SYAGA AuditMicrosoft 365 Edition
Domov Funkcije Varnost Kako deluje Cenik
Prijava Začni brezplačno diagnostiko

Politika zasebnosti

Različica 1.0 - Zadnja posodobitev: 25. junij 2026


Uvod

Namen te Politike zasebnosti je obvestiti uporabnike in stranke storitve SYAGA Audit o tem, kako se njihovi osebni podatki zbirajo, obdelujejo in varujejo, v skladu z Uredbo (EU) 2016/679 z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov (GDPR) in francoskim zakonom št. 78-17 z dne 6. januarja 1978, kakor je bil spremenjen, o informatiki, evidencah in svoboščinah.

SYAGA Audit je storitev varnostne revizije in revizije skladnosti okolja Microsoft 365, ki deluje izključno v načinu branja nad konfiguracijami in metapodatki najemnika Microsoft 365 stranke. Storitev ne dostopa do vsebine sporočil, datotek ali e-pošte uporabnikov revidiranega najemnika in ne shranjuje nobenega gesla.

Ta dokument izpolnjuje obveznost obveščanja iz člena 13 (neposredno zbiranje) in člena 14 (posredno zbiranje) GDPR.


1. Identiteta in kontaktni podatki upravljavca

Upravljavec za podatke o računu in vodenje odnosa s stranko je:

SYAGA CONSULTING

  • Oblika: družba z omejeno odgovornostjo (SARL) z osnovnim kapitalom 20.000 EUR
  • SIREN: 518 489 471 - RCS Aix-en-Provence
  • Sedež družbe: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Identifikacijska številka za DDV znotraj EU: FR93 518489471
  • E-pošta: contact@syaga.fr

Razmejitev obdelovalec / upravljavec: za konfiguracijske podatke in metapodatke najemnika Microsoft 365, zbrane med revizijo, SYAGA deluje kot obdelovalec v smislu člena 28 GDPR, stranka pa ostaja upravljavec svojih lastnih podatkov M365. Ta politika zajema področje, na katerem SYAGA deluje kot upravljavec (podatki o računu, obračunavanje, podpora). Obdelava, izvedena v imenu stranke, je urejena s Pogodbo o obdelavi podatkov (DPA).

Kontakt za varstvo podatkov

Za vsako vprašanje v zvezi z varstvom podatkov: contact@syaga.fr

Imenovanje pooblaščene osebe za varstvo podatkov ni obvezno v smislu člena 37 GDPR; upravljavec, v osebi poslovodje, je kontaktna točka za vsa vprašanja v zvezi z osebnimi podatki.


2. Zbrani osebni podatki

2.1 Podatki o računu in vodenju odnosa s stranko

SYAGA kot upravljavec zbira:

  • Identiteta kontaktne osebe: ime, priimek, funkcija
  • Poslovni podatki: e-poštni naslov, naziv družbe
  • Podatki za avtentikacijo v Storitev (žeton Microsoft OAuth, brez shranjevanja gesel na strani SYAGA Audit)
  • Podatki o obračunavanju in vodenju pogodb
  • Podatki podpore in komunikacije
  • Tehnični dnevniki prijav (naslovi IP, časovni žigi)

2.2 Podatki revizije (konfiguracija in metapodatki Microsoft 365)

V okviru revizije Storitev v načinu branja prek vmesnika Microsoft Graph API dostopa do konfiguracijskih podatkov in metapodatkov najemnika M365 stranke, zlasti:

  • Nastavitve varnostne konfiguracije (politike pogojnega dostopa, nastavitve MFA, nastavitve deljenja)
  • Metapodatki uporabniških računov (UPN, vloge, status MFA, atributi imenika Entra ID)
  • Kazalniki in metapodatki varnostnega stanja (Secure Score, opozorila o konfiguraciji)

Česa Storitev ne zbira: vsebine e-pošte, datotek, dokumentov, sporočil, gesel, občutljivih podatkov v smislu člena 9 GDPR.

Prehodna arhitektura: revizija poteka v delovnem pomnilniku, znotraj enkratnega, odvržljivega vsebnika za pregled (brez shranjevanja na disk). Poročilo se stranki izroči enkrat, nato se surovi podatki pregleda in dostopni žeton izbrišejo. Žeton je ves čas trajanja revizije šifriran v mirovanju (Fernet). Najdaljši varnostni TTL: 2 uri. SYAGA na strani strežnika hrani le podatke o obračunavanju, v skladu z zakonskimi obveznostmi.

