Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
O presente Acordo de Tratamento (doravante "DPA") complementa as Condições Gerais de Utilização de Aegirex e precisa as obrigações respetivas do Responsável pelo tratamento (o Cliente) e do Subcontratante (o Editor de Aegirex) na aceção do Regulamento (UE) 2016/679 (RGPD).
Subcontratante: ARDNTECH EI, registada no RCS sob o n° 913308706, cuja sede social está situada em 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Responsável pelo tratamento: a pessoa moral ou física que subscreve a Aegirex e utiliza o serviço para armazenar e partilhar segredos digitais.
Aegirex é um serviço de armazenamento de segredos com cifragem ponto-a-ponto (zero-knowledge). O Subcontratante trata os dados por conta do Responsável pelo tratamento unicamente para os seguintes fins:
O Subcontratante trata as seguintes categorias de dados, e unicamente estas:
| Categoria | Dados em causa | Base legal (art. 6 RGPD) |
|---|---|---|
| Conta de utilizador | Endereço de e-mail, hash Argon2id da palavra-passe mestra, chave pública OpenPGP, nome opcional. | Execução do contrato (art. 6.1.b) |
| Segredos armazenados | Blobs OpenPGP opacos (cifrados). O Subcontratante não pode lê-los. | Execução do contrato (art. 6.1.b) |
| Jornais de auditoria | Eventos de ligação, criação/leitura/partilha/eliminação de segredos, IP, user-agent, assinaturas HMAC. | Interesse legítimo na segurança (art. 6.1.f) |
| Faturação | Razão social, SIREN, endereço, e-mail de faturação, histórico dos pagamentos. | Obrigação legal contabilística (art. 6.1.c) |
As pessoas em causa são: (a) os utilizadores autorizados pelo Responsável pelo tratamento a aceder a Aegirex; (b) se for o caso, os destinatários das partilhas de segredos iniciadas por estes utilizadores; (c) os contactos identificados nas faturas emitidas ao Responsável pelo tratamento.
Os dados são conservados pelos seguintes prazos:
O Responsável pelo tratamento autoriza expressamente o Subcontratante a recorrer aos seguintes subcontratantes ulteriores:
| Subcontratante | Finalidade | País de tratamento |
|---|---|---|
| Brevo SAS | Envio dos e-mails transacionais (notificação, verificação de e-mail). | FR |
| Stancer SAS | Tratamento dos pagamentos em linha. | FR |
| Alojador (a precisar no contrato) | Alojamento da infraestrutura aplicativa e bases de dados. | FR / EU |
Qualquer mudança de subcontratante ulterior é objeto de uma notificação ao Responsável pelo tratamento com um pré-aviso mínimo de 30 dias, permitindo-lhe exercer um direito de oposição fundamentado.
O Subcontratante implementa as seguintes medidas (lista indicativa não limitativa):
Conforme ao artigo 33 do RGPD, o Subcontratante notifica ao Responsável pelo tratamento qualquer violação de dados pessoais em 48 horas a contar do conhecimento da violação. A notificação precisa a natureza, o alcance, as consequências prováveis e as medidas tomadas ou previstas.
O Subcontratante fornece ao Responsável pelo tratamento as ferramentas que permitem responder aos pedidos das pessoas em causa (direito de acesso, retificação, apagamento, portabilidade, oposição) diretamente a partir da interface do utilizador. Para qualquer pedido não coberto pela interface, o Subcontratante assiste o Responsável em 5 dias úteis.
No fim do contrato (rescisão, não renovação), o Responsável pelo tratamento dispõe de 30 dias para exportar os seus dados via a funcionalidade nativa de exportação de portabilidade. No termo deste prazo, o conjunto dos dados do Responsável é eliminado de maneira irreversível das bases de produção. As cópias de segurança cifradas são purgadas em 90 dias suplementares (rotação de retenção padrão).
Nenhuma transferência de dados para um país terceiro fora da UE/EEE é efetuada. O Subcontratante não recorre a prestadores sujeitos ao CLOUD Act (US), ao FISA Section 702, nem a jurisdições equivalentes. Se tal transferência se tornar tecnicamente necessária no futuro, o Subcontratante deverá obter o acordo expresso e prévio do Responsável pelo tratamento.
O Responsável pelo tratamento pode mandatar um auditor independente (a suas expensas) para verificar a conformidade do Subcontratante com os compromissos do presente DPA, com reserva de um pré-aviso razoável de 15 dias e de um compromisso de confidencialidade. O Subcontratante fornece também mediante pedido qualquer documento que permita demonstrar a sua conformidade (registo dos tratamentos, relatórios de pentest, etc.). Para qualquer pedido: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
