Smlouva o zpracování osobních údajů | AgentForge

1. Strany

Tento DPA je uzavřen mezi:

Správce osobních údajů ("Správce"): Entita zákazníka, která uzavřela dohodu o předplatném pro služby AgentForge a určuje účely a prostředky zpracování osobních údajů.
Zpracovatel osobních údajů ("Zpracovatel"): KOWEX Co. Holding, společnost registrovaná v Česká republika, která provozuje platformu AgentForge na agentforge.community.

2. Rozsah zpracování

Zpracovatel bude zpracovávat osobní údaje jménem Správce výhradně pro účel poskytování služeb platformy AgentForge, včetně:

Poskytování přístupu k API a ovládacímu panelu AgentForge
Hostování a podávání konfigurací MCP serverů
Zpracování požadavků API mezi agenty a MCP servery
Vedení protokolů použití a analytiky
Správa ověení a řízení přístupu
Zpracování operací předplatného a fakturace

Zpracovatel bude zpracovávat osobní údaje pouze podle zdokumentovaných pokynů od Správce, pokud to nevyžaduje EU nebo zákon členského státu.

3. Kategorie zpracovávaných dat

Následující kategorie osobních údajů mohou být zpracovávány podle tohoto DPA:

Kategorie	Prvky dat	Subjekty dat
Informace o účtu	E-mailová adresa, zobrazované jméno, přihlašovací údaje (hashované)	Zaměstnanci Správce, autorizovaní uživatelé
Data o použití API	Volaní endpointy, časová razítka, kódy odpědí, čítače rate-limit	Zaměstnanci Správce, agenti
Metadata serveru	Jména MCP serverů, popisy, definice nástrojů, možnosti	Zaměstnanci Správce
Technická data	IP adresy, řetězce user agent, metadata požadavků	Zaměstnanci Správce, agenti

4. Bezpečnostní opatření

Zpracovatel provádí a udržuje následující technická a organizační opatření, aby zajistil bezpečnost osobních údajů v souladu s GDPR Čl. 32:

Šifrování v klidu: Všechno úložiště databáze je šifrováno pomocí AES-256. Klíče API jsou uloženy jako solené hashe.
Šifrování během přenosu: Všechna data předávaná mezi klienty, servery a podprocesor jsou chráněna TLS 1.2 nebo vyšší.
Řízení přístupu: Řízení přístupu na základě rolí (RBAC) s principy nejmenších privilegií. Vícefaktorová ověření pro administrativní přístup. Zabezpečení na úrovni řádků (RLS) vynucováno na úrovni databáze.
Audit logging: Všechny přístupy API a administrativní akce jsou zaznamenávány s časovými razítky, identifikací aktéra a detaily akce. Protokoly jsou uchovávány 90 dní.
Bezpečnost infrastruktury: Správované hostování na Supabase (SOC 2 Type II) a Vercel s automatickým opravováním a skenováním zranitelností.
Incidentní odezva: Zdokumentované postupy incidentní odezvy s definovanými rolemi a komunikačními protokoly.

5. Dílčí zpracovatelé

Správce uděluje obecnou autorizaci Zpracovateli, aby angažoval následující dílčí zpracovatele. Zpracovatel bude informovat Správce alespoň 30 dnů předem o jakýchkoli zamýšlených změnách dílčích zpracovatelů, což Správci dává příležitost vznést námitku.

Dílčí zpracovatel	Účel	Umístění
Supabase Inc.	Hostování databáze, ověení, úložiště	EU (Frankfurt, Německo)
Stripe Inc.	Zpracování plateb, správa předplatného	EU
Vercel Inc.	Hostování aplikace, edge delivery	EU edge (globální CDN)
Anthropic PBC	AI-powered funkce (doporučení agentů)	USA (s SCCs)

6. Oznámení o porušení dat

V případě porušení osobních údajů bude Zpracovatel:

Upozornit Správce bez zbytečného zpoždění a nejpozději do 72 hodin po zjištění porušení, v souladu s GDPR Čl. 33.
Poskytnout komplexní podrobnosti včetně povahy porušení, kategorií a přibližného počtu postižených subjektů údajů, pravděpodobných důsledků a opatření přijatých nebo navržených ke zmírnění porušení.
Plně spolupracovat se Správcem při vyšetřování porušení a plnění povinností Správce informovat dohledové úřady a postižené subjekty.
Dokumentovat všechna porušení bez ohledu na závažnost, vedení záznamů o faktech, účincích a nápravných opatřeních.

