GDPR и обработка на данни
Aether365 е проектиран да помага на организациите със задълженията им по GDPR, но като SaaS платформа също обработва лични данни от ваше име. Тази страница обяснява правното основание за обработката, вашите права и как да ги упражните.
Роли по GDPR
| Роля | Страна | Обхват |
|---|---|---|
| Администратор на данни | Вашата организация | Вие определяте целите и средствата за обработка (избрали сте да свържете вашия M365 tenant към Aether365) |
| Обработващ данни | Aether365 | Ние обработваме данни по ваши инструкции (изпълняваме проверки за сигурност на вашия tenant) |
| Подизпълнител | Нашият доставчик на облачна инфраструктура, Stripe и др. | Обработват данни от името на Aether365 - вижте Местоположение на данните |
Правно основание за обработка
Aether365 обработва лични данни на следните правни основания:
| Дейност по обработка | Правно основание | Бележки |
|---|---|---|
| Създаване и управление на акаунт | Изпълнение на договор (чл. 6, ал. 1, б. "б") | Необходимо за предоставяне на услугата |
| Сканиране на конфигурацията на Microsoft 365 | Изпълнение на договор (чл. 6, ал. 1, б. "б") | Основна функция на услугата |
| Четене на данни от Microsoft Graph | Законен интерес (чл. 6, ал. 1, б. "е") | Сканирането за сигурност изисква четене на конфигурационни данни |
| Изпращане на имейл отчети от сканирания | Изпълнение на договор | Вие сте конфигурирали имейл известията |
| Таксуване и обработка на плащания | Изпълнение на договор | Необходимо за платените планове |
Обработвани лични данни
Когато Aether365 сканира вашия Microsoft 365 tenant, може да чете конфигурационни данни, съдържащи лични идентификатори:
- User Principal Names (UPN-и) - Имейл адреси, използвани като идентификатори в присвояванията на политики
- Object ID-та - Microsoft Entra ID-та за потребители, групи и service principal-и
- Показвани имена - Имена на потребители и групи в контекста на присвояване на роли
Тези данни се използват само за оценяване на проверки за сигурност и се съхраняват като част от резултатите от сканирания. Не се използват за друга цел.
Без AI или автоматизирано профилиране
Aether365 не използва изкуствен интелект или машинно обучение за обработка на личните данни, които чете от вашия tenant. Вашите конфигурационни данни и резултати от сканирания никога не се изпращат към AI услуги или услуги с големи езикови модели, не се използват за обучение на AI модели и не подлежат на автоматизирано вземане на решения или профилиране по смисъла на Article 22 от GDPR.
Права на субекта на данни
Като Администратор на данни вашата организация отговаря за отговаряне на заявки от субекти на данни от вашите Microsoft 365 потребители. Aether365 съхранява само конфигурационни данни - съдържание на имейли, лични документи или лична кореспонденция никога не се обработват.
Като субект на данни на вашия собствен акаунт в Aether365 (вашият имейл адрес и данни за акаунта) имате следните права по GDPR:
| Право | Как да го упражните |
|---|---|
| Достъп (чл. 15) | Изпратете имейл до privacy@aether365.io |
| Коригиране (чл. 16) | Актуализирайте акаунта си в Settings или ни изпратете имейл |
| Изтриване (чл. 17) | Изпратете имейл до privacy@aether365.io за пълно изтриване на акаунта |
| Преносимост (чл. 20) | Експортирайте данните от сканиранията чрез CSV или API, или заявете пълен износ на данни по имейл |
| Ограничаване (чл. 18) | Изпратете имейл до privacy@aether365.io |
| Възражение (чл. 21) | Изпратете имейл до privacy@aether365.io |
Отговаряме на всички заявки от субекти на данни в рамките на 30 дни.
Споразумение за обработка на данни
Споразумение за обработка на данни (DPA) е налично за клиенти на плановете Pro и Enterprise. DPA:
- Документира задълженията на Aether365 като обработващ данни
- Уточнява техническите и организационните мерки за сигурност
- Изброява подизпълнителите и тяхното местоположение
- Определя процедурите за заявки от субекти на данни, нарушения на данните и права за одит
За да получите DPA, изпратете имейл до privacy@aether365.io. Enterprise клиентите получават DPA като част от договора си; клиентите на план Pro могат да го заявят без допълнителни разходи.
Уведомяване за нарушение на данни
В случай на нарушение на лични данни, засягащо вашите данни, Aether365 ще ви уведоми без неоправдано забавяне и не по-късно от 72 часа след узнаването за нарушението, в съответствие с чл. 33 от GDPR.
Уведомленията ще бъдат изпратени на имейл адреса на собственика на акаунта. Enterprise клиентите могат да определят отделен адрес за контакт по сигурността.
За докладване на инцидент със сигурността: security@aether365.io
Надзорен орган
Aether365 е регистриран в ЕС. Нашият водещ надзорен орган е Шведският орган за защита на личните данни (IMY - Integritetsskyddsmyndigheten).
Имате право да подадете жалба до местния си надзорен орган, ако считате, че сме обработили данните ви незаконосъобразно.