w sprawie ochrony danych

Podmiot przetwarzający (SYAGA CONSULTING): punkt kontaktowy ds. ochrony danych -- contact@syaga.fr. Wyznaczenie inspektora ochrony danych nie jest obowiązkowe w rozumieniu art. 37 RODO; osobą odpowiedzialną za ochronę danych jest zarządzający, Sébastien Questier, punkt kontaktowy w każdej sprawie dotyczącej danych osobowych.

Administrator danych: kontakt w sprawach RODO wyznaczony przez Klienta zgodnie z jego własnymi obowiązkami.


Artykuł 14 -- Czas trwania, zmiana i prawo właściwe

Niniejsza DPA wchodzi w życie w momencie wykupienia usługi SYAGA Audit i pozostaje w mocy przez cały czas trwania przetwarzania realizowanego na rzecz Administratora danych.

Każda istotna zmiana jest przedmiotem uprzedniego powiadomienia Administratora danych. Dalsze korzystanie z usługi po upływie terminu powiadomienia oznacza akceptację zmian. Te zasady wprowadzania zmian są zgodne z wymogami art. 28 RODO dla umów powierzenia przetwarzania.

Niniejsza DPA podlega prawu francuskiemu. Wszelki spór podlega właściwości sądów okręgu Aix-en-Provence, z zastrzeżeniem bezwzględnie obowiązujących przepisów mających zastosowanie do sporów transgranicznych.


Załącznik 1, szczegółowy opis przetwarzania i środków bezpieczeństwa (art. 32 RODO)

ParametrOpis
CeleAudyt bezpieczeństwa i zgodności M365, sporządzanie raportów
Kategorie danychMetadane konfiguracyjne, metadane tożsamości (UPN, nazwy), dzienniki bezpieczeństwa
Szczególne kategorie danych (art. 9)Żadne
Osoby, których dane dotycząKonta i tożsamości tenanta Microsoft 365 Klienta
Przechowywanie po stronie serweraSurowe dane tenanta: nigdy nieprzesyłane (pseudonimizacja w przeglądarce). Zjetonizowane wyniki: przechowywane w koncie klienta, dopóki Klient jest aktywny.
Miejsce przetwarzaniaFrancja (infrastruktura SYAGA CONSULTING)
Szyfrowanie w tranzycieTLS 1.2/1.3, wszystkie komunikacje; SPF/DKIM/DMARC
Token MicrosoftNigdy nie opuszcza przeglądarki Klienta; nigdy nie otrzymywane przez Podmiot przetwarzający
ArchitekturaZbieranie i pseudonimizacja przez rozszerzenie w przeglądarce Klienta; Podmiot przetwarzający analizuje wyłącznie odciski
Zarządzanie dostępemZasada najmniejszych uprawnień; uprawnienia imienne
Ochrona przed nadużyciamiLimit 2 audytów dziennie na tenant; ochrona anty-DDoS
Rejestrowanie zdarzeńMinimalne dzienniki techniczne eksploatacji i bezpieczeństwa, bez osobowych danych z audytu, przechowywane przez około 12 miesięcy zgodnie z zaleceniami CNIL.
Zgodność z referencjami bezpieczeństwaŚrodki dostosowane do RODO art. 32, ISO/IEC 27001 (proces certyfikacji został rozpoczęty, ale certyfikacja nie została jeszcze uzyskana), rekomendacji ANSSI.

Załącznik 2, lista autoryzowanych dalszych podmiotów przetwarzających

Dalszy podmiot przetwarzającyŚwiadczenieLokalizacjaGwarancje transferu
Microsoft Corporation Interfejs API Microsoft Graph, dostęp odczytu do danych konfiguracyjnych tenanta UE i Stany Zjednoczone (infrastruktura Microsoft) Microsoft działa jako dostawca Klienta (nie jest dalszym podmiotem przetwarzającym SYAGA). Transfery objęte standardowymi klauzulami umownymi WE oraz uczestnictwem Microsoft w ramach EU-U.S. Data Privacy Framework.
OVH SAS (hosting, Roubaix, Francja) Hosting platformy SYAGA Audit Francja Nie dotyczy (UE)
Stripe Inc. Płatność, wyłącznie dane rozliczeniowe Klienta (bez danych tenanta) Stany Zjednoczone / UE EU-U.S. Data Privacy Framework (Stripe certyfikowany) oraz, pomocniczo, Standardowe Klauzule Umowne WE (2021), Data Transfers Addendum Stripe.

Odniesienia prawne

  • CNIL, podmiot przetwarzający, obowiązki art. 28 RODO: cnil.fr/fr/sous-traitant
  • Rozporządzenie (UE) 2016/679 (RODO), art. 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
  • Dyrektywa NIS2 (UE) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
  • Rozporządzenie DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI, Przewodnik higieny informatycznej: ssi.gouv.fr
  • Ustawa nr 78-17 z dnia 6 stycznia 1978 r., z późn. zm.: Légifrance
SYAGA Audit
Bezpieczeństwo Poufność CGU DPA Informacje prawne © 2026 SYAGA