2.3 Piškotki in sledilniki

Spletno mesto syaga.eu uporablja izključno nujno potrebne piškotke za delovanje Storitve:

  • __jsc: varnostni piškotek proti botom, trajanje seje
  • vigil_audit: sejni piškotek, trajanje seje

Ne uporabljamo nobenega piškotka za merjenje obiskanosti (Google Analytics, Matomo ali podobno) niti nobenega oglaševalskega piškotka. Ti nujno potrebni piškotki so izvzeti iz zahteve po predhodnem soglasju v skladu s smernicami CNIL z dne 4. julija 2023 (vir: cnil.fr - piškotki in sledilniki). Zadostuje obvestilo o teh piškotkih.


3. Nameni in pravne podlage obdelave

V skladu s členom 6 GDPR vsaka obdelava temelji na opredeljeni pravni podlagi:

NamenPravna podlaga (čl. 6 GDPR)
Zagotavljanje in izvajanje revizijske Storitve; ustvarjanje in upravljanje uporabniškega računaIzvajanje pogodbe - čl. 6.1.b
Obračunavanje, računovodstvo, izterjavaZakonska obveznost (Trgovinski zakonik, čl. L.123-22) in izvajanje pogodbe - čl. 6.1.c in 6.1.b
Podpora in tehnična pomočIzvajanje pogodbe - čl. 6.1.b
Varnost Storitve, preprečevanje goljufij, beleženje dnevnikovZakoniti interes - čl. 6.1.f
Nujno potrebni piškotkiIzvzeti iz soglasja (smernice CNIL)

Za podatke revizije najemnika (razdelek 2.2) SYAGA deluje po navodilih stranke (upravljavca). Glej DPA.


4. Prejemniki in obdelovalci

Podatki se posredujejo le pooblaščenim osebam znotraj SYAGA CONSULTING ter obdelovalcem, ki delujejo pod pogoji člena 28 GDPR:

  • Microsoft Corporation: ponudnik vmesnika Microsoft Graph API, ki se uporablja izključno v načinu branja za dostop do konfiguracijskih podatkov najemnika stranke. Revidirani podatki so podatki lastnega najemnika Microsoft 365 Stranke, do katerih se dostopa v načinu branja v njenem imenu prek Microsoft Graph. Microsoft nastopa kot ponudnik Stranke; SYAGA ni njegov nadaljnji obdelovalec.
  • Stripe Inc.: ponudnik plačilnih storitev za obdelavo podatkov o obračunavanju. Prenosi k Stripe so urejeni z okvirom EU-U.S. Data Privacy Framework, za katerega je Stripe certificiran, in podredno s standardnimi pogodbenimi klavzulami Evropske komisije (2021), vključenimi v Stripeov Data Transfers Addendum (viri: stripe.com/legal/dpa in stripe.com/legal/dta).
  • Ponudnik gostovanja: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Francija (RCS Lille Metropole 424 761 419). Storitev gostuje v Franciji pri družbi OVH SAS (francoski ponudnik gostovanja), tehničnem obdelovalcu za SYAGA CONSULTING. SYAGA CONSULTING prejema le psevdonimizirane podatke (žetone).

Noben podatek se ne prodaja niti posreduje tretjim osebam v komercialne namene.

Podatki se lahko posredujejo upravnim ali sodnim organom, kadar to zahteva zakon.


5. Roki hrambe

Podatki se hranijo za obdobje, ki ne presega tistega, potrebnega za namene obdelave (čl. 5.1.e GDPR):

Kategorija podatkovRok hrambe
Surovi podatki revizije (ugotovitve, dostopni žeton)Ničelna hramba na strani strežnika: podatki se izbrišejo ob izročitvi Poročila (prehodna arhitektura, najdaljši TTL 2 uri)
Podatki aktivnega uporabniškega računaTrajanje pogodbenega razmerja, nato izbris v 30 dneh po odpovedi
Podatki o obračunavanju in knjigovodska dokumentacija10 let od zaključka poslovnega leta (zakonska obveznost, čl. L.123-22 Trgovinskega zakonika)
Tehnični dnevniki (dnevniki prijav)12 mesecev (priporočilo CNIL)

6. Prenosi podatkov zunaj Evropske unije

Infrastruktura, na kateri gostuje Storitev SYAGA Audit, se nahaja v Franciji. SYAGA načeloma ne izvaja nobenega prenosa podatkov zunaj EU/EGP.

