GDPR ir duomenų tvarkymas
Prižiūri: Aether365 komanda Auditorija: Duomenų apsaugos pareigūnai ir teisininkų komandos Apimtis: GDPR vaidmenys, duomenų subjekto teisės ir Aether365 atitikties įsipareigojimai
Aether365 sukurta padėti organizacijoms vykdyti GDPR įsipareigojimus, tačiau kaip SaaS platforma ji taip pat tvarko asmens duomenis jūsų vardu. Šiame puslapyje paaiškinamas teisinis tvarkymo pagrindas, jūsų teisės ir kaip jomis pasinaudoti.
Vaidmenys pagal GDPR
| Vaidmuo | Šalis | Apimtis |
|---|---|---|
| Duomenų valdytojas | Jūsų organizacija | Jūs nustatote tvarkymo tikslus ir priemones (jūs pasirinkote prijungti savo M365 tenantą prie Aether365) |
| Duomenų tvarkytojas | Aether365 | Mes tvarkome duomenis pagal jūsų nurodymus (vykdome saugumo patikras jūsų tenante) |
| Sub-tvarkytojas | mūsų debesų infrastruktūros tiekėjas, Stripe ir kt. | Tvarko duomenis Aether365 vardu - žr. Duomenų saugojimo vieta |
Teisinis tvarkymo pagrindas
Aether365 tvarko asmens duomenis remdamasi šiais teisiniais pagrindais:
| Tvarkymo veikla | Teisinis pagrindas | Pastabos |
|---|---|---|
| Paskyros kūrimas ir valdymas | Sutarties vykdymas (6 str. 1 d. b p.) | Būtina paslaugai teikti |
| Microsoft 365 konfigūracijos skenavimas | Sutarties vykdymas (6 str. 1 d. b p.) | Pagrindinė paslaugos funkcija |
| Microsoft Graph duomenų skaitymas | Teisėtas interesas (6 str. 1 d. f p.) | Saugumo skenavimui reikia skaityti konfigūracijos duomenis |
| Skenavimo ataskaitų el. laiškų siuntimas | Sutarties vykdymas | Jūs sukonfigūravote el. pašto pranešimus |
| Atsiskaitymas ir mokėjimų apdorojimas | Sutarties vykdymas | Būtina mokamiems planams |
Tvarkomi asmens duomenys
Skenuodama jūsų Microsoft 365 tenantą, Aether365 gali nuskaityti konfigūracijos duomenis, kuriuose yra asmens identifikatorių:
- Naudotojo pagrindiniai vardai (UPN) - El. pašto adresai, naudojami kaip identifikatoriai politikų priskyrimuose
- Objektų ID - Microsoft Entra ID naudotojams, grupėms ir tarnybiniams principalams
- Rodomi vardai - Naudotojų ir grupių rodomi vardai rolių priskyrimo kontekste
Šie duomenys naudojami tik saugumo patikroms vertinti ir saugomi kaip skenavimo rezultatų dalis. Jie nenaudojami jokiam kitam tikslui.
Jokio AI ar automatizuoto profiliavimo
Aether365 nenaudoja dirbtinio intelekto ar mašininio mokymosi tvarkydama asmens duomenis, kuriuos nuskaito iš jūsų tenanto. Jūsų konfigūracijos duomenys ir skenavimo rezultatai niekada nesiunčiami jokiai AI ar didžiojo kalbos modelio tarnybai, nenaudojami AI modeliams treniruoti ir nėra automatizuoto sprendimų priėmimo ar profiliavimo objektas pagal GDPR Article 22.
Duomenų subjekto teisės
Kaip duomenų valdytojas, jūsų organizacija atsako už atsakymą į savo Microsoft 365 naudotojų duomenų subjekto užklausas. Aether365 saugo tik konfigūracijos duomenis - atskirų el. laiškų turinys, asmeniniai dokumentai ar asmeninė korespondencija niekada nėra tvarkomi.
Kaip savo paties Aether365 paskyros (jūsų el. pašto adreso ir paskyros duomenų) duomenų subjektas, pagal GDPR turite šias teises:
| Teisė | Kaip pasinaudoti |
|---|---|
| Prieiga (15 str.) | Rašykite privacy@aether365.io |
| Ištaisymas (16 str.) | Atnaujinkite savo paskyrą Nustatymuose arba parašykite mums |
| Ištrynimas (17 str.) | Rašykite privacy@aether365.io, kad paprašytumėte pilno paskyros ištrynimo |
| Perkeliamumas (20 str.) | Eksportuokite savo skenavimų duomenis per CSV ar API arba paprašykite pilno duomenų eksporto el. paštu |
| Apribojimas (18 str.) | Rašykite privacy@aether365.io |
| Prieštaravimas (21 str.) | Rašykite privacy@aether365.io |
Į visas duomenų subjekto užklausas atsakome per 30 dienų.
Duomenų tvarkymo sutartis
Duomenų tvarkymo sutartis (DPA) prieinama klientams, naudojantiems Pro ir Enterprise planus. DPA:
- Aprašo Aether365 įsipareigojimus kaip duomenų tvarkytojo
- Nurodo technines ir organizacines saugumo priemones
- Išvardija sub-tvarkytojus ir jų vietas
- Apibrėžia duomenų subjekto užklausų, duomenų pažeidimų ir audito teisių procedūras
Norėdami gauti DPA, rašykite privacy@aether365.io. Enterprise klientams DPA įtraukta į jų sutartį; Pro klientai gali jos paprašyti be papildomo mokesčio.
Pranešimas apie duomenų pažeidimą
Įvykus jūsų duomenis paveikusiam asmens duomenų pažeidimui, Aether365 informuos jus be nepagrįsto delsimo ir ne vėliau kaip per 72 valandas nuo sužinojimo apie pažeidimą, vadovaudamasi GDPR Article 33.
Pranešimai bus siunčiami paskyros savininko el. pašto adresu. Enterprise klientai gali nurodyti atskirą saugumo kontakto adresą.
Norėdami pranešti apie saugumo incidentą: security@aether365.io
Priežiūros institucija
Aether365 registruota ES. Mūsų pagrindinė priežiūros institucija yra Švedijos privatumo apsaugos institucija (IMY - Integritetsskyddsmyndigheten).
Turite teisę pateikti skundą savo vietos priežiūros institucijai, jei manote, kad jūsų duomenis tvarkėme neteisėtai.