Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Η παρούσα Συμφωνία Επεξεργασίας (εφεξής "DPA") συμπληρώνει τους Γενικούς Όρους Χρήσης του Aegirex και διευκρινίζει τις αντίστοιχες υποχρεώσεις του Υπεύθυνου επεξεργασίας (του Πελάτη) και του Εκτελούντος την επεξεργασία (του Εκδότη του Aegirex) κατά την έννοια του Κανονισμού (ΕΕ) 2016/679 (GDPR).
Εκτελών την επεξεργασία: ARDNTECH EI, εγγεγραμμένη στο RCS υπό τον αριθμό 913308706, της οποίας η έδρα βρίσκεται στο 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Υπεύθυνος επεξεργασίας: το νομικό ή φυσικό πρόσωπο που εγγράφεται στο Aegirex και χρησιμοποιεί την υπηρεσία για να αποθηκεύσει και να μοιραστεί ψηφιακά μυστικά.
Το Aegirex είναι υπηρεσία αποθήκευσης μυστικών με κρυπτογράφηση από άκρο σε άκρο (zero-knowledge). Ο Εκτελών την επεξεργασία επεξεργάζεται τα δεδομένα για λογαριασμό του Υπεύθυνου επεξεργασίας μόνο για τους ακόλουθους σκοπούς:
Ο Εκτελών την επεξεργασία επεξεργάζεται τις ακόλουθες κατηγορίες δεδομένων, και μόνο αυτές:
| Κατηγορία | Σχετικά δεδομένα | Νομική βάση (άρθρο 6 GDPR) |
|---|---|---|
| Λογαριασμός χρήστη | Διεύθυνση e-mail, hash Argon2id του κύριου κωδικού, δημόσιο κλειδί OpenPGP, προαιρετικό όνομα. | Εκτέλεση της σύμβασης (άρθρο 6.1.β) |
| Αποθηκευμένα μυστικά | Αδιαφανή blobs OpenPGP (κρυπτογραφημένα). Ο Εκτελών την επεξεργασία δεν μπορεί να τα διαβάσει. | Εκτέλεση της σύμβασης (άρθρο 6.1.β) |
| Ημερολόγια ελέγχου | Συμβάντα σύνδεσης, δημιουργία/ανάγνωση/κοινοποίηση/διαγραφή μυστικών, IP, user-agent, υπογραφές HMAC. | Έννομο συμφέρον στην ασφάλεια (άρθρο 6.1.στ) |
| Τιμολόγηση | Εταιρική επωνυμία, SIREN, διεύθυνση, e-mail τιμολόγησης, ιστορικό πληρωμών. | Νομική λογιστική υποχρέωση (άρθρο 6.1.γ) |
Τα ενδιαφερόμενα πρόσωπα είναι: (α) οι χρήστες που εξουσιοδοτούνται από τον Υπεύθυνο επεξεργασίας να αποκτήσουν πρόσβαση στο Aegirex· (β) ανάλογα με την περίπτωση, οι παραλήπτες κοινοποιήσεων μυστικών που έχουν εκκινηθεί από αυτούς τους χρήστες· (γ) οι επαφές που προσδιορίζονται στα τιμολόγια που εκδίδονται προς τον Υπεύθυνο επεξεργασίας.
Τα δεδομένα διατηρούνται για τους ακόλουθους χρόνους:
Ο Υπεύθυνος επεξεργασίας εξουσιοδοτεί ρητά τον Εκτελούντα την επεξεργασία να καταφεύγει στους ακόλουθους μεταγενέστερους υπεργολάβους:
| Υπεργολάβος | Σκοπός | Χώρα επεξεργασίας |
|---|---|---|
| Brevo SAS | Αποστολή των συναλλακτικών e-mails (ειδοποίηση, επαλήθευση e-mail). | FR |
| Stancer SAS | Επεξεργασία των online πληρωμών. | FR |
| Πάροχος φιλοξενίας (προς διευκρίνιση στη σύμβαση) | Φιλοξενία της υποδομής εφαρμογής και βάσεων δεδομένων. | FR / EU |
Κάθε αλλαγή μεταγενέστερου υπεργολάβου αποτελεί αντικείμενο ειδοποίησης προς τον Υπεύθυνο επεξεργασίας με ελάχιστη προειδοποίηση 30 ημερών, επιτρέποντάς του να ασκήσει αιτιολογημένο δικαίωμα εναντίωσης.
Ο Εκτελών την επεξεργασία εφαρμόζει τα ακόλουθα μέτρα (ενδεικτικός μη περιοριστικός κατάλογος):
Σύμφωνα με το άρθρο 33 του GDPR, ο Εκτελών την επεξεργασία ειδοποιεί τον Υπεύθυνο επεξεργασίας για κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα εντός 48 ωρών από τη γνώση της παραβίασης. Η ειδοποίηση διευκρινίζει τη φύση, την έκταση, τις πιθανές συνέπειες και τα μέτρα που λαμβάνονται ή προβλέπονται.
Ο Εκτελών την επεξεργασία παρέχει στον Υπεύθυνο επεξεργασίας τα εργαλεία που επιτρέπουν την ανταπόκριση στα αιτήματα των ενδιαφερόμενων προσώπων (δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, φορητότητας, εναντίωσης) απευθείας από τη διεπαφή χρήστη. Για κάθε αίτημα που δεν καλύπτεται από τη διεπαφή, ο Εκτελών την επεξεργασία βοηθά τον Υπεύθυνο εντός 5 εργάσιμων ημερών.
Στο τέλος της σύμβασης (λύση, μη ανανέωση), ο Υπεύθυνος επεξεργασίας διαθέτει 30 ημέρες για να εξάγει τα δεδομένα του μέσω της εγγενούς λειτουργίας εξαγωγής φορητότητας. Στο τέλος αυτής της προθεσμίας, το σύνολο των δεδομένων του Υπεύθυνου διαγράφεται αμετάκλητα από τις βάσεις παραγωγής. Τα κρυπτογραφημένα αντίγραφα ασφαλείας εκκαθαρίζονται εντός 90 επιπλέον ημερών (τυπική περιστροφή διατήρησης).
Καμία διαβίβαση δεδομένων προς τρίτη χώρα εκτός ΕΕ/ΕΟΧ δεν πραγματοποιείται. Ο Εκτελών την επεξεργασία δεν καταφεύγει σε παρόχους που υπόκεινται στο CLOUD Act (US), στο FISA Section 702, ούτε σε ισοδύναμες δικαιοδοσίες. Αν τέτοια διαβίβαση καθίστατο τεχνικά απαραίτητη στο μέλλον, ο Εκτελών την επεξεργασία θα έπρεπε να λάβει τη ρητή και προηγούμενη συμφωνία του Υπεύθυνου επεξεργασίας.
Ο Υπεύθυνος επεξεργασίας μπορεί να εξουσιοδοτήσει ανεξάρτητο ελεγκτή (με δικά του έξοδα) για να επαληθεύσει τη συμμόρφωση του Εκτελούντος την επεξεργασία με τις δεσμεύσεις του παρόντος DPA, υπό την επιφύλαξη εύλογης προειδοποίησης 15 ημερών και δέσμευσης εμπιστευτικότητας. Ο Εκτελών την επεξεργασία παρέχει επίσης κατόπιν αιτήματος κάθε έγγραφο που επιτρέπει την απόδειξη της συμμόρφωσής του (μητρώο επεξεργασιών, εκθέσεις pentest, κ.λπ.). Για κάθε αίτημα: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
