Personuppgiftsbiträdesavtal (DPA)
Ingånget med tillämpning av artikel 28 i förordning (EU) 2016/679 (GDPR) (källa: gdpr-info.eu/art-28-gdpr)
Berörd tjänst: SYAGA Audit -- säkerhets- och efterlevnadsgranskning av Microsoft 365, skrivskyddat läge
Version: 1.0 -- Datum: 27 juni 2026 -- Ikraftträdandedatum: 27 juni 2026
Identifiering av Parterna
Personuppgiftsbiträdet:
SYAGA CONSULTING, ett franskt aktiebolag med begränsat ansvar (SARL) med ett kapital på 20 000 euro, registrerat i handels- och bolagsregistret (RCS) i Aix-en-Provence under SIREN 518 489 471, bildat den 08/12/2009, företrätt av sin verkställande direktör Sébastien Questier, med säte på 2 Impasse Paul Langevin, 13110 Port-de-Bouc, utgivare av tjänsten SYAGA Audit, nedan kallat Personuppgiftsbiträdet.
OCH
Den personuppgiftsansvarige: den Kund som har tecknat tjänsten SYAGA Audit enligt villkoren i AV, tillgängliga på cgu.html, vars kontaktuppgifter är de som angavs vid tecknandet, nedan kallad den personuppgiftsansvarige.
Nedan tillsammans kallade Parterna.
Inledning
Detta personuppgiftsbiträdesavtal (DPA) ingås med tillämpning av artikel 28 i GDPR, som kräver att en behandling som utförs av ett personuppgiftsbiträde för en personuppgiftsansvarigs räkning regleras av ett avtal som fastställer föremålet, varaktigheten, arten och ändamålet med behandlingen, typen av personuppgifter, kategorierna av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter.
Detta DPA är underordnat de Allmänna försäljnings- och tjänstevillkoren (AV) för SYAGA Audit (Huvudavtalet). Vid motstridighet mellan detta DPA och Huvudavtalet i en fråga som rör dataskydd gäller detta DPA. Vid motstridighet gällande skydd av personuppgifter gäller detta DPA före de Allmänna villkoren.
Genom att teckna tjänsten SYAGA Audit godkänner Kunden villkoren i detta DPA. Det elektroniska godkännandet gäller som godkännande av DPA:t i enlighet med de bestämmelser som är tillämpliga vid ingående av avtal på elektronisk väg.
Artikel 1 -- Tjänstens föremål och doktrin
Detta DPA fastställer villkoren enligt vilka Personuppgiftsbiträdet åtar sig att, för den personuppgiftsansvariges räkning och enligt dennes dokumenterade instruktioner, utföra den behandling av personuppgifter som krävs för att tillhandahålla tjänsten SYAGA Audit.
SYAGA Audit genomför en säkerhets- och efterlevnadsgranskning av den personuppgiftsansvariges Microsoft 365-miljö i skrivskyddat läge: Tjänsten skriver, ändrar eller raderar aldrig någon data i den granskade tenanten.
Personuppgiftsbiträdet tillämpar en zero-knowledge-doktrin: insamlingen och pseudonymiseringen sker i Kundens webbläsare (tillägg). Personuppgiftsbiträdet tar aldrig emot rådata från tenanten eller Kundens Microsoft-åtkomsttoken: enbart pseudonymiserade avtryck. De tokeniserade granskningsresultaten sparas i kundkontot så att Kunden kan öppna dem igen, så länge kontot är aktivt. De återskapas i klartext enbart på Kundens egen dator.
Artikel 2 -- Behandlingens art, ändamål och varaktighet
2.1 Behandlingens art. Behandlingen omfattar: insamling (läsning, minsta möjliga behörighet) via Microsofts API:er, utförd av ett webbläsartillägg som körs på Kundens dator; lokal pseudonymisering; Personuppgiftsbiträdets analys av enbart de pseudonymiserade avtrycken mot säkerhetsramverk (ANSSI, Microsofts rekommendationer, GDPR, NIS2); leverans i form av rapporter som återskapas på Kundens dator.
2.2 Exklusivt ändamål. Ändamålet är att utvärdera säkerhets- och efterlevnadsläget i den personuppgiftsansvariges Microsoft 365-tenant och att ta fram tillhörande granskningsrapporter. Inget annat ändamål (marknadsföring, profilering, återanvändning för Personuppgiftsbiträdets egna syften) är tillåtet.
