Politika ochrany súkromia
Verzia 1.0 - Posledná aktualizácia: 25. jún 2026
Preambula
Účelom tejto Politiky ochrany súkromia je informovať používateľov a klientov služby SYAGA Audit o spôsobe, akým sú ich osobné údaje zbierané, spracúvané a chránené, v súlade s Nariadením (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR) a so zákonom č. 78-17 zo 6. januára 1978 v znení neskorších predpisov o informatike, súboroch a slobodách.
SYAGA Audit je služba bezpečnostného auditu a auditu zhody prostredia Microsoft 365, ktorá funguje výlučne v režime čítania nad konfiguráciami a metadátami tenantu Microsoft 365 klienta. Služba nepristupuje k obsahu správ, súborov ani e-mailov používateľov auditovaného tenantu a neukladá žiadne heslá.
Tento dokument spĺňa informačnú povinnosť podľa článkov 13 (priamy zber) a 14 (nepriamy zber) GDPR.
1. Identita a kontaktné údaje prevádzkovateľa údajov
Prevádzkovateľom údajov pre údaje o účte a riadenie vzťahu s klientom je:
SYAGA CONSULTING
- Forma: spoločnosť s ručením obmedzeným (SARL) so základným imaním 20 000 EUR
- SIREN: 518 489 471 - RCS Aix-en-Provence
- Sídlo: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- Identifikačné číslo pre DPH: FR93 518489471
- E-mail: contact@syaga.fr
Vzťah sprostredkovateľ / prevádzkovateľ údajov: pri konfiguračných dátach a metadátach tenantu Microsoft 365 zozbieraných počas auditu vystupuje SYAGA ako sprostredkovateľ v zmysle článku 28 GDPR, pričom klient zostáva prevádzkovateľom svojich vlastných dát M365. Táto politika sa vzťahuje na rozsah, v ktorom SYAGA vystupuje ako prevádzkovateľ údajov (údaje o účte, fakturácia, podpora). Spracúvanie vykonávané v mene klienta upravuje Zmluva o spracúvaní údajov (DPA).
Kontakt pre ochranu údajov
Pre akúkoľvek žiadosť týkajúcu sa ochrany údajov: contact@syaga.fr
Vymenovanie zodpovednej osoby pre ochranu údajov nie je povinné v zmysle článku 37 GDPR; kontaktnou osobou pre akékoľvek otázky týkajúce sa osobných údajov je prevádzkovateľ údajov v osobe konateľa.
2. Zbierané osobné údaje
2.1 Údaje o účte a riadení vzťahu s klientom
SYAGA ako prevádzkovateľ údajov zbiera:
- Identita kontaktnej osoby: meno, priezvisko, funkcia
- Profesionálne kontaktné údaje: e-mailová adresa, obchodné meno
- Autentifikačné údaje k Službe (token OAuth Microsoft, žiadne heslo sa neukladá na strane SYAGA Audit)
- Fakturačné a zmluvné administratívne údaje
- Dáta z podpory a komunikácie
- Technické denníky pripojenia (IP adresy, časové značky)
2.2 Audítorské dáta (konfigurácia a metadáta Microsoft 365)
V rámci auditu Služba pristupuje výlučne v režime čítania, prostredníctvom rozhrania Microsoft Graph, ku konfiguračným dátam a metadátam tenantu M365 klienta, najmä:
- Parametre bezpečnostnej konfigurácie (zásady podmieneného prístupu, nastavenia MFA, nastavenia zdieľania)
- Metadáta týkajúce sa používateľských účtov (UPN, role, stav MFA, atribúty adresára Entra ID)
- Ukazovatele a metadáta stavu zabezpečenia (Secure Score, upozornenia na konfiguráciu)
Čo Služba nezbiera: obsah e-mailov, súborov, dokumentov, správ, hesiel, citlivé údaje v zmysle článku 9 GDPR.
Efemérna architektúra: audit prebieha v operačnej pamäti v jednorazovom skenovacom kontajneri (žiadne ukladanie na disk). Správa je klientovi odovzdaná jednorazovo a následne sú surové dáta skenu a prístupový token vymazané. Token je počas trvania auditu šifrovaný v pokoji (Fernet). Maximálny bezpečnostný TTL: 2 hodiny. SYAGA na strane servera uchováva iba fakturačné údaje, v súlade so zákonnými povinnosťami.
2.3 Cookies a sledovacie technológie
Stránka syaga.eu používa výlučne cookies nevyhnutné na fungovanie Služby:
__jsc: bezpečnostný cookie proti botom, platnosť počas relácievigil_audit: cookie relácie, platnosť počas relácie
Neukladajú sa žiadne cookies na meranie návštevnosti (Google Analytics, Matomo alebo ekvivalent) ani žiadne reklamné cookies. Tieto nevyhnutne potrebné cookies sú v súlade s usmerneniami CNIL zo 4. júla 2023 vyňaté z povinnosti predchádzajúceho súhlasu (zdroj: cnil.fr - cookies a sledovacie technológie). Postačuje informačné oznámenie o týchto cookies.
3. Účely a právne základy spracúvania
V súlade s článkom 6 GDPR sa každé spracúvanie zakladá na identifikovanom právnom základe:
| Účel | Právny základ (čl. 6 GDPR) |
|---|---|
| Poskytovanie a plnenie Audítorskej služby; založenie a správa zákazníckeho účtu | Plnenie zmluvy - čl. 6.1.b |
| Fakturácia, účtovníctvo, vymáhanie pohľadávok | Zákonná povinnosť (Obchodný zákonník, čl. L.123-22) a plnenie zmluvy - čl. 6.1.c a 6.1.b |
| Podpora a technická asistencia | Plnenie zmluvy - čl. 6.1.b |
| Bezpečnosť Služby, prevencia podvodov, protokolovanie | Oprávnený záujem - čl. 6.1.f |
| Nevyhnutne potrebné cookies | Vyňaté z povinnosti súhlasu (usmernenia CNIL) |
Pri audítorských dátach tenantu (časť 2.2) SYAGA koná na pokyn klienta (prevádzkovateľa údajov). Pozri DPA.
4. Príjemcovia a sprostredkovatelia
Dáta sa poskytujú iba oprávneným osobám v rámci SYAGA CONSULTING, ako aj sprostredkovateľom pôsobiacim za podmienok podľa článku 28 GDPR:
- Microsoft Corporation: poskytovateľ rozhrania Microsoft Graph, používaného výlučne v režime čítania na prístup ku konfiguračným dátam tenantu klienta. Auditované dáta sú dáta vlastného Microsoft 365 tenantu Klienta, prezerané v režime čítania v jeho mene prostredníctvom Microsoft Graph. Microsoft vystupuje ako poskytovateľ Klienta; SYAGA nie je jeho ďalším sprostredkovateľom.
- Stripe Inc.: poskytovateľ platieb pre spracovanie fakturačných údajov. Prenosy k spoločnosti Stripe sú upravené rámcom EU-U.S. Data Privacy Framework, v rámci ktorého je Stripe certifikovaný, a subsidiárne štandardnými zmluvnými doložkami Európskej komisie (2021) začlenenými do Data Transfers Addendum spoločnosti Stripe (zdroje: stripe.com/legal/dpa a stripe.com/legal/dta).
- Hosting: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francúzsko (RCS Lille Métropole 424 761 419). Služba je hosťovaná vo Francúzsku spoločnosťou OVH SAS (francúzsky poskytovateľ hostingu), technickým sprostredkovateľom SYAGA CONSULTING. SYAGA CONSULTING dostáva iba pseudonymizované dáta (tokeny).
Žiadne údaje sa nepredávajú ani neposkytujú tretím stranám na komerčné účely.
Údaje môžu byť oznámené správnym alebo súdnym orgánom, ak to vyžaduje zákon.
