Andmetöötluse leping | AgentForge

1. Pooled

See DPA sõlmitakse vahel:

Andmete vastutav töötleja ("vastutav töötleja"): Tellijate üksus, kes on sõlminud tellimuse lepingu AgentForge teenuste jaoks ja määrab andmete töötlemise eesmärgid ja vahendid.
Andmete volitatud töötleja ("volitatud töötleja"): KOWEX Co. Holding, Tšehhi Vabariigis registreeritud ettevõte, opereerib AgentForge platvormi veebis agentforge.community.

2. Töötlemise ulatus

Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel ainult AgentForge platvormi teenuste pakkumise eesmärgil, sealhulgas:

Juurdepääsutõendus AgentForge API ja armatuurile
MCP serveri konfiguratsiooni majutamine ja teenindamine
API taotluste töötlemine agentide ja MCP-serverite vahel
Kasutuse logide ja analüütika säilitamine
Autentimise ja juurdepääs kontrolli haldamine
Tellimuse ja arvelduse operatsioonide töötlemine

Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, kui EL-i või liikmesriigi seadus seda ei nõua.

3. Töödeldud andmete kategooriad

Järgmised isikuandmete kategooriad võidakse töötleda selle DPA all:

Kategooria	Andme elemendid	Andmete subjektid
Konto teave	E-posti aadress, kuva nimi, autentimise mandaadid (räsitatud)	Vastutava töötleja töötajad, volitatud kasutajad
API kasutuse andmed	Kutsutud otspunktid, ajatemplid, vastuse koodid, määra-piiri loendurid	Vastutava töötleja töötajad, agendid
Serveri metaandmed	MCP serveri nimed, kirjeldused, tööriista määratlused, võimekus	Vastutava töötleja töötajad
Tehniline andmed	IP-aadressid, kasutaja agent stringid, taotluse metaandmed	Vastutava töötleja töötajad, agendid

4. Turvameetmed

Volitatud töötleja rakendab ja säilitab järgmisi tehnikaid ja organisatsiooni meetmeid andmete turvalisuse tagamiseks vastavalt GDPR artikliga 32:

Krüptimine puhkeolekus: Kõik andmebaasi salvestamine on krüpteeritud AES-256 kasutamisega. API võtmeid salvestatakse soolatud räsitena.
Krüptimine transiidis: Kõik andmed, mida edastati klientide, serverite ja alamtöötlejate vahel, on kaitstud TLS 1.2 või kõrgemat.
Juurdepääs kontrollid: Rollepõhine juurdepääsu kontroll (RBAC) kõige väiksema õiguse põhimõtetega. Mitme faktori autentimine haldusliku juurdepääsu jaoks. Rida tasandi turvalisus (RLS) jõustab andmebaasi tasandil.
Auditi logimine: Kõik API juurdepääs ja haldustegevus logitakse ajatempleid, näitlejate tuvastamist ja tegevuse detaile kasutades. Logid säilitatud 90 päeva jooksul.
Infrastruktuur turvalisus: Hallatud majutus Supabase (SOC 2 II tüüp) ja Vercel automaatsete paigutuste ja haavatavuste skaneerimisega.
Intsidendi vastamine: Dokumenteeritud intsidendi vastamise protseduurid määratletud rollide ja kommunikatsiooni protokollidega.

5. Alamtöötlejad

Vastutav töötleja annab üldise autorisatsiooni volitatud töötlejale seostuda järgmistega alamtöötlejatega. Volitatud töötleja teadanatab vastutavat töötlejat vähemalt 30 päeva eelnevalt iga plaanitud alamtöötleja muudatusest, andes vastutavale töötlejale võimaluse vastuväidet esitada.

