GDPR a spracovanie dát
Aether365 je navrhnutý na pomoc organizáciám s povinnosťami GDPR, ale ako platforma SaaS tiež spracúva osobné údaje vo vašom mene. Táto stránka vysvetľuje právny základ spracovania, vaše práva a spôsob ich uplatnenia.
Roly podľa GDPR
| Rola | Strana | Rozsah |
|---|---|---|
| Prevádzkovateľ | Vaša organizácia | Určujete účely a prostriedky spracovania (rozhodli ste sa pripojiť váš M365 tenant k Aether365) |
| Sprostredkovateľ | Aether365 | Spracúvame dáta podľa vašich pokynov (spúšťanie bezpečnostných kontrol vášho tenantu) |
| Subdodávateľ | náš poskytovateľ cloudovej infraštruktúry, Stripe atď. | Spracúvajú dáta v mene Aether365 - pozrite Rezidencia dát |
Právny základ spracovania
Aether365 spracúva osobné údaje na základe nasledujúcich právnych základov:
| Spracovateľská činnosť | Právny základ | Poznámky |
|---|---|---|
| Vytvorenie a správa účtu | Plnenie zmluvy (čl. 6 ods. 1 písm. b) | Potrebné na poskytovanie služby |
| Skenovanie konfigurácie Microsoft 365 | Plnenie zmluvy (čl. 6 ods. 1 písm. b) | Základná funkcia služby |
| Čítanie dát Microsoft Graph | Oprávnený záujem (čl. 6 ods. 1 písm. f) | Bezpečnostné skenovanie vyžaduje čítanie konfiguračných dát |
| Odosielanie e-mailových správ o skenoch | Plnenie zmluvy | Nakonfigurovali ste e-mailové notifikácie |
| Fakturácia a spracovanie platieb | Plnenie zmluvy | Potrebné pre platené plány |
Spracúvané osobné údaje
Keď Aether365 skenuje váš Microsoft 365 tenant, môže čítať konfiguračné dáta obsahujúce osobné identifikátory:
- User Principal Names (UPN) - e-mailové adresy používané ako identifikátory v priradeniach politík
- Object ID - Microsoft Entra ID pre používateľov, skupiny a service principals
- Zobrazované mená - mená používateľov a skupín v kontexte priradení rolí
Tieto dáta sa používajú výlučne na vyhodnotenie bezpečnostných kontrol a sú uložené ako súčasť výsledkov skenov. Na žiadny iný účel sa nepoužívajú.
Žiadne AI ani automatizované profilovanie
Aether365 nepoužíva umelú inteligenciu ani strojové učenie na spracovanie osobných údajov, ktoré číta z vášho tenantu. Vaše konfiguračné dáta a výsledky skenov nikdy nie sú odosielané do žiadnej služby AI alebo veľkého jazykového modelu, používané na trénovanie AI modelov, ani podrobené automatizovanému rozhodovaniu či profilovaniu v zmysle GDPR Article 22.
Práva dotknutých osôb
Ako prevádzkovateľ je vaša organizácia zodpovedná za vybavovanie žiadostí dotknutých osôb od vašich používateľov Microsoft 365. Aether365 ukladá iba konfiguračné dáta - obsah jednotlivých e-mailov, osobné dokumenty ani osobná korešpondencia sa nikdy nespracúvajú.
Ako dotknutá osoba vášho vlastného účtu Aether365 (vaša e-mailová adresa a dáta účtu) máte podľa GDPR nasledujúce práva:
| Právo | Ako ho uplatniť |
|---|---|
| Prístup (čl. 15) | E-mail na privacy@aether365.io |
| Oprava (čl. 16) | Aktualizujte účet v Nastaveniach alebo nám napíšte |
| Vymazanie (čl. 17) | E-mail na privacy@aether365.io so žiadosťou o úplné vymazanie účtu |
| Prenosnosť (čl. 20) | Exportujte dáta skenov cez CSV alebo API, alebo si vyžiadajte úplný export dát e-mailom |
| Obmedzenie (čl. 18) | E-mail na privacy@aether365.io |
| Námietka (čl. 21) | E-mail na privacy@aether365.io |
Na všetky žiadosti dotknutých osôb odpovedáme do 30 dní.
Zmluva o spracovaní dát
Zmluva o spracovaní dát (DPA) je k dispozícii pre zákazníkov s plánmi Pro a Enterprise. DPA:
- Dokumentuje povinnosti Aether365 ako sprostredkovateľa
- Špecifikuje technické a organizačné bezpečnostné opatrenia
- Uvádza subdodávateľov a ich lokality
- Definuje postupy pre žiadosti dotknutých osôb, narušenia bezpečnosti dát a audítne práva
DPA si vyžiadajte e-mailom na privacy@aether365.io. Zákazníci Enterprise majú DPA zahrnutú v zmluve; zákazníci Pro si ju môžu vyžiadať bez ďalších poplatkov.
Oznámenie o narušení bezpečnosti dát
V prípade narušenia ochrany osobných údajov týkajúceho sa vašich dát vás Aether365 upozorní bez zbytočného odkladu, najneskôr do 72 hodín od zistenia narušenia, v súlade s článkom 33 GDPR.
Oznámenia sa odosielajú na e-mailovú adresu vlastníka účtu. Zákazníci Enterprise môžu určiť samostatnú kontaktnú adresu pre bezpečnosť.
Pre nahlásenie bezpečnostného incidentu: security@aether365.io
Dozorný orgán
Aether365 je registrovaný v EÚ. Náš hlavný dozorný orgán je Švédsky úrad pre ochranu súkromia (IMY - Integritetsskyddsmyndigheten).
Máte právo podať sťažnosť na váš miestny dozorný orgán, ak sa domnievate, že sme vaše dáta spracovali nezákonným spôsobom.