5. Doby uchovávania
Údaje sa uchovávajú počas doby, ktorá nepresahuje dobu potrebnú na sledované účely (čl. 5.1.e GDPR):
| Kategória dát | Doba uchovávania |
|---|---|
| Surové audítorské dáta (zistenia, prístupový token) | Nulová retencia na strane servera: údaje sa vymažú po odovzdaní Správy (efemérna architektúra, maximálny TTL 2 hodiny) |
| Dáta aktívneho zákazníckeho účtu | Doba trvania zmluvného vzťahu, následne vymazanie do 30 dní po ukončení zmluvy |
| Fakturačné a účtovné doklady | 10 rokov od uzavretia účtovného obdobia (zákonná povinnosť, čl. L.123-22 Obchodného zákonníka) |
| Technické denníky (prihlasovacie záznamy) | 12 mesiacov (odporúčanie CNIL) |
6. Prenosy dát mimo Európskej únie
Infraštruktúra hosťujúca Službu SYAGA Audit sa nachádza vo Francúzsku. V zásade SYAGA nerealizuje žiadny prenos dát mimo EÚ / EHP.
Pokiaľ ide o Microsoft: Prevádzkovateľ berie na vedomie, že rozhranie Microsoft Graph prevádzkuje spoločnosť Microsoft Corporation (Spojené štáty). Prípadné prenosy zahŕňajúce Microsoft sú upravené jeho štandardnými zmluvnými doložkami schválenými Európskou komisiou a prípadne jeho účasťou v rámci EU-U.S. Data Privacy Framework. Auditované dáta sú dáta vlastného Microsoft 365 tenantu Klienta, prezerané v režime čítania v jeho mene prostredníctvom Microsoft Graph. Microsoft vystupuje ako poskytovateľ Klienta. Prípadné prenosy zahŕňajúce infraštruktúru Microsoft sú upravené štandardnými zmluvnými doložkami schválenými Európskou komisiou a účasťou Microsoftu v rámci EU-U.S. Data Privacy Framework.
Stripe Inc. realizuje prenosy mimo EÚ upravené mechanizmami v súlade s kapitolou V GDPR. Prenosy k spoločnosti Stripe sú upravené rámcom EU-U.S. Data Privacy Framework, v rámci ktorého je Stripe certifikovaný, a subsidiárne štandardnými zmluvnými doložkami Európskej komisie (2021) začlenenými do Data Transfers Addendum spoločnosti Stripe.
7. Práva dotknutých osôb
V súlade s článkami 15 až 22 GDPR má každá dotknutá osoba tieto práva:
- Právo na prístup (čl. 15 GDPR): získať potvrdenie, že sa spracúvajú údaje týkajúce sa dotknutej osoby, a získať ich kópiu
- Právo na opravu (čl. 16): dosiahnuť opravu nepresných alebo neúplných údajov
- Právo na vymazanie (čl. 17): dosiahnuť vymazanie v prípadoch stanovených GDPR
- Právo na obmedzenie spracúvania (čl. 18)
- Právo na prenosnosť údajov (čl. 20): získať svoje údaje v štruktúrovanom a strojovo čitateľnom formáte
- Právo namietať (čl. 21): namietať proti spracúvaniu z dôvodov týkajúcich sa konkrétnej situácie, a kedykoľvek v prípade priameho marketingu
- Právo odvolať súhlas (čl. 7.3) kedykoľvek, ak je spracúvanie založené na súhlase
- Právo post mortem (čl. 85 zákona Informatique et Libertés): stanoviť pokyny týkajúce sa osudu dát po smrti
Dôležité pre audítorské dáta: pri konfiguračných dátach a metadátach tenantu je potrebné žiadosti o uplatnenie práv adresovať klientovi (prevádzkovateľovi údajov), ktorý v prípade potreby osloví SYAGA (čl. 28.3.e GDPR).
Spôsob uplatnenia práv
Tieto práva sa uplatňujú zaslaním žiadosti na contact@syaga.fr alebo poštou na adresu SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Odpoveď je poskytnutá do jedného mesiaca (čl. 12.3 GDPR), s možnosťou predĺženia o dva mesiace v prípade zložitosti.
