Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Dan il-Ftehim ta' Trattament (minn hawn 'il quddiem "DPA") jikkomplementa t-Termini Ġenerali ta' Użu ta' Aegirex u jispeċifika l-obbligi rispettivi tar-Kontrollur tad-Data (il-Klijent) u s-Sottokuntrattur (l-Editur ta' Aegirex) fis-sens tar-Regolament (UE) 2016/679 (GDPR).
Sottokuntrattur: ARDNTECH EI, immatrikulat fl-RCS bin-numru 913308706, bis-sede prinċipali tiegħu f'24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Kontrollur tad-Data: il-persuna ġuridika jew fiżika li tissoskrivi għal Aegirex u li tuża s-servizz biex taħżen u taqsam sigrieti diġitali.
Aegirex huwa servizz ta' ħażna ta' sigrieti b'encryption end-to-end (zero-knowledge). Is-Sottokuntrattur jittratta d-data f'isem il-Kontrollur tad-Data għall-iskopijiet biss ta' dawn li ġejjin:
Is-Sottokuntrattur jittratta l-kategoriji ta' data li ġejjin, u biss dawn:
| Kategorija | Data konċernata | Bażi legali (art. 6 GDPR) |
|---|---|---|
| Kont tal-utent | Indirizz e-mail, hash Argon2id tal-master password, public key OpenPGP, isem fakultattiv. | Eżekuzzjoni tal-kuntratt (art. 6.1.b) |
| Sigrieti maħżuna | Blobs OpenPGP opakji (encrypted). Is-Sottokuntrattur ma jistax jaqrahom. | Eżekuzzjoni tal-kuntratt (art. 6.1.b) |
| Ġurnali ta' awditu | Avvenimenti ta' konnessjoni, ħolqien/qari/kondiviżjoni/tħassir ta' sigrieti, IP, user-agent, firem HMAC. | Interess leġittimu għas-sigurtà (art. 6.1.f) |
| Fatturazzjoni | Isem tal-kumpanija, SIREN, indirizz, e-mail tal-fatturazzjoni, storja tal-pagamenti. | Obbligu legali ta' kontabbiltà (art. 6.1.c) |
Il-persuni konċernati huma: (a) l-utenti awtorizzati mill-Kontrollur tad-Data biex jaċċessaw Aegirex; (b) jekk applikabbli, ir-riċevituri ta' kondiviżjonijiet ta' sigrieti mibdija minn dawn l-utenti; (c) il-kuntatti identifikati fuq il-fatturi maħruġa lill-Kontrollur tad-Data.
Id-data tinżamm għad-dewmien li ġej:
Il-Kontrollur tad-Data espressament jawtorizza s-Sottokuntrattur jirrikorri għas-sottokuntratturi ulterjuri li ġejjin:
| Sottokuntrattur | Finalità | Pajjiż tat-trattament |
|---|---|---|
| Brevo SAS | Invija tal-e-mails tranżazzjonali (notifika, verifika e-mail). | FR |
| Stancer SAS | Trattament tal-pagamenti onlajn. | FR |
| Host (biex jiġi speċifikat fil-kuntratt) | Hosting tal-infrastruttura applikattiva u tad-databases. | FR / EU |
Kull bidla ta' sottokuntrattur ulterjuri hija s-suġġett ta' notifika lill-Kontrollur tad-Data b'notifika minima ta' 30 jum, li tippermetti li jeżerċita dritt motivat ta' oppożizzjoni.
Is-Sottokuntrattur jimplimenta l-miżuri li ġejjin (lista indikattiva mhux esklussiva):
Skont l-artikolu 33 tal-GDPR, is-Sottokuntrattur jinnotifika lill-Kontrollur tad-Data b'kull ksur ta' data personali fi 48 siegħa mill-għarfien tal-ksur. In-notifika tispeċifika n-natura, l-ambitu, il-konsegwenzi probabbli u l-miżuri meħuda jew ippjanati.
Is-Sottokuntrattur jipprovdi lill-Kontrollur tad-Data bl-għodod biex iwieġeb għat-talbiet tal-persuni konċernati (dritt ta' aċċess, korrezzjoni, tħassir, portabbiltà, oppożizzjoni) direttament mill-interfaċċja tal-utent. Għal kwalunkwe talba mhux koperta mill-interfaċċja, is-Sottokuntrattur jassisti lill-Kontrollur fi 5 ijiem tax-xogħol.
Fi tmiem il-kuntratt (terminazzjoni, nuqqas ta' tiġdid), il-Kontrollur tad-Data għandu 30 jum biex jesporta d-data tiegħu permezz tal-funzjoni nattiva ta' esportazzjoni ta' portabbiltà. Fi tmiem dan id-dewmien, id-data kollha tal-Kontrollur titħassar b'mod irriversibbli mid-databases tal-produzzjoni. Il-backups encrypted jiġu mneħħija fi 90 jum addizzjonali (retention rotation standard).
L-ebda trasferiment ta' data lejn pajjiż terz barra mill-UE/ŻEE ma jsir. Is-Sottokuntrattur ma jirrikorri għal fornituri soġġetti għall-CLOUD Act (US), il-FISA Sezzjoni 702, jew ġurisdizzjonijiet ekwivalenti. Jekk tali trasferiment isir teknikament neċessarju fil-futur, is-Sottokuntrattur jeħtieġ jakkwista l-kunsens espress u minn qabel tal-Kontrollur tad-Data.
Il-Kontrollur tad-Data jista' jagħti mandat lil awditur indipendenti (bi spejjeż tiegħu) biex jivverifika l-konformità tas-Sottokuntrattur ma' l-impenji ta' dan id-DPA, suġġett għal notifika raġonevoli ta' 15-il jum u impenn ta' kunfidenzjalità. Is-Sottokuntrattur jipprovdi wkoll fuq talba kwalunkwe dokument li jippermetti li tintwera l-konformità (reġistru tat-trattamenti, rapporti pentest, eċċ.). Għal kwalunkwe talba: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
