Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Ez a Feldolgozási Megállapodás (a továbbiakban "DPA") kiegészíti a Aegirex Általános Szerződési Feltételeit, és pontosítja az Adatkezelő (az Ügyfél) és az Adatfeldolgozó (a Aegirex Kiadója) kölcsönös kötelezettségeit az (EU) 2016/679 rendelet (GDPR) értelmében.
Adatfeldolgozó: ARDNTECH EI, RCS regisztrációs szám 913308706, székhelye 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Adatkezelő: a Aegirex-re előfizető és a szolgáltatást digitális titkok tárolására és megosztására használó jogi vagy természetes személy.
A Aegirex egy végpontok közötti titkosítási (zero-knowledge) titoktároló szolgáltatás. Az Adatfeldolgozó az Adatkezelő nevében kizárólag a következő célokból kezel adatokat:
Az Adatfeldolgozó a következő, és kizárólag a következő adatkategóriákat dolgozza fel:
| Kategória | Érintett adatok | Jogalap (GDPR 6. cikk) |
|---|---|---|
| Felhasználói fiók | E-mail cím, mesterjelszó Argon2id hash-e, OpenPGP nyilvános kulcs, opcionális név. | Szerződés teljesítése (6.1.b cikk) |
| Tárolt titkok | Átláthatatlan OpenPGP blobok (titkosítva). Az Adatfeldolgozó nem tudja olvasni őket. | Szerződés teljesítése (6.1.b cikk) |
| Auditnaplók | Bejelentkezési események, titkok létrehozása/olvasása/megosztása/törlése, IP, user-agent, HMAC aláírások. | Biztonsághoz fűződő jogos érdek (6.1.f cikk) |
| Számlázás | Cégnév, SIREN, cím, számlázási e-mail, fizetési előzmények. | Könyvviteli jogi kötelezettség (6.1.c cikk) |
Az érintett személyek: (a) az Adatkezelő által a Aegirex-hez való hozzáférésre felhatalmazott felhasználók; (b) adott esetben az ezen felhasználók által kezdeményezett titokmegosztások címzettjei; (c) az Adatkezelőnek kiállított számlákon azonosított kapcsolattartók.
Az adatokat a következő időtartamokra tárolják:
Az Adatkezelő kifejezetten engedélyezi az Adatfeldolgozónak, hogy a következő további alvállalkozókat vegye igénybe:
| Alvállalkozó | Cél | Feldolgozási ország |
|---|---|---|
| Brevo SAS | Tranzakciós e-mailek küldése (értesítés, e-mail ellenőrzés). | FR |
| Stancer SAS | Online fizetések feldolgozása. | FR |
| Üzemeltető (szerződésben pontosítandó) | Az alkalmazás-infrastruktúra és az adatbázisok üzemeltetése. | FR / EU |
Bármilyen további alvállalkozó-változás értesítés tárgya az Adatkezelő felé, minimum 30 napos előzetes értesítéssel, lehetővé téve számára indokolt tiltakozási jog gyakorlását.
Az Adatfeldolgozó a következő intézkedéseket alkalmazza (nem kimerítő, jelzésértékű lista):
A GDPR 33. cikkének megfelelően az Adatfeldolgozó az incidens megismerésétől számított 48 órán belül értesíti az Adatkezelőt minden személyes adatokkal kapcsolatos incidensről. Az értesítés pontosítja a jellegét, hatókörét, valószínű következményeit és a megtett vagy tervezett intézkedéseket.
Az Adatfeldolgozó biztosítja az Adatkezelő számára az érintett személyek kérelmeire (hozzáférési, helyesbítési, törlési, hordozhatósági, tiltakozási jog) közvetlenül a felhasználói felületről válaszoló eszközöket. A felülettel le nem fedett kérelmek esetén az Adatfeldolgozó 5 munkanapon belül segíti az Adatkezelőt.
A szerződés végén (felmondás, meg nem újítás) az Adatkezelőnek 30 napja van adatainak exportálására a natív hordozhatósági exportfunkción keresztül. E határidő lejártakor az Adatkezelő összes adatát visszafordíthatatlanul törlik a produkciós adatbázisokból. A titkosított biztonsági mentések további 90 nap alatt törlődnek (szabványos rotációs megőrzés).
Nincs adattovábbítás az EU/EGT-n kívüli harmadik országba. Az Adatfeldolgozó nem alkalmaz a CLOUD Act (US), FISA 702. szakasz, vagy hasonló joghatóságok alá tartozó szolgáltatókat. Ha a jövőben egy ilyen átvitel műszakilag szükségessé válna, az Adatfeldolgozónak az Adatkezelő kifejezett és előzetes hozzájárulását kell kérnie.
Az Adatkezelő független auditort bízhat meg (saját költségén) az Adatfeldolgozónak a jelen DPA-ban vállalt kötelezettségeinek való megfelelőségének ellenőrzésére, 15 napos ésszerű előzetes értesítéssel és titoktartási kötelezettségvállalás mellett. Az Adatfeldolgozó kérésre minden olyan dokumentumot biztosít, amely lehetővé teszi a megfelelőség igazolását (adatkezelési nyilvántartás, pentest jelentések stb.). Bármilyen kérdéshez: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