Glede Microsofta: upravljavec priznava, da vmesnik Microsoft Graph API upravlja družba Microsoft Corporation (ZDA). Morebitni prenosi, ki vključujejo Microsoft, so urejeni z njegovimi standardnimi pogodbenimi klavzulami, ki jih je odobrila Evropska komisija, in po potrebi z njegovim sodelovanjem v okviru EU-U.S. Data Privacy Framework. Revidirani podatki so podatki lastnega najemnika Microsoft 365 Stranke, do katerih se dostopa v načinu branja v njenem imenu prek Microsoft Graph. Microsoft nastopa kot ponudnik Stranke. Morebitni prenosi, ki vključujejo Microsoftovo infrastrukturo, so urejeni s standardnimi pogodbenimi klavzulami, ki jih je odobrila Evropska komisija, in s sodelovanjem Microsofta v okviru EU-U.S. Data Privacy Framework.

Stripe Inc. izvaja prenose podatkov zunaj EU, urejene z mehanizmi, skladnimi s poglavjem V GDPR. Prenosi k Stripe so urejeni z okvirom EU-U.S. Data Privacy Framework, za katerega je Stripe certificiran, in podredno s standardnimi pogodbenimi klavzulami Evropske komisije (2021), vključenimi v Stripeov Data Transfers Addendum.


7. Pravice posameznikov

V skladu s členi 15 do 22 GDPR ima vsak posameznik naslednje pravice:

  • Pravica do dostopa (čl. 15 GDPR): pridobiti potrditev, da se podatki v zvezi z njo obdelujejo, in njihovo kopijo
  • Pravica do popravka (čl. 16): doseči popravek netočnih ali nepopolnih podatkov
  • Pravica do izbrisa (čl. 17): doseči izbris v primerih, ki jih določa GDPR
  • Pravica do omejitve obdelave (čl. 18)
  • Pravica do prenosljivosti podatkov (čl. 20): prejeti svoje podatke v strukturirani, strojno berljivi obliki
  • Pravica do ugovora (čl. 21): ugovarjati obdelavi iz razlogov, povezanih s posebnim položajem posameznika, in kadar koli v zvezi s trženjem
  • Pravica do preklica soglasja (čl. 7.3) kadar koli, kadar obdelava temelji na soglasju
  • Pravica po smrti (čl. 85 francoskega zakona Informatique et Libertes): določiti navodila glede usode podatkov po smrti

Pomembno za podatke revizije: za konfiguracijske podatke in metapodatke najemnika je treba zahteve za uveljavljanje pravic nasloviti na stranko (upravljavca), ki po potrebi zaprosi SYAGA (čl. 28.3.e GDPR).

Način uveljavljanja

Te pravice se uveljavljajo z zahtevo na naslov contact@syaga.fr ali po pošti na naslov SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Odgovor je posredovan v roku enega meseca (čl. 12.3 GDPR), ki se lahko v primeru zahtevnosti podaljša za dva meseca.

Pritožba pri CNIL

Vsak posameznik ima pravico vložiti pritožbo pri CNIL (čl. 77 GDPR):

CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Pariz Cedex 07 - www.cnil.fr


8. Varnost podatkov (čl. 32 GDPR)

SYAGA izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju (čl. 32 GDPR):

