SYAGA AuditMicrosoft 365 Edition
Domov Funkcije Varnost Kako deluje Cenik
Prijava Začni brezplačno diagnostiko

Pogodba o obdelavi podatkov (DPA)

Sklenjeno v skladu s členom 28 Uredbe (EU) 2016/679 (GDPR) (vir: gdpr-info.eu/art-28-gdpr)

Zadevna storitev: SYAGA Audit - varnostna revizija in revizija skladnosti Microsoft 365, samo branje

Različica: 1.0 - Datum: 27. junij 2026 - Datum začetka veljavnosti: 27. junij 2026


Opredelitev Pogodbenih strank

Obdelovalec:

SYAGA CONSULTING, družba z omejeno odgovornostjo (SARL) z osnovnim kapitalom 20 000 EUR, vpisana v register RCS Aix-en-Provence pod SIREN 518 489 471, ustanovljena 8. 12. 2009, ki jo zastopa poslovodja Sébastien Questier, s sedežem na naslovu 2 Impasse Paul Langevin, 13110 Port-de-Bouc, izdajateljica storitve SYAGA Audit, v nadaljevanju obdelovalec.

IN

Upravljavec: Stranka, ki je naročila storitev SYAGA Audit pod pogoji SPP, dostopnimi na naslovu cgu.html, s kontaktnimi podatki, navedenimi ob naročilu, v nadaljevanju upravljavec.

V nadaljevanju skupaj Pogodbeni stranki.


Uvod

Ta Pogodba o obdelavi podatkov (DPA) je sklenjena v skladu s členom 28 GDPR, ki zahteva, da obdelavo, ki jo izvaja obdelovalec v imenu upravljavca, ureja pogodba, ki opredeljuje predmet, trajanje, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se podatki nanašajo, ter obveznosti in pravice upravljavca.

Ta DPA je dodatek k Splošnim pogojem prodaje in storitve (SPP) SYAGA Audit (glavna Pogodba). V primeru nasprotja med tem DPA in glavno Pogodbo glede vprašanja varstva podatkov prevlada ta DPA. V primeru nasprotja glede varstva osebnih podatkov ta DPA prevlada nad SPU.

Z naročilom storitve SYAGA Audit Stranka sprejme pogoje tega DPA. Elektronska potrditev pomeni sprejetje DPA v skladu z veljavnimi določbami o sklepanju pogodb po elektronski poti.


Člen 1 - Predmet in doktrina storitve

Ta DPA določa pogoje, pod katerimi se obdelovalec zavezuje, da bo v imenu in po dokumentiranih navodilih upravljavca izvajal operacije obdelave osebnih podatkov, potrebne za zagotavljanje storitve SYAGA Audit.

SYAGA Audit izvaja varnostno revizijo in revizijo skladnosti okolja Microsoft 365 upravljavca izključno v načinu branja: Storitev v revidiranem najemniku nikoli ne piše, ne spreminja ali briše nobenih podatkov.

Obdelovalec uporablja doktrino brez razkritja podatkov (zero-knowledge): zbiranje in psevdonimizacija potekata v brskalniku Stranke (razširitev). Obdelovalec nikoli ne prejme surovih podatkov najemnika niti Microsoftovega dostopnega žetona Stranke: le psevdonimizirane odtise. Tokenizirani rezultati revizije se hranijo v uporabniškem prostoru, da jih lahko Stranka ponovno odpre, dokler je njen račun aktiven; v razumljivi obliki se ponovno kontekstualizirajo le na napravi Stranke.


Člen 2 - Narava, namen in trajanje obdelave

2.1 Narava operacij. Operacije zajemajo: zbiranje (branje, najmanjši privilegij) prek Microsoftovih vmesnikov API, ki ga izvede razširitev brskalnika, zagnana na napravi Stranke; lokalno psevdonimizacijo; analizo, ki jo obdelovalec izvede izključno na psevdonimiziranih odtisih glede na varnostne referenčne okvire (ANSSI, Microsoftova priporočila, GDPR, NIS2); vrnitev v obliki poročil, ponovno kontekstualiziranih na napravi Stranke.

2.2 Izključni namen. Namen je ocena varnostnega stanja in stanja skladnosti najemnika Microsoft 365 upravljavca ter priprava povezanih revizijskih poročil. Noben drug namen (trženje, oblikovanje profilov, ponovna uporaba za lastne potrebe obdelovalca) ni dovoljen.

