RODO i przetwarzanie danych
Autor: Zespół Aether365 Odbiorcy: Inspektorzy ochrony danych i zespoły prawne Zakres: Role w RODO, prawa osób, których dane dotyczą, oraz zobowiązania Aether365 w zakresie zgodności
Aether365 został zaprojektowany, aby pomagać organizacjom w wypełnianiu obowiązków wynikających z RODO, ale jako platforma SaaS przetwarza również dane osobowe w Twoim imieniu. Na tej stronie wyjaśniamy podstawę prawną przetwarzania, Twoje prawa i sposób ich realizacji.
Role w RODO
| Rola | Podmiot | Zakres |
|---|---|---|
| Administrator danych | Twoja organizacja | Ty określasz cele i sposoby przetwarzania (to Ty zdecydowałeś o podłączeniu tenanta M365 do Aether365) |
| Podmiot przetwarzający | Aether365 | Przetwarzamy dane na Twoje polecenie (przeprowadzanie kontroli bezpieczeństwa Twojego tenanta) |
| Podprzetwarzający | nasz dostawca infrastruktury chmurowej, Stripe itp. | Przetwarzają dane w imieniu Aether365 - patrz Rezydencja danych |
Podstawa prawna przetwarzania
Aether365 przetwarza dane osobowe na następujących podstawach prawnych:
| Czynność przetwarzania | Podstawa prawna | Uwagi |
|---|---|---|
| Tworzenie i zarządzanie kontem | Wykonanie umowy (art. 6 ust. 1 lit. b) | Niezbędne do świadczenia usługi |
| Skanowanie konfiguracji Microsoft 365 | Wykonanie umowy (art. 6 ust. 1 lit. b) | Podstawowa funkcja usługi |
| Odczytywanie danych z Microsoft Graph | Uzasadniony interes (art. 6 ust. 1 lit. f) | Skanowanie bezpieczeństwa wymaga odczytu danych konfiguracji |
| Wysyłanie raportów e-mail ze skanów | Wykonanie umowy | Skonfigurowałeś powiadomienia e-mail |
| Rozliczenia i przetwarzanie płatności | Wykonanie umowy | Niezbędne dla płatnych planów |
Przetwarzane dane osobowe
Podczas skanowania tenanta Microsoft 365 Aether365 może odczytywać dane konfiguracyjne zawierające identyfikatory osobowe:
- User Principal Names (UPN) - adresy e-mail używane jako identyfikatory w przypisaniach zasad
- Object ID - identyfikatory Microsoft Entra dla użytkowników, grup i jednostek usługowych
- Nazwy wyświetlane - nazwy użytkowników i grup w kontekście przypisań ról
Dane te są wykorzystywane wyłącznie do ewaluacji kontroli bezpieczeństwa i przechowywane jako część wyników skanów. Nie są wykorzystywane w żadnym innym celu.
Brak AI i automatycznego profilowania
Aether365 nie wykorzystuje sztucznej inteligencji ani uczenia maszynowego do przetwarzania danych osobowych odczytywanych z Twojego tenanta. Dane konfiguracyjne i wyniki skanów nigdy nie są przesyłane do żadnej usługi AI ani dużego modelu językowego, wykorzystywane do trenowania modeli AI ani poddawane zautomatyzowanemu podejmowaniu decyzji lub profilowaniu w rozumieniu Article 22 RODO.
Prawa osób, których dane dotyczą
Jako administrator danych Twoja organizacja jest odpowiedzialna za odpowiadanie na żądania osób, których dane dotyczą, od użytkowników Microsoft 365. Aether365 przechowuje jedynie dane konfiguracyjne - treści wiadomości e-mail, dokumenty osobiste ani korespondencja osobista nigdy nie są przetwarzane.
Jako osoba, której dane dotyczą, w odniesieniu do własnego konta Aether365 (Twój adres e-mail i dane konta) masz następujące prawa wynikające z RODO:
| Prawo | Sposób realizacji |
|---|---|
| Dostęp (art. 15) | Wyślij wiadomość na adres privacy@aether365.io |
| Sprostowanie (art. 16) | Zaktualizuj swoje konto w Ustawieniach lub wyślij nam wiadomość |
| Usunięcie (art. 17) | Wyślij wiadomość na adres privacy@aether365.io z prośbą o pełne usunięcie konta |
| Przenoszenie danych (art. 20) | Wyeksportuj dane skanów przez CSV lub API albo poproś o pełny eksport danych e-mailem |
| Ograniczenie przetwarzania (art. 18) | Wyślij wiadomość na adres privacy@aether365.io |
| Sprzeciw (art. 21) | Wyślij wiadomość na adres privacy@aether365.io |
Na wszystkie żądania osób, których dane dotyczą, odpowiadamy w ciągu 30 dni.
Umowa powierzenia przetwarzania danych
Umowa powierzenia przetwarzania danych (DPA) jest dostępna dla klientów planów Pro i Enterprise. DPA:
- Dokumentuje obowiązki Aether365 jako podmiotu przetwarzającego
- Określa techniczne i organizacyjne środki bezpieczeństwa
- Wymienia podprzetwarzających i ich lokalizacje
- Definiuje procedury dotyczące żądań osób, których dane dotyczą, naruszeń danych i praw audytu
Aby otrzymać DPA, wyślij wiadomość na adres privacy@aether365.io. Klienci Enterprise mają DPA dołączoną do umowy; klienci Pro mogą o nią poprosić bez dodatkowych kosztów.
Powiadomienie o naruszeniu danych
W przypadku naruszenia ochrony danych osobowych dotyczącego Twoich danych Aether365 powiadomi Cię bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od uzyskania informacji o naruszeniu, zgodnie z art. 33 RODO.
Powiadomienia będą wysyłane na adres e-mail właściciela konta. Klienci Enterprise mogą wskazać oddzielny adres kontaktowy ds. bezpieczeństwa.
Aby zgłosić incydent bezpieczeństwa: security@aether365.io
Organ nadzorczy
Aether365 jest zarejestrowany w UE. Naszym wiodącym organem nadzorczym jest szwedzki Urząd Ochrony Prywatności (IMY - Integritetsskyddsmyndigheten).
Masz prawo złożyć skargę do lokalnego organu nadzorczego, jeśli uważasz, że przetwarzaliśmy Twoje dane niezgodnie z prawem.