Sťažnosť na CNIL
Každá dotknutá osoba má právo podať sťažnosť na CNIL (čl. 77 GDPR):
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Bezpečnosť dát (čl. 32 GDPR)
SYAGA zavádza primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku (čl. 32 GDPR):
- Efemérna architektúra: audit prebieha v operačnej pamäti, v jednorazovom skenovacom kontajneri bez ukladania na disk; surové dáta sa vymažú po odovzdaní Správy
- Najnižšie oprávnenia: pripojenie cez OAuth Microsoft s najužšími oprávneniami ponúkanými Microsoftom pre každý auditovaný rozsah; Služba nikdy nezapisuje, nemení ani nemaže žiadne dáta tenantu
- Šifrovanie počas prenosu: TLS 1.2/1.3 na všetkých komunikáciách; aktivované SPF, DKIM a DMARC na e-mailoch
- Šifrovanie v pokoji: prístupový token šifrovaný (Fernet) počas trvania auditu
- Hosting vo Francúzsku: infraštruktúra OVH (Francúzsko)
- Kontrola prístupov: zásada najnižších oprávnení; menovité oprávnenia
- Ochrana proti zneužitiu: limit 2 audity/deň/tenant, opatrenia proti DDoS
- Oznamovanie porušení: postup v súlade s čl. 33 a 34 GDPR (oznámenie CNIL do 72 h)
Zosúladenie s viacerými referenčnými rámcami
Bezpečnostné opatrenia SYAGA Audit sú navrhnuté v súlade s viacerými uznávanými bezpečnostnými referenčnými rámcami. SYAGA si nenárokuje žiadnu formálnu certifikáciu voči týmto rámcom: opatrenia sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie; opatrenia sú zosúladené s a inšpirované týmito rámcami:
- GDPR (Nariadenie EÚ 2016/679): priamo uplatniteľný právny základ -- eur-lex.europa.eu CELEX:32016R0679
- Smernica NIS2 (Smernica EÚ 2022/2555): opatrenia na riadenie rizík, bezpečnosť sietí a informačných systémov -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, ktorej počet zamestnancov a obrat sú pod prahovými hodnotami pre významné subjekty v zmysle smernice (EÚ) 2022/2555 (50 zamestnancov alebo 10 mil. EUR), nepatrí medzi subjekty, na ktoré sa NIS2 vzťahuje. SYAGA Audit napriek tomu pomáha svojim klientom merať súlad s týmto referenčným rámcom (zdroj: monespacenis2.cyber.gouv.fr).
- DORA (Nariadenie EÚ 2022/2554): prevádzková digitálna odolnosť finančného sektora -- eur-lex.europa.eu CELEX:32022R2554. Keďže SYAGA nie je regulovaným finančným subjektom, nariadenie (EÚ) 2022/2554 (DORA) sa naň priamo nevzťahuje; zmluvné povinnosti sa však môžu uplatniť v jednotlivých prípadoch, ak je klient finančným subjektom podliehajúcim DORA (zdroj: eur-lex.europa.eu DORA).
- ISO/IEC 27001: referenčný rámec pre systémy riadenia bezpečnosti informácií (ISMS) -- iso.org/standard/27001. Opatrenia SYAGA Audit sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie.
- Odporúčania ANSSI: Príručka informačnej hygieny a odporúčania Národnej agentúry pre bezpečnosť informačných systémov (ANSSI) -- ssi.gouv.fr.
SYAGA Audit pomáha svojim klientom presne merať ich vlastnú zhodu s týmito referenčnými rámcami (GDPR, NIS2, ANSSI) v rámci ich prostredia Microsoft 365.
9. Zmeny tejto politiky
Táto Politika môže byť aktualizovaná tak, aby odzrkadľovala právne, regulačné alebo technické zmeny. Platná je verzia zverejnená na https://syaga.eu/confidentialite.html. V prípade podstatnej zmeny budú registrovaní používatelia informovaní e-mailom v primeranej lehote pred nadobudnutím účinnosti zmien.
10. Kontakt
Pre akúkoľvek otázku týkajúcu sa tejto politiky alebo ochrany vašich údajov:
- E-mail: contact@syaga.fr
- Adresa: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Právne a dokumentačné odkazy
- Nariadenie (EÚ) 2016/679 (GDPR) - úplné znenie: eur-lex.europa.eu CELEX:32016R0679
- Zákon č. 78-17 zo 6. januára 1978 v znení neskorších predpisov: Légifrance
- CNIL - práva dotknutých osôb: cnil.fr
- CNIL - cookies: cnil.fr
- Smernica NIS2 (EÚ) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
- Nariadenie DORA (EÚ) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - Príručka informačnej hygieny: ssi.gouv.fr