2.3 Trajanje. Obdelava poteka ves čas izvajanja glavne Pogodbe. Surovi podatki se izbrišejo takoj ob izročitvi Poročila.


Člen 3 - Kategorije obdelanih osebnih podatkov

Obdelovalec obdeluje naslednje kategorije podatkov:

  • Konfiguracijski podatki in varnostni metapodatki: nastavitve najemnika, politike pogojnega dostopa, konfiguracija MFA, skrbniške vloge in dovoljenja, nastavitve deljenja, stanje omogočenosti varnostnih funkcij
  • Metapodatki identitete in imenika: identifikatorji računov (UPN), prikazna imena, članstvo v skupinah, atributi imenika, relevantni za revizijo
  • Dnevniki in metapodatki varnostnih dogodkov: dnevniki prijav, revizijski dogodki, metapodatki, potrebni za oceno kontrol

Izrecne izjeme. Obdelovalec ne obdeluje vsebine e-pošte, datotek ali dokumentov. Obdelujejo se izključno metapodatki in konfiguracijski podatki.

Posebne vrste podatkov. Namen obdelave ni obdelava posebnih vrst podatkov v smislu člena 9 GDPR. Upravljavec se zavezuje, da storitve ne bo konfiguriral tako, da bi to privedlo do takšne obdelave.


Člen 4 - Kategorije posameznikov, na katere se nanašajo podatki

Posamezniki, na katere se nanašajo podatki, so imetniki računov in identitet znotraj najemnika Microsoft 365 upravljavca: zaposleni, vodstvo, skrbniki, izvajalci in gostje z računom v revidiranem imeniku.


Člen 5 - Dokumentirana navodila upravljavca

Obdelovalec podatke obdeluje izključno po dokumentiranih navodilih upravljavca (čl. 28.3.a GDPR), tudi v zvezi s prenosi v tretjo državo, razen kadar to zahteva obvezna zakonska določba (v tem primeru o tem obvesti upravljavca pred obdelavo, razen če zakon to prepoveduje).

Ta DPA, njegove priloge in SPP predstavljajo začetna dokumentirana navodila. Obdelovalec nemudoma obvesti upravljavca, če meni, da navodilo pomeni kršitev GDPR (čl. 28.3, zadnji odstavek GDPR).


Člen 6 - Zaupnost

Obdelovalec zagotavlja, da se osebe, pooblaščene za obdelavo podatkov, zavežejo k zaupnosti ali so zavezane k ustrezni zakonski obveznosti zaupnosti (čl. 28.3.b GDPR) in prejmejo potrebno usposabljanje o varstvu podatkov. Ta zaveza velja tudi po prenehanju funkcije in po prenehanju tega DPA.


Člen 7 - Varnostni ukrepi (čl. 32 GDPR) in usklajenost z referenčnimi okviri

Obdelovalec izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustreza tveganju (čl. 32 GDPR). Uveljavljeni ukrepi med drugim vključujejo:

  • Arhitektura brez razkritja podatkov (zero-knowledge): zbiranje in psevdonimizacija potekata v brskalniku Stranke (razširitev); obdelovalec prejme le psevdonimizirane odtise; surovi podatki najemnika in Microsoftov žeton se mu nikoli ne posredujejo
  • Najmanjši privilegij: povezava prek Microsoft OAuth z najožjimi dovoljenji, ki jih Microsoft ponuja za posamezno področje; Storitev nikoli ne piše, ne spreminja ali briše nobenih podatkov revidiranega najemnika
  • Šifriranje med prenosom: TLS 1.2/1.3 na vseh komunikacijah; SPF, DKIM in DMARC omogočeni
  • Microsoftov žeton: nikoli ne zapusti brskalnika Stranke; obdelovalec ga nikoli ne prejme niti ne shranjuje
  • Gostovanje v Franciji: infrastruktura OVH (Francija), upravljana za SYAGA CONSULTING
  • Upravljanje dostopov: načelo najmanjših privilegijev; poimenska pooblastila; redni pregled
  • Zaščita pred zlorabami: omejitev 2 reviziji/dan/najemnika; ukrepi proti DDoS
  • Beleženje dnevnikov: sledljivost dostopov do podatkov
  • Redno preizkušanje učinkovitosti varnostnih ukrepov

