Solidarita s Ukrajinou. Služba nabízena ukrajinským firmám po dobu trvání války. Požádat o bezplatný přístup
DPA RGPD · Art. 28

Smlouva o zpracování dat

Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.

 Šablona - poslední aktualizace - 16/06/2026 RGPD natif Zero-knowledge Hébergement France

Sommaire

1 · Identifikace stran 2 · Předmět a účely zpracování 3 · Kategorie zpracovávaných dat 4 · Kategorie subjektů údajů 5 · Doby uchovávání 6 · Schválení následní zpracovatelé 7 · Technická a organizační bezpečnostní opatření 8 · Notifikace o porušeních dat 9 · Práva subjektů údajů 10 · Navrácení / odstranění na konci smlouvy 11 · Přenos mimo Evropskou unii 12 · Audit a spolupráce  Signature

Préambule

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Identifikace stran

Tato Smlouva o zpracování (dále "DPA") doplňuje Všeobecné obchodní podmínky Aegirex a upřesňuje povinnosti Správce dat (Klienta) a Zpracovatele (Vydavatele Aegirex) ve smyslu Nařízení (EU) 2016/679 (GDPR).

Zpracovatel: ARDNTECH EI, zapsaná v obchodním rejstříku pod č. 913308706, se sídlem na adrese 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.

Správce dat: právnická nebo fyzická osoba předplácející Aegirex a využívající službu k uchovávání a sdílení digitálních tajemství.

Article 2

2. Předmět a účely zpracování

Aegirex je služba uchovávání tajemství se šifrováním end-to-end (zero-knowledge). Zpracovatel zpracovává data jménem Správce dat výhradně pro následující účely:

  • Uchovávání neprůhledných kryptografických blobů (tajemství šifrovaná veřejným klíčem Správce, nikdy dešifrovatelná na straně serveru).
  • Autentizace, správa účtů, správa členství v organizacích.
  • Vystavování operačních notifikací (varování úniku HIBP opt-in, pozvánka člena, audit upozornění).
Article 3

3. Kategorie zpracovávaných dat

Zpracovatel zpracovává následující kategorie dat, a pouze ty:

Kategorie Dotčená data Právní základ (čl. 6 GDPR)
Uživatelský účet E-mailová adresa, hash Argon2id hlavního hesla, OpenPGP veřejný klíč, volitelné jméno. Plnění smlouvy (čl. 6.1.b)
Uložená tajemství Neprůhledné OpenPGP bloby (šifrované). Zpracovatel je nemůže číst. Plnění smlouvy (čl. 6.1.b)
Audit logy Události přihlášení, vytvoření/čtení/sdílení/odstranění tajemství, IP, user-agent, HMAC signatury. Oprávněný zájem na bezpečnosti (čl. 6.1.f)
Fakturace Obchodní název, SIREN, adresa, fakturační e-mail, historie plateb. Právní povinnost účetní (čl. 6.1.c)
Article 4

4. Kategorie subjektů údajů

Subjekty údajů jsou: (a) uživatelé oprávnění Správcem dat k přístupu do Aegirex; (b) případně příjemci sdílení tajemství iniciovaných těmito uživateli; (c) kontakty identifikované na fakturách vystavených Správci dat.

Article 5

5. Doby uchovávání

Data jsou uchovávána po následující doby:

  • Uživatelský účet: dokud je účet aktivní, odstraněno do 30 dnů po explicitní žádosti nebo ukončení.
  • Tajemství: dokud je uživatel neodstraní. Odstranění nevratné a okamžité na akci uživatele.
  • Audit logy: 13 měsíců (doba doporučená CNIL pro dohledatelnost), poté anonymizovaná archivace.
  • Fakturační data: 10 let (právní povinnost obchodního zákoníku L123-22).
  • Technické aplikační logy (mimo audit): 30 dní rolling, automatická anonymizace IP po této době.
Article 6

