Avamboo Encrypt

Zásady ochrany osobních údajů – Avamboo Encrypt for Outlook (New)

§ 1 Obecné informace

Tyto zásady ochrany osobních údajů platí pro doplněk Microsoft Outlook „Avamboo Encrypt for Outlook (New)“ (dále jen „Doplněk“), vyvinutý a provozovaný společností: Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de Vaše osobní údaje jsou zpracovávány pouze v souladu s ustanoveními německého zákona o ochraně osobních údajů a obecného nařízení o ochraně osobních údajů (GDPR) Evropské unie.

§ 2 Jaké údaje jsou zpracovávány?

(1) Azure AD Object ID (OID) K identifikaci uživatele se používá Azure AD Object ID (OID). Ten je poskytován službou Microsoft Identity (MSAL / Nested App Authentication) a slouží výhradně k přiřazení licence a nastavení. OID je ukládán na našich serverech. (2) E-mailová adresa uživatele E-mailová adresa přihlášeného uživatele je zpracovávána pro správu licencí a kontakt. Je ukládána na našich serverech. (3) E-mailové adresy příjemců (hashované) Pro vymáhání licenčních limitů odesílání jsou e-mailové adresy příjemců ukládány jako SHA-256 hash. Zpětné dohledání původní adresy není technicky možné. (4) Licenční a provozní údaje Informace o aktivní licenci, limity odesílání (denní/měsíční) a časová razítka aktivace jsou ukládány pro účely správy licencí. (5) Uživatelská nastavení Nastavení Doplňku (např. chování šifrování, šablony) jsou ukládána na našich serverech a přiřazena uživateli. (6) Šifrovaný klíčový materiál V rámci správce hesel jsou na našich serverech ukládány šifrované soukromé klíče a šifrované hlavní klíče. Tato data lze dešifrovat výhradně osobním uživatelským klíčem, který nám není nikdy předáván (architektura Zero-Knowledge). (7) Hesla příjemců (šifrovaná) Hesla uložená ve správci hesel jsou šifrována na straně klienta pomocí AES-256-GCM. K nezašifrovaným heslům nemáme přístup. (8) Provozní logy Pro sledovatelnost systémových akcí a provozní bezpečnost jsou vedeny interní logy. Neobsahují nezašifrovaný obsah e-mailů ani hesla.

§ 3 Účel zpracování

Údaje jsou zpracovávány výhradně pro následující účely: • Ověřování a identifikace uživatele • Správa licencí a vymáhání limitů použití • Poskytování a ukládání uživatelských nastavení • Provoz správce hesel (šifrováno, Zero-Knowledge) • Technická podpora a odstraňování chyb

§ 4 Právní základy

Zpracování probíhá na následujících právních základech: • Čl. 6 odst. 1 písm. b GDPR (plnění smlouvy) — pro licenční a provozní údaje • Čl. 6 odst. 1 písm. f GDPR (oprávněný zájem) — pro audit logy a bezpečnost

§ 5 Architektura Zero-Knowledge

Doplněk používá architekturu Zero-Knowledge pro všechny kryptografické klíče a hesla: • Veškeré operace šifrování a dešifrování probíhají výhradně na zařízení uživatele (na straně klienta). • Osobní uživatelský klíč není nikdy přenášen na naše servery. • Soukromé klíče jsou ukládány pouze v zašifrované podobě. • Hesla příjemců opouštějí zařízení pouze v zašifrované podobě. • Avamboo GmbH technicky nemá přístup k nezašifrovaným klíčům, heslům ani obsahu e-mailů.

§ 6 Předávání údajů třetím stranám

Vaše osobní údaje nejsou předávány třetím stranám, s výjimkou: • poskytovatelům hostingových služeb v rámci zpracování na základě smlouvy (provoz serverů) • pokud jsme k tomu zákonně povinni Naše servery se nacházejí v EU/Německu.

§ 7 Doba uchovávání

• OID, e-mailová adresa, licenční a provozní údaje: po dobu trvání aktivní licence + zákonné lhůty uchovávání (max. 10 let dle § 257 HGB, § 147 AO) • Hashované e-mailové adresy příjemců: automatické smazání po uplynutí příslušného zúčtovacího období • Šifrovaný klíčový materiál a hesla: do smazání uživatelem nebo na výslovnou žádost o smazání na adrese info@avamboo.de • Provozní logy: po dobu nezbytnou pro provozní bezpečnost

§ 8 Práva subjektu údajů

Vůči nám máte následující práva: 1. Právo na přístup (čl. 15 GDPR) 2. Právo na opravu (čl. 16 GDPR) 3. Právo na výmaz (čl. 17 GDPR) 4. Právo na omezení zpracování (čl. 18 GDPR) 5. Právo na přenositelnost údajů (čl. 20 GDPR) 6. Právo vznést námitku (čl. 21 GDPR) 7. Právo odvolat souhlas (čl. 7 odst. 3 GDPR) 8. Právo podat stížnost u dozorového úřadu (čl. 77 GDPR) Pro uplatnění vašich práv se obracejte na: info@avamboo.de

§ 9 Právo podat stížnost u dozorového úřadu

Bez ohledu na jiný správní nebo soudní prostředek nápravy máte právo podat stížnost u dozorového úřadu, pokud se domníváte, že zpracování vašich osobních údajů porušuje GDPR. Příslušný dozorový úřad: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach https://www.lda.bayern.de

§ 10 Správce údajů

Avamboo GmbH; Christian Braumüller Bahnhofsallee 13a 86438 Kissing Telefon: 0821 57086670 info@avamboo.de