Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Настоящото Споразумение за обработване (по-нататък "DPA") допълва Общите условия за ползване на Aegirex и уточнява задълженията на Администратора на данни (Клиента) и Обработващия данни (Издателя на Aegirex) по смисъла на Регламент (ЕС) 2016/679 (GDPR).
Обработващ данни: ARDNTECH EI, вписан в търговския регистър под №. 913308706, със седалище на адрес 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Администратор на данни: юридическо или физическо лице, абониращо се за Aegirex и използващо услугата за съхраняване и споделяне на цифрови тайни.
Aegirex е услуга за съхраняване на тайни с криптиране от край до край (zero-knowledge). Обработващият обработва данните от името на Администратора на данни изключително за следните цели:
Обработващият обработва следните категории данни и само тях:
| Категория | Засегнати данни | Правно основание (чл. 6 GDPR) |
|---|---|---|
| Потребителски акаунт | Имейл адрес, хеш Argon2id на главната парола, OpenPGP публичен ключ, опционално име. | Изпълнение на договора (чл. 6.1.б) |
| Съхранявани тайни | Непрозрачни OpenPGP blob-ове (криптирани). Обработващият не може да ги чете. | Изпълнение на договора (чл. 6.1.б) |
| Одитни логове | Събития на влизане, създаване/четене/споделяне/изтриване на тайни, IP, user-agent, HMAC подписи. | Законен интерес от сигурност (чл. 6.1.е) |
| Фактуриране | Име на компанията, SIREN, адрес, имейл за фактуриране, история на плащанията. | Правно задължение счетоводно (чл. 6.1.в) |
Засегнатите лица са: (а) потребители, оторизирани от Администратора на данни за достъп до Aegirex; (б) при необходимост, получатели на споделяния на тайни, инициирани от тези потребители; (в) контакти, идентифицирани във фактурите, издадени на Администратора на данни.
Данните се съхраняват за следните периоди:
Администраторът на данни изрично оторизира Обработващия да използва следните последващи подизпълнители:
| Подизпълнител | Цел | Страна на обработване |
|---|---|---|
| Brevo SAS | Изпращане на транзакционни имейли (известия, проверка на имейл). | FR |
| Stancer SAS | Обработване на онлайн плащания. | FR |
| Хостер (уточняване в договора) | Хостинг на приложна инфраструктура и бази данни. | FR / EU |
Всяка промяна на последващ подизпълнител е предмет на уведомление до Администратора на данни с минимален срок от 30 дни, позволяващ му да упражни мотивирано право на възражение.
Обработващият прилага следните мерки (индикативен неизчерпателен списък):
В съответствие с член 33 от GDPR, Обработващият уведомява Администратора на данни за всяко нарушение на лични данни в рамките на 48 часа от узнаване на нарушението. Уведомлението уточнява естеството, обхвата, вероятните последици и предприетите или планирани мерки.
Обработващият предоставя на Администратора на данни инструменти, позволяващи да отговори на исканията на засегнатите лица (право на достъп, корекция, изтриване, преносимост, възражение) директно от потребителския интерфейс. За всяко искане, непокрито от интерфейса, Обработващият помага на Администратора в рамките на 5 работни дни.
В края на договора (прекратяване, неподновяване) Администраторът на данни разполага с 30 дни да експортира своите данни чрез изначалната функционалност за експорт на преносимост. След този срок всички данни на Администратора се изтриват необратимо от продукционните бази. Криптираните резервни копия се изчистват в следващите 90 дни (стандартна ротация на запазване).
Никакво прехвърляне на данни към трета страна извън ЕС/ЕИП не се извършва. Обработващият не използва доставчици, подчинени на CLOUD Act (US), FISA Section 702 или еквивалентни юрисдикции. Ако подобно прехвърляне стане технически необходимо в бъдеще, Обработващият би трябвало да получи изричното и предварително съгласие на Администратора на данни.
Администраторът на данни може да назначи независим одитор (за своя сметка) за проверка на съответствието на Обработващия с ангажиментите на настоящото DPA, при условие на разумен 15-дневен срок и ангажимент за поверителност. Обработващият също така предоставя при поискване всички документи, позволяващи да се демонстрира съответствие (регистър на обработванията, доклади от пентестове и др.). За всяко искане: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
