Tietojenkäsittelysopimus
Voimaantulo: 26. maaliskuuta 2026
1. Osapuolet
Tämä DPA on solmittu seuraavien osapuolten välille:
- Tietojen ohjaaminen ("ohjaaminen"): Asiakkaan yksikkö, joka on solminut AgentForge-palvelun tilaussopimuksen ja määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
- Tietojen käsittelijä ("käsittelijä"): KOWEX Co. Holding, Tšekkiin rekisteröity yritys, joka operoi AgentForge-alustaa osoitteessa agentforge.community.
2. Käsittelyn soveltamisala
Käsittelijä käsittelee henkilötietoja ohjaamisen puolesta ainoastaan AgentForge-alustan palvelun tarjoamisen tarkoitukseen, mukaan lukien:
- AgentForge API ja kojelaudan pääsyn toimittaminen
- MCP-palvelimen määritysten isännöinti ja palvelu
- API-pyyntöjen käsittely agenttien ja MCP-palvelimien välillä
- Käyttölokit ja analytiikka ylläpitäminen
- Todennuksen hallinta ja pääsyn hallinta
- Tilaus- ja laskutusoperaatioiden käsittely
Käsittelijä käsittelee henkilötietoja vain ohjaamisen dokumentoidun ohjeella, elleivät EU tai jäsenvaltion laki vaadi muuta.
3. Käsiteltyjen tietojen luokat
Seuraavat henkilötietojen kategoriat voidaan käsitellä tämän DPA:n puitteissa:
| Luokka | Tietoelementit | Tietojen kohteet |
|---|---|---|
| Tilinä | Sähköpostiosoite, näyttönimi, todennustiedot (tiivistettävä) | Ohjaamisen työntekijät, valtuutetut käyttäjät |
| API käyttötiedot | Kutsutut päätepisteistä, aikaleimoja, vastauksen koodeja, nopeuden rajoitus laskuri | Ohjaamisen työntekijät, agentit |
| Palvelimen metatiedot | MCP palvelimen nimet, kuvaukset, työkalun määritelmät, ominaisuudet | Ohjaamisen työntekijät |
| Tekniset tiedot | IP-osoitteet, käyttäjä-agentti merkkijonot, pyynnön metatiedot | Ohjaamisen työntekijät, agentit |
4. Turvatoimet
Käsittelijä ottaa käyttöön ja ylläpitää seuraavia teknisiä ja organisaatioita turvatoimia henkilötietojen turvallisuuden varmistamiseksi GDPR-artikkelin 32 mukaisesti:
- Salaus levossa: Kaikki tietokanttallennus salataan AES-256:lla. API-avaimet tallennetaan suolautettuina tiivisteinä.
- Salaus siirtäessä: Kaikki tiedot, joita lähetetään asiakkaiden, palvelimien ja alihankkijoiden välillä, on suojattu TLS 1.2 tai sitä uudemmalla.
- Pääsyn hallinta: Rooli-pohjainen pääsyn hallinta (RBAC) vähiten etuoikeus periaatteet kanssa. Monivaiheinen todennus hallinnolliselle pääsylle. Rivi-tasoinen turvallisuus (RLS) pakoitettu tietokantatasolla.
- Tarkistus lokit: Kaikki API-pääsy ja hallinnolliset toiminnot kirjataan aikaleimalla, toimijan tunnistuksella ja toiminto tiedoilla. Lokit säilytetään 90 päivää.
- Infrastruktuuri turvallisuus: Hallittu isännöinti Supabase:ssa (SOC 2 Type II) ja Vercel-automaattisella jakamalla ja haavoittuvuuden skannauksella.
- Tapahtuman vastaus: Dokumentoidut tapahtumaansa vastaus menettelyt määritetyt roolit ja viestintä protokolla kanssa.
5. Alihankkijat
Ohjaaminen antaa yleisen hyväksynnän käsittelijälle tehdä seuraavia alihankkijoita. Käsittelijä ilmoittaa ohjaamisen vähintään 30 päivää etukäteen kaikista suunnitelluista alihankkijoiden muutoksista, jolloin ohjaaminen voi vastuusta.
| Alihankkija | Tarkoitus | Sijainti |
|---|---|---|
| Supabase Inc. | Tietokanta isännöinti, todennus, tallennus | EU (Frankfurt, Saksa) |
| Stripe Inc. | Maksujen käsittely, tilaus hallinta | EU |
| Vercel Inc. | Sovelluksen isännöinti, reuna toimitus | EU-reuna (maailmanlaajuinen CDN) |
| Anthropic PBC | Tekoäly-ominaisuudet (agentin suositukset) | USA (SCC:lla) |
6. Tietojen murto ilmoitus
Tietorikkoutumisen sattuessa käsittelijä:
- Ilmoittaa ohjaamisen ilman kohtuuttoman viiveen ja viimeistään 72 tunnin kuluessa tietämisestä rikkomuksesta, GDPR-artikkelin 33 mukaisesti.
