Avamboo Encrypt

Izjava o varstvu podatkov – Avamboo Encrypt for Outlook (New)

§ 1 Splošno

Ta izjava o varstvu podatkov velja za dodatek Microsoft Outlook „Avamboo Encrypt for Outlook (New)“ (v nadaljevanju „Dodatek“), ki ga razvija in upravlja: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de Vaši osebni podatki se obdelujejo samo v skladu z določbami nemškega prava o varstvu podatkov in Splošne uredbe o varstvu podatkov (GDPR) Evropske unije.

§ 2 Kateri podatki se obdelujejo?

(1) Azure AD Object ID (OID) Za identifikacijo uporabnika se uporablja Azure AD Object ID (OID). Zagotovi ga Microsoft Identity (MSAL / Nested App Authentication) in služi izključno za dodelitev licence in nastavitev. OID se shrani na naših strežnikih. (2) E-poštni naslov uporabnika E-poštni naslov prijavljenega uporabnika se obdeluje za upravljanje licenc in navezavo stika. Shrani se na naših strežnikih. (3) E-poštni naslovi prejemnikov (hashirani) Za uveljavljanje licenčnih omejitev pošiljanja se e-poštni naslovi prejemnikov shranjujejo kot SHA-256 hash. Tehnično ni mogoče vzpostaviti povratne povezave z izvirnim naslovom. (4) Licenčni in uporabniški podatki Informacije o aktivni licenci, omejitvah pošiljanja (dnevnih/mesečnih) in časovnih žigih aktivacije se shranjujejo za upravljanje licenc. (5) Uporabniške nastavitve Nastavitve Dodatka (npr. vedenje pri šifriranju, predloge) se shranjujejo na naših strežnikih in so dodeljene uporabniku. (6) Šifriran ključni material V okviru upravitelja gesel se na naših strežnikih shranjujejo šifrirani zasebni ključi in šifrirani glavni ključi. Ti podatki so dešifrabilni izključno z osebnim uporabniškim ključem uporabnika, ki nam ni nikoli posredovan (arhitektura Zero-Knowledge). (7) Gesla prejemnikov (šifrirana) Gesla, shranjena v upravitelju gesel, se šifrirajo na strani odjemalca z AES-256-GCM. Nimamo dostopa do nešifriranih gesel. (8) Operativni dnevniki Za sledljivost sistemskih dejanj in za operativno varnost se vodijo notranji dnevniki. Ti ne vsebujejo nešifriranih e-poštnih vsebin ali gesel.

§ 3 Namen obdelave

Podatki se obdelujejo izključno za naslednje namene: • avtentikacija in identifikacija uporabnika • upravljanje licenc in uveljavljanje omejitev uporabe • zagotavljanje in shranjevanje uporabniških nastavitev • delovanje upravitelja gesel (šifrirano, Zero-Knowledge) • tehnična podpora in odpravljanje napak

§ 4 Pravne podlage

Obdelava poteka na naslednjih pravnih podlagah: • čl. 6(1)(b) GDPR (izpolnjevanje pogodbe) — za licenčne in uporabniške podatke • čl. 6(1)(f) GDPR (zakoniti interes) — za revizijske dnevnike in varnost

§ 5 Arhitektura Zero-Knowledge

Dodatek uporablja arhitekturo Zero-Knowledge za vse kriptografske ključe in gesla: • Vse operacije šifriranja in dešifriranja potekajo izključno na napravi uporabnika (na strani odjemalca). • Osebni uporabniški ključ se nikoli ne prenese na naše strežnike. • Zasebni ključi se shranjujejo samo v šifrirani obliki. • Gesla prejemnikov zapustijo napravo izključno v šifrirani obliki. • Avamboo GmbH tehnično nima dostopa do nešifriranih ključev, gesel ali vsebin e-pošte.

§ 6 Posredovanje podatkov tretjim osebam

Vaših osebnih podatkov ne posredujemo tretjim osebam, razen: • ponudnikom gostovanja v okviru obdelave po pogodbi (delovanje strežnikov) • če smo k temu zakonsko zavezani Naši strežniki se nahajajo v EU/Nemčiji.

§ 7 Trajanje hrambe

• OID, e-poštni naslov, licenčni in nastavitveni podatki: za čas aktivne licence + zakonske obveznosti hrambe (največ 10 let skladno z § 257 HGB, § 147 AO) • Hashirani e-poštni naslovi prejemnikov: samodejno izbris po poteku posameznega obračunskega obdobja • Šifriran ključni material in gesla: do izbrisa s strani uporabnika ali na izrecno zahtevo za izbris na info@avamboo.de • Operativni dnevniki: za obdobje, potrebno za operativno varnost

§ 8 Pravice posameznika

Do nas imate naslednje pravice: 1. Pravica do dostopa (čl. 15 GDPR) 2. Pravica do popravka (čl. 16 GDPR) 3. Pravica do izbrisa (čl. 17 GDPR) 4. Pravica do omejitve obdelave (čl. 18 GDPR) 5. Pravica do prenosljivosti podatkov (čl. 20 GDPR) 6. Pravica do ugovora (čl. 21 GDPR) 7. Pravica do preklica privolitve (čl. 7(3) GDPR) 8. Pravica do pritožbe pri nadzornem organu (čl. 77 GDPR) Za uveljavljanje svojih pravic se obrnite na: info@avamboo.de

§ 9 Pravica do pritožbe pri nadzornem organu

Brez poseganja v druge upravne ali sodne pravne sredstva imate pravico do pritožbe pri nadzornem organu, če menite, da obdelava vaših osebnih podatkov krši GDPR. Pristojni nadzorni organ: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de

§ 10 Upravljavec

Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de