2.3 Varaktighet. Behandlingen utförs under hela Huvudavtalets löptid. Rådata raderas omedelbart när Rapporten levereras.
Artikel 3 -- Kategorier av personuppgifter som behandlas
Personuppgiftsbiträdet behandlar följande kategorier av uppgifter:
- Konfigurationsdata och säkerhetsmetadata: tenant-inställningar, policyer för villkorsstyrd åtkomst, MFA-konfiguration, administrativa roller och behörigheter, delningsinställningar, aktiveringsstatus för säkerhetsfunktioner
- Identitets- och katalogmetadata: kontoidentifierare (UPN), visningsnamn, gruppmedlemskap, katalogattribut som är relevanta för granskningen
- Loggar och metadata om säkerhetshändelser: anslutningsloggar, granskningshändelser, metadata som krävs för att utvärdera kontrollerna
Uttryckliga undantag. Personuppgiftsbiträdet behandlar inte innehållet i e-post, filer eller dokument. Enbart metadata och konfigurationsdata behandlas.
Särskilda kategorier. Behandlingen syftar inte till att behandla särskilda kategorier av uppgifter i den mening som avses i artikel 9 i GDPR. Den personuppgiftsansvarige åtar sig att inte konfigurera tjänsten på ett sätt som leder till sådan behandling.
Artikel 4 -- Kategorier av registrerade
De registrerade är innehavare av konton och identiteter i den personuppgiftsansvariges Microsoft 365-tenant: anställda, ledning, administratörer, leverantörer och gäster med ett konto i den granskade katalogen.
Artikel 5 -- Den personuppgiftsansvariges dokumenterade instruktioner
Personuppgiftsbiträdet behandlar uppgifterna enbart enligt dokumenterade instruktioner från den personuppgiftsansvarige (art. 28.3.a GDPR), inklusive vad gäller överföringar till tredjeland, om inte en tvingande rättslig skyldighet föreligger (i vilket fall Personuppgiftsbiträdet informerar den personuppgiftsansvarige innan behandlingen sker, om detta inte är rättsligt förbjudet).
Detta DPA, dess bilagor och AV utgör de ursprungliga dokumenterade instruktionerna. Personuppgiftsbiträdet informerar omedelbart den personuppgiftsansvarige om det anser att en instruktion strider mot GDPR (art. 28.3 sista stycket GDPR).
Artikel 6 -- Konfidentialitet
Personuppgiftsbiträdet säkerställer att de personer som har rätt att behandla uppgifterna åtar sig att iaktta konfidentialitet, eller omfattas av en lämplig lagstadgad tystnadsplikt (art. 28.3.b GDPR), och får den utbildning i dataskydd som krävs. Detta åtagande fortsätter att gälla efter att uppdraget upphört och efter att detta DPA löpt ut.
Artikel 7 -- Säkerhetsåtgärder (art. 32 GDPR) och koppling till ramverk
Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken (art. 32 GDPR). De åtgärder som finns på plats omfattar bland annat:
- Zero-knowledge-arkitektur: insamling och pseudonymisering sker i Kundens webbläsare (tillägg); Personuppgiftsbiträdet tar bara emot pseudonymiserade avtryck; rådata från tenanten och Microsoft-token skickas aldrig till Personuppgiftsbiträdet
- Minsta möjliga behörighet: inloggning via OAuth Microsoft med de snävaste behörigheter som Microsoft erbjuder för varje område; Tjänsten skriver, ändrar eller raderar aldrig någon data i den granskade tenanten
- Kryptering under överföring: TLS 1.2/1.3 för all kommunikation; SPF, DKIM och DMARC aktiverat
- Microsoft-token: lämnar aldrig Kundens webbläsare; Personuppgiftsbiträdet tar aldrig emot eller sparar den
- Drift i Frankrike: infrastruktur från OVH (Frankrike) som drivs för SYAGA CONSULTINGs räkning
- Åtkomsthantering: principen om minsta möjliga behörighet; personliga behörigheter; regelbunden granskning
- Skydd mot missbruk: tak på 2 granskningar/dag/tenant; skydd mot DDoS