6. Schválení následní zpracovatelé

Správce dat výslovně opravňuje Zpracovatele k použití následujících následných zpracovatelů:

Zpracovatel Účel Země zpracování
Brevo SAS Odesílání transakčních e-mailů (notifikace, ověření e-mailu). FR
Stancer SAS Zpracování onlinových plateb. FR
Hostitel (k upřesnění ve smlouvě) Hostování aplikační infrastruktury a databází. FR / EU

Jakákoliv změna následného zpracovatele podléhá notifikaci Správci dat s minimálně 30 denní lhůtou, umožňující uplatnit motivované právo na námitku.

Article 7

7. Technická a organizační bezpečnostní opatření

Zpracovatel zavádí následující opatření (orientační nevyčerpávající seznam):

  • Šifrování end-to-end tajemství (OpenPGP.js v6, křivky ECC curve25519, AES-256-GCM SEIPDv2).
  • Derivace klíčů z hlavního hesla přes Argon2id (5 průchodů, 256 MiB, parallelism 4).
  • Kryptografický audit chain HMAC-SHA-256 ověřitelný, detekce v O(1) jakékoliv změny.
  • Povinný TLS 1.3 v transportu, HSTS preload, certifikáty Let's Encrypt nebo Buypass obnovované automaticky.
  • Dvoufaktorová autentizace (TOTP RFC 6238 + e-mail) se šifrovanými obnovovacími kódy.
  • Denní šifrované zálohy, uchovávané 30 dní, čtvrtletně testované obnovení.
  • Roční penetrační test PASSI auditorem (od V1.0 GA).
Article 8

8. Notifikace o porušeních dat

V souladu s článkem 33 GDPR Zpracovatel oznamuje Správci dat jakékoliv porušení osobních údajů do 48 hodin od okamžiku, kdy se o porušení dozvěděl. Notifikace upřesňuje povahu, rozsah, pravděpodobné důsledky a přijatá nebo plánovaná opatření.

Article 9

9. Práva subjektů údajů

Zpracovatel poskytuje Správci dat nástroje umožňující reagovat na žádosti subjektů údajů (právo na přístup, opravu, výmaz, přenositelnost, námitku) přímo z uživatelského rozhraní. Pro jakoukoliv žádost nepokrytou rozhraním Zpracovatel asistuje Správci do 5 pracovních dnů.

Article 10

10. Navrácení / odstranění na konci smlouvy

Na konci smlouvy (výpověď, neprodloužení) má Správce dat 30 dní na export svých dat přes nativní funkcionalitu exportu přenositelnosti. Po této době jsou všechna data Správce nevratně odstraněna z produkčních databází. Šifrované zálohy jsou vyčištěny v dalších 90 dnech (standardní rotace retence).

Article 11

11. Přenos mimo Evropskou unii

Žádný přenos dat do třetích zemí mimo EU/EHP není prováděn. Zpracovatel nepoužívá dodavatele podléhající CLOUD Actu (US), FISA Section 702 ani ekvivalentním jurisdikcím. Pokud by se takový přenos stal v budoucnu technicky nezbytným, Zpracovatel by musel získat výslovný a předchozí souhlas Správce dat.

Article 12

12. Audit a spolupráce

Správce dat může pověřit nezávislého auditora (na své náklady) ověřením souladu Zpracovatele s závazky této DPA, s výhradou rozumné 15denní lhůty a závazku mlčenlivosti. Zpracovatel rovněž poskytuje na vyžádání všechny dokumenty umožňující prokázání souladu (registr zpracování, zprávy z pentestů apod.). Pro jakoukoliv žádost: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité
RGPD natif, Art. 28 conforme
Zero-knowledge : l'éditeur ne lit pas vos secrets
Hébergement France, juridiction française
Code AGPL-3.0 auditable de bout en bout
Sous-traitants UE uniquement, listés à l'Art. 6