Zmluva o spracúvaní údajov (DPA)
Uzavreté podľa článku 28 Nariadenia (EÚ) 2016/679 (GDPR) (zdroj: gdpr-info.eu/art-28-gdpr)
Dotknutá služba: SYAGA Audit - bezpečnostný audit a audit zhody Microsoft 365, výlučne v režime čítania
Verzia: 1.0 - Dátum: 27. jún 2026 - Dátum účinnosti: 27. jún 2026
Identifikácia Strán
Sprostredkovateľ:
SYAGA CONSULTING, spoločnosť s ručením obmedzeným (SARL) so základným imaním 20 000 eur, zapísaná v obchodnom registri Aix-en-Provence pod číslom SIREN 518 489 471, založená 8. 12. 2009, zastúpená konateľom Sébastienom Questierom, so sídlom na adrese 2 Impasse Paul Langevin, 13110 Port-de-Bouc, prevádzkovateľka služby SYAGA Audit, ďalej označovaná ako Sprostredkovateľ.
A
Prevádzkovateľ údajov: Klient, ktorý si objednal službu SYAGA Audit za podmienok VOP dostupných na adrese cgu.html, ktorého kontaktné údaje sú tie, ktoré uviedol pri objednaní, ďalej označovaný ako Prevádzkovateľ údajov.
Ďalej spoločne označovaní ako Strany.
Preambula
Táto Zmluva o spracúvaní údajov (DPA) sa uzatvára podľa článku 28 GDPR, ktorý vyžaduje, aby sa spracúvanie vykonávané Sprostredkovateľom v mene Prevádzkovateľa údajov riadilo zmluvou, ktorá vymedzuje predmet, trvanie, povahu a účel spracúvania, druh osobných údajov, kategórie dotknutých osôb, ako aj povinnosti a práva Prevádzkovateľa údajov.
Táto DPA je vedľajšou zmluvou k Všeobecným obchodným a servisným podmienkam (VOP) SYAGA Audit (Hlavná zmluva). V prípade rozporu medzi touto DPA a Hlavnou zmluvou v otázke týkajúcej sa ochrany údajov má prednosť táto DPA. V prípade rozporu týkajúceho sa ochrany osobných údajov má táto DPA prednosť pred VOP.
Objednaním služby SYAGA Audit Klient prijíma podmienky tejto DPA. Elektronické prijatie sa považuje za prijatie DPA v súlade s ustanoveniami platnými pre uzatváranie zmlúv elektronickou cestou.
Článok 1 - Predmet a doktrína služby
Táto DPA vymedzuje podmienky, za ktorých sa Sprostredkovateľ zaväzuje vykonávať, v mene a na základe zdokumentovaných pokynov Prevádzkovateľa údajov, operácie spracúvania osobných údajov potrebné na poskytovanie služby SYAGA Audit.
SYAGA Audit vykonáva bezpečnostný audit a audit zhody prostredia Microsoft 365 Prevádzkovateľa údajov výlučne v režime čítania: Služba nikdy nezapisuje, nemení ani nemaže žiadne dáta v auditovanom tenante.
Sprostredkovateľ uplatňuje doktrínu zero-knowledge: zber a pseudonymizácia prebiehajú v prehliadači Klienta (rozšírenie). Sprostredkovateľ nikdy nedostáva surové dáta tenantu ani prístupový token Microsoft Klienta: iba pseudonymizované odtlačky. Tokenizované výsledky auditu sa uchovávajú v zákazníckom priestore, aby ich Klient mohol znova otvoriť, pokiaľ je aktívny; v čitateľnej podobe sa rekonštruujú iba na zariadení Klienta.
Článok 2 - Povaha, účel a trvanie spracúvania
2.1 Povaha operácií. Operácie spočívajú v: zbere (čítanie, najnižšie oprávnenia) prostredníctvom rozhraní Microsoft, ktorý vykonáva rozšírenie prehliadača spustené na zariadení Klienta; lokálnej pseudonymizácii; analýze výlučne pseudonymizovaných odtlačkov Sprostredkovateľom vzhľadom na bezpečnostné referenčné rámce (ANSSI, odporúčania Microsoft, GDPR, NIS2); vrátení vo forme správ rekonštruovaných na zariadení Klienta.
2.2 Výlučný účel. Účelom je posúdenie stavu zabezpečenia a zhody Microsoft 365 tenantu Prevádzkovateľa údajov a vytvorenie súvisiacich audítorských správ. Žiadny iný účel (marketing, profilovanie, opätovné použitie na vlastné účely Sprostredkovateľa) nie je povolený.
