Ugovor o obradi podataka | AgentForge

1. Strane

Ovaj DPA zaključen je između:

Voditelj obrade ("Voditelj"): Klijentska tvrtka koja je zaključila ugovor o pretplati za AgentForge usluge i određuje svrhe i sredstva obrade osobnih podataka.
Izvršitelj obrade ("Procesor"): KOWEX Co. Holding, tvrtka registrirana u Češkoj, koja upravlja AgentForge platformom na agentforge.community.

2. Opseg obrade

Procesor će obrađivati osobne podatke u ime Voditeljice samo u svrhu pružanja AgentForge platforme, uključujući:

Pružanje pristupa AgentForge API i kontrolnoj ploči
Hosting i služba MCP konfiguracije poslužitelja
Obrada API zahtjeva između agenta i MCP poslužitelja
Održavanje zapisnika korištenja i analitike
Upravljanje autentifikacijom i kontrolom pristupa
Obrada operacija pretplate i naplate

Procesor će obrađivati osobne podatke samo prema dokumentiranim uputama Voditeljice, osim ako to nije potrebno prema zakonu EU ili Članice.

3. Kategorije obrađenih podataka

Sljedeće kategorije osobnih podataka mogu se obrađivati prema ovom DPA:

Kategorija	Elementi podataka	Subjekti podataka
Podaci računa	Adresa e-pošte, prikazano ime, akreditivni podaci autentifikacije (heširani)	Zaposlenici Voditeljice, autorizirani korisnici
Podaci o korištenju API-ja	Krajnje točke koje se pozivaju, vremenske oznake, kodovi odgovora, brojači ograničenja brzine	Zaposlenici Voditeljice, agenti
Metapodaci poslužitelja	Imena MCP poslužitelja, opisi, definicije alata, sposobnosti	Zaposlenici Voditeljice
Tehnički podaci	IP adrese, nizovi korisničkog agenta, metapodaci zahtjeva	Zaposlenici Voditeljice, agenti

4. Sigurnosne mjere

Procesor primjenjuje i održava sljedeće tehničke i organizacijske mjere osigurati sigurnost osobnih podataka u skladu s GDPR člankom 32:

Šifriranje podataka u mirovanju: Sva pohrana baze podataka je šifrirana koristeći AES-256. API ključevi se čuvaju kao slani heši.
Šifriranje tijekom prijenosa: Svi podaci preneseni između klijenata, poslužitelja i podprocesorala zaštićeni su TLS 1.2 ili novijom verzijom.
Kontrola pristupa: Kontrola pristupa na osnovi uloga (RBAC) s načelima najmanje privilegija. Autentifikacija s više faktora za administrativni pristup. Sigurnost na razini reda (RLS) provedena na razini baze podataka.
Zapisivanje provjeravanja: Svi API pristup i administrativne akcije registrirani su s vremenskim oznakama, identifikacijom aktera i detaljima akcije. Zapisnici se čuvaju 90 dana.
Sigurnost infrastrukture: Upravljani hosting na Supabase (SOC 2 tip II) i Vercel s automatiziranom primjenom patcha i skeniranjem ranjivosti.
Odgovore na incidente: Dokumentirani postupci odgovora na incidente s definirane uloge i protokole komunikacije.

5. Podprocesorali

Voditelj daje opću autorizaciju Procesoru da angažira sljedeće podprocesorale. Procesor će obavijestiti Voditeljicu najmanje 30 dana unaprijed o bilo kojoj namjeri promjene podprocesorala, dajući Voditelju mogućnost prigovora.

Podprocesor	Svrha	Lokacija
Supabase Inc.	Hosting baze podataka, autentifikacija, pohrana	EU (Frankfurt, Njemačka)
Stripe Inc.	Obrada plaćanja, upravljanje pretplatama	EU
Vercel Inc.	Hosting aplikacija, isporuka rubova	EU rub (globalni CDN)
Anthropic PBC	AI funkcije (preporuke agenta)	US (s SCC)

6. Obavijest o kršenju podataka

U slučaju kršenja osobnih podataka, Procesor će:

Obavijestiti Voditeljicu bez nepotrebnog odgode i najkasnije 72 sata nakon što je upoznao kršenje, u skladu s GDPR člankom 33.
Pružiti sveobuhvatne detalje uključujući prirodu kršenja, kategorije i približan broj zahvaćenih subjekata, vjerojatne posljedice i mjere koje su preuzete ili predložene za ublažavanje kršenja.
Potpuno suraditi s Voditeljem u istražujući kršenja i ispunjavajući obaveze Voditeljice obavijesti nadzornim tijelima i zahvaćenim subjektima.
Dokumentirati sva kršenja bez obzira na ozbiljnost, održavajući zapisnike činjenica, učinaka i sanacijskih mjera poduzeto.

7. Vraćanje podataka i brisanje

Po završetku ili isteku ugovora o pruživanