Solidarnost s Ukrajinom. Usluga se nudi besplatno ukrajinskim tvrtkama za vrijeme trajanja rata. Zatražite besplatan pristup
DPA RGPD · Art. 28

Sporazum o obradi podataka

Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.

 Predložak - posljednje ažuriranje - 16/06/2026 RGPD natif Zero-knowledge Hébergement France

Sommaire

1 · Identifikacija strana 2 · Predmet i svrhe obrade 3 · Kategorije obrađenih podataka 4 · Kategorije ispitanika 5 · Razdoblja čuvanja 6 · Ovlašteni naknadni podizvođači 7 · Tehničke i organizacijske sigurnosne mjere 8 · Obavijesti o povredama podataka 9 · Prava ispitanika 10 · Povrat / brisanje na kraju ugovora 11 · Prijenosi izvan Europske unije 12 · Revizija i suradnja  Signature

Préambule

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Identifikacija strana

Ovaj Sporazum o obradi (dalje "DPA") dopunjuje Opće uvjete korištenja Aegirex i precizira obveze Voditelja obrade (Klijenta) i Izvršitelja obrade (Izdavača Aegirex) u smislu Uredbe (EU) 2016/679 (GDPR).

Izvršitelj obrade: ARDNTECH EI, upisana u trgovački registar pod br. 913308706, sa sjedištem na adresi 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.

Voditelj obrade: pravna ili fizička osoba koja se pretplaćuje na Aegirex i koristi uslugu za pohranjivanje i dijeljenje digitalnih tajni.

Article 2

2. Predmet i svrhe obrade

Aegirex je usluga pohrane tajni sa šifriranjem s kraja na kraj (zero-knowledge). Izvršitelj obrade obrađuje podatke u ime Voditelja obrade isključivo u sljedeće svrhe:

  • Pohrana neprozirnih kriptografskih blokova (tajne šifrirane javnim ključem Voditelja, nikad dešifrirajuće na strani poslužitelja).
  • Autentikacija, upravljanje računima, upravljanje članstvima u organizacijama.
  • Izdavanje operativnih obavijesti (upozorenje o curenju HIBP opt-in, pozivnica člana, revizijsko upozorenje).
Article 3

3. Kategorije obrađenih podataka

Izvršitelj obrade obrađuje sljedeće kategorije podataka, i samo te:

Kategorija Podaci Pravna osnova (čl. 6. GDPR)
Korisnički račun E-mail adresa, hash Argon2id glavne lozinke, OpenPGP javni ključ, opcionalno ime. Izvršenje ugovora (čl. 6.1.b)
Pohranjene tajne Neprozirni OpenPGP blokovi (šifrirani). Izvršitelj obrade ih ne može čitati. Izvršenje ugovora (čl. 6.1.b)
Revizijski logovi Događaji prijave, kreiranja/čitanja/dijeljenja/brisanja tajni, IP, user-agent, HMAC potpisi. Zakoniti interes za sigurnost (čl. 6.1.f)
Naplata Naziv tvrtke, SIREN, adresa, e-mail za naplatu, povijest plaćanja. Zakonska obveza računovodstvena (čl. 6.1.c)
Article 4

4. Kategorije ispitanika

Ispitanici su: (a) korisnici koje je Voditelj obrade ovlastio za pristup Aegirex; (b) prema potrebi, primatelji dijeljenja tajni koje su pokrenuli ti korisnici; (c) kontakti navedeni na računima izdanim Voditelju obrade.

Article 5

5. Razdoblja čuvanja

Podaci se čuvaju sljedeća razdoblja:

  • Korisnički račun: dok je račun aktivan, briše se u 30 dana nakon izričitog zahtjeva ili raskida.
  • Tajne: dok ih korisnik ne obriše. Brisanje nepovratno i trenutno na akciju korisnika.
  • Revizijski logovi: 13 mjeseci (razdoblje preporučeno CNIL-om za sljedivost), zatim anonimizirano arhiviranje.
  • Podaci za naplatu: 10 godina (zakonska obveza Trgovačkog zakonika L123-22).
  • Tehnički aplikacijski logovi (osim revizije): 30 dana rolling, automatska anonimizacija IP-a nakon toga.
Article 6

6. Ovlašteni naknadni podizvođači

Voditelj obrade izrijekom ovlašćuje Izvršitelja obrade na korištenje sljedećih naknadnih podizvođača:

Podizvođač Svrha Država obrade
Brevo SAS Slanje transakcijskih e-mailova (obavijesti, provjera e-maila). FR
Stancer SAS Obrada online plaćanja. FR
Hoster (precizirati u ugovoru) Hostiranje aplikacijske infrastrukture i baza podataka. FR / EU

Svaka promjena naknadnog podizvođača podliježe obavijesti Voditelju obrade s najmanjim 30-dnevnim predhodnim rokom, omogućujući mu ostvarivanje motiviranog prava na prigovor.

Article 7

7. Tehničke i organizacijske sigurnosne mjere

Izvršitelj obrade provodi sljedeće mjere (indikativna neograničavajuća lista):

  • Šifriranje s kraja na kraj tajni (OpenPGP.js v6, krivulje ECC curve25519, AES-256-GCM SEIPDv2).
  • Derivacija ključeva iz glavne lozinke kroz Argon2id (5 prolaza, 256 MiB, parallelism 4).
  • Kriptografski revizijski lanac HMAC-SHA-256 provjerljiv, detekcija u O(1) bilo koje izmjene.
  • Obvezan TLS 1.3 u transportu, HSTS preload, certifikati Let's Encrypt ili Buypass obnovljeni automatski.
  • Dvofaktorska autentikacija (TOTP RFC 6238 + e-mail) sa šifriranim kodovima za oporavak.
  • Dnevne šifrirane sigurnosne kopije, čuvane 30 dana, kvartalno testirano vraćanje.
  • Godišnji penetracijski test PASSI revizora (od V1.0 GA).
Article 8

8. Obavijesti o povredama podataka

Sukladno članku 33. GDPR, Izvršitelj obrade obavještava Voditelja obrade o svakoj povredi osobnih podataka u roku od 48 sati od saznanja o povredi. Obavijest precizira prirodu, opseg, vjerojatne posljedice i poduzete ili planirane mjere.

Article 9

9. Prava ispitanika

Izvršitelj obrade osigurava Voditelju obrade alate koji omogućuju odgovor na zahtjeve ispitanika (pravo na pristup, ispravak, brisanje, prenosivost, prigovor) izravno iz korisničkog sučelja. Za svaki zahtjev koji nije pokriven sučeljem, Izvršitelj pomaže Voditelju u roku od 5 radnih dana.

Article 10

10. Povrat / brisanje na kraju ugovora

Na kraju ugovora (raskid, neproduljenje), Voditelj obrade ima 30 dana za izvoz svojih podataka kroz izvornu funkcionalnost izvoza prenosivosti. Po isteku tog razdoblja, svi podaci Voditelja se nepovratno brišu iz produkcijskih baza. Šifrirane sigurnosne kopije se pročišćavaju u sljedećih 90 dana (standardna rotacija retencije).

Article 11

11. Prijenosi izvan Europske unije

Nijedan prijenos podataka u treću zemlju izvan EU/EGP-a se ne provodi. Izvršitelj obrade ne koristi pružatelje podvrgnute CLOUD Actu (US), FISA Section 702 ili ekvivalentnim jurisdikcijama. Ako bi takav prijenos u budućnosti postao tehnički nužan, Izvršitelj obrade morao bi pribaviti izričitu i prethodnu suglasnost Voditelja obrade.

Article 12

12. Revizija i suradnja

Voditelj obrade može imenovati neovisnog revizora (o svom trošku) za provjeru sukladnosti Izvršitelja obrade s obvezama ovog DPA, podložno razumnom prethodnom roku od 15 dana i obvezi povjerljivosti. Izvršitelj obrade također na zahtjev pruža sve dokumente koji omogućuju dokazivanje sukladnosti (registar obrada, izvještaji pentestova itd.). Za svaki zahtjev: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité
RGPD natif, Art. 28 conforme
Zero-knowledge : l'éditeur ne lit pas vos secrets
Hébergement France, juridiction française
Code AGPL-3.0 auditable de bout en bout
Sous-traitants UE uniquement, listés à l'Art. 6