7. Vrácení a smazání dat

Po ukončení nebo vypršení smlouvy o poskytování služeb bude Zpracovatel na volbu Správce:

Vrátit všechny osobní údaje Správci ve strukturovaném, běžně používaném, strojově čitelném formátu (JSON export), včetně dat účtu, konfigurací serverů a protokolů použití.
Smazat všechny osobní údaje do 30 dnů od data ukončení, včetně všech kopií v aktivních systémech a zálohách, pokud uchování nevyžaduje EU nebo zákon členského státu.

Zpracovatel poskytne písemné potvrzení smazání na vyžádání. Záznamy o fakturaci mohou být uchovány až 10 let podle českého zákona o účetnictví (Zákon č. 563/1991 Sb.).

8. Práva na audit

Správce má právo ověřit soulad Zpracovatele s tímto DPA:

Roční audity: Správce může provést nebo objednat nezávislý audit činností zpracování dat Zpracovatele jednou za kalendářní rok s alespoň 30denním písemným upozorněním.
Rozsah: Audity mohou pokrývat bezpečnostní opatření, správu dílčích zpracovatelů, postupy zpracování dat a schopnosti incidentní odezvy.
Spolupráce: Zpracovatel poskytne všechny informace nezbytné k prokázání souladu, včetně přístupu k příslušným zařízením, systémům a personálu během pracovních hodin.
Alternativa certifikace: Zpracovatel může splnit požadavky na audit poskytnutím aktuálních zpráv SOC 2 Type II, certifikací ISO 27001 nebo ekvivalentních nezávislých posudků.

9. Mezinárodní přenosy

Zpracovatel nepřenese osobní údaje mimo Evropský hospodářský prostor (EHP) s výjimkou, pokud:

Evropská komise vydala rozhodnutí o přiměřenosti pro cílovou zemi (GDPR Čl. 45).
Jsou zavedena příslušná ochranná opatření, včetně Standard Contractual Clauses (SCCs) schválených Evropskou komisí (GDPR Čl. 46(2)(c)).
Byla provedena a zdokumentována Posouzení dopadu přenosu (TIA) pro konkrétní přenos.

V současné době je jediný dílčí zpracovatel umístěný mimo EHP Anthropic PBC (Spojené státy), pro které jsou zavedeny SCCs a zpracování AI nezahrnuje trvalé úložiště osobních údajů.

10. Kontakt pro spuštění DPA

Chcete-li si vyžádat spuštění tohoto DPA, diskutovat o podmínkách nebo se ptát na naše postupy ochrany dat:

KOWEX Co. Holding — Podnikový tým
E-mail: enterprise@agentforge.community
Pověřenec pro ochranu dat: privacy@agentforge.community

Vyžádejte si podepsaný DPA

Tento DPA se řídí zákony Česká republika. Všechny spory vyplývající z tohoto DPA budou podléhat výlučné jurisdikci soudů Česka. Tento DPA bude platný po dobu užívání AgentForge Správcem a po dobu, kterou Zpracovatel uchovává jakékoliv osobní údaje zpracovávané jménem Správce.

1. Strany

Tento DPA je uzavřen mezi:

Správce osobních údajů ("Správce"): Entita zákazníka, která uzavřela dohodu o předplatném pro služby AgentForge a určuje účely a prostředky zpracování osobních údajů.
Zpracovatel osobních údajů ("Zpracovatel"): KOWEX Co. Holding, společnost registrovaná v Česká republika, která provozuje platformu AgentForge na agentforge.community.

2. Rozsah zpracování

Zpracovatel bude zpracovávat osobní údaje jménem Správce výhradně pro účel poskytování služeb platformy AgentForge, včetně:

Poskytování přístupu k API a ovládacímu panelu AgentForge
Hostování a podávání konfigurací MCP serverů
Zpracování požadavků API mezi agenty a MCP servery
Vedení protokolů použití a analytiky
Správa ověení a řízení přístupu
Zpracování operací předplatného a fakturace

Zpracovatel bude zpracovávat osobní údaje pouze podle zdokumentovaných pokynů od Správce, pokud to nevyžaduje EU nebo zákon členského státu.

3. Kategorie zpracovávaných dat

Následující kategorie osobních údajů mohou být zpracovávány podle tohoto DPA:

Kategorie	Prvky dat	Subjekty dat
Informace o účtu	E-mailová adresa, zobrazované jméno, přihlašovací údaje (hashované)	Zaměstnanci Správce, autorizovaní uživatelé
Data o použití API	Volaní endpointy, časová razítka, kódy odpědí, čítače rate-limit	Zaměstnanci Správce, agenti
Metadata serveru	Jména MCP serverů, popisy, definice nástrojů, možnosti	Zaměstnanci Správce
Technická data	IP adresy, řetězce user agent, metadata požadavků	Zaměstnanci Správce, agenti

4. Bezpečnostní opatření

Zpracovatel provádí a udržuje následující technická a organizační opatření, aby zajistil bezpečnost osobních údajů v souladu s GDPR Čl. 32:

Šifrování v klidu: Všechno úložiště databáze je šifrováno pomocí AES-256. Klíče API jsou uloženy jako solené hashe.
Šifrování během přenosu: Všechna data předávaná mezi klienty, servery a podprocesor jsou chráněna TLS 1.2 nebo vyšší.
Řízení přístupu: Řízení přístupu na základě rolí (RBAC) s principy nejmenších privilegií. Vícefaktorová ověření pro administrativní přístup. Zabezpečení na úrovni řádků (RLS) vynucováno na úrovni databáze.
Audit logging: Všechny přístupy API a administrativní akce jsou zaznamenávány s časovými razítky, identifikací aktéra a detaily akce. Protokoly jsou uchovávány 90 dní.
Bezpečnost infrastruktury: Správované hostování na Supabase (SOC 2 Type II) a Vercel s automatickým opravováním a skenováním zranitelností.
Incidentní odezva: Zdokumentované postupy incidentní odezvy s definovanými rolemi a komunikačními protokoly.

5. Dílčí zpracovatelé

Dílčí zpracovatel	Účel	Umístění
Supabase Inc.	Hostování databáze, ověení, úložiště	EU (Frankfurt, Německo)
Stripe Inc.	Zpracování plateb, správa předplatného	EU
Vercel Inc.	Hostování aplikace, edge delivery	EU edge (globální CDN)
Anthropic PBC	AI-powered funkce (doporučení agentů)	USA (s SCCs)

6. Oznámení o porušení dat

V případě porušení osobních údajů bude Zpracovatel:

Upozornit Správce bez zbytečného zpoždění a nejpozději do 72 hodin po zjištění porušení, v souladu s GDPR Čl. 33.
Poskytnout komplexní podrobnosti včetně povahy porušení, kategorií a přibližného počtu postižených subjektů údajů, pravděpodobných důsledků a opatření přijatých nebo navržených ke zmírnění porušení.
Plně spolupracovat se Správcem při vyšetřování porušení a plnění povinností Správce informovat dohledové úřady a postižené subjekty.
Dokumentovat všechna porušení bez ohledu na závažnost, vedení záznamů o faktech, účincích a nápravných opatřeních.

7. Vrácení a smazání dat

Po ukončení nebo vypršení smlouvy o poskytování služeb bude Zpracovatel na volbu Správce:

Vrátit všechny osobní údaje Správci ve strukturovaném, běžně používaném, strojově čitelném formátu (JSON export), včetně dat účtu, konfigurací serverů a protokolů použití.
Smazat všechny osobní údaje do 30 dnů od data ukončení, včetně všech kopií v aktivních systémech a zálohách, pokud uchování nevyžaduje EU nebo zákon členského státu.

Zpracovatel poskytne písemné potvrzení smazání na vyžádání. Záznamy o fakturaci mohou být uchovány až 10 let podle českého zákona o účetnictví (Zákon č. 563/1991 Sb.).

8. Práva na audit

Správce má právo ověřit soulad Zpracovatele s tímto DPA:

Roční audity: Správce může provést nebo objednat nezávislý audit činností zpracování dat Zpracovatele jednou za kalendářní rok s alespoň 30denním písemným upozorněním.
Rozsah: Audity mohou pokrývat bezpečnostní opatření, správu dílčích zpracovatelů, postupy zpracování dat a schopnosti incidentní odezvy.
Spolupráce: Zpracovatel poskytne všechny informace nezbytné k prokázání souladu, včetně přístupu k příslušným zařízením, systémům a personálu během pracovních hodin.
Alternativa certifikace: Zpracovatel může splnit požadavky na audit poskytnutím aktuálních zpráv SOC 2 Type II, certifikací ISO 27001 nebo ekvivalentních nezávislých posudků.

9. Mezinárodní přenosy

Zpracovatel nepřenese osobní údaje mimo Evropský hospodářský prostor (EHP) s výjimkou, pokud:

Evropská komise vydala rozhodnutí o přiměřenosti pro cílovou zemi (GDPR Čl. 45).
Jsou zavedena příslušná ochranná opatření, včetně Standard Contractual Clauses (SCCs) schválených Evropskou komisí (GDPR Čl. 46(2)(c)).
Byla provedena a zdokumentována Posouzení dopadu přenosu (TIA) pro konkrétní přenos.

10. Kontakt pro spuštění DPA

Chcete-li si vyžádat spuštění tohoto DPA, diskutovat o podmínkách nebo se ptát na naše postupy ochrany dat:

KOWEX Co. Holding — Podnikový tým
E-mail: enterprise@agentforge.community
Pověřenec pro ochranu dat: privacy@agentforge.community

Vyžádejte si podepsaný DPA