Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Denne databehandleraftale (herefter "DPA") supplerer Aegirexs vilkår for brug og præciserer de respektive forpligtelser for den dataansvarlige (Kunden) og databehandleren (udgiveren af Aegirex) i henhold til Forordning (EU) 2016/679 (GDPR).
Databehandler: ARDNTECH EI, registreret i handelsregistret under nr. 913308706, med hovedsæde på 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Dataansvarlig: den juridiske eller fysiske person, der abonnerer på Aegirex og bruger tjenesten til at gemme og dele digitale hemmeligheder.
Aegirex er en end-to-end-krypteret (zero-knowledge) tjeneste til opbevaring af hemmeligheder. Databehandleren behandler data på vegne af den dataansvarlige udelukkende til følgende formål:
Databehandleren behandler følgende kategorier af data og kun disse:
| Kategori | Berørte data | Retsgrundlag (art. 6 GDPR) |
|---|---|---|
| Brugerkonto | E-mailadresse, Argon2id-hash af masteradgangskoden, OpenPGP-offentlig nøgle, valgfrit navn. | Opfyldelse af kontrakten (art. 6.1.b) |
| Opbevarede hemmeligheder | Uigennemsigtige OpenPGP-blobs (krypterede). Databehandleren kan ikke læse dem. | Opfyldelse af kontrakten (art. 6.1.b) |
| Audit-journaler | Login-hændelser, oprettelse/læsning/deling/sletning af hemmeligheder, IP, user-agent, HMAC-signaturer. | Legitim interesse i sikkerhed (art. 6.1.f) |
| Fakturering | Firmanavn, CVR/SIRET, adresse, faktura-e-mail, betalingshistorik. | Lovbestemt regnskabsforpligtelse (art. 6.1.c) |
De registrerede er: (a) de brugere, som den dataansvarlige har autoriseret til at tilgå Aegirex; (b) eventuelle modtagere af delinger af hemmeligheder igangsat af disse brugere; (c) de kontaktpersoner, der er nævnt på fakturaer udstedt til den dataansvarlige.
Data opbevares i følgende perioder:
Den dataansvarlige tillader udtrykkeligt databehandleren at benytte følgende underleverandører:
| Underleverandør | Formål | Behandlingsland |
|---|---|---|
| Brevo SAS | Afsendelse af transaktionelle e-mails (notifikation, e-mailverificering). | FR |
| Stancer SAS | Onlinebetalingsbehandling. | FR |
| Hosting-udbyder (præciseres i kontrakten) | Hosting af applikationsinfrastruktur og databaser. | FR / EU |
Enhver ændring af underleverandør varsles den dataansvarlige med mindst 30 dages varsel, så denne kan udøve en begrundet indsigelsesret.
Databehandleren implementerer følgende foranstaltninger (vejledende ikke-udtømmende liste):
I overensstemmelse med GDPR artikel 33 underretter databehandleren den dataansvarlige om ethvert brud på persondatasikkerheden inden for 48 timer efter kendskab. Underretningen præciserer art, omfang, sandsynlige konsekvenser og iværksatte eller planlagte foranstaltninger.
Databehandleren stiller værktøjerne til rådighed for den dataansvarlige, så denne kan besvare de registreredes anmodninger (ret til indsigt, berigtigelse, sletning, dataportabilitet, indsigelse) direkte fra brugergrænsefladen. For anmodninger, som ikke dækkes af grænsefladen, bistår databehandleren den dataansvarlige inden for 5 arbejdsdage.
Ved kontraktens ophør (opsigelse, manglende fornyelse) har den dataansvarlige 30 dage til at eksportere sine data via den indbyggede portabilitets-eksportfunktion. Efter denne frist slettes alle den dataansvarliges data uigenkaldeligt fra produktionsdatabaserne. De krypterede backups slettes inden for yderligere 90 dage (standard retention-rotation).
Der foretages ingen overførsel af data til et tredjeland uden for EU/EØS. Databehandleren benytter ikke leverandører underlagt den amerikanske CLOUD Act, FISA Section 702 eller tilsvarende jurisdiktioner. Skulle en sådan overførsel teknisk blive nødvendig fremover, skal databehandleren indhente den dataansvarliges udtrykkelige forudgående samtykke.
Den dataansvarlige kan udpege en uafhængig revisor (for egen regning) til at kontrollere databehandlerens overholdelse af forpligtelserne i denne DPA mod et rimeligt varsel på 15 dage og en fortrolighedserklæring. Databehandleren udleverer ligeledes på anmodning ethvert dokument, der dokumenterer overholdelse (behandlingsregister, pentest-rapporter osv.). Til enhver henvendelse: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