- Loggning: spårbarhet för åtkomst till data
- Regelbundna tester av säkerhetsåtgärdernas effektivitet
Koppling till erkända säkerhetsramverk
Ovanstående åtgärder är utformade i linje med följande ramverk. SYAGA gör inte anspråk på någon formell certifiering mot dessa ramverk. Åtgärderna är i linje med kraven i standarden ISO/IEC 27001, ett certifieringsarbete har inletts, utan att någon certifiering har erhållits i dagsläget. Det rör sig om en funktionell anpassning:
| Regelverk | Relevans för SYAGA Audit | Officiell källa |
|---|---|---|
| GDPR (EU) 2016/679 | Direkt tillämplig rättslig grund. Art. 32: tekniska och organisatoriska åtgärder. Efemär arkitektur = en minimeringsåtgärd i enlighet med art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| NIS2-direktivet (EU) 2022/2555 | Riskhanteringsåtgärder för cybersäkerhet (art. 21 NIS2): kontinuitet i verksamheten, incidenthantering, nätverkssäkerhet, kryptering. SYAGA Audit hjälper kunder att utvärdera sin egen NIS2-efterlevnad i sin M365-tenant. SYAGA, vars personalstyrka och omsättning ligger under tröskelvärdena för viktiga entiteter enligt direktiv (EU) 2022/2555 (50 anställda eller 10 miljoner EUR), omfattas inte av NIS2:s tillämpningsområde. SYAGA Audit hjälper dock sina kunder att mäta sin efterlevnad av detta regelverk. | eur-lex.europa.eu CELEX:32022L2555 |
| DORA-förordningen (EU) 2022/2554 | Digital operativ motståndskraft för reglerade finansiella entiteter. SYAGA Audit kan hjälpa finansiella kunder att dokumentera sitt DORA-läge i sin M365-tenant. Eftersom SYAGA inte är en reglerad finansiell entitet är DORA inte direkt tillämpligt på SYAGA. Avtalsmässiga skyldigheter kan uppstå i enskilda fall för kunder inom finanssektorn som omfattas av DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | LIS-ramverk: säkerhetspolicy, riskhantering, åtkomstkontroller, kryptering, loggning. Åtgärderna i SYAGA Audit är i linje med motsvarande kontroller i ISO 27002. Åtgärderna i SYAGA Audit är i linje med kraven i standarden ISO/IEC 27001, ett certifieringsarbete har inletts, utan att någon certifiering har erhållits i dagsläget. | iso.org/standard/27001 |
| ANSSI:s rekommendationer | Handledning i IT-hygien, rekommendationer om informationssystemens säkerhet. Åtgärderna är inspirerade av ANSSI:s rekommendationer om kontohantering, kryptering och loggning. SYAGA Audit utvärderar M365-konfigurationer mot ANSSI:s rekommendationer. | ssi.gouv.fr |
Den fullständiga beskrivningen av de tekniska och organisatoriska åtgärderna finns i Bilaga 1.
Artikel 8 -- Anlitande av underbiträden
Den personuppgiftsansvarige tillåter Personuppgiftsbiträdet att anlita de underbiträden som anges i Bilaga 2. Vid tillägg eller byte av underbiträde ska Personuppgiftsbiträdet skriftligen informera den personuppgiftsansvarige minst trettio (30) dagar innan ändringen träder i kraft. Den personuppgiftsansvarige har därefter trettio (30) dagar på sig att invända mot ändringen av rimliga skäl kopplade till dataskydd (art. 28.2 och 28.4 GDPR). Dessa frister och villkor gäller om inget annat särskilt avtalats mellan Parterna.
Personuppgiftsbiträdet ålägger genom avtal sina underbiträden samma skyldigheter avseende dataskydd som föreskrivs i detta DPA (art. 28.4 GDPR) och förblir fullt ansvarigt gentemot den personuppgiftsansvarige för att dessa fullgörs.
Artikel 9 -- Bistånd till den personuppgiftsansvarige
9.1 De registrerades rättigheter (art. 12-22 och 28.3.e GDPR). Personuppgiftsbiträdet vidarebefordrar utan dröjsmål till den personuppgiftsansvarige varje begäran om att utöva rättigheter som tas emot direkt från en registrerad, och bistår med att besvara den.