  • Prehodna arhitektura: revizija poteka v delovnem pomnilniku, v enkratnem vsebniku za pregled brez shranjevanja na disk; surovi podatki se izbrišejo ob izročitvi Poročila
  • Najmanjši privilegij: povezava prek Microsoft OAuth z najožjimi dovoljenji, ki jih Microsoft ponuja za posamezno revidirano področje; Storitev nikoli ne piše, ne spreminja ali briše nobenih podatkov najemnika
  • Šifriranje med prenosom: TLS 1.2/1.3 na vseh komunikacijah; SPF, DKIM in DMARC omogočeni za e-pošto
  • Šifriranje v mirovanju: dostopni žeton je šifriran (Fernet) ves čas trajanja revizije
  • Gostovanje v Franciji: infrastruktura OVH (Francija)
  • Nadzor dostopa: načelo najmanjših privilegijev; poimenska pooblastila
  • Zaščita pred zlorabami: omejitev 2 reviziji/dan/najemnika, ukrepi proti DDoS
  • Obveščanje o kršitvah: postopek v skladu s čl. 33 in 34 GDPR (obvestilo CNIL v 72 urah)

Usklajenost z več referenčnimi okviri

Varnostni ukrepi SYAGA Audit so zasnovani skladno z več priznanimi varnostnimi referenčnimi okviri. SYAGA ne uveljavlja nobene formalne certifikacije glede teh okvirov: ukrepi so usklajeni z zahtevami standarda ISO/IEC 27001, postopek certificiranja pa je v teku, certifikat pa do danes še ni bil pridobljen; ukrepi so usklajeni z in navdihnjeni po naslednjih okvirih:

  • GDPR (Uredba EU 2016/679): neposredno uporabna pravna podlaga - eur-lex.europa.eu CELEX:32016R0679
  • Direktiva NIS2 (Direktiva EU 2022/2555): ukrepi za obvladovanje tveganj, varnost omrežij in informacijskih sistemov - eur-lex.europa.eu CELEX:32022L2555. SYAGA, katere število zaposlenih in prihodki so pod pragi za pomembne subjekte v smislu Direktive (EU) 2022/2555 (50 zaposlenih ali 10 mio EUR), ne spada med subjekte, zavezane k NIS2. SYAGA Audit kljub temu svojim strankam pomaga izmeriti njihovo skladnost s tem referenčnim okvirom (vir: monespacenis2.cyber.gouv.fr).
  • DORA (Uredba EU 2022/2554): digitalna operativna odpornost za finančni sektor - eur-lex.europa.eu CELEX:32022R2554. Ker SYAGA ni regulirani finančni subjekt, se Uredba (EU) 2022/2554 (DORA) zanjo ne uporablja neposredno; pogodbene obveznosti pa se lahko od primera do primera uporabijo, kadar je stranka finančni subjekt, zavezan k DORA (vir: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: referenčni okvir za sisteme upravljanja informacijske varnosti (ISMS) - iso.org/standard/27001. Ukrepi SYAGA Audit so usklajeni z zahtevami standarda ISO/IEC 27001, postopek certificiranja pa je v teku, certifikat pa do danes še ni bil pridobljen.
  • Priporočila ANSSI: Vodnik po informacijski higieni in priporočila francoske Nacionalne agencije za varnost informacijskih sistemov - ssi.gouv.fr.

SYAGA Audit svojim strankam natančno pomaga izmeriti njihovo lastno skladnost s temi referenčnimi okviri (GDPR, NIS2, ANSSI) znotraj njihovega okolja Microsoft 365.


9. Spremembe te politike

Ta Politika se lahko posodablja, da odraža pravne, regulativne ali tehnične spremembe. Veljavna je različica, objavljena na https://syaga.eu/confidentialite.html. V primeru bistvene spremembe bodo registrirani uporabniki o tem obveščeni po e-pošti v razumnem roku pred začetkom veljavnosti sprememb.


10. Kontakt

Za vsako vprašanje v zvezi s to politiko ali varstvom vaših podatkov:

  • E-pošta: contact@syaga.fr
  • Naslov: SYAGA CONSULTING - 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Pravne in dokumentarne reference

  • Uredba (EU) 2016/679 (GDPR), celotno besedilo: eur-lex.europa.eu CELEX:32016R0679
  • Zakon št. 78-17 z dne 6. januarja 1978, kakor je bil spremenjen: Légifrance
  • CNIL - pravice posameznikov: cnil.fr
  • CNIL - piškotki: cnil.fr
  • Direktiva NIS2 (EU) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Uredba DORA (EU) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Vodnik po informacijski higieni: ssi.gouv.fr
SYAGA Audit
Varnost Zasebnost Splošni pogoji uporabe DPA Pravno obvestilo © 2026 SYAGA