Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
See töötlemisleping (edaspidi "DPA") täiendab Aegirex üldisi kasutustingimusi ja täpsustab Vastutava töötleja (Klient) ja Volitatud töötleja (Aegirex Väljaandja) vastastikuseid kohustusi (EL) 2016/679 määruse (GDPR) tähenduses.
Volitatud töötleja: ARDNTECH EI, registreeritud RCS numbri all 913308706, asukoht 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Vastutav töötleja: juriidiline või füüsiline isik, kes tellib Aegirex ja kasutab teenust digitaalsete saladuste hoidmiseks ja jagamiseks.
Aegirex on otspunkti-titkimisega (zero-knowledge) saladuste hoidmise teenus. Volitatud töötleja töötleb andmeid Vastutava töötleja nimel ainult järgmistel eesmärkidel:
Volitatud töötleja töötleb järgmisi ja ainult järgmisi andmekategooriaid:
| Kategooria | Asjakohased andmed | Õiguslik alus (GDPR art. 6) |
|---|---|---|
| Kasutajakonto | E-posti aadress, peaparooli Argon2id hash, OpenPGP avalik võti, valikuline nimi. | Lepingu täitmine (art. 6.1.b) |
| Hoitavad saladused | Läbipaistmatud OpenPGP blobid (krüpteeritud). Volitatud töötleja ei suuda neid lugeda. | Lepingu täitmine (art. 6.1.b) |
| Auditi logid | Sisselogimise sündmused, saladuste loomine/lugemine/jagamine/kustutamine, IP, user-agent, HMAC allkirjad. | Õigustatud huvi turvalisuse vastu (art. 6.1.f) |
| Arveldus | Ärinimi, SIREN, aadress, arvelduse e-post, maksete ajalugu. | Õiguslik raamatupidamiskohustus (art. 6.1.c) |
Andmesubjektid on: (a) Vastutava töötleja poolt Aegirex-le juurdepääsuks volitatud kasutajad; (b) vajadusel nende kasutajate algatatud saladuste jagamiste adressaadid; (c) Vastutavale töötlejale väljastatud arvetel identifitseeritud kontaktid.
Andmeid säilitatakse järgmiste tähtaegade jooksul:
Vastutav töötleja annab Volitatud töötlejale sõnaselge loa kasutada järgmisi edasisi alltöövõtjaid:
| Alltöövõtja | Eesmärk | Töötlemise riik |
|---|---|---|
| Brevo SAS | Tehinguliste e-postide saatmine (teade, e-posti kontroll). | FR |
| Stancer SAS | Veebimaksete töötlemine. | FR |
| Majutaja (lepingus täpsustatav) | Rakendusinfrastruktuuri ja andmebaaside majutus. | FR / EU |
Iga edasine alltöövõtja muudatus on Vastutavale töötlejale teatatud miinimum 30-päevase ette teate jooksul, mis võimaldab tal teostada põhjendatud vastuväite õigust.
Volitatud töötleja rakendab järgmisi meetmeid (mitte ammendav, indikatiivne loend):
Kooskõlas GDPR artikliga 33 teavitab Volitatud töötleja Vastutavat töötlejat igast isikuandmete rikkumisest 48 tunni jooksul rikkumisest teadlikuks saamisest. Teatis täpsustab rikkumise olemuse, ulatuse, tõenäolised tagajärjed ning võetud või kavandatavad meetmed.
Volitatud töötleja annab Vastutavale töötlejale vahendid andmesubjektide taotlustele vastamiseks (õigus juurdepääsule, parandamisele, kustutamisele, portatiivsusele, vastuväitele) otse kasutajaliidese kaudu. Liideses katmata taotluste puhul aitab Volitatud töötleja Vastutavat töötlejat 5 tööpäeva jooksul.
Lepingu lõpus (lõpetamine, mitteuuendamine) on Vastutaval töötlejal 30 päeva oma andmete eksportimiseks natiivse portatiivsuse eksportfunktsiooni kaudu. Selle tähtaja lõpus kustutatakse kõik Vastutava töötleja andmed pöördumatult tootmise andmebaasidest. Krüpteeritud varukoopiad puhastatakse täiendava 90 päeva jooksul (standardne rotatsiooni säilitamine).
Mitte ühtegi andmete edastamist kolmandasse riiki väljaspool EL/EMP-d ei toimu. Volitatud töötleja ei kasuta CLOUD Acti (USA), FISA 702. jaole ega samaväärsetele jurisdiktsioonidele alluvaid teenusepakkujaid. Kui selline edastamine muutuks tulevikus tehniliselt vajalikuks, peab Volitatud töötleja saama Vastutava töötleja sõnaselge ja eelneva nõusoleku.
Vastutav töötleja võib volitada sõltumatu audiitori (omal kulul) Volitatud töötleja vastavuse kontrollimiseks käesolevas DPA-s võetud kohustustele, eeldusel mõistlikust 15-päevasest ette teatest ja konfidentsiaalsuse kohustusest. Volitatud töötleja annab nõudmisel ka kõik dokumendid, mis võimaldavad tõendada vastavust (töötlemise register, sissetungitestide aruanded jne). Igasugustest taotlustest: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