9.2 Säkerhet och konsekvensbedömning (art. 32-36 och 28.3.f GDPR). Personuppgiftsbiträdet bistår den personuppgiftsansvarige med behandlingens säkerhet, genomförandet av en konsekvensbedömning (DPIA) vid behov, och ett förhandssamråd med CNIL i förekommande fall.
9.3 Personuppgiftsincidenter (art. 33 och 34 GDPR). Personuppgiftsbiträdet underrättar den personuppgiftsansvarige om varje personuppgiftsincident inom högst fyrtioåtta (48) timmar efter att ha fått kännedom om den, så snart som möjligt, för att göra det möjligt för den personuppgiftsansvarige att respektera 72-timmarsfristen enligt artikel 33 i GDPR, genom att tillhandahålla den information som behövs för en eventuell anmälan.
Artikel 10 -- Uppgifternas hantering vid avtalets upphörande
Vid detta DPA:s upphörande vidtar Personuppgiftsbiträdet, inom trettio (30) dagar efter avtalets slut, enligt den personuppgiftsansvariges skriftligen meddelade val (art. 28.3.g GDPR), en av följande åtgärder:
Observera: med tanke på tjänstens efemära arkitektur sparas ingen granskningsdata efter att tjänsten har utförts. Endast faktureringsdata sparas, i enlighet med gällande lagstadgade skyldigheter (10 år).
- antingen återlämnande till den personuppgiftsansvarige av de behandlade personuppgifterna, i ett strukturerat format (JSON eller CSV beroende på tillgänglighet);
- eller säker radering av samtliga uppgifter, inklusive kopior, om inte en lagstadgad skyldighet att spara dem föreligger.
I enlighet med tjänstens efemära arkitektur är rådata från granskningen redan raderade när Rapporten levereras. Personuppgiftsbiträdet tillhandahåller, på begäran, ett intyg om radering.
Artikel 11 -- Granskningar och kontroller
Personuppgiftsbiträdet ställer till den personuppgiftsansvariges förfogande all information som krävs för att visa att skyldigheterna enligt artikel 28 i GDPR uppfylls, och möjliggör granskningar, inklusive inspektioner (art. 28.3.h GDPR).
Granskningar omfattas av följande villkor: skriftlig förhandsanmälan minst trettio (30) arbetsdagar i förväg, genomförande under kontorstid, högst en (1) granskning per tolvmånadersperiod utom vid exceptionella omständigheter (särskilt en bekräftad säkerhetsincident), kostnaden bärs av den personuppgiftsansvarige, konfidentialitet för den information som inhämtas.
Artikel 12 -- Överföringar utanför Europeiska unionen
12.1 Huvudsaklig lokalisering. Uppgifterna behandlas och lagras i Frankrike. SYAGA CONSULTING är en enhet enligt fransk rätt. En indirekt exponering mot Cloud Act via tredjepartsleverantörer kan inte helt uteslutas. SYAGA begränsar den genom driften i Frankrike (OVH SAS) och framför allt genom pseudonymiseringen: tjänsten tar bara emot tokens, aldrig dina data i klartext.
12.2 Anlitande av Microsoft. Den personuppgiftsansvarige är medveten om att API:et Microsoft Graph drivs av Microsoft Corporation (USA). Överföringar som involverar Microsoft regleras av de standardavtalsklausuler som godkänts av Europeiska kommissionen och, i förekommande fall, av ramverket EU-U.S. Data Privacy Framework. De data som granskas är Kundens egen Microsoft 365-tenant, som läses för Kundens räkning via Microsoft Graph. Microsoft agerar som Kundens leverantör; SYAGA är inte något underbiträde till Microsoft i detta avseende.
12.3 Allmänna garantier. Varje överföring utanför EU som görs av Personuppgiftsbiträdet eller ett underbiträde förutsätter att en giltig mekanism enligt kapitel V i GDPR tillämpas (beslut om adekvat skyddsnivå, standardavtalsklausuler eller annan lämplig garanti).
Artikel 13 -- Kontakt för dataskydd
Personuppgiftsbiträde (SYAGA CONSULTING): kontaktpunkt för dataskydd -- contact@syaga.fr. Att utse ett dataskyddsombud är inte obligatoriskt enligt artikel 37 i GDPR. Ansvarig för dataskyddsfrågor är verkställande direktören, Sébastien Questier, kontaktpunkt för alla frågor om personuppgifter.
Personuppgiftsansvarig: GDPR-kontakt utsedd av Kunden enligt dennes egna skyldigheter.
Artikel 14 -- Löptid, ändring och tillämplig lag
Detta DPA träder i kraft vid tecknandet av tjänsten SYAGA Audit och gäller under hela den period behandlingen utförs för den personuppgiftsansvariges räkning.
Varje väsentlig ändring meddelas den personuppgiftsansvarige i förväg. Fortsatt användning av tjänsten efter meddelandefristen innebär att ändringarna godkänns. Dessa ändringsvillkor är i linje med kraven i artikel 28 i GDPR för personuppgiftsbiträdesavtal.
Detta DPA regleras av fransk rätt. Varje tvist faller under behörigheten för domstolarna inom Aix-en-Provence, med förbehåll för tvingande regler som gäller för gränsöverskridande tvister.
Bilaga 1 -- Detaljerad beskrivning av behandlingen och säkerhetsåtgärder (art. 32 GDPR)
| Parameter | Beskrivning |
|---|---|
| Ändamål | Säkerhets- och efterlevnadsgranskning av M365 -- framtagande av rapporter |
| Datakategorier | Konfigurationsmetadata, identitetsmetadata (UPN, namn), säkerhetsloggar |
| Särskilda kategorier (art. 9) | Ingen |
| Registrerade | Konton och identiteter i Kundens Microsoft 365-tenant |
| Lagring på serversidan | Rådata från tenanten: skickas aldrig (pseudonymisering i webbläsaren). Tokeniserade resultat: sparas i kundkontot så länge Kunden är aktiv. |
| Behandlingsort | Frankrike (SYAGA CONSULTINGs infrastruktur) |
| Kryptering under överföring | TLS 1.2/1.3 -- all kommunikation; SPF/DKIM/DMARC |
| Microsoft-token | Lämnar aldrig Kundens webbläsare; tas aldrig emot av Personuppgiftsbiträdet |
| Arkitektur | Insamling och pseudonymisering via ett tillägg i Kundens webbläsare; Personuppgiftsbiträdet analyserar enbart avtryck |
| Åtkomsthantering | Principen om minsta möjliga behörighet; personliga behörigheter |
| Skydd mot missbruk | Tak 2 granskningar/dag/tenant; skydd mot DDoS |
| Loggning | Minimala tekniska drift- och säkerhetsloggar, utan personliga granskningsdata, sparas i cirka 12 månader i enlighet med CNIL:s rekommendationer. |
| Koppling till säkerhetsramverk | Åtgärderna är i linje med GDPR art. 32, ISO/IEC 27001 (ett certifieringsarbete har inletts, utan att någon certifiering har erhållits i dagsläget), och ANSSI:s rekommendationer. |
Bilaga 2 -- Förteckning över godkända underbiträden
| Underbiträde | Tjänst | Lokalisering | Överföringsgarantier |
|---|---|---|---|
| Microsoft Corporation | API:et Microsoft Graph -- läsbehörighet till konfigurationsdata i tenanten | EU + USA (Microsofts infrastruktur) | Microsoft agerar som Kundens leverantör (inte SYAGAs underbiträde). Överföringar regleras av EU-kommissionens standardavtalsklausuler och Microsofts deltagande i ramverket EU-U.S. Data Privacy Framework. |
| OVH SAS (drift, Roubaix, Frankrike) | Drift av plattformen SYAGA Audit | Frankrike | Ej tillämpligt (EU) |
| Stripe Inc. | Betalning -- enbart Kundens faktureringsdata (utanför tenantens data) | USA / EU | EU-U.S. Data Privacy Framework (Stripe är certifierat) och, i andra hand, EU-kommissionens standardavtalsklausuler (2021) -- Stripes Data Transfers Addendum. |
Rättsliga referenser
- CNIL -- personuppgiftsbiträde, skyldigheter enligt art. 28 GDPR: cnil.fr/fr/sous-traitant
- Förordning (EU) 2016/679 (GDPR), artiklarna 4, 9, 12-22, 28, 32-36: EUR-Lex CELEX:32016R0679
- NIS2-direktivet (EU) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- DORA-förordningen (EU) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Handledning i IT-hygien: ssi.gouv.fr
- Fransk lag nr 78-17 av den 6 januari 1978 i ändrad lydelse: Légifrance