Alamtöötleja	Eesmärk	Asukoht
Supabase Inc.	Andmebaas majutamine, autentimine, salvestamine	EL (Frankfurt, Saksamaa)
Stripe Inc.	Maksete töötlemine, tellimuste haldamine	EL
Vercel Inc.	Rakenduse majutamine, servade pakkumist	EL serva (globaal CDN)
Anthropic PBC	AI-funktsioonid (agendi soovitused)	USA (SCC-dega)

6. Andmete rikkuse teatamine

Andmete rikkumise korral volitatud töötleja:

Teatage vastutavale töötlejale viivitamata ja hiljemalt 72 tunni jooksul pärast rikkumisest teadmise saamist, vastavalt GDPR artikliga 33.
Esitage täielikud detailid sealhulgas rikkumise olemus, andmete subjektite kategooriad ja ligikaudne arv, mis mõjutatud, tõenäolised tagajärjed ja meetmed, mis võeti või soovitakse rikkumise vähendamiseks.
Tööta täielikult kaasas vastutava töötlejaga rikkumise uurimisel ja vastutava töötleja kohustuste täitmisel järelevalve asutustele ja mõjutatud andmete subjektidele teatamiseks.
Dokumenteeri kõik rikkumised sõltumata raskusest, säilitus faktid, mõjud ja saneerimistoimete kirjed.

7. Andmete tagastamine ja kustutamine

Teenuse lepingu lõpetamise või aegumisel, volitatud töötleja, vastutava töötleja valikul:

Tagasta kõik isikuandmed vastutavale töötlejale struktureeritud, üldlevinud, masinalugemise vormingus (JSON eksport), sealhulgas konto andmeid, serveri konfiguratsioone ja kasutuse logid.
Kustutab kõik isikuandmed 30 päeva jooksul lõpetamise kuupäevast, sealhulgas kõik koopiad aktiivse süsteemi ja varundades, välja arvatud juhul, kui säilitamine on nõutud EL-i või liikmesriigi seaduse alusel.

Volitatud töötleja esitab kustutamise kirjalikud tõendid taotlusel. Arveldus aruanded võidakse säilitada kuni 10 aastat, nagu nõuab Tšehhi raamatupidamisseadus (seadus nr 563/1991 Sb.).

8. Auditi õigused

Vastutavale töötlejale on õigus verifitseerida volitatud töötleja nõuetekohasus selle DPA-ga:

Aastased auditid: Vastutav töötleja võib teha või tell sõltumatut auditit volitatud töötleja andmete töötlemise tegevustest aastas, vähemalt 30 päeva eelnevalt kirjaliku teatamisega.
Ulatus: Auditeid võib katta turvameetmeid, alamtöötleja juhtimist, andmete käitlemise protseduurid ja rikkumise vastamise võimekused.
Koostöö: Volitatud töötleja esitab kõik teabe, mis on vajalik nõuetekohasus demonstreerimiseks, sealhulgas juurdepääs asjakohasele haldusfunktsioonidele, süsteemidele ja personalile tavapärastes äritundides.
Sertifitseerimise alternatiiv: Volitatud töötleja võib auditi nõudeid täita, esitades praegusi SOC 2 II tüüpiaruandeid, ISO 27001 sertifikaate või samaväärseid sõltumatud hindamisi.

9. Rahvusvahelised edastused

Volitatud töötleja ei edasta isikuandmeid väljaspool Euroopa majanduspiirkonda (EMP), välja arvatud juhul, kui:

Euroopa Komisjon on andnud asjakohasuse otsuse sihtriigile (GDPR artikkel 45).
Asjakohased kaitsemeetmed on olemas, sealhulgas Euroopa Komisjoni poolt heakskiidetud Standard Contractual Clauses (SCC) (GDPR artikkel 46(2)(c)).
Ülekande mõju hindamine (TIA) on täidetud ja dokumenteeritud konkreetse ülekande jaoks.

Praegu on ainukeseks alamtöötlejaks väljaspool EMP-d Anthropic PBC (Ühendriigid), mille jaoks kehtivad SCC-d ja AI töötlemine ei hõlma isikuandmete jätkuvat salvestamist.

10. Kontakt DPA käivitamiseks

DPA käivitamise taotlemiseks, tingimuste arutamiseks või andmekaitse tavade pärimiseks:

KOWEX Co. Holding — ettevõtte tiim
E-post: enterprise@agentforge.community
Andmekaitse ametnik: privacy@agentforge.community

Taotleske allkirjastatud DPA

See DPA reguleeritakse Tšehhi Vabariigi seadustega. Nendest DPA-st tulenevad vaidlused alluvad Tšehhi Vabariigi kohtute eksklusiivsele jurisdiktsioonile. See DPA jääb kehtima vastutava töötleja AgentForge teenuste kasutamise kestvuse ajal ja nii kaua, kuni volitatud töötleja säilitab iga isikuandmeid, mis töötletakse vastutava töötleja nimel.

1. Pooled

See DPA sõlmitakse vahel:

Andmete vastutav töötleja ("vastutav töötleja"): Tellijate üksus, kes on sõlminud tellimuse lepingu AgentForge teenuste jaoks ja määrab andmete töötlemise eesmärgid ja vahendid.
Andmete volitatud töötleja ("volitatud töötleja"): KOWEX Co. Holding, Tšehhi Vabariigis registreeritud ettevõte, opereerib AgentForge platvormi veebis agentforge.community.

2. Töötlemise ulatus

Volitatud töötleja töötleb isikuandmeid vastutava töötleja nimel ainult AgentForge platvormi teenuste pakkumise eesmärgil, sealhulgas:

Juurdepääsutõendus AgentForge API ja armatuurile
MCP serveri konfiguratsiooni majutamine ja teenindamine
API taotluste töötlemine agentide ja MCP-serverite vahel
Kasutuse logide ja analüütika säilitamine
Autentimise ja juurdepääs kontrolli haldamine
Tellimuse ja arvelduse operatsioonide töötlemine

Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, kui EL-i või liikmesriigi seadus seda ei nõua.

3. Töödeldud andmete kategooriad

Järgmised isikuandmete kategooriad võidakse töötleda selle DPA all:

Kategooria	Andme elemendid	Andmete subjektid
Konto teave	E-posti aadress, kuva nimi, autentimise mandaadid (räsitatud)	Vastutava töötleja töötajad, volitatud kasutajad
API kasutuse andmed	Kutsutud otspunktid, ajatemplid, vastuse koodid, määra-piiri loendurid	Vastutava töötleja töötajad, agendid
Serveri metaandmed	MCP serveri nimed, kirjeldused, tööriista määratlused, võimekus	Vastutava töötleja töötajad
Tehniline andmed	IP-aadressid, kasutaja agent stringid, taotluse metaandmed	Vastutava töötleja töötajad, agendid

4. Turvameetmed

Volitatud töötleja rakendab ja säilitab järgmisi tehnikaid ja organisatsiooni meetmeid andmete turvalisuse tagamiseks vastavalt GDPR artikliga 32:

Krüptimine puhkeolekus: Kõik andmebaasi salvestamine on krüpteeritud AES-256 kasutamisega. API võtmeid salvestatakse soolatud räsitena.
Krüptimine transiidis: Kõik andmed, mida edastati klientide, serverite ja alamtöötlejate vahel, on kaitstud TLS 1.2 või kõrgemat.
Juurdepääs kontrollid: Rollepõhine juurdepääsu kontroll (RBAC) kõige väiksema õiguse põhimõtetega. Mitme faktori autentimine haldusliku juurdepääsu jaoks. Rida tasandi turvalisus (RLS) jõustab andmebaasi tasandil.
Auditi logimine: Kõik API juurdepääs ja haldustegevus logitakse ajatempleid, näitlejate tuvastamist ja tegevuse detaile kasutades. Logid säilitatud 90 päeva jooksul.
Infrastruktuur turvalisus: Hallatud majutus Supabase (SOC 2 II tüüp) ja Vercel automaatsete paigutuste ja haavatavuste skaneerimisega.
Intsidendi vastamine: Dokumenteeritud intsidendi vastamise protseduurid määratletud rollide ja kommunikatsiooni protokollidega.

5. Alamtöötlejad

Alamtöötleja	Eesmärk	Asukoht
Supabase Inc.	Andmebaas majutamine, autentimine, salvestamine	EL (Frankfurt, Saksamaa)
Stripe Inc.	Maksete töötlemine, tellimuste haldamine	EL
Vercel Inc.	Rakenduse majutamine, servade pakkumist	EL serva (globaal CDN)
Anthropic PBC	AI-funktsioonid (agendi soovitused)	USA (SCC-dega)

6. Andmete rikkuse teatamine

Andmete rikkumise korral volitatud töötleja:

Teatage vastutavale töötlejale viivitamata ja hiljemalt 72 tunni jooksul pärast rikkumisest teadmise saamist, vastavalt GDPR artikliga 33.
Esitage täielikud detailid sealhulgas rikkumise olemus, andmete subjektite kategooriad ja ligikaudne arv, mis mõjutatud, tõenäolised tagajärjed ja meetmed, mis võeti või soovitakse rikkumise vähendamiseks.
Tööta täielikult kaasas vastutava töötlejaga rikkumise uurimisel ja vastutava töötleja kohustuste täitmisel järelevalve asutustele ja mõjutatud andmete subjektidele teatamiseks.
Dokumenteeri kõik rikkumised sõltumata raskusest, säilitus faktid, mõjud ja saneerimistoimete kirjed.

7. Andmete tagastamine ja kustutamine

Teenuse lepingu lõpetamise või aegumisel, volitatud töötleja, vastutava töötleja valikul:

Tagasta kõik isikuandmed vastutavale töötlejale struktureeritud, üldlevinud, masinalugemise vormingus (JSON eksport), sealhulgas konto andmeid, serveri konfiguratsioone ja kasutuse logid.
Kustutab kõik isikuandmed 30 päeva jooksul lõpetamise kuupäevast, sealhulgas kõik koopiad aktiivse süsteemi ja varundades, välja arvatud juhul, kui säilitamine on nõutud EL-i või liikmesriigi seaduse alusel.

Volitatud töötleja esitab kustutamise kirjalikud tõendid taotlusel. Arveldus aruanded võidakse säilitada kuni 10 aastat, nagu nõuab Tšehhi raamatupidamisseadus (seadus nr 563/1991 Sb.).

8. Auditi õigused

Vastutavale töötlejale on õigus verifitseerida volitatud töötleja nõuetekohasus selle DPA-ga:

Aastased auditid: Vastutav töötleja võib teha või tell sõltumatut auditit volitatud töötleja andmete töötlemise tegevustest aastas, vähemalt 30 päeva eelnevalt kirjaliku teatamisega.
Ulatus: Auditeid võib katta turvameetmeid, alamtöötleja juhtimist, andmete käitlemise protseduurid ja rikkumise vastamise võimekused.
Koostöö: Volitatud töötleja esitab kõik teabe, mis on vajalik nõuetekohasus demonstreerimiseks, sealhulgas juurdepääs asjakohasele haldusfunktsioonidele, süsteemidele ja personalile tavapärastes äritundides.
Sertifitseerimise alternatiiv: Volitatud töötleja võib auditi nõudeid täita, esitades praegusi SOC 2 II tüüpiaruandeid, ISO 27001 sertifikaate või samaväärseid sõltumatud hindamisi.

9. Rahvusvahelised edastused

Volitatud töötleja ei edasta isikuandmeid väljaspool Euroopa majanduspiirkonda (EMP), välja arvatud juhul, kui:

Euroopa Komisjon on andnud asjakohasuse otsuse sihtriigile (GDPR artikkel 45).
Asjakohased kaitsemeetmed on olemas, sealhulgas Euroopa Komisjoni poolt heakskiidetud Standard Contractual Clauses (SCC) (GDPR artikkel 46(2)(c)).
Ülekande mõju hindamine (TIA) on täidetud ja dokumenteeritud konkreetse ülekande jaoks.

Praegu on ainukeseks alamtöötlejaks väljaspool EMP-d Anthropic PBC (Ühendriigid), mille jaoks kehtivad SCC-d ja AI töötlemine ei hõlma isikuandmete jätkuvat salvestamist.

10. Kontakt DPA käivitamiseks

DPA käivitamise taotlemiseks, tingimuste arutamiseks või andmekaitse tavade pärimiseks:

KOWEX Co. Holding — ettevõtte tiim
E-post: enterprise@agentforge.community
Andmekaitse ametnik: privacy@agentforge.community

Taotleske allkirjastatud DPA