Ce DPA complète les Conditions d'utilisation de Kryptos pour les clients qui traitent des données personnelles via le Service.
1. Définitions
"Controller", "Processor", "Data Subject", "Personal Data" et "Processing" ont les significations données dans le RGPD.
"Customer Personal Data" désigne les données personnelles que le Client (en qualité de Controller) fournit à Kryptos pour traitement sous les Conditions d'utilisation.
2. Champ et rôles
Ce DPA s'applique quand Kryptos traite des Customer Personal Data pour le compte du Client. Le Client est Controller. Kryptos est Processor.
3. Instructions de traitement
Kryptos traite les Customer Personal Data uniquement sur instructions documentées du Client, sauf si le droit UE/EEE ou national l'exige autrement. L'objet, la durée, la nature et la finalité du traitement, les catégories de Personnes concernées et les types de données personnelles sont décrits en Annexe 1 (disponible sur demande).
4. Sous-traitants ultérieurs
Le Client autorise Kryptos à engager des Sous-traitants. Les sous-traitants actuels sont listés sur notre page sécurité. Kryptos notifiera le Client des nouveaux sous-traitants au moins 14 jours avant engagement.
5. Sécurité
Kryptos met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Customer Personal Data, dont chiffrement en transit et au repos, contrôles d'accès, gestion des vulnérabilités et réponse à incident. Certifié SOC 2 Type II ; rapport disponible sous NDA.
6. Transferts internationaux
En cas de transfert de Customer Personal Data depuis l'EEE, le UK ou la Suisse vers un pays sans décision d'adéquation, les parties s'appuient sur les Clauses Contractuelles Types (Module 2) adoptées par la Commission européenne, incorporées par référence.
7. Droits des personnes concernées
Kryptos assiste le Client pour répondre aux demandes des Personnes concernées exerçant leurs droits, dont accès, rectification, effacement, limitation, portabilité et opposition.
8. Incidents de sécurité
Kryptos notifie le Client de toute violation de Customer Personal Data sans délai indu après en avoir eu connaissance. La notification contient les informations nécessaires au Client pour remplir ses propres obligations RGPD.
9. Durée et résiliation
Ce DPA reste en vigueur tant que Kryptos traite des Customer Personal Data. À la fin des Conditions d'utilisation sous-jacentes, Kryptos restitue ou supprime les Customer Personal Data selon instructions du Client, sous réserve de toute obligation légale de conservation.
10. Général
Ce DPA est incorporé aux Conditions d'utilisation et en fait partie. En cas de conflit, ce DPA prévaut pour les questions de protection des données. Kryptos peut le mettre à jour ; les changements matériels sont notifiés au moins 30 jours à l'avance.
Signature du DPA
Les clients Enterprise peuvent demander un DPA signé à notre DPO.
dpo@kryptos.io