Usklajenost s priznanimi varnostnimi okviri

Zgornji ukrepi so zasnovani skladno z naslednjimi referenčnimi okviri. SYAGA ne uveljavlja nobene formalne certifikacije glede teh okvirov: ukrepi so usklajeni z zahtevami standarda ISO/IEC 27001, postopek certificiranja pa je v teku, certifikat pa do danes še ni bil pridobljen; gre za funkcionalno usklajenost:

Referenčni okvirPomembnost za SYAGA AuditUradni vir
GDPR (EU) 2016/679 Neposredno uporabna pravna podlaga. Čl. 32: tehnični in organizacijski ukrepi. Prehodna arhitektura = ukrep minimizacije, skladen s čl. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
Direktiva NIS2 (EU) 2022/2555 Ukrepi za obvladovanje kibernetskih tveganj (čl. 21 NIS2): neprekinjeno poslovanje, obvladovanje incidentov, varnost omrežij, šifriranje. SYAGA Audit pomaga strankam oceniti njihovo lastno skladnost z NIS2 v njihovem najemniku M365. SYAGA, katere število zaposlenih in prihodki so pod pragi za pomembne subjekte v smislu Direktive (EU) 2022/2555 (50 zaposlenih ali 10 mio EUR), ne spada med subjekte, zavezane k NIS2. SYAGA Audit kljub temu svojim strankam pomaga izmeriti njihovo skladnost s tem referenčnim okvirom. eur-lex.europa.eu CELEX:32022L2555
Uredba DORA (EU) 2022/2554 Digitalna operativna odpornost za regulirane finančne subjekte. SYAGA Audit lahko finančnim strankam pomaga dokumentirati njihovo stanje glede DORA v njihovem najemniku M365. Ker SYAGA ni regulirani finančni subjekt, se DORA zanjo ne uporablja neposredno; pogodbene obveznosti pa se lahko od primera do primera uporabijo za stranke iz finančnega sektorja, zavezane k DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Okvir ISMS: varnostna politika, obvladovanje tveganj, nadzor dostopa, šifriranje, beleženje dnevnikov. Ukrepi SYAGA Audit so usklajeni z ustreznimi kontrolami ISO 27002. Ukrepi SYAGA Audit so usklajeni z zahtevami standarda ISO/IEC 27001, postopek certificiranja pa je v teku, certifikat pa do danes še ni bil pridobljen. iso.org/standard/27001
Priporočila ANSSI Vodnik po informacijski higieni, priporočila za varnost informacijskih sistemov. Ukrepi, navdihnjeni po priporočilih ANSSI glede upravljanja računov, šifriranja in beleženja dnevnikov. SYAGA Audit ocenjuje konfiguracije M365 glede na priporočila ANSSI. ssi.gouv.fr

Popolna podrobnost tehničnih in organizacijskih ukrepov je navedena v Prilogi 1.


Člen 8 - Uporaba nadaljnjih obdelovalcev

Upravljavec dovoljuje obdelovalcu, da uporablja nadaljnje obdelovalce, navedene v Prilogi 2. O vsakem novem obdelovalcu ali zamenjavi obdelovalec pisno obvesti upravljavca vsaj trideset (30) dni pred začetkom veljavnosti, upravljavec pa ima na voljo trideset (30) dni, da temu ugovarja iz razumnih razlogov, povezanih z varstvom podatkov (čl. 28.2 in 28.4 GDPR). Ti roki in postopki veljajo, razen če se Pogodbeni stranki dogovorita drugače.

Obdelovalec pogodbeno naloži nadaljnjim obdelovalcem enake obveznosti glede varstva podatkov, kot so določene v tem DPA (čl. 28.4 GDPR), in ostaja do upravljavca v celoti odgovoren za njihovo izvajanje.


Člen 9 - Pomoč upravljavcu

9.1 Pravice posameznikov (čl. 12 do 22 in 28.3.e GDPR). Obdelovalec nemudoma posreduje upravljavcu vsako zahtevo za uveljavljanje pravic, prejeto neposredno od posameznika, in mu pomaga pri odgovoru nanjo.