2.3 Trvanie. Spracúvanie prebieha počas doby plnenia Hlavnej zmluvy. Surové dáta sa okamžite po odovzdaní Správy vymažú.
Článok 3 - Kategórie spracúvaných osobných údajov
Sprostredkovateľ spracúva tieto kategórie údajov:
- Konfiguračné dáta a bezpečnostné metadáta: nastavenia tenantu, zásady podmieneného prístupu, konfigurácia MFA, administrátorské role a oprávnenia, nastavenia zdieľania, stavy aktivácie bezpečnostných funkcií
- Metadáta identity a adresára: identifikátory účtov (UPN), zobrazované mená, členstvo v skupinách, atribúty adresára relevantné pre audit
- Denníky a metadáta bezpečnostných udalostí: prihlasovacie denníky, audítorské udalosti, metadáta potrebné na hodnotenie kontrol
Výslovné vylúčenia. Sprostredkovateľ nespracúva obsah e-mailov, súborov ani dokumentov. Spracúvajú sa iba metadáta a konfiguračné údaje.
Osobitné kategórie. Predmetom spracúvania nie je spracúvanie osobitných kategórií údajov v zmysle článku 9 GDPR. Prevádzkovateľ údajov sa zaväzuje nekonfigurovať službu spôsobom vedúcim k takémuto spracúvaniu.
Článok 4 - Kategórie dotknutých osôb
Dotknutými osobami sú držitelia účtov a identít v rámci tenantu Microsoft 365 Prevádzkovateľa údajov: zamestnanci, štatutári, administrátori, dodávatelia a hostia disponujúci účtom v auditovanom adresári.
Článok 5 - Zdokumentované pokyny Prevádzkovateľa údajov
Sprostredkovateľ spracúva údaje iba na základe zdokumentovaných pokynov Prevádzkovateľa údajov (čl. 28.3.a GDPR), a to aj pokiaľ ide o prenosy do tretej krajiny, s výnimkou kogentnej zákonnej povinnosti (v takom prípade o tom informuje Prevádzkovateľa údajov pred spracúvaním, pokiaľ to zákon nezakazuje).
Táto DPA, jej prílohy a VOP tvoria počiatočné zdokumentované pokyny. Sprostredkovateľ bezodkladne informuje Prevádzkovateľa údajov, ak sa domnieva, že niektorý pokyn predstavuje porušenie GDPR (čl. 28.3, posledný pododsek GDPR).
Článok 6 - Dôvernosť
Sprostredkovateľ zabezpečí, aby sa osoby oprávnené spracúvať údaje zaviazali k dôvernosti alebo podliehali primeranej zákonnej povinnosti mlčanlivosti (čl. 28.3.b GDPR) a aby absolvovali potrebné školenie o ochrane údajov. Tento záväzok trvá aj po skončení výkonu funkcie a po skončení tejto DPA.
Článok 7 - Bezpečnostné opatrenia (čl. 32 GDPR) a zosúladenie s referenčnými rámcami
Sprostredkovateľ zavádza primerané technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku (čl. 32 GDPR). Zavedené opatrenia zahŕňajú najmä:
- Architektúra zero-knowledge: zber a pseudonymizácia prebiehajú v prehliadači Klienta (rozšírenie); Sprostredkovateľ dostáva iba pseudonymizované odtlačky; surové dáta tenantu a token Microsoft mu nie sú nikdy odovzdané
- Najnižšie oprávnenia: pripojenie cez OAuth Microsoft s najužšími oprávneniami ponúkanými Microsoftom pre každý rozsah; Služba nikdy nezapisuje, nemení ani nemaže žiadne dáta auditovaného tenantu
- Šifrovanie počas prenosu: TLS 1.2/1.3 na všetkých komunikáciách; aktivované SPF, DKIM a DMARC
- Token Microsoft: nikdy neopúšťa prehliadač Klienta; Sprostredkovateľ ho nikdy nedostáva ani neukladá
- Hosting vo Francúzsku: infraštruktúra OVH (Francúzsko) prevádzkovaná pre SYAGA CONSULTING
- Správa prístupov: zásada najnižších oprávnení; menovité oprávnenia; pravidelná revízia
- Ochrana proti zneužitiu: limit 2 audity/deň/tenant; opatrenia proti DDoS
- Protokolovanie: sledovateľnosť prístupov k údajom
- Pravidelné testovanie účinnosti bezpečnostných opatrení
Zosúladenie s uznávanými bezpečnostnými rámcami
