SYAGA AuditMicrosoft 365 Edition
Domov Funkcie Bezpečnosť Ako to funguje Ceny
Prihlásiť sa Spustiť moju bezplatnú diagnostiku

Politika ochrany súkromia

Verzia 1.0 - Posledná aktualizácia: 25. jún 2026


Preambula

Účelom tejto Politiky ochrany súkromia je informovať používateľov a klientov služby SYAGA Audit o spôsobe, akým sú ich osobné údaje zbierané, spracúvané a chránené, v súlade s Nariadením (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR) a so zákonom č. 78-17 zo 6. januára 1978 v znení neskorších predpisov o informatike, súboroch a slobodách.

SYAGA Audit je služba bezpečnostného auditu a auditu zhody prostredia Microsoft 365, ktorá funguje výlučne v režime čítania nad konfiguráciami a metadátami tenantu Microsoft 365 klienta. Služba nepristupuje k obsahu správ, súborov ani e-mailov používateľov auditovaného tenantu a neukladá žiadne heslá.

Tento dokument spĺňa informačnú povinnosť podľa článkov 13 (priamy zber) a 14 (nepriamy zber) GDPR.


1. Identita a kontaktné údaje prevádzkovateľa údajov

Prevádzkovateľom údajov pre údaje o účte a riadenie vzťahu s klientom je:

SYAGA CONSULTING

  • Forma: spoločnosť s ručením obmedzeným (SARL) so základným imaním 20 000 EUR
  • SIREN: 518 489 471 - RCS Aix-en-Provence
  • Sídlo: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Identifikačné číslo pre DPH: FR93 518489471
  • E-mail: contact@syaga.fr

Vzťah sprostredkovateľ / prevádzkovateľ údajov: pri konfiguračných dátach a metadátach tenantu Microsoft 365 zozbieraných počas auditu vystupuje SYAGA ako sprostredkovateľ v zmysle článku 28 GDPR, pričom klient zostáva prevádzkovateľom svojich vlastných dát M365. Táto politika sa vzťahuje na rozsah, v ktorom SYAGA vystupuje ako prevádzkovateľ údajov (údaje o účte, fakturácia, podpora). Spracúvanie vykonávané v mene klienta upravuje Zmluva o spracúvaní údajov (DPA).

Kontakt pre ochranu údajov

Pre akúkoľvek žiadosť týkajúcu sa ochrany údajov: contact@syaga.fr

Vymenovanie zodpovednej osoby pre ochranu údajov nie je povinné v zmysle článku 37 GDPR; kontaktnou osobou pre akékoľvek otázky týkajúce sa osobných údajov je prevádzkovateľ údajov v osobe konateľa.


2. Zbierané osobné údaje

2.1 Údaje o účte a riadení vzťahu s klientom

SYAGA ako prevádzkovateľ údajov zbiera:

  • Identita kontaktnej osoby: meno, priezvisko, funkcia
  • Profesionálne kontaktné údaje: e-mailová adresa, obchodné meno
  • Autentifikačné údaje k Službe (token OAuth Microsoft, žiadne heslo sa neukladá na strane SYAGA Audit)
  • Fakturačné a zmluvné administratívne údaje
  • Dáta z podpory a komunikácie
  • Technické denníky pripojenia (IP adresy, časové značky)

2.2 Audítorské dáta (konfigurácia a metadáta Microsoft 365)

V rámci auditu Služba pristupuje výlučne v režime čítania, prostredníctvom rozhrania Microsoft Graph, ku konfiguračným dátam a metadátam tenantu M365 klienta, najmä:

  • Parametre bezpečnostnej konfigurácie (zásady podmieneného prístupu, nastavenia MFA, nastavenia zdieľania)
  • Metadáta týkajúce sa používateľských účtov (UPN, role, stav MFA, atribúty adresára Entra ID)
  • Ukazovatele a metadáta stavu zabezpečenia (Secure Score, upozornenia na konfiguráciu)

Čo Služba nezbiera: obsah e-mailov, súborov, dokumentov, správ, hesiel, citlivé údaje v zmysle článku 9 GDPR.

