GDPR a zpracování dat
Aether365 je navržen tak, aby pomáhal organizacím s povinnostmi GDPR, ale jako platforma SaaS také zpracovává osobní údaje vaším jménem. Tato stránka vysvětluje právní základ zpracování, vaše práva a jak je uplatnit.
Role podle GDPR
| Role | Strana | Rozsah |
|---|---|---|
| Správce údajů | Vaše organizace | Vy určujete účely a prostředky zpracování (rozhodli jste se připojit svého M365 tenanta k Aether365) |
| Zpracovatel údajů | Aether365 | Zpracováváme údaje na základě vašich pokynů (provádíme bezpečnostní kontroly vašeho tenanta) |
| Subdodavatel | náš poskytovatel cloudové infrastruktury, Stripe atd. | Zpracovávají údaje jménem Aether365 - viz Uložení dat |
Právní základ zpracování
Aether365 zpracovává osobní údaje na základě následujících právních základů:
| Činnost zpracování | Právní základ | Poznámky |
|---|---|---|
| Vytvoření a správa účtu | Plnění smlouvy (čl. 6(1)(b)) | Nezbytné pro poskytování služby |
| Skenování konfigurace Microsoft 365 | Plnění smlouvy (čl. 6(1)(b)) | Základní funkce služby |
| Čtení dat Microsoft Graph | Oprávněný zájem (čl. 6(1)(f)) | Bezpečnostní skenování vyžaduje čtení konfiguračních dat |
| Odesílání e-mailů se zprávami o skenech | Plnění smlouvy | Nakonfigurovali jste e-mailová oznámení |
| Fakturace a zpracování plateb | Plnění smlouvy | Nezbytné pro placené tarify |
Zpracovávané osobní údaje
Při skenování vašeho Microsoft 365 tenanta může Aether365 číst konfigurační data obsahující osobní identifikátory:
- Hlavní uživatelská jména (UPN) - E-mailové adresy používané jako identifikátory v přiřazeních zásad
- ID objektů - Microsoft Entra ID pro uživatele, skupiny a instanční objekty
- Zobrazovaná jména - Zobrazovaná jména uživatelů a skupin v kontextu přiřazení rolí
Tato data se používají výhradně k vyhodnocení bezpečnostních kontrol a ukládají se jako součást výsledků skenů. Nejsou používána k žádnému jinému účelu.
Žádné AI ani automatizované profilování
Aether365 nevyužívá umělou inteligenci ani strojové učení ke zpracování osobních údajů, které čte z vašeho tenantu. Vaše konfigurační data a výsledky skenů nikdy nejsou odesílána do žádné služby AI nebo velkého jazykového modelu, používána k trénování AI modelů ani podrobena automatizovanému rozhodování či profilování ve smyslu GDPR Article 22.
Práva subjektů údajů
Jako správce údajů je vaše organizace zodpovědná za vyřizování žádostí subjektů údajů od vašich uživatelů Microsoft 365. Aether365 ukládá pouze konfigurační data - individuální obsah e-mailů, osobní dokumenty ani osobní korespondence se nikdy nezpracovávají.
Jako subjekt údajů vašeho vlastního účtu Aether365 (vaše e-mailová adresa a data účtu) máte podle GDPR následující práva:
| Právo | Jak uplatnit |
|---|---|
| Přístup (čl. 15) | E-mail na privacy@aether365.io |
| Oprava (čl. 16) | Aktualizujte svůj účet v Nastavení, nebo nám napište e-mail |
| Výmaz (čl. 17) | E-mail na privacy@aether365.io se žádostí o úplné smazání účtu |
| Přenositelnost (čl. 20) | Exportujte data skenů přes CSV nebo API, nebo si vyžádejte úplný export dat e-mailem |
| Omezení (čl. 18) | E-mail na privacy@aether365.io |
| Námitka (čl. 21) | E-mail na privacy@aether365.io |
Na všechny žádosti subjektů údajů odpovídáme do 30 dnů.
Smlouva o zpracování dat
Smlouva o zpracování dat (DPA) je dostupná zákazníkům s tarifem Pro a Enterprise. DPA:
- Dokumentuje povinnosti Aether365 jako zpracovatele údajů
- Specifikuje technická a organizační bezpečnostní opatření
- Uvádí subdodavatele zpracování a jejich umístění
- Definuje postupy pro žádosti subjektů údajů, porušení ochrany dat a auditní práva
Pro obdržení DPA napište na privacy@aether365.io. Zákazníci tarifu Enterprise mají DPA zahrnutou ve smlouvě; zákazníci tarifu Pro o ni mohou požádat bez jakýchkoli dalších nákladů.
Oznámení o porušení ochrany dat
V případě porušení ochrany osobních údajů ovlivňujícího vaše data vás Aether365 informuje bez zbytečného odkladu a nejpozději do 72 hodin od zjištění porušení, v souladu s článkem 33 GDPR.
Oznámení budou odeslána na e-mailovou adresu vlastníka účtu. Zákazníci tarifu Enterprise mohou určit samostatnou kontaktní adresu pro bezpečnostní záležitosti.
Hlášení bezpečnostního incidentu: security@aether365.io
Dozorový úřad
Aether365 je registrován v EU. Naším hlavním dozorovým úřadem je švédský Úřad pro ochranu osobních údajů (IMY - Integritetsskyddsmyndigheten).
Máte právo podat stížnost u svého místního dozorového úřadu, pokud se domníváte, že jsme vaše údaje zpracovali v rozporu se zákonem.