GDPR un datu apstrāde
Uztur: Aether365 komanda Auditorija: Datu aizsardzības speciālisti un juridiskās komandas Tvērums: GDPR lomas, datu subjekta tiesības un Aether365 atbilstības saistības
Aether365 ir izstrādāts, lai palīdzētu organizācijām pildīt GDPR pienākumus, taču kā SaaS platforma tas arī apstrādā personas datus jūsu vārdā. Šajā lapā ir izskaidrots apstrādes juridiskais pamats, jūsu tiesības un kā tās īstenot.
Lomas saskaņā ar GDPR
| Loma | Puse | Tvērums |
|---|---|---|
| Datu pārzinis | Jūsu organizācija | Jūs nosakāt apstrādes mērķus un līdzekļus (jūs izvēlējāties savienot savu M365 nomnieku ar Aether365) |
| Datu apstrādātājs | Aether365 | Mēs apstrādājam datus pēc jūsu norādījumiem (veicot drošības pārbaudes jūsu nomniekā) |
| Apakšapstrādātājs | mūsu mākoņa infrastruktūras nodrošinātājs, Stripe u.c. | Apstrādā datus Aether365 vārdā - skatiet Datu atrašanās vietu |
Apstrādes juridiskais pamats
Aether365 apstrādā personas datus, pamatojoties uz šādiem juridiskajiem pamatiem:
| Apstrādes darbība | Juridiskais pamats | Piezīmes |
|---|---|---|
| Konta izveide un pārvaldība | Līguma izpilde (6. panta 1. punkta b) apakšpunkts) | Nepieciešams pakalpojuma sniegšanai |
| Microsoft 365 konfigurācijas skenēšana | Līguma izpilde (6. panta 1. punkta b) apakšpunkts) | Pamata pakalpojuma funkcija |
| Microsoft Graph datu nolasīšana | Leģitīmas intereses (6. panta 1. punkta f) apakšpunkts) | Drošības skenēšanai nepieciešams nolasīt konfigurācijas datus |
| Skenēšanas atskaišu e-pastu sūtīšana | Līguma izpilde | Jūs konfigurējāt e-pasta paziņojumus |
| Norēķini un maksājumu apstrāde | Līguma izpilde | Nepieciešams maksas plāniem |
Apstrādātie personas dati
Kad Aether365 skenē jūsu Microsoft 365 nomnieku, tas var nolasīt konfigurācijas datus, kas ietver personu identifikatorus:
- Lietotāju galvenie vārdi (UPN) - E-pasta adreses, ko izmanto kā identifikatorus politiku piešķīrumos
- Objektu ID - Microsoft Entra ID lietotājiem, grupām un pakalpojuma principāliem
- Attēlojamie vārdi - Lietotāju un grupu attēlojamie vārdi lomu piešķīrumu kontekstā
Šie dati tiek izmantoti vienīgi drošības pārbaužu izvērtēšanai un tiek glabāti kā skenēšanas rezultātu daļa. Tie netiek izmantoti nekādiem citiem mērķiem.
Bez AI vai automatizētas profilēšanas
Aether365 neizmanto mākslīgo intelektu vai mašīnmācīšanos, lai apstrādātu personas datus, ko tas nolasa no jūsu nomnieka. Jūsu konfigurācijas dati un skenēšanas rezultāti nekad netiek nosūtīti nevienam AI vai lielo valodas modeļu pakalpojumam, netiek izmantoti AI modeļu apmācībai un netiek pakļauti automatizētai lēmumu pieņemšanai vai profilēšanai GDPR Article 22 izpratnē.
Datu subjekta tiesības
Kā datu pārzinis jūsu organizācija ir atbildīga par datu subjekta pieprasījumu izpildi no jūsu Microsoft 365 lietotājiem. Aether365 glabā tikai konfigurācijas datus - individuāls e-pasta saturs, personas dokumenti vai personīga sarakste nekad netiek apstrādāti.
Kā sava Aether365 konta datu subjektam (jūsu e-pasta adrese un konta dati) jums ir šādas GDPR tiesības:
| Tiesības | Kā īstenot |
|---|---|
| Piekļuve (15. pants) | Rakstiet uz privacy@aether365.io |
| Labošana (16. pants) | Atjauniniet savu kontu Iestatījumos vai rakstiet mums |
| Dzēšana (17. pants) | Rakstiet uz privacy@aether365.io, lai pieprasītu pilnīgu konta dzēšanu |
| Pārnesamība (20. pants) | Eksportējiet savus skenēšanas datus caur CSV vai API, vai pieprasiet pilnu datu eksportu pa e-pastu |
| Ierobežošana (18. pants) | Rakstiet uz privacy@aether365.io |
| Iebildumi (21. pants) | Rakstiet uz privacy@aether365.io |
Mēs atbildam uz visiem datu subjekta pieprasījumiem 30 dienu laikā.
Datu apstrādes līgums
Datu apstrādes līgums (DPA) ir pieejams Pro un Enterprise plānu klientiem. DPA:
- Dokumentē Aether365 kā datu apstrādātāja pienākumus
- Nosaka tehniskos un organizatoriskos drošības pasākumus
- Uzskaita apakšapstrādātājus un to atrašanās vietas
- Definē procedūras datu subjekta pieprasījumiem, datu pārkāpumiem un audita tiesībām
Lai saņemtu DPA, rakstiet uz privacy@aether365.io. Enterprise klientiem DPA ir iekļauts viņu līgumā; Pro klienti to var pieprasīt bez papildu maksas.
Datu aizsardzības pārkāpuma paziņojums
Personas datu aizsardzības pārkāpuma gadījumā, kas ietekmē jūsu datus, Aether365 paziņos jums bez nepamatotas kavēšanās un ne vēlāk kā 72 stundu laikā pēc pārkāpuma konstatēšanas saskaņā ar GDPR 33. pantu.
Paziņojumi tiks nosūtīti uz konta īpašnieka e-pasta adresi. Enterprise klienti var norādīt atsevišķu drošības kontaktadresi.
Lai ziņotu par drošības incidentu: security@aether365.io
Uzraudzības iestāde
Aether365 ir reģistrēts ES. Mūsu vadošā uzraudzības iestāde ir Zviedrijas Privātuma aizsardzības iestāde (IMY - Integritetsskyddsmyndigheten).
Jums ir tiesības iesniegt sūdzību savai vietējai uzraudzības iestādei, ja uzskatāt, ka esam apstrādājuši jūsu datus nelikumīgi.