9.2 Varnost in DPIA (čl. 32 do 36 in 28.3.f GDPR). Obdelovalec pomaga upravljavcu pri varnosti obdelave, izvedbi ocene učinka (DPIA), če je potrebna, in predhodnem posvetovanju s CNIL, kadar je to relevantno.

9.3 Kršitve varstva podatkov (čl. 33 in 34 GDPR). Obdelovalec upravljavca obvesti o vsaki kršitvi varstva podatkov najpozneje v oseminštirideset (48) urah po tem, ko je zanjo izvedel, čim prej, tako da lahko upravljavec spoštuje 72-urni rok iz člena 33 GDPR, pri čemer zagotovi informacije, koristne za morebitno obvestilo.


Člen 10 - Usoda podatkov ob prenehanju pogodbe

Ob prenehanju tega DPA obdelovalec v roku trideset (30) dni po prenehanju pogodbe, glede na izbiro upravljavca, sporočeno pisno (čl. 28.3.g GDPR), izvede:

Opomba: glede na prehodno arhitekturo storitve se po opravljeni storitvi ne hranijo nobeni podatki revizije; hranijo se le podatki o obračunavanju, v skladu z zakonskimi obveznostmi (10 let).

  • bodisi vrnitev obdelanih osebnih podatkov upravljavcu v strukturirani obliki (JSON ali CSV, odvisno od razpoložljivosti);
  • bodisi varen izbris vseh podatkov, vključno s kopijami, razen kadar zakon zahteva njihovo hrambo.

V skladu s prehodno arhitekturo storitve se surovi podatki revizije izbrišejo že ob izročitvi Poročila. Obdelovalec na zahtevo izda potrdilo o izbrisu.


Člen 11 - Revizije in preverjanja

Obdelovalec upravljavcu zagotovi vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 GDPR, in omogoči izvedbo revizij, vključno z inšpekcijskimi pregledi (čl. 28.3.h GDPR).

Revizije so predmet naslednjih pogojev: pisno predhodno obvestilo vsaj trideset (30) delovnih dni vnaprej, izvedba v delovnem času, največja pogostost ena (1) revizija na obdobje dvanajstih (12) mesecev, razen v izjemnih okoliščinah (zlasti ob ugotovljenem varnostnem incidentu), stroški bremenijo upravljavca, zaupnost pridobljenih informacij.


Člen 12 - Prenosi zunaj Evropske unije

12.1 Glavna lokacija. Podatki se obdelujejo in gostujejo v Franciji. SYAGA CONSULTING je subjekt po francoskem pravu. Posredne izpostavljenosti ameriškemu CLOUD Act prek zunanjih ponudnikov ni mogoče popolnoma izključiti; SYAGA jo omejuje z gostovanjem v Franciji (OVH SAS) in predvsem s psevdonimizacijo: storitev prejema le žetone, nikoli vaših podatkov v čistem besedilu.

12.2 Uporaba Microsofta. Upravljavec priznava, da vmesnik Microsoft Graph API upravlja družba Microsoft Corporation (ZDA). Prenosi, ki vključujejo Microsoft, so urejeni s standardnimi pogodbenimi klavzulami, ki jih je odobrila Evropska komisija, in po potrebi z okvirom EU-U.S. Data Privacy Framework. Revidirani podatki so podatki lastnega najemnika Microsoft 365 Stranke, do katerih se dostopa v načinu branja v njenem imenu prek Microsoft Graph. Microsoft nastopa kot ponudnik Stranke; SYAGA ni njegov nadaljnji obdelovalec.

12.3 Splošna jamstva. Vsak prenos zunaj EU, ki ga izvede obdelovalec ali nadaljnji obdelovalec, je pogojen z izvajanjem veljavnega mehanizma v smislu poglavja V GDPR (sklep o ustreznosti, standardne pogodbene klavzule ali drugo ustrezno jamstvo).


Člen 13 - Kontakt za varstvo podatkov

Obdelovalec (SYAGA CONSULTING): kontaktna točka za varstvo podatkov - contact@syaga.fr. Imenovanje pooblaščene osebe za varstvo podatkov ni obvezno v smislu člena 37 GDPR; oseba, odgovorna za varstvo podatkov, je poslovodja Sébastien Questier, kontaktna točka za vsa vprašanja v zvezi z osebnimi podatki.

Upravljavec: kontakt za GDPR, ki ga določi Stranka glede na svoje lastne obveznosti.


