GDPR та обробка даних
Aether365 розроблений для допомоги органiзацiям у виконаннi зобов'язань за GDPR, але як SaaS-платформа вiн також обробляє персональнi данi вiд вашого iменi. На цiй сторiнцi описано правову основу обробки, вашi права та як їх реалiзувати.
Ролi за GDPR
| Роль | Сторона | Обсяг |
|---|---|---|
| Контролер даних | Ваша органiзацiя | Ви визначаєте цiлi та засоби обробки (ви вирiшили пiдключити свiй M365 tenant до Aether365) |
| Процесор даних | Aether365 | Ми обробляємо данi за вашими iнструкцiями (виконання перевiрок безпеки вашого tenant'у) |
| Субпроцесор | наш провайдер хмарної iнфраструктури, Stripe тощо | Обробляють данi вiд iменi Aether365 - див. Розмiщення даних |
Правова основа обробки
Aether365 обробляє персональнi данi на наступних правових пiдставах:
| Дiяльнiсть з обробки | Правова основа | Примiтки |
|---|---|---|
| Створення та управлiння облiковим записом | Виконання договору (Ст. 6(1)(b)) | Необхiдно для надання послуги |
| Сканування конфiгурацiї Microsoft 365 | Виконання договору (Ст. 6(1)(b)) | Основна функцiя послуги |
| Читання даних Microsoft Graph | Законний iнтерес (Ст. 6(1)(f)) | Безпекове сканування потребує читання даних конфiгурацiї |
| Надсилання email-звiтiв про сканування | Виконання договору | Ви налаштували email-сповiщення |
| Бiлiнг та обробка платежiв | Виконання договору | Необхiдно для платних планiв |
Персональнi данi, що обробляються
Коли Aether365 сканує ваш Microsoft 365 tenant, вiн може зчитувати данi конфiгурацiї, що мiстять персональнi iдентифiкатори:
- User Principal Names (UPN) - Електроннi адреси, що використовуються як iдентифiкатори у призначеннях полiтик
- Object ID - Iдентифiкатори Microsoft Entra для користувачiв, груп та service principal
- Вiдображуванi iмена - Iмена користувачiв та груп у контекстi призначення ролей
Цi данi використовуються виключно для оцiнювання перевiрок безпеки та зберiгаються як частина результатiв сканувань. Вони не використовуються для жодних iнших цiлей.
Жодного AI чи автоматизованого профiлювання
Aether365 не використовує штучний iнтелект чи машинне навчання для обробки персональних даних, якi вiн зчитує з вашого tenant. Вашi данi конфiгурацiї та результати сканувань нiколи не передаються жодному сервiсу AI чи великих мовних моделей, не використовуються для навчання AI-моделей i не пiддаються автоматизованому прийняттю рiшень чи профiлюванню у розумiннi Article 22 GDPR.
Права суб'єктiв даних
Як контролер даних, ваша органiзацiя вiдповiдає за реагування на запити суб'єктiв даних вiд ваших користувачiв Microsoft 365. Aether365 зберiгає лише данi конфiгурацiї - iндивiдуальний вмiст електронної пошти, особистi документи або особисте листування нiколи не обробляються.
Як суб'єкт даних вашого власного облiкового запису Aether365 (ваша електронна адреса та данi облiкового запису), ви маєте наступнi права за GDPR:
| Право | Як реалiзувати |
|---|---|
| Доступ (Ст. 15) | Напишiть на privacy@aether365.io |
| Виправлення (Ст. 16) | Оновiть облiковий запис у Налаштуваннях або напишiть нам |
| Видалення (Ст. 17) | Напишiть на privacy@aether365.io для повного видалення |
| Портативнiсть (Ст. 20) | Експортуйте данi сканувань через CSV або API, або запитайте повний експорт даних листом |
| Обмеження (Ст. 18) | Напишiть на privacy@aether365.io |
| Заперечення (Ст. 21) | Напишiть на privacy@aether365.io |
Ми вiдповiдаємо на всi запити суб'єктiв даних протягом 30 днiв.
Угода про обробку даних
Угода про обробку даних (DPA) доступна клiєнтам на планах Pro та Enterprise. DPA:
- Документує зобов'язання Aether365 як процесора даних
- Визначає технiчнi та органiзацiйнi заходи безпеки
- Перелiчує субпроцесорiв та їх мiсцезнаходження
- Визначає процедури для запитiв суб'єктiв даних, порушень даних та прав аудиту
Щоб отримати DPA, напишiть на privacy@aether365.io. Для клiєнтiв Enterprise DPA включено в договiр; клiєнти Pro можуть запросити її без додаткової оплати.
Повiдомлення про порушення даних
У разi порушення персональних даних, що стосується ваших даних, Aether365 повiдомить вас без невиправданої затримки i не пiзнiше нiж через 72 години пiсля виявлення порушення, вiдповiдно до Статтi 33 GDPR.
Повiдомлення надсилатимуться на електронну адресу власника облiкового запису. Клiєнти Enterprise можуть визначити окрему контактну адресу для питань безпеки.
Для повiдомлення про iнцидент безпеки: security@aether365.io
Наглядовий орган
Aether365 зареєстрований в ЄС. Наш головний наглядовий орган - Шведське вiдомство з захисту конфiденцiйностi (IMY - Integritetsskyddsmyndigheten).
Ви маєте право подати скаргу до вашого мiсцевого наглядового органу, якщо вважаєте, що ми обробили вашi данi незаконно.