Efemérna architektúra: audit prebieha v operačnej pamäti v jednorazovom skenovacom kontajneri (žiadne ukladanie na disk). Správa je klientovi odovzdaná jednorazovo a následne sú surové dáta skenu a prístupový token vymazané. Token je počas trvania auditu šifrovaný v pokoji (Fernet). Maximálny bezpečnostný TTL: 2 hodiny. SYAGA na strane servera uchováva iba fakturačné údaje, v súlade so zákonnými povinnosťami.

2.3 Cookies a sledovacie technológie

Stránka syaga.eu používa výlučne cookies nevyhnutné na fungovanie Služby:

  • __jsc: bezpečnostný cookie proti botom, platnosť počas relácie
  • vigil_audit: cookie relácie, platnosť počas relácie

Neukladajú sa žiadne cookies na meranie návštevnosti (Google Analytics, Matomo alebo ekvivalent) ani žiadne reklamné cookies. Tieto nevyhnutne potrebné cookies sú v súlade s usmerneniami CNIL zo 4. júla 2023 vyňaté z povinnosti predchádzajúceho súhlasu (zdroj: cnil.fr - cookies a sledovacie technológie). Postačuje informačné oznámenie o týchto cookies.


3. Účely a právne základy spracúvania

V súlade s článkom 6 GDPR sa každé spracúvanie zakladá na identifikovanom právnom základe:

ÚčelPrávny základ (čl. 6 GDPR)
Poskytovanie a plnenie Audítorskej služby; založenie a správa zákazníckeho účtuPlnenie zmluvy - čl. 6.1.b
Fakturácia, účtovníctvo, vymáhanie pohľadávokZákonná povinnosť (Obchodný zákonník, čl. L.123-22) a plnenie zmluvy - čl. 6.1.c a 6.1.b
Podpora a technická asistenciaPlnenie zmluvy - čl. 6.1.b
Bezpečnosť Služby, prevencia podvodov, protokolovanieOprávnený záujem - čl. 6.1.f
Nevyhnutne potrebné cookiesVyňaté z povinnosti súhlasu (usmernenia CNIL)

Pri audítorských dátach tenantu (časť 2.2) SYAGA koná na pokyn klienta (prevádzkovateľa údajov). Pozri DPA.


4. Príjemcovia a sprostredkovatelia

Dáta sa poskytujú iba oprávneným osobám v rámci SYAGA CONSULTING, ako aj sprostredkovateľom pôsobiacim za podmienok podľa článku 28 GDPR:

  • Microsoft Corporation: poskytovateľ rozhrania Microsoft Graph, používaného výlučne v režime čítania na prístup ku konfiguračným dátam tenantu klienta. Auditované dáta sú dáta vlastného Microsoft 365 tenantu Klienta, prezerané v režime čítania v jeho mene prostredníctvom Microsoft Graph. Microsoft vystupuje ako poskytovateľ Klienta; SYAGA nie je jeho ďalším sprostredkovateľom.
  • Stripe Inc.: poskytovateľ platieb pre spracovanie fakturačných údajov. Prenosy k spoločnosti Stripe sú upravené rámcom EU-U.S. Data Privacy Framework, v rámci ktorého je Stripe certifikovaný, a subsidiárne štandardnými zmluvnými doložkami Európskej komisie (2021) začlenenými do Data Transfers Addendum spoločnosti Stripe (zdroje: stripe.com/legal/dpa a stripe.com/legal/dta).
  • Hosting: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francúzsko (RCS Lille Métropole 424 761 419). Služba je hosťovaná vo Francúzsku spoločnosťou OVH SAS (francúzsky poskytovateľ hostingu), technickým sprostredkovateľom SYAGA CONSULTING. SYAGA CONSULTING dostáva iba pseudonymizované dáta (tokeny).

Žiadne údaje sa nepredávajú ani neposkytujú tretím stranám na komerčné účely.

Údaje môžu byť oznámené správnym alebo súdnym orgánom, ak to vyžaduje zákon.


