Databehandleraftale
Ikrafttrædelsesdato: 26. marts 2026
1. Parter
Denne DPA indgås mellem:
- Dataansvarlig ("Controller"): Kundeselskabet, som har indgået en abonnementsaftale for AgentForge-servicer og bestemmer formål og metoder for behandling af personlige data.
- Databehandler ("Processor"): KOWEX Co. Holding, et selskab registreret i Tjekkiet, der driver AgentForge-platformen på agentforge.community.
2. Omfang af behandling
Processoren behandler personlige data på vegne af Controlleren udelukkende med henblik på at levere AgentForge-platformservicerne, herunder:
- Tilvejebringelse af adgang til AgentForge-API'et og dashboardet
- Hosting og betjening af MCP-serverkonfigurationer
- Behandling af API-anmodninger mellem agenter og MCP-servere
- Vedligeholdelse af brugslogs og analytics
- Administration af autentificering og adgangskontrol
- Behandling af abonnements- og faktureringsoperationer
Processoren behandler personlige data kun på dokumenteret instruks fra Controlleren, medmindre påkrævet af EU- eller medlemsstatslov.
3. Kategorier af data behandlet
Følgende kategorier af personlige data kan behandles under denne DPA:
| Kategori | Dataelementer | Registrerede |
|---|---|---|
| Kontooplysninger | E-mailadresse, visningsnavn, autentificeringsoplysninger (hashede) | Controllerens medarbejdere, autoriserede brugere |
| API-brugsdata | Kaldte endepunkter, tidsstempler, svarstatuskoder, rate-limit-tæller | Controllerens medarbejdere, agenter |
| Server-metadata | MCP-servernavne, beskrivelser, værktøjsdefinitioner, evner | Controllerens medarbejdere |
| Tekniske data | IP-adresser, user agent-strenge, request-metadata | Controllerens medarbejdere, agenter |
4. Sikkerhedsforanstaltninger
Processoren implementerer og vedligeholder følgende tekniske og organisatoriske foranstaltninger for at sikre personlige datas sikkerhed i overensstemmelse med GDPR artikel 32:
- Kryptering i hvile: Al databaselagring er krypteret med AES-256. API-nøgler lagres som saltede hashes.
- Kryptering under transit: Al data, der transmitteres mellem klienter, servere og underbehandlere, beskyttet af TLS 1.2 eller højere.
- Adgangskontroller: Rolle-baseret adgangskontrol (RBAC) med mindste-privilegie-principler. Multi-factor-autentificering for administrativ adgang. Row Level Security (RLS) håndhævet på databaselaget.
- Revisionslogging: Al API-adgang og administrative handlinger logges med tidsstempler, aktøridentifikation og handlingsdetaljer. Logs opbevares i 90 dage.
- Infrastruktur-sikkerhed: Administreret hosting på Supabase (SOC 2 Type II) og Vercel med automatiseret patching og sårbarhedsscan.
- Hændelsesrespons: Dokumenteret hændelsesresponsprocedurer med definerede roller og kommunikationsprotokoller.
5. Underbehandlere
Controlleren giver generel autorisation til, at Processoren engagerer følgende underbehandlere. Processoren underretter Controlleren mindst 30 dage i forvejen om eventuelle tilsigtede ændringer af underbehandlere, hvilket giver Controlleren mulighed for at gøre indsigelse.
| Underbehandler | Formål | Lokation |
|---|---|---|
| Supabase Inc. | Databasehosting, autentificering, lagring | EU (Frankfurt, Tyskland) |
| Stripe Inc. | Betalingsbehandling, abonnementsstyring | EU |
| Vercel Inc. | Applikationshosting, edge-levering | EU-edge (globalt CDN) |
| Anthropic PBC | AI-drevne funktioner (agent-anbefalinger) | USA (med SCC'er) |
6. Databeskyttelseshændelsesvarsel
I tilfælde af et personligt databeskrivelsesbrud underretter Processoren:
- Underretter Controlleren uden unødvendig forsinkelse og senest 72 timer efter at være blevet opmærksom på bruddet, i overensstemmelse med GDPR artikel 33.
- Giver omfattende detaljer herunder bruddets karakter, kategorier og tilnærmet antal registrerede berørte, sandsynlige konsekvenser og tiltag taget eller foreslået for at begrænse bruddet.
- Samarbejder fuldt ud med Controlleren i undersøgelsen af bruddet og opfyldelsen af Controllerens notifikationspligter til tilsynsmyndigheder og berørte registrerede.
- Dokumenterer alle brud uanset alvor, vedligeholdelse af registreringer af fakta, virkninger og afhjælpende tiltag taget.
7. Datareturnering og sletning
Ved ophør eller udløb af serviceaftalen skal Processoren efter Controllerens valg:
- Returnere alle personlige data til Controlleren i struktureret, almindeligt brugt, maskinlæsbart format (JSON-eksport), herunder kontodata, serverkonfigurationer og brugslogs.
- Slette alle personlige data inden 30 dage efter ophørsdatoen, herunder alle kopier i aktive systemer og sikkerhedskopier, undtagen hvor opbevaring kræves af EU- eller medlemsstatslov.
Processoren giver skriftlig bekræftelse af sletning på anmodning. Fakturaelementer kan opbevares i op til 10 år som krævet af tjekkisk regnskabslov (Lov nr. 563/1991 saml.).
8. Revisionsrettigheder
Controlleren har ret til at verificere Processorens overholdelse af denne DPA:
- Årlige revisioner: Controlleren kan gennemføre eller bestille en uafhængig revision af Processorens databehandlingsaktiviteter en gang pr. kalenderår, med mindst 30 dages skriftlig forudgående meddelelse.
- Omfang: Revisioner kan dække sikkerhedsforanstaltninger, underbehandlerstyring, datahåndtelingsprocedurer og brudresponsberedskab.
- Samarbejde: Processoren skal levere al information, der er nødvendig for at demonstrere overholdelse, herunder adgang til relevante faciliteter, systemer og personale i normale arbejdstimer.
- Certificeringsalternativ: Processoren kan opfylde revisionsforpligtelser ved at levere aktuelle SOC 2 Type II-rapporter, ISO 27001-certificeringer eller tilsvarende uafhængige vurderinger.
9. Internationale overføringer
Processoren overfører ikke personlige data uden for Det Europæiske Økonomiske Område (EEA) undtagen hvor:
- Europa-Kommissionen har udsendt en tilstrækkeligheds beslutning for destinationslandet (GDPR artikel 45).
- Passende sikkerhedsforanstaltninger er på plads, herunder Standard Contractual Clauses (SCC'er) godkendt af Europa-Kommissionen (GDPR artikel 46(2)(c)).
- En Transfer Impact Assessment (TIA) er udført og dokumenteret for den specifikke overførsel.
I øjeblikket er den eneste underbehandler placeret uden for EEA Anthropic PBC (USA), for hvilket SCC'er er på plads og AI-behandling involverer ikke vedvarende lagring af personlige data.
10. Kontakt for DPA-udførelse
For at anmode om udførelse af denne DPA, diskutere vilkår eller spørge om vores databeskyttelsespraksis:
KOWEX Co. Holding — Enterprise-team
E-mail: enterprise@agentforge.community
Databeskyttelsesansvarlig: privacy@agentforge.community
Denne DPA styres af Tjekkiets love. Eventuelle tvister, der opstår fra denne DPA, skal være undergivet den eksklusive jurisdiktion af Tjekkiets domstole. Denne DPA forbliver i kraft i varigheden af Controllerens brug af AgentForge-servicer og så længe Processoren opbevarer nogen personlige data behandlet på vegne af Controlleren.