Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Detta personuppgiftsbiträdesavtal (nedan "DPA") kompletterar Aegirex:s användarvillkor och preciserar de respektive skyldigheterna för personuppgiftsansvarig (Kunden) och personuppgiftsbiträde (utgivaren av Aegirex) enligt förordning (EU) 2016/679 (GDPR).
Personuppgiftsbiträde: ARDNTECH EI, registrerat i handelsregistret under nr 913308706, med säte på 24 rue de la Glau 08700 Gespunsart. DSO: dpo@aegirex.eu.
Personuppgiftsansvarig: den juridiska eller fysiska person som tecknar abonnemang på Aegirex och använder tjänsten för att lagra och dela digitala hemligheter.
Aegirex är en end-to-end-krypterad (zero-knowledge) lagringstjänst för hemligheter. Personuppgiftsbiträdet behandlar uppgifter för personuppgiftsansvarigs räkning endast för följande ändamål:
Personuppgiftsbiträdet behandlar följande kategorier av uppgifter, och endast dessa:
| Kategori | Berörda uppgifter | Rättslig grund (art. 6 GDPR) |
|---|---|---|
| Användarkonto | E-postadress, Argon2id-hash av huvudlösenordet, OpenPGP-publik nyckel, valfritt namn. | Fullgörande av avtal (art. 6.1.b) |
| Lagrade hemligheter | Ogenomskinliga OpenPGP-blobbar (krypterade). Personuppgiftsbiträdet kan inte läsa dem. | Fullgörande av avtal (art. 6.1.b) |
| Granskningsloggar | Inloggningshändelser, skapande/läsning/delning/borttagning av hemligheter, IP, user-agent, HMAC-signaturer. | Berättigat intresse av säkerhet (art. 6.1.f) |
| Fakturering | Firmanamn, organisationsnummer, adress, faktura-e-post, betalningshistorik. | Rättslig bokföringsskyldighet (art. 6.1.c) |
De registrerade är: (a) de användare som personuppgiftsansvarig auktoriserat att få åtkomst till Aegirex; (b) i tillämpliga fall mottagarna av delningar av hemligheter initierade av dessa användare; (c) de kontaktpersoner som anges på fakturor utställda till personuppgiftsansvarig.
Uppgifterna sparas i följande tider:
Personuppgiftsansvarig ger uttryckligen personuppgiftsbiträdet rätt att anlita följande ytterligare underbiträden:
| Underbiträde | Ändamål | Behandlingsland |
|---|---|---|
| Brevo SAS | Utskick av transaktionell e-post (avisering, e-postverifiering). | FR |
| Stancer SAS | Hantering av onlinebetalningar. | FR |
| Värd (preciseras i avtalet) | Hosting av applikationsinfrastruktur och databaser. | FR / EU |
Varje byte av underbiträde meddelas personuppgiftsansvarig med minst 30 dagars varsel, så att denne kan utöva en motiverad invändningsrätt.
Personuppgiftsbiträdet vidtar följande åtgärder (vägledande icke-uttömmande lista):
I enlighet med artikel 33 GDPR anmäler personuppgiftsbiträdet varje personuppgiftsincident till personuppgiftsansvarig inom 48 timmar från kännedom. Anmälan anger arten, omfattningen, sannolika konsekvenser och vidtagna eller planerade åtgärder.
Personuppgiftsbiträdet tillhandahåller personuppgiftsansvarig de verktyg som behövs för att besvara de registrerades begäranden (rätt till tillgång, rättelse, radering, portabilitet, invändning) direkt från användargränssnittet. För varje begäran som inte täcks av gränssnittet bistår personuppgiftsbiträdet personuppgiftsansvarig inom 5 arbetsdagar.
Vid avtalets slut (uppsägning, ej förnyelse) har personuppgiftsansvarig 30 dagar att exportera sina data via den inbyggda portabilitets-exportfunktionen. Efter denna tidsfrist raderas alla personuppgiftsansvarigs data oåterkalleligt från produktionsdatabaserna. De krypterade säkerhetskopiorna rensas inom ytterligare 90 dagar (standard retention-rotation).
Ingen överföring av data till ett tredjeland utanför EU/EES utförs. Personuppgiftsbiträdet anlitar inte leverantörer som lyder under den amerikanska CLOUD Act, FISA Section 702 eller motsvarande jurisdiktioner. Om en sådan överföring i framtiden blir tekniskt nödvändig måste personuppgiftsbiträdet inhämta personuppgiftsansvariges uttryckliga förhandsmedgivande.
Personuppgiftsansvarig kan utse en oberoende revisor (på egen bekostnad) för att kontrollera personuppgiftsbiträdets efterlevnad av åtagandena i detta DPA, med rimlig förvarning på 15 dagar och ett sekretessåtagande. Personuppgiftsbiträdet tillhandahåller också på begäran varje handling som styrker dess efterlevnad (behandlingsregister, pentest-rapporter etc.). För varje begäran: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