5. Doby uchovávania

Údaje sa uchovávajú počas doby, ktorá nepresahuje dobu potrebnú na sledované účely (čl. 5.1.e GDPR):

Kategória dátDoba uchovávania
Surové audítorské dáta (zistenia, prístupový token)Nulová retencia na strane servera: údaje sa vymažú po odovzdaní Správy (efemérna architektúra, maximálny TTL 2 hodiny)
Dáta aktívneho zákazníckeho účtuDoba trvania zmluvného vzťahu, následne vymazanie do 30 dní po ukončení zmluvy
Fakturačné a účtovné doklady10 rokov od uzavretia účtovného obdobia (zákonná povinnosť, čl. L.123-22 Obchodného zákonníka)
Technické denníky (prihlasovacie záznamy)12 mesiacov (odporúčanie CNIL)

6. Prenosy dát mimo Európskej únie

Infraštruktúra hosťujúca Službu SYAGA Audit sa nachádza vo Francúzsku. V zásade SYAGA nerealizuje žiadny prenos dát mimo EÚ / EHP.

Pokiaľ ide o Microsoft: Prevádzkovateľ berie na vedomie, že rozhranie Microsoft Graph prevádzkuje spoločnosť Microsoft Corporation (Spojené štáty). Prípadné prenosy zahŕňajúce Microsoft sú upravené jeho štandardnými zmluvnými doložkami schválenými Európskou komisiou a prípadne jeho účasťou v rámci EU-U.S. Data Privacy Framework. Auditované dáta sú dáta vlastného Microsoft 365 tenantu Klienta, prezerané v režime čítania v jeho mene prostredníctvom Microsoft Graph. Microsoft vystupuje ako poskytovateľ Klienta. Prípadné prenosy zahŕňajúce infraštruktúru Microsoft sú upravené štandardnými zmluvnými doložkami schválenými Európskou komisiou a účasťou Microsoftu v rámci EU-U.S. Data Privacy Framework.

Stripe Inc. realizuje prenosy mimo EÚ upravené mechanizmami v súlade s kapitolou V GDPR. Prenosy k spoločnosti Stripe sú upravené rámcom EU-U.S. Data Privacy Framework, v rámci ktorého je Stripe certifikovaný, a subsidiárne štandardnými zmluvnými doložkami Európskej komisie (2021) začlenenými do Data Transfers Addendum spoločnosti Stripe.


7. Práva dotknutých osôb

V súlade s článkami 15 až 22 GDPR má každá dotknutá osoba tieto práva:

  • Právo na prístup (čl. 15 GDPR): získať potvrdenie, že sa spracúvajú údaje týkajúce sa dotknutej osoby, a získať ich kópiu
  • Právo na opravu (čl. 16): dosiahnuť opravu nepresných alebo neúplných údajov
  • Právo na vymazanie (čl. 17): dosiahnuť vymazanie v prípadoch stanovených GDPR
  • Právo na obmedzenie spracúvania (čl. 18)
  • Právo na prenosnosť údajov (čl. 20): získať svoje údaje v štruktúrovanom a strojovo čitateľnom formáte
  • Právo namietať (čl. 21): namietať proti spracúvaniu z dôvodov týkajúcich sa konkrétnej situácie, a kedykoľvek v prípade priameho marketingu
  • Právo odvolať súhlas (čl. 7.3) kedykoľvek, ak je spracúvanie založené na súhlase
  • Právo post mortem (čl. 85 zákona Informatique et Libertés): stanoviť pokyny týkajúce sa osudu dát po smrti

Dôležité pre audítorské dáta: pri konfiguračných dátach a metadátach tenantu je potrebné žiadosti o uplatnenie práv adresovať klientovi (prevádzkovateľovi údajov), ktorý v prípade potreby osloví SYAGA (čl. 28.3.e GDPR).

Spôsob uplatnenia práv

Tieto práva sa uplatňujú zaslaním žiadosti na contact@syaga.fr alebo poštou na adresu SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Odpoveď je poskytnutá do jedného mesiaca (čl. 12.3 GDPR), s možnosťou predĺženia o dva mesiace v prípade zložitosti.

Sťažnosť na CNIL

Každá dotknutá osoba má právo podať sťažnosť na CNIL (čl. 77 GDPR):

CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Bezpečnosť dát (čl. 32 GDPR)

SYAGA zavádza primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku (čl. 32 GDPR):

  • Efemérna architektúra: audit prebieha v operačnej pamäti, v jednorazovom skenovacom kontajneri bez ukladania na disk; surové dáta sa vymažú po odovzdaní Správy
  • Najnižšie oprávnenia: pripojenie cez OAuth Microsoft s najužšími oprávneniami ponúkanými Microsoftom pre každý auditovaný rozsah; Služba nikdy nezapisuje, nemení ani nemaže žiadne dáta tenantu
  • Šifrovanie počas prenosu: TLS 1.2/1.3 na všetkých komunikáciách; aktivované SPF, DKIM a DMARC na e-mailoch
  • Šifrovanie v pokoji: prístupový token šifrovaný (Fernet) počas trvania auditu
  • Hosting vo Francúzsku: infraštruktúra OVH (Francúzsko)
  • Kontrola prístupov: zásada najnižších oprávnení; menovité oprávnenia
  • Ochrana proti zneužitiu: limit 2 audity/deň/tenant, opatrenia proti DDoS
  • Oznamovanie porušení: postup v súlade s čl. 33 a 34 GDPR (oznámenie CNIL do 72 h)

Zosúladenie s viacerými referenčnými rámcami

Bezpečnostné opatrenia SYAGA Audit sú navrhnuté v súlade s viacerými uznávanými bezpečnostnými referenčnými rámcami. SYAGA si nenárokuje žiadnu formálnu certifikáciu voči týmto rámcom: opatrenia sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie; opatrenia sú zosúladené s a inšpirované týmito rámcami:

  • GDPR (Nariadenie EÚ 2016/679): priamo uplatniteľný právny základ -- eur-lex.europa.eu CELEX:32016R0679
  • Smernica NIS2 (Smernica EÚ 2022/2555): opatrenia na riadenie rizík, bezpečnosť sietí a informačných systémov -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, ktorej počet zamestnancov a obrat sú pod prahovými hodnotami pre významné subjekty v zmysle smernice (EÚ) 2022/2555 (50 zamestnancov alebo 10 mil. EUR), nepatrí medzi subjekty, na ktoré sa NIS2 vzťahuje. SYAGA Audit napriek tomu pomáha svojim klientom merať súlad s týmto referenčným rámcom (zdroj: monespacenis2.cyber.gouv.fr).
  • DORA (Nariadenie EÚ 2022/2554): prevádzková digitálna odolnosť finančného sektora -- eur-lex.europa.eu CELEX:32022R2554. Keďže SYAGA nie je regulovaným finančným subjektom, nariadenie (EÚ) 2022/2554 (DORA) sa naň priamo nevzťahuje; zmluvné povinnosti sa však môžu uplatniť v jednotlivých prípadoch, ak je klient finančným subjektom podliehajúcim DORA (zdroj: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: referenčný rámec pre systémy riadenia bezpečnosti informácií (ISMS) -- iso.org/standard/27001. Opatrenia SYAGA Audit sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie.
  • Odporúčania ANSSI: Príručka informačnej hygieny a odporúčania Národnej agentúry pre bezpečnosť informačných systémov (ANSSI) -- ssi.gouv.fr.

SYAGA Audit pomáha svojim klientom presne merať ich vlastnú zhodu s týmito referenčnými rámcami (GDPR, NIS2, ANSSI) v rámci ich prostredia Microsoft 365.


9. Zmeny tejto politiky

Táto Politika môže byť aktualizovaná tak, aby odzrkadľovala právne, regulačné alebo technické zmeny. Platná je verzia zverejnená na https://syaga.eu/confidentialite.html. V prípade podstatnej zmeny budú registrovaní používatelia informovaní e-mailom v primeranej lehote pred nadobudnutím účinnosti zmien.


10. Kontakt

Pre akúkoľvek otázku týkajúcu sa tejto politiky alebo ochrany vašich údajov:

  • E-mail: contact@syaga.fr
  • Adresa: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Právne a dokumentačné odkazy

  • Nariadenie (EÚ) 2016/679 (GDPR) - úplné znenie: eur-lex.europa.eu CELEX:32016R0679
  • Zákon č. 78-17 zo 6. januára 1978 v znení neskorších predpisov: Légifrance
  • CNIL - práva dotknutých osôb: cnil.fr
  • CNIL - cookies: cnil.fr
  • Smernica NIS2 (EÚ) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Nariadenie DORA (EÚ) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Príručka informačnej hygieny: ssi.gouv.fr
SYAGA Audit
Bezpečnosť Ochrana súkromia VOP DPA Právne informácie © 2026 SYAGA