Solidarita s Ukrajinou. Služba ponúkaná bezplatne ukrajinským firmám počas trvania vojny. Požiadať o bezplatný prístup
DPA RGPD · Art. 28

Zmluva o spracovaní dát

Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.

 Šablóna - posledná aktualizácia - 16/06/2026 RGPD natif Zero-knowledge Hébergement France

Sommaire

1 · Identifikácia strán 2 · Predmet a účely spracovania 3 · Kategórie spracovávaných dát 4 · Kategórie dotknutých osôb 5 · Doby uchovávania 6 · Schválení následní spracovatelia 7 · Technické a organizačné bezpečnostné opatrenia 8 · Notifikácia o porušeniach dát 9 · Práva dotknutých osôb 10 · Vrátenie / odstránenie na konci zmluvy 11 · Prenos mimo Európskej únie 12 · Audit a spolupráca  Signature

Préambule

01 / Vue d'ensemble

Les trois rôles RGPD en un coup d'œil.

Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.

Responsable de traitement

Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.

Sous-traitant

ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.

Personnes concernées

Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.

Article 1

1. Identifikácia strán

Táto Zmluva o spracovaní (ďalej "DPA") dopĺňa Všeobecné obchodné podmienky Aegirex a upresňuje povinnosti Správcu dát (Klienta) a Spracovateľa (Vydavateľa Aegirex) v zmysle Nariadenia (EÚ) 2016/679 (GDPR).

Spracovateľ: ARDNTECH EI, zapísaná v obchodnom registri pod č. 913308706, so sídlom na adrese 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.

Správca dát: právnická alebo fyzická osoba predplácajúca Aegirex a využívajúca službu na uchovávanie a zdieľanie digitálnych tajomstiev.

Article 2

2. Predmet a účely spracovania

Aegirex je služba uchovávania tajomstiev so šifrovaním end-to-end (zero-knowledge). Spracovateľ spracováva dáta v mene Správcu dát výhradne na nasledujúce účely:

  • Uchovávanie nepriehľadných kryptografických blobov (tajomstvá šifrované verejným kľúčom Správcu, nikdy dešifrovateľné na strane servera).
  • Autentizácia, správa účtov, správa členstiev v organizáciách.
  • Vystavovanie operačných notifikácií (varovanie úniku HIBP opt-in, pozvánka člena, audit upozornenie).
Article 3

3. Kategórie spracovávaných dát

Spracovateľ spracováva nasledujúce kategórie dát, a iba tie:

Kategória Dotknuté dáta Právny základ (čl. 6 GDPR)
Používateľský účet E-mailová adresa, hash Argon2id hlavného hesla, OpenPGP verejný kľúč, voliteľné meno. Plnenie zmluvy (čl. 6.1.b)
Uložené tajomstvá Nepriehľadné OpenPGP bloby (šifrované). Spracovateľ ich nemôže čítať. Plnenie zmluvy (čl. 6.1.b)
Audit logy Udalosti prihlásenia, vytvorenia/čítania/zdieľania/odstránenia tajomstiev, IP, user-agent, HMAC signatúry. Oprávnený záujem na bezpečnosti (čl. 6.1.f)
Fakturácia Obchodný názov, SIREN, adresa, fakturačný e-mail, história platieb. Právna povinnosť účtovná (čl. 6.1.c)
Article 4

4. Kategórie dotknutých osôb

Dotknuté osoby sú: (a) používatelia oprávnení Správcom dát na prístup do Aegirex; (b) v prípade potreby príjemcovia zdieľaní tajomstiev iniciovaných týmito používateľmi; (c) kontakty identifikované na faktúrach vystavených Správcovi dát.

Article 5

5. Doby uchovávania

Dáta sa uchovávajú po nasledujúce doby:

  • Používateľský účet: pokiaľ je účet aktívny, odstránený do 30 dní po explicitnej žiadosti alebo ukončení.
  • Tajomstvá: pokiaľ ich používateľ neodstráni. Odstránenie nevratné a okamžité na akciu používateľa.
  • Audit logy: 13 mesiacov (doba odporúčaná CNIL pre dohľadateľnosť), potom anonymizovaná archivácia.
  • Fakturačné dáta: 10 rokov (právna povinnosť obchodného zákonníka L123-22).
  • Technické aplikačné logy (mimo auditu): 30 dní rolling, automatická anonymizácia IP po tejto dobe.
Article 6

