Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Tämä tietojenkäsittelysopimus (jäljempänä "DPA") täydentää Aegirex:n käyttöehtoja ja täsmentää rekisterinpitäjän (Asiakkaan) ja tietojen käsittelijän (Aegirex:n julkaisijan) keskinäisiä velvoitteita asetuksen (EU) 2016/679 (GDPR) mukaisesti.
Tietojen käsittelijä: ARDNTECH EI, kaupparekisteriin merkitty nrolla 913308706, kotipaikka 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Rekisterinpitäjä: oikeushenkilö tai luonnollinen henkilö, joka tilaa Aegirex:n ja käyttää palvelua digitaalisten salaisuuksien tallentamiseen ja jakamiseen.
Aegirex on päästä-päähän salattu (zero-knowledge) salaisuuksien tallennuspalvelu. Tietojen käsittelijä käsittelee tietoja rekisterinpitäjän lukuun ainoastaan seuraaviin tarkoituksiin:
Tietojen käsittelijä käsittelee seuraavia tietoluokkia ja vain niitä:
| Luokka | Kyseessä olevat tiedot | Oikeusperuste (GDPR 6 art.) |
|---|---|---|
| Käyttäjätili | Sähköpostiosoite, pääsalasanan Argon2id-hash, OpenPGP-julkinen avain, valinnainen nimi. | Sopimuksen täytäntöönpano (6.1.b art.) |
| Tallennetut salaisuudet | Läpinäkymättömät OpenPGP-blobit (salatut). Tietojen käsittelijä ei voi lukea niitä. | Sopimuksen täytäntöönpano (6.1.b art.) |
| Auditointilokit | Kirjautumistapahtumat, salaisuuksien luonti/luku/jako/poisto, IP, user-agent, HMAC-allekirjoitukset. | Oikeutettu intressi tietoturvaan (6.1.f art.) |
| Laskutus | Toiminimi, Y-tunnus, osoite, laskutussähköposti, maksuhistoria. | Lakisääteinen kirjanpitovelvoite (6.1.c art.) |
Rekisteröidyt ovat: (a) rekisterinpitäjän valtuuttamat käyttäjät käyttämään Aegirex:tä; (b) tarvittaessa näiden käyttäjien aloittamien salaisuuksien jakojen vastaanottajat; (c) rekisterinpitäjälle annetuilla laskuilla mainitut yhteyshenkilöt.
Tiedot säilytetään seuraavasti:
Rekisterinpitäjä valtuuttaa nimenomaisesti tietojen käsittelijän käyttämään seuraavia alihankkijoita:
| Alihankkija | Tarkoitus | Käsittelymaa |
|---|---|---|
| Brevo SAS | Tapahtumakohtaisten sähköpostien lähetys (ilmoitukset, sähköpostin vahvistus). | FR |
| Stancer SAS | Verkkomaksujen käsittely. | FR |
| Isäntä (täsmennetään sopimuksessa) | Sovellusinfrastruktuurin ja tietokantojen isännöinti. | FR / EU |
Jokaisesta alihankkijan vaihdosta ilmoitetaan rekisterinpitäjälle vähintään 30 päivän ennakkoilmoituksella, jolloin tämä voi käyttää perusteltua vastustamisoikeuttaan.
Tietojen käsittelijä toteuttaa seuraavat toimet (ohjaava ei-tyhjentävä luettelo):
GDPR:n artiklan 33 mukaisesti tietojen käsittelijä ilmoittaa rekisterinpitäjälle henkilötietojen tietoturvaloukkauksesta 48 tunnin kuluessa tiedon saamisesta. Ilmoituksessa täsmennetään luonne, laajuus, todennäköiset seuraukset ja toteutetut tai suunnitellut toimenpiteet.
Tietojen käsittelijä tarjoaa rekisterinpitäjälle työkalut rekisteröityjen pyyntöihin vastaamiseksi (oikeus saada pääsy, oikaisuun, poistoon, siirrettävyyteen, vastustamiseen) suoraan käyttöliittymästä. Käyttöliittymän ulkopuolelle jäävissä pyynnöissä tietojen käsittelijä avustaa rekisterinpitäjää 5 työpäivän kuluessa.
Sopimuksen päättyessä (irtisanominen, uusimatta jättäminen) rekisterinpitäjällä on 30 päivää aikaa viedä tietonsa natiivilla siirrettävyyden vientitoiminnolla. Tämän määräajan jälkeen rekisterinpitäjän kaikki tiedot poistetaan peruuttamattomasti tuotantotietokannoista. Salatut varmuuskopiot tyhjennetään 90 päivän kuluessa lisäksi (vakiosäilytysrotaatio).
Tietoja ei siirretä EU:n/ETA:n ulkopuoliseen kolmanteen maahan. Tietojen käsittelijä ei käytä palveluntarjoajia, jotka kuuluvat Yhdysvaltain CLOUD Actin, FISA Section 702:n tai vastaavien lainkäyttöalueiden piiriin. Mikäli tällainen siirto tulisi tulevaisuudessa teknisesti välttämättömäksi, tietojen käsittelijän olisi hankittava rekisterinpitäjän nimenomainen ennakkohyväksyntä.
Rekisterinpitäjä voi valtuuttaa riippumattoman tarkastajan (omalla kustannuksellaan) tarkastamaan tietojen käsittelijän tämän DPA:n velvoitteiden noudattamisen kohtuullisella 15 päivän ennakkoilmoituksella ja salassapitosopimuksella. Tietojen käsittelijä toimittaa myös pyynnöstä kaikki asiakirjat, jotka osoittavat sen vaatimustenmukaisuuden (käsittelyrekisteri, pentest-raportit jne.). Kaikkiin pyyntöihin: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
