Договор за обработка на данни
Дата на влизане в сила: 26 март 2026
1. Страни
Този DPA е възникнал между:
- Администратор на данни ("администратор"): Организация на клиент, която е част от договор за абонамент за услугите AgentForge и определя целите и средствата на обработката на личните данни.
- Обработващ данни ("обработващ"): KOWEX Co. Holding, компания регистрирана в Чехия, управляваща платформата AgentForge на agentforge.community.
2. Обхват на обработката
Обработващият трябва да обработва лични данни от името на администратора единствено за целта на предоставяне на услугите на платформата AgentForge, включително:
- Предоставяне на достъп до API и приборната панел на AgentForge
- Хостиране и служба на конфигурации на MCP сървър
- Обработка на API заявки между агенти и MCP сървъри
- Поддържане на логове за употреба и аналитика
- Управление на удостоверяване и контрол на достъп
- Обработка на операции за абонамент и фактуриране
Обработващият трябва да обработва лични данни единствено по документирани инструкции от администратора, освен ако е необходимо по право на EU или държава-член.
3. Категории обработени данни
Следните категории лични данни могат да бъдат обработени под този DPA:
| Категория | Елементи на данни | Предмети на данни |
|---|---|---|
| Информация на сметка | Имейл адрес, показано имя, удостоверения за удостоверяване (хеширани) | Служители на администратор, оторизирани потребители |
| Данни за API употреба | Извикани крайни точки, времеви печати, кодове на статус на отговор, преброи на лимит на скорост | Служители на администратор, агенти |
| Метаданни на сървър | Имена на MCP сървър, описания, дефиниции на инструмент, способност | Служители на администратор |
| Технически данни | IP адреси, низове с потребителски агент, метаданни на заявка | Служители на администратор, агенти |
4. Мерки за сигурност
Обработващият прилага и поддържа следните технически и организационни мерки за гарантиране на сигурност на личните данни в съответствие с GDPR членка 32:
- Шифриране при покой: Всяко съхранение на база данни е шифровано с AES-256. API ключовете се съхраняват като солени хешове.
- Шифриране при преминаване: Всички данни, предавани между клиенти, сървъри и под-обработващи, са защитени с TLS 1.2 или по-високо.
- Контроли на достъп: Контрол на достъп въз основа на роля (RBAC) с принципи на най-малък привилегий. Мултифакторна удостоверяване за административен достъп. Сигурност на ниво на редице (RLS) прилагана на слоя на база данни.
- Одит логиране: Всички API достъп и административни действия се регистрират с времеви печати, идентификация на actora и детайли на действие. Логовете се запазват за 90 дни.
- Сигурност на инфраструктура: Управлявано хостиране на Supabase (SOC 2 тип II) и Vercel с автоматизирано пачване и сканиране на уязвимост.
- Реагиране на инцидент: Документирани процедури за реагиране на инцидент с определени роли и протоколи за комуникация.
5. Под-обработващи
Администратор дава обща оторизиране за обработващия да ангажира следните под-обработващи. Обработващият трябва да известит администратора поне 30 дни предварително на всяка предполагана промяна на под-обработващи, давайки администратору възможност да възразе.
| Под-обработващ | Цел | Местоположение |
|---|---|---|
| Supabase Inc. | Хостиране на база данни, удостоверяване, съхранение | EU (Франкфурт, Германия) |
| Stripe Inc. | Обработка на плащане, управление на абонамент | EU |
| Vercel Inc. | Хостиране на приложение, доставка на край | EU край (глобална CDN) |
| Anthropic PBC | AI-захранени функции (препоръки на агент) | US (с SCCs) |
6. Известяване за нарушение на данни
В случай на нарушение на лични данни, обработващият трябва:
- Известител администратор без ненужно закъснение и не по-късно от 72 часа след осъзнаване на нарушението, в съответствие с GDPR членка 33.
- Предоставление на всеобхватни детайли, включително природа на нарушението, категории и приблизителен брой засегнати предмети на данки, вероятни последствия и взети или предложени мерки за смекчаване на нарушението.
- Сътрудничество напълно с администратора при разследване на нарушението и изпълнение на задължения на администратора за известяване на надзорни органи и засегнатите предмети на данки.
- Документиране на всички нарушения независимо от степен, поддържане на записи на факти, ефекти и предприети действия за коригиране.
7. Връщане и изтриване на данни
При прекратяване или изтичане на договора за услуги, обработващият трябва, по избор на администратор:
- Върнете всички лични данни на администратор в структуриран, често използван, машинно четлив формат (JSON експорт), включително данни на сметка, конфигурации на сървър и логове за употреба.
- Изтриете всички лични данни в рамките на 30 дни от дата на прекратяване, включително всички копия в активни системи и резервни системи, освен ако запазване е необходимо по право на EU или държава-член.
Обработващият трябва да предостави писмено потвърждение за изтриване по заявка. Записи за фактуриране могат да бъдат запазени за до 10 години, както е необходимо от чешкото счетоводство право (Закон № 563/1991 Сб.).
8. Права на одит
Администратор има право да проверим съответствието на обработващия на този DPA:
- Годишни одити: Администратор може да проведе или да наеме независим одит на дейностите на обработка на данни на обработващия веднъж на календарен год, с поне 30 дни писмено известие предварително.
- Обхват: Одитите могат да покрият мерки за сигурност, управление на под-обработващ, процедури за обработка на данни и способност за реагиране на нарушение.
- Сътрудничество: Обработващият трябва да предоставти всички информации необходими за демонстриране на съответствие, включително достъп до релевантни съоръжения, системи и персонал по време на обикновени часове на работа.
- Алтернатива на сертификация: Обработващият може да удовлетвори одитни изисквания, като предостави текущи отчети на SOC 2 тип II, сертификати ISO 27001 или еквивалентни независими оценки.
9. Международни трансфери
Обработващият не трябва да трансфериране лични данни извън Европейското икономическо пространство (ЕИП) освен ако:
- Европейската комисия е издала решение за адекватност за дестинационната държава (GDPR членка 45).
- Подходящи гарантии са налични, включително стандартни договорни клаузули (SCCs), одобрени от Европейската комисия (GDPR членка 46(2)(c)).
- Оценка на тълкуването на трансфер (TIA) е проведена и документирана за конкретния трансфер.
Отношение, единствено под-обработващ местоположен извън ЕИП е Anthropic PBC (Съединени държави), за които SCCs са налични и AI обработката не включва постоянно съхранение на лични данни.
10. Контакт за изпълнение на DPA
За да поискате изпълнение на този DPA, обсъдете условия или разпитайте за нашите практики на защита на данни:
KOWEX Co. Holding — корпоративен екип
Имейл: enterprise@agentforge.community
Орган по защита на данни: privacy@agentforge.community
Този DPA се управлява от законите на Чехия. Всякакви спорове, произтичащи от този DPA, трябва да бъдат подчинени на определението юрисдикция на съдилища на Чехия. Този DPA остава в сила за продължителност на използването от администратор на услугите AgentForge и докл обработващий запазва всякакви лични данни, обработвани от име на администратор.