Člen 14 - Trajanje, sprememba in uporabno pravo

Ta DPA začne veljati ob naročilu storitve SYAGA Audit in ostane v veljavi ves čas trajanja obdelave, izvedene v imenu upravljavca.

O vsaki bistveni spremembi je upravljavec predhodno obveščen. Nadaljnja uporaba storitve po izteku roka za obvestilo pomeni sprejetje sprememb. Ta način spreminjanja je skladen z zahtevami člena 28 GDPR za pogodbe o obdelavi podatkov.

Ta DPA ureja francosko pravo. Za vsak spor je pristojno sodišče v pristojnosti mesta Aix-en-Provence, ob upoštevanju kogentnih pravil, ki veljajo za čezmejne spore.


Priloga 1 - Podroben opis obdelave in varnostnih ukrepov (čl. 32 GDPR)

ParameterOpis
NameniVarnostna revizija in revizija skladnosti M365 - priprava poročil
Kategorije podatkovKonfiguracijski metapodatki, metapodatki identitete (UPN, imena), varnostni dnevniki
Posebne vrste podatkov (čl. 9)Nobena
Posamezniki, na katere se nanašajo podatkiRačuni in identitete najemnika Microsoft 365 Stranke
Hramba na strani strežnikaSurovi podatki najemnika: nikoli posredovani (psevdonimizacija v brskalniku). Tokenizirani rezultati: hranjeni v uporabniškem prostoru, dokler je račun Stranke aktiven.
Kraj obdelaveFrancija (infrastruktura SYAGA CONSULTING)
Šifriranje med prenosomTLS 1.2/1.3 - vse komunikacije; SPF/DKIM/DMARC
Microsoftov žetonNikoli ne zapusti brskalnika Stranke; obdelovalec ga nikoli ne prejme
ArhitekturaZbiranje in psevdonimizacija prek razširitve v brskalniku Stranke; obdelovalec analizira le odtise
Upravljanje dostopovNačelo najmanjših privilegijev; poimenska pooblastila
Zaščita pred zlorabamiOmejitev 2 reviziji/dan/najemnika; zaščita proti DDoS
Beleženje dnevnikovMinimalni tehnični dnevniki delovanja in varnosti, brez osebnih podatkov revizije, hranjeni približno 12 mesecev v skladu s priporočili CNIL.
Usklajenost z varnostnimi okviriUkrepi, usklajeni s čl. 32 GDPR, ISO/IEC 27001 (postopek certificiranja je v teku, certifikat pa do danes še ni bil pridobljen), priporočili ANSSI.

Priloga 2 - Seznam dovoljenih nadaljnjih obdelovalcev

Nadaljnji obdelovalecStoritevLokacijaJamstva za prenos
Microsoft Corporation Microsoft Graph API - dostop za branje do konfiguracijskih podatkov najemnika EU + ZDA (Microsoftova infrastruktura) Microsoft nastopa kot ponudnik Stranke (ni nadaljnji obdelovalec za SYAGA). Prenosi so urejeni s standardnimi pogodbenimi klavzulami ES in sodelovanjem Microsofta v okviru EU-U.S. Data Privacy Framework.
OVH SAS (gostovanje, Roubaix, Francija) Gostovanje platforme SYAGA Audit Francija Ni relevantno (EU)
Stripe Inc. Plačilo - le podatki o obračunavanju Stranke (brez podatkov najemnika) ZDA / EU EU-U.S. Data Privacy Framework (Stripe certificiran) in podredno standardne pogodbene klavzule ES (2021) - Stripeov Data Transfers Addendum.

Pravne reference

  • CNIL - obdelovalec, obveznosti čl. 28 GDPR: cnil.fr/fr/sous-traitant
  • Uredba (EU) 2016/679 (GDPR), členi 4, 9, 12 do 22, 28, 32 do 36: EUR-Lex CELEX:32016R0679
  • Direktiva NIS2 (EU) 2022/2555, čl. 21: EUR-Lex CELEX:32022L2555
  • Uredba DORA (EU) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI - Vodnik po informacijski higieni: ssi.gouv.fr
  • Zakon št. 78-17 z dne 6. januarja 1978, kakor je bil spremenjen: Légifrance
SYAGA Audit
Varnost Zasebnost CGU DPA Pravno obvestilo © 2026 SYAGA