Vyššie uvedené opatrenia sú navrhnuté v súlade s nasledujúcimi referenčnými rámcami. SYAGA si nenárokuje žiadnu formálnu certifikáciu voči týmto rámcom: opatrenia sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie; ide o funkčné zosúladenie:
| Referenčný rámec | Relevantnosť pre SYAGA Audit | Oficiálny zdroj |
|---|---|---|
| GDPR (EÚ) 2016/679 | Priamo uplatniteľný právny základ. Čl. 32: technické a organizačné opatrenia. Efemérna architektúra = opatrenie minimalizácie v súlade s čl. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| Smernica NIS2 (EÚ) 2022/2555 | Opatrenia na riadenie rizík kybernetickej bezpečnosti (čl. 21 NIS2): kontinuita činnosti, riadenie incidentov, bezpečnosť sietí, šifrovanie. SYAGA Audit pomáha klientom hodnotiť ich vlastnú zhodu s NIS2 v ich M365 tenante. SYAGA, ktorej počet zamestnancov a obrat sú pod prahovými hodnotami pre významné subjekty v zmysle smernice (EÚ) 2022/2555 (50 zamestnancov alebo 10 mil. EUR), nepatrí medzi subjekty, na ktoré sa NIS2 vzťahuje. SYAGA Audit napriek tomu pomáha svojim klientom merať súlad s týmto referenčným rámcom. | eur-lex.europa.eu CELEX:32022L2555 |
| Nariadenie DORA (EÚ) 2022/2554 | Prevádzková digitálna odolnosť pre regulované finančné subjekty. SYAGA Audit môže pomôcť finančným klientom dokumentovať ich stav zhody s DORA v ich M365 tenante. Keďže SYAGA nie je regulovaným finančným subjektom, DORA sa na ňu priamo nevzťahuje; zmluvné povinnosti sa však môžu uplatniť v jednotlivých prípadoch pri klientoch z finančného sektora podliehajúcich DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Rámec ISMS: bezpečnostná politika, riadenie rizík, kontrola prístupov, šifrovanie, protokolovanie. Opatrenia SYAGA Audit sú zosúladené so zodpovedajúcimi kontrolami ISO 27002. Opatrenia SYAGA Audit sú zosúladené s požiadavkami normy ISO/IEC 27001, pričom prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie. | iso.org/standard/27001 |
| Odporúčania ANSSI | Príručka informačnej hygieny, odporúčania pre bezpečnosť informačných systémov. Opatrenia inšpirované odporúčaniami ANSSI týkajúcimi sa správy účtov, šifrovania a protokolovania. SYAGA Audit hodnotí konfigurácie M365 vzhľadom na odporúčania ANSSI. | ssi.gouv.fr |
Úplné podrobnosti technických a organizačných opatrení sú uvedené v Prílohe 1.
Článok 8 - Využitie ďalších sprostredkovateľov
Prevádzkovateľ údajov splnomocňuje Sprostredkovateľa využiť ďalších sprostredkovateľov uvedených v Prílohe 2. Pri každom novom sprostredkovateľovi alebo jeho nahradení informuje Sprostredkovateľ Prevádzkovateľa údajov písomne najmenej tridsať (30) dní pred nadobudnutím účinnosti, pričom Prevádzkovateľ údajov má tridsať (30) dní na vznesenie námietky z rozumných dôvodov súvisiacich s ochranou údajov (čl. 28.2 a 28.4 GDPR). Tieto lehoty a podmienky sa uplatňujú, pokiaľ sa Strany nedohodnú inak.
Sprostredkovateľ zmluvne ukladá ďalším sprostredkovateľom rovnaké povinnosti ochrany údajov, aké stanovuje táto DPA (čl. 28.4 GDPR), a zostáva voči Prevádzkovateľovi údajov plne zodpovedný za ich plnenie.
Článok 9 - Súčinnosť s Prevádzkovateľom údajov
9.1 Práva dotknutých osôb (čl. 12 až 22 a 28.3.e GDPR). Sprostredkovateľ bezodkladne postúpi Prevádzkovateľovi údajov každú žiadosť o uplatnenie práv prijatú priamo od dotknutej osoby a pomáha mu na ňu odpovedať.
9.2 Bezpečnosť a DPIA (čl. 32 až 36 a 28.3.f GDPR). Sprostredkovateľ pomáha Prevádzkovateľovi údajov so zabezpečením spracúvania, s vypracovaním posúdenia vplyvu (DPIA), ak je to potrebné, a s prípadnou predchádzajúcou konzultáciou s CNIL.
