Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Niniejsza Umowa o Przetwarzaniu (dalej "DPA") uzupełnia Regulamin Aegirex i precyzuje obowiązki Administratora danych (Klienta) oraz Podmiotu przetwarzającego (Wydawcy Aegirex) w rozumieniu Rozporządzenia (UE) 2016/679 (RODO).
Podmiot przetwarzający: ARDNTECH EI, wpisana do rejestru handlowego pod nr 913308706, z siedzibą pod adresem 24 rue de la Glau 08700 Gespunsart. IOD: dpo@aegirex.eu.
Administrator danych: osoba prawna lub fizyczna subskrybująca Aegirex i korzystająca z usługi do przechowywania i udostępniania sekretów cyfrowych.
Aegirex jest usługą przechowywania sekretów z szyfrowaniem end-to-end (zero-knowledge). Podmiot przetwarzający przetwarza dane na rzecz Administratora wyłącznie w następujących celach:
Podmiot przetwarzający przetwarza następujące kategorie danych, i tylko te:
| Kategoria | Dane | Podstawa prawna (art. 6 RODO) |
|---|---|---|
| Konto użytkownika | Adres e-mail, hash Argon2id hasła głównego, klucz publiczny OpenPGP, opcjonalna nazwa. | Wykonanie umowy (art. 6.1.b) |
| Przechowywane sekrety | Nieprzezroczyste bloby OpenPGP (zaszyfrowane). Podmiot przetwarzający nie może ich odczytać. | Wykonanie umowy (art. 6.1.b) |
| Dzienniki audytu | Zdarzenia logowania, tworzenia/odczytu/udostępnienia/usuwania sekretów, IP, user-agent, sygnatury HMAC. | Uzasadniony interes w bezpieczeństwie (art. 6.1.f) |
| Faktury | Nazwa firmy, SIREN, adres, e-mail do faktur, historia płatności. | Obowiązek prawny księgowy (art. 6.1.c) |
Osobami, których dane dotyczą, są: (a) użytkownicy upoważnieni przez Administratora do dostępu do Aegirex; (b) w stosownych przypadkach, adresaci udostępnień sekretów inicjowanych przez tych użytkowników; (c) osoby kontaktowe zidentyfikowane na fakturach wystawionych Administratorowi.
Dane są przechowywane przez następujące okresy:
Administrator danych wyraźnie upoważnia Podmiot przetwarzający do korzystania z następujących dalszych podwykonawców:
| Podwykonawca | Cel | Kraj przetwarzania |
|---|---|---|
| Brevo SAS | Wysyłanie e-maili transakcyjnych (powiadomienia, weryfikacja e-mail). | FR |
| Stancer SAS | Przetwarzanie płatności online. | FR |
| Hostingodawca (do sprecyzowania w umowie) | Hosting infrastruktury aplikacyjnej i baz danych. | FR / EU |
Każda zmiana dalszego podwykonawcy podlega powiadomieniu Administratora danych z minimum 30-dniowym wyprzedzeniem, umożliwiającym zgłoszenie uzasadnionego sprzeciwu.
Podmiot przetwarzający wdraża następujące środki (lista wskazująca, niewyczerpująca):
Zgodnie z artykułem 33 RODO Podmiot przetwarzający powiadamia Administratora danych o każdym naruszeniu danych osobowych w ciągu 48 godzin od chwili powzięcia wiadomości o naruszeniu. Powiadomienie precyzuje charakter, zakres, prawdopodobne skutki i podjęte lub planowane środki.
Podmiot przetwarzający dostarcza Administratorowi narzędzia umożliwiające odpowiedź na żądania osób (prawo dostępu, sprostowania, usunięcia, przenoszenia, sprzeciwu) bezpośrednio z interfejsu użytkownika. Dla każdego żądania nieobjętego interfejsem Podmiot wspomaga Administratora w ciągu 5 dni roboczych.
Na koniec umowy (rozwiązanie, nieprzedłużenie) Administrator danych ma 30 dni na wyeksportowanie danych przez natywną funkcjonalność eksportu przenoszenia. Po tym okresie wszystkie dane Administratora są nieodwracalnie usuwane z baz produkcyjnych. Szyfrowane kopie zapasowe są usuwane w ciągu 90 kolejnych dni (standardowa rotacja retencji).
Żaden transfer danych do państwa trzeciego poza UE/EOG nie jest dokonywany. Podmiot przetwarzający nie korzysta z dostawców podlegających CLOUD Act (US), FISA Section 702, ani równoważnym jurysdykcjom. Jeśli taki transfer stałby się technicznie konieczny w przyszłości, Podmiot przetwarzający musiałby uzyskać wyraźną i uprzednią zgodę Administratora.
Administrator danych może zlecić niezależnemu audytorowi (na własny koszt) weryfikację zgodności Podmiotu z zobowiązaniami niniejszego DPA, z zastrzeżeniem rozsądnego 15-dniowego wyprzedzenia i zobowiązania poufności. Podmiot dostarcza również na żądanie wszelkie dokumenty pozwalające wykazać zgodność (rejestr przetwarzań, raporty pentestów itp.). Wszelkie żądania: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
