Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Prezentul Acord de Prelucrare (denumit "DPA") completează Condițiile Generale de Utilizare ale Aegirex și precizează obligațiile respective ale Operatorului de date (Clientul) și ale Persoanei împuternicite (Editorul Aegirex) în sensul Regulamentului (UE) 2016/679 (RGPD).
Persoană împuternicită: ARDNTECH EI, înmatriculată la RCS sub nr. 913308706, al cărui sediu social este situat în 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Operator de date: persoana juridică sau fizică care subscrie la Aegirex și utilizează serviciul pentru a stoca și partaja secrete digitale.
Aegirex este un serviciu de stocare de secrete cu criptare end-to-end (zero-knowledge). Persoana împuternicită tratează datele în numele Operatorului de date în următoarele scopuri exclusive:
Persoana împuternicită tratează următoarele categorii de date, și exclusiv acestea:
| Categorie | Date în cauză | Bază legală (art. 6 RGPD) |
|---|---|---|
| Cont utilizator | Adresă de e-mail, hash Argon2id al parolei principale, cheie publică OpenPGP, nume opțional. | Executarea contractului (art. 6.1.b) |
| Secrete stocate | Blob-uri OpenPGP opace (criptate). Persoana împuternicită nu le poate citi. | Executarea contractului (art. 6.1.b) |
| Jurnale de audit | Evenimente de conectare, creare/citire/partajare/ștergere de secrete, IP, user-agent, semnături HMAC. | Interes legitim pentru securitate (art. 6.1.f) |
| Facturare | Denumire socială, SIREN, adresă, e-mail facturare, istoric al plăților. | Obligație legală contabilă (art. 6.1.c) |
Persoanele vizate sunt: (a) utilizatorii autorizați de Operatorul de date să acceseze Aegirex; (b) după caz, destinatarii partajărilor de secrete inițiate de acești utilizatori; (c) contactele identificate pe facturile emise către Operatorul de date.
Datele sunt păstrate pentru următoarele durate:
Operatorul de date autorizează expres Persoana împuternicită să recurgă la următorii subcontractanți ulteriori:
| Subcontractant | Finalitate | Țară de prelucrare |
|---|---|---|
| Brevo SAS | Trimiterea e-mailurilor tranzacționale (notificare, verificare e-mail). | FR |
| Stancer SAS | Tratarea plăților online. | FR |
| Găzduitor (de precizat în contract) | Găzduirea infrastructurii aplicative și a bazelor de date. | FR / EU |
Orice schimbare de subcontractant ulterior face obiectul unei notificări către Operatorul de date cu un preaviz minim de 30 de zile, permițându-i să exercite un drept de opoziție motivat.
Persoana împuternicită pune în aplicare următoarele măsuri (listă indicativă neexhaustivă):
Conform articolului 33 din RGPD, Persoana împuternicită notifică Operatorului de date orice încălcare de date cu caracter personal în 48 de ore de la luarea la cunoștință a încălcării. Notificarea precizează natura, întinderea, consecințele probabile și măsurile luate sau preconizate.
Persoana împuternicită furnizează Operatorului de date instrumentele care permit să răspundă cererilor persoanelor vizate (drept de acces, rectificare, ștergere, portabilitate, opoziție) direct din interfața utilizator. Pentru orice cerere neacoperită de interfață, Persoana împuternicită asistă Operatorul în 5 zile lucrătoare.
La sfârșitul contractului (reziliere, nereînnoire), Operatorul de date dispune de 30 de zile pentru a exporta datele sale prin funcționalitatea nativă de export portabilitate. La sfârșitul acestui termen, ansamblul datelor Operatorului este șters în mod ireversibil din bazele de producție. Salvările criptate sunt purjate în 90 de zile suplimentare (rotație de retenție standard).
Niciun transfer de date către o țară terță în afara UE/SEE nu este efectuat. Persoana împuternicită nu recurge la prestatori supuși CLOUD Act (US), FISA Section 702, nici la jurisdicții echivalente. Dacă un astfel de transfer ar deveni tehnic necesar în viitor, Persoana împuternicită ar trebui să obțină acordul expres și prealabil al Operatorului de date.
Operatorul de date poate mandata un auditor independent (pe cheltuiala sa) pentru a verifica conformitatea Persoanei împuternicite cu angajamentele prezentului DPA, sub rezerva unui preaviz rezonabil de 15 zile și a unui angajament de confidențialitate. Persoana împuternicită furnizează de asemenea la cerere orice document care permite demonstrarea conformității sale (registru al prelucrărilor, rapoarte de pentest, etc.). Pentru orice cerere: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