- Antaa kattavat tiedot rikkomuksen luonnetta, vaikutettuja tietojen kohteita ja likimääräinen määrä, todennäköiset seuraukset ja ryhdytyt tai ehdotetut riskin vähentämistoimet.
- Yhteistyöt täysin ohjaamisen rikkomuksen tutkimisessa ja ohjaamisen valvontaviranomaisten ja vaikuttuneiden tietojen kohteiden ilmoitus velvoitteiden täyttämisessä.
- Dokumentit kaikki rikkomukset riippumatta vakavuudesta, ylläpidä tietueita tosiseikoista, vaikutuksista ja niihin kuuluvista korjaavista toimenpiteistä.
7. Tietojen palautus ja poistaminen
Palvelun sopimuksen päättyessä tai raukeamisessa käsittelijä, ohjaamisen valinnassa:
- Palauta kaikki henkilötiedot ohjaamisen jäsennelyssä, yleisesti käytetyssä, koneluettavassa muodossa (JSON viennin), mukaan lukien tilin tiedot, palvelimen määritykset ja käyttölokit.
- Poista kaikki henkilötiedot 30 päivän kuluessa päätös päivämäärästä, mukaan lukien kaikki kopiot aktiivisissa järjestelmissä ja varmuuskopioissa, paitsi jos säilytys vaaditaan EU tai jäsenvaltion lailla.
Käsittelijä antaa kirjallisen vahvistuksen poistamisen pyynnöstä. Laskutuspäätöste voidaan säilyttää enintään 10 vuotta, kuten Tšekin kirjanpitolaki vaatii (Laki nro 563/1991 kerätty, kirjanpidosta).
8. Tarkistus oikeudet
Ohjaaminen voi varmistaa käsittelijän GDPR:n noudattamisen:
- Vuosittaiset tarkistukset: Ohjaaminen voi suorittaa tai kutsua itsenäisen tarkistuksen käsittelijän tietojen käsittely toiminnasta kerran kalenterivuodessa, vähintään 30 päivän ennakko kirjoitettu ilmoitus.
- Soveltamisala: Tarkistukset voivat kattaa turva toimenpiteet, alihankkija hallinta, tietojen käsittely menettelyt ja murto vastaus kyvyt.
- Yhteistyö: Käsittelijä antaa kaikki tiedot tarpeellinen noudattamisen osoittamiseksi, mukaan lukien pääsy merkityksellisiin palvelimiin, järjestelmiin ja henkilöstölle normaalin työaikana.
- Sertifikaatti vaihtoehto: Käsittelijä voi täyttää tarkistus vaatimukset antamalla nykyisen SOC 2 Type II-raportit, ISO 27001 sertifikaatit tai vastaavat itsenäiset arviointeja.
9. Kansainväliset siirrot
Käsittelijä ei siirrä henkilötietoja Euroopan talousalueensa ulkopuolelle paitsi jos:
- Euroopan komissio on antanut riittävyys päätös kohde maasta (GDPR-artikkeli 45).
- Asianmukaiset suojatoimet ovat paikalla, mukaan lukien vakiosopimusklaausit (SCC) hyväksynneet Euroopan komissio (GDPR-artikkeli 46(2)(c)).
- Siirron vaikutus arviointi (TIA) on suoritettu ja dokumentoitu tietyt siirtoa varten.
Tällä hetkellä ainoa alihankkija EEA:n ulkopuolella on Anthropic PBC (Yhdysvallat), joille SCC:t ovat paikalla ja tekoäly käsittely ei sisällä pysyvää henkilötietojen tallennus.
10. DPA-toteutuksen yhteystieto
Pyytääksesi toteutusta DPA, keskustelemaan ehdoista tai tutkimaan tietojen suoja käytännöistä:
KOWEX Co. Holding — yritysten tiimi
Sähköposti: enterprise@agentforge.community
Tietosuojavastaava: privacy@agentforge.community
Tämä DPA hallitaan Tšekin lakien kautta. Kaikki tästä DPA:sta johtuvat riidat ovat Tšekin tuomioistuimien yksinomaiselle tutkintavaltaa. Tämä DPA jää voimaan ohjaamisen käyttämiselle AgentForge-palveluja ja niin kauan kuin käsittelijä säilyttää mitä tahansa ohjaamisen puolesta käsiteltävää henkilötietoja.