6. Schválení následní spracovatelia

Správca dát výslovne oprávňuje Spracovateľa na použitie nasledujúcich následných spracovateľov:

Spracovateľ Účel Krajina spracovania
Brevo SAS Odosielanie transakčných e-mailov (notifikácie, overenie e-mailu). FR
Stancer SAS Spracovanie online platieb. FR
Hostiteľ (na upresnenie v zmluve) Hostovanie aplikačnej infraštruktúry a databáz. FR / EU

Akákoľvek zmena následného spracovateľa podlieha notifikácii Správcovi dát s minimálne 30 dňovou lehotou, umožňujúcou uplatniť motivované právo na námietku.

Article 7

7. Technické a organizačné bezpečnostné opatrenia

Spracovateľ zavádza nasledujúce opatrenia (orientačný nevyčerpávajúci zoznam):

  • Šifrovanie end-to-end tajomstiev (OpenPGP.js v6, krivky ECC curve25519, AES-256-GCM SEIPDv2).
  • Derivácia kľúčov z hlavného hesla cez Argon2id (5 prechodov, 256 MiB, parallelism 4).
  • Kryptografický audit chain HMAC-SHA-256 overiteľný, detekcia v O(1) akejkoľvek zmeny.
  • Povinný TLS 1.3 v transporte, HSTS preload, certifikáty Let's Encrypt alebo Buypass obnovované automaticky.
  • Dvojfaktorová autentizácia (TOTP RFC 6238 + e-mail) so šifrovanými obnovovacími kódmi.
  • Denné šifrované zálohy, uchovávané 30 dní, štvrťročne testované obnovenie.
  • Ročný penetračný test PASSI audítorom (od V1.0 GA).
Article 8

8. Notifikácia o porušeniach dát

V súlade s článkom 33 GDPR Spracovateľ oznamuje Správcovi dát akékoľvek porušenie osobných údajov do 48 hodín od okamihu, kedy sa o porušení dozvedel. Notifikácia upresňuje povahu, rozsah, pravdepodobné dôsledky a prijaté alebo plánované opatrenia.

Article 9

9. Práva dotknutých osôb

Spracovateľ poskytuje Správcovi dát nástroje umožňujúce reagovať na žiadosti dotknutých osôb (právo na prístup, opravu, výmaz, prenositeľnosť, námietku) priamo z používateľského rozhrania. Pre akúkoľvek žiadosť nepokrytú rozhraním Spracovateľ asistuje Správcovi do 5 pracovných dní.

Article 10

10. Vrátenie / odstránenie na konci zmluvy

Na konci zmluvy (výpoveď, nepredĺženie) má Správca dát 30 dní na export svojich dát cez natívnu funkcionalitu exportu prenositeľnosti. Po tejto dobe sú všetky dáta Správcu nevratne odstránené z produkčných databáz. Šifrované zálohy sú vyčistené v ďalších 90 dňoch (štandardná rotácia retencie).

Article 11

11. Prenos mimo Európskej únie

Žiadny prenos dát do tretích krajín mimo EÚ/EHP nie je uskutočňovaný. Spracovateľ nepoužíva dodávateľov podliehajúcich CLOUD Actu (US), FISA Section 702 ani ekvivalentným jurisdikciám. Ak by sa taký prenos stal v budúcnosti technicky nevyhnutným, Spracovateľ by musel získať výslovný a predchádzajúci súhlas Správcu dát.

Article 12

12. Audit a spolupráca

Správca dát môže poveriť nezávislého audítora (na svoje náklady) overením súladu Spracovateľa so záväzkami tejto DPA, s výhradou rozumnej 15-dňovej lehoty a záväzku mlčanlivosti. Spracovateľ rovnako poskytuje na vyžiadanie všetky dokumenty umožňujúce preukázanie súladu (register spracovania, správy z pentestov apod.). Pre akúkoľvek žiadosť: dpo@aegirex.eu.

Démarrer

Besoin de la version
signée et personnalisée ?

Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.

Demander la version signée Voir la politique de confidentialité
RGPD natif, Art. 28 conforme
Zero-knowledge : l'éditeur ne lit pas vos secrets
Hébergement France, juridiction française
Code AGPL-3.0 auditable de bout en bout
Sous-traitants UE uniquement, listés à l'Art. 6