9.3 Porušenie ochrany údajov (čl. 33 a 34 GDPR). Sprostredkovateľ oznámi Prevádzkovateľovi údajov každé porušenie ochrany údajov najneskôr do štyridsaťosem (48) hodín od jeho zistenia, čo najskôr, tak aby Prevádzkovateľ údajov mohol dodržať 72-hodinovú lehotu podľa článku 33 GDPR, a poskytne informácie potrebné na prípadné oznámenie.
Článok 10 - Osud údajov po skončení zmluvy
Po skončení tejto DPA postupuje Sprostredkovateľ v lehote tridsiatich (30) dní od ukončenia zmluvy, podľa voľby Prevádzkovateľa údajov oznámenej písomne (čl. 28.3.g GDPR):
Poznámka: vzhľadom na efemérnu architektúru služby sa po skončení plnenia neuchovávajú žiadne audítorské dáta; uchovávajú sa iba fakturačné údaje, v súlade so zákonnými povinnosťami (10 rokov).
- buď k vráteniu spracúvaných osobných údajov Prevádzkovateľovi údajov v štruktúrovanom formáte (JSON alebo CSV podľa dostupnosti);
- alebo k bezpečnému vymazaniu všetkých údajov vrátane kópií, s výnimkou zákonnej povinnosti uchovávania.
V súlade s efemérnou architektúrou služby sú surové audítorské dáta už vymazané v okamihu odovzdania Správy. Sprostredkovateľ na požiadanie poskytne potvrdenie o vymazaní.
Článok 11 - Audity a kontroly
Sprostredkovateľ sprístupní Prevádzkovateľovi údajov všetky informácie potrebné na preukázanie súladu s povinnosťami podľa článku 28 GDPR a umožní vykonanie auditov vrátane kontrol na mieste (čl. 28.3.h GDPR).
Audity podliehajú týmto podmienkam: písomné oznámenie najmenej tridsať (30) pracovných dní vopred, realizácia počas pracovných hodín, maximálna frekvencia jeden (1) audit za obdobie dvanástich (12) mesiacov okrem výnimočných okolností (najmä preukázaný bezpečnostný incident), náklady znáša Prevádzkovateľ údajov, dôvernosť získaných informácií.
Článok 12 - Prenosy mimo Európskej únie
12.1 Hlavné umiestnenie. Údaje sa spracúvajú a hosťujú vo Francúzsku. SYAGA CONSULTING je subjekt francúzskeho práva. Nepriamu expozíciu voči CLOUD Act prostredníctvom tretích poskytovateľov nemožno úplne vylúčiť; SYAGA ju obmedzuje hostingom vo Francúzsku (OVH SAS) a najmä pseudonymizáciou: služba dostáva iba tokeny, nikdy vaše dáta v čitateľnej podobe.
12.2 Využitie Microsoftu. Prevádzkovateľ údajov berie na vedomie, že rozhranie Microsoft Graph prevádzkuje spoločnosť Microsoft Corporation (Spojené štáty). Prenosy zahŕňajúce Microsoft sú upravené štandardnými zmluvnými doložkami schválenými Európskou komisiou a prípadne rámcom EU-U.S. Data Privacy Framework. Auditované dáta sú dáta vlastného Microsoft 365 tenantu Klienta, prezerané v režime čítania v jeho mene prostredníctvom Microsoft Graph. Microsoft vystupuje ako poskytovateľ Klienta; SYAGA nie je jeho ďalším sprostredkovateľom.
12.3 Všeobecné záruky. Každý prenos mimo EÚ realizovaný Sprostredkovateľom alebo ďalším sprostredkovateľom je podmienený zavedením platného mechanizmu v zmysle kapitoly V GDPR (rozhodnutie o primeranosti, štandardné zmluvné doložky alebo iná primeraná záruka).
Článok 13 - Kontakt pre ochranu údajov
Sprostredkovateľ (SYAGA CONSULTING): kontakt pre ochranu údajov - contact@syaga.fr. Vymenovanie zodpovednej osoby pre ochranu údajov nie je povinné v zmysle článku 37 GDPR; zodpovednou osobou pre ochranu údajov je konateľ, Sébastien Questier, kontaktná osoba pre akékoľvek otázky týkajúce sa osobných údajov.
Prevádzkovateľ údajov: kontakt pre GDPR určený Klientom podľa jeho vlastných povinností.
Článok 14 - Trvanie, zmena a rozhodné právo
Táto DPA nadobúda účinnosť pri objednaní služby SYAGA Audit a zostáva v platnosti počas celej doby trvania spracúvania vykonávaného v mene Prevádzkovateľa údajov.
Každá podstatná zmena je predmetom predchádzajúceho oznámenia Prevádzkovateľovi údajov. Pokračovanie v používaní služby po uplynutí oznamovacej lehoty znamená prijatie zmien. Tieto pravidlá zmien sú v súlade s požiadavkami článku 28 GDPR na zmluvy o spracúvaní údajov.
Táto DPA sa riadi francúzskym právom. Akýkoľvek spor patrí do právomoci súdov v obvode Aix-en-Provence, s výhradou kogentných pravidiel platných pre cezhraničné spory.
Príloha 1 - Podrobný popis spracúvania a bezpečnostných opatrení (čl. 32 GDPR)
| Parameter | Popis |
|---|---|
| Účely | Bezpečnostný audit a audit zhody M365 - vytváranie správ |
| Kategórie dát | Konfiguračné metadáta, metadáta identity (UPN, mená), bezpečnostné denníky |
| Osobitné kategórie (čl. 9) | Žiadne |
| Dotknuté osoby | Účty a identity tenantu Microsoft 365 Klienta |
| Uchovávanie na strane servera | Surové dáta tenantu: nikdy sa neodovzdávajú (pseudonymizácia v prehliadači). Tokenizované výsledky: uchovávané v zákazníckom priestore, pokiaľ je Klient aktívny. |
| Miesto spracúvania | Francúzsko (infraštruktúra SYAGA CONSULTING) |
| Šifrovanie počas prenosu | TLS 1.2/1.3 - všetky komunikácie; SPF/DKIM/DMARC |
| Token Microsoft | Nikdy neopúšťa prehliadač Klienta; Sprostredkovateľ ho nikdy nedostáva |
| Architektúra | Zber a pseudonymizácia prostredníctvom rozšírenia v prehliadači Klienta; Sprostredkovateľ analyzuje iba odtlačky |
| Správa prístupov | Zásada najnižších oprávnení; menovité oprávnenia |
| Ochrana proti zneužitiu | Limit 2 audity/deň/tenant; ochrana proti DDoS |
| Protokolovanie | Minimálne technické prevádzkové a bezpečnostné denníky, bez osobných audítorských dát, uchovávané približne 12 mesiacov v súlade s odporúčaniami CNIL. |
| Zosúladenie s bezpečnostnými referenčnými rámcami | Opatrenia zosúladené s čl. 32 GDPR, ISO/IEC 27001 (prebieha proces certifikácie, avšak zatiaľ bez získanej certifikácie), odporúčaniami ANSSI. |
Príloha 2 - Zoznam schválených ďalších sprostredkovateľov
| Ďalší sprostredkovateľ | Plnenie | Lokalizácia | Záruky prenosu |
|---|---|---|---|
| Microsoft Corporation | Rozhranie Microsoft Graph - prístup v režime čítania ku konfiguračným dátam tenantu | EÚ + Spojené štáty (infraštruktúra Microsoft) | Microsoft vystupuje ako poskytovateľ Klienta (nie ako ďalší sprostredkovateľ SYAGA). Prenosy sú upravené štandardnými zmluvnými doložkami ES a účasťou Microsoftu v rámci EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Francúzsko) | Hosting platformy SYAGA Audit | Francúzsko | Neuplatňuje sa (EÚ) |
| Stripe Inc. | Platba - iba fakturačné údaje Klienta (bez dát tenantu) | Spojené štáty / EÚ | EU-U.S. Data Privacy Framework (Stripe certifikovaný) a subsidiárne štandardné zmluvné doložky ES (2021), Data Transfers Addendum spoločnosti Stripe. |
Právne odkazy
- CNIL - sprostredkovateľ, povinnosti podľa čl. 28 GDPR: cnil.fr/fr/sous-traitant
- Nariadenie (EÚ) 2016/679 (GDPR), články 4, 9, 12 až 22, 28, 32 až 36: EUR-Lex CELEX:32016R0679
- Smernica NIS2 (EÚ) 2022/2555, čl. 21: EUR-Lex CELEX:32022L2555
- Nariadenie DORA (EÚ) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI - Príručka informačnej hygieny: ssi.gouv.fr
- Zákon č. 78-17 zo 6. januára 1978 v znení neskorších predpisov: Légifrance