Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
ARDNTECH EI. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Ця Угода про обробку (далі «DPA») доповнює Умови використання Aegirex та уточнює відповідні зобов'язання Відповідального за обробку (Клієнта) та Оператора (Видавця Aegirex) у розумінні Регламенту (ЄС) 2016/679 (GDPR).
Оператор: ARDNTECH EI, зареєстрована в RCS під № 913308706, із юридичною адресою 24 rue de la Glau 08700 Gespunsart. DPO: dpo@aegirex.eu.
Відповідальний за обробку: юридична або фізична особа, яка підписується на Aegirex та використовує сервіс для зберігання та спільного використання цифрових секретів.
Aegirex - це сервіс зберігання секретів з end-to-end encryption (zero-knowledge). Оператор обробляє дані від імені Відповідального за обробку виключно для таких цілей:
Оператор обробляє лише такі категорії даних:
| Категорія | Відповідні дані | Правова підстава (ст. 6 GDPR) |
|---|---|---|
| Обліковий запис користувача | E-mail адреса, Argon2id-хеш головного пароля, відкритий ключ OpenPGP, необов'язкове ім'я. | Виконання договору (ст. 6.1.b) |
| Збережені секрети | Непрозорі OpenPGP-блоби (зашифровані). Оператор не може їх прочитати. | Виконання договору (ст. 6.1.b) |
| Журнали аудиту | Події підключення, створення/читання/спільного доступу/видалення секретів, IP, user-agent, HMAC-підписи. | Законний інтерес у безпеці (ст. 6.1.f) |
| Виставлення рахунку | Юридична назва, SIREN, адреса, e-mail для рахунків, журнал платежів. | Юридичне зобов'язання з бухгалтерського обліку (ст. 6.1.c) |
Суб'єктами даних є: (a) користувачі, авторизовані Відповідальним за обробку для доступу до Aegirex; (b) у відповідних випадках, одержувачі спільного доступу до секретів, ініційованого цими користувачами; (c) контакти, зазначені у рахунках, виставлених Відповідальному за обробку.
Дані зберігаються протягом таких строків:
Відповідальний за обробку прямо авторизує Оператора залучати таких субпідрядників:
| Підрядник | Мета | Країна обробки |
|---|---|---|
| Brevo SAS | Відправка транзакційних e-mail (сповіщення, підтвердження e-mail). | FR |
| Stancer SAS | Обробка онлайн-платежів. | FR |
| Хостинг-провайдер (уточнюється в договорі) | Хостинг інфраструктури застосунку та баз даних. | FR / EU |
Будь-яка зміна субпідрядника є предметом повідомлення Відповідальному за обробку із мінімальним терміном 30 днів, що дозволяє йому скористатися правом мотивованого заперечення.
Оператор застосовує такі заходи (невичерпний орієнтовний список):
Відповідно до статті 33 GDPR, Оператор повідомляє Відповідального за обробку про будь-яке порушення персональних даних протягом 48 годин з моменту виявлення. Повідомлення уточнює характер, масштаб, ймовірні наслідки та вжиті або заплановані заходи.
Оператор надає Відповідальному за обробку інструменти для виконання запитів суб'єктів даних (право доступу, виправлення, видалення, портативності, заперечення) безпосередньо через інтерфейс користувача. Для будь-якого запиту, не охопленого інтерфейсом, Оператор надає допомогу Відповідальному протягом 5 робочих днів.
Після закінчення договору (розірвання, непоновлення) Відповідальний за обробку має 30 днів для експорту своїх даних через нативну функцію експорту для портативності. Після цього строку всі дані Відповідального необоротно видаляються з production-баз даних. Зашифровані резервні копії видаляються протягом 90 додаткових днів (стандартна ротація зберігання).
Жодної передачі даних до третіх країн за межами ЄС/ЄЕЗ не здійснюється. Оператор не вдається до послуг провайдерів, що підпадають під CLOUD Act (США), FISA Section 702 або аналогічних юрисдикцій. Якщо така передача стане технічно необхідною в майбутньому, Оператор має отримати явну попередню згоду Відповідального за обробку.
Відповідальний за обробку може уповноважити незалежного аудитора (за власний рахунок) для перевірки відповідності Оператора зобов'язанням цього DPA за умови розумного попереднього повідомлення за 15 днів та підписання угоди про конфіденційність. Оператор також надає на запит будь-який документ, що дозволяє продемонструвати його відповідність (реєстр обробок, звіти про тести на проникнення тощо). З будь-яких запитів: dpo@aegirex.eu.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'ARDNTECH EI.
