GDPR in obdelava podatkov
Aether365 je zasnovan za pomoc organizacijam pri obveznostih GDPR, kot platforma SaaS pa obdeluje tudi osebne podatke v vasem imenu. Ta stran pojasnjuje pravno podlago za obdelavo, vase pravice in nacin njihovega uveljavljanja.
Vloge po GDPR
| Vloga | Stranka | Obseg |
|---|---|---|
| Upravljavec podatkov | Vasa organizacija | Vi dolocate namene in sredstva obdelave (izbrali ste povezavo najemnika M365 z Aether365) |
| Obdelovalec podatkov | Aether365 | Obdelujemo podatke po vaših navodilih (izvajamo varnostna preverjanja vašega najemnika) |
| Podizvajalec obdelave | naš ponudnik oblacne infrastrukture, Stripe itd. | Obdelujejo podatke v imenu Aether365 - oglejte si Rezidenca podatkov |
Pravna podlaga za obdelavo
Aether365 obdeluje osebne podatke na naslednjih pravnih podlagah:
| Dejavnost obdelave | Pravna podlaga | Opombe |
|---|---|---|
| Ustvarjanje in upravljanje racuna | Izpolnjevanje pogodbe (cl. 6(1)(b)) | Potrebno za zagotavljanje storitve |
| Skeniranje konfiguracije Microsoft 365 | Izpolnjevanje pogodbe (cl. 6(1)(b)) | Osnovna funkcija storitve |
| Branje podatkov Microsoft Graph | Zakoniti interes (cl. 6(1)(f)) | Varnostno skeniranje zahteva branje konfiguracijskih podatkov |
| Posiljanje porocil o skeniranjih po e-posti | Izpolnjevanje pogodbe | Nastavili ste obvestila po e-posti |
| Obracunavanje in obdelava placil | Izpolnjevanje pogodbe | Potrebno za placljive pakete |
Obdelani osebni podatki
Ko Aether365 skenira najemnika Microsoft 365, lahko prebere konfiguracijske podatke, ki vsebujejo osebne identifikatorje:
- Glavna imena uporabnikov (UPN) - E-poštni naslovi, ki se uporabljajo kot identifikatorji v dodelitvah pravilnikov
- ID objektov - Identifikatorji Microsoft Entra za uporabnike, skupine in storitvene entitete
- Prikazna imena - Prikazna imena uporabnikov in skupin v kontekstu dodelitev vlog
Ti podatki se uporabljajo izkljucno za vrednotenje varnostnih preverjanj in so shranjeni kot del rezultatov skeniranj. Ne uporabljajo se za noben drug namen.
Brez AI in samodejnega profiliranja
Aether365 za obdelavo osebnih podatkov, ki jih prebere iz vasega najemnika, ne uporablja umetne inteligence ali strojnega ucenja. Vasi konfiguracijski podatki in rezultati skeniranj se nikoli ne posljejo nobeni storitvi AI ali velikega jezikovnega modela, ne uporabljajo se za ucenje modelov AI niti niso predmet samodejnega sprejemanja odlocitev ali profiliranja v smislu Article 22 GDPR.
Pravice posameznikov, na katere se nanašajo osebni podatki
Kot upravljavec podatkov je vasa organizacija odgovorna za odzivanje na zahteve posameznikov s strani uporabnikov Microsoft 365. Aether365 hrani le konfiguracijske podatke - vsebina e-poste, osebni dokumenti ali osebna korespondenca se nikoli ne obdelujejo.
Kot posameznik, na katerega se nanasajo osebni podatki v zvezi z vasim racunom Aether365 (vas e-poštni naslov in podatki racuna), imate po GDPR naslednje pravice:
| Pravica | Nacin uveljavljanja |
|---|---|
| Dostop (cl. 15) | E-posta na privacy@aether365.io |
| Popravek (cl. 16) | Posodobite racun v Nastavitvah ali nam pisete |
| Izbris (cl. 17) | E-posta na privacy@aether365.io za zahtevo po celotnem brisanju racuna |
| Prenosljivost (cl. 20) | Izvozite podatke skeniranj prek CSV ali API ali zahtevajte celoten izvoz po e-posti |
| Omejitev (cl. 18) | E-posta na privacy@aether365.io |
| Ugovor (cl. 21) | E-posta na privacy@aether365.io |
Na vse zahteve posameznikov odgovorimo v 30 dneh.
Pogodba o obdelavi podatkov
Pogodba o obdelavi podatkov (DPA) je na voljo strankam s paketoma Pro in Enterprise. DPA:
- Dokumentira obveznosti Aether365 kot obdelovalca podatkov
- Določa tehnicne in organizacijske varnostne ukrepe
- Navaja podizvajalce obdelave in njihove lokacije
- Opredeljuje postopke za zahteve posameznikov, krsitve varstva podatkov in pravice revizije
Za prejem DPA pisete na privacy@aether365.io. Stranke s paketom Enterprise imajo DPA vkljucen v pogodbi; stranke s paketom Pro pa ga lahko zahtevajo brez dodatnih stroskov.
Obvestilo o krsitvi varstva podatkov
V primeru krsitve varstva osebnih podatkov, ki vpliva na vase podatke, vas bo Aether365 obvestil brez nepotrebnega odlasanja in najpozneje v 72 urah po tem, ko je izvedel za krsitev, v skladu s clenom 33 GDPR.
Obvestila bodo poslana na e-poštni naslov lastnika racuna. Stranke s paketom Enterprise lahko dolocijo locen varnostni kontaktni naslov.
Za prijavo varnostnega incidenta: security@aether365.io
Nadzorni organ
Aether365 je registriran v EU. Nas vodilni nadzorni organ je Svedski organ za varstvo zasebnosti (IMY - Integritetsskyddsmyndigheten).
Imate pravico vloziti pritožbo pri vašem lokalnem nadzornem organu, ce menite, da smo vase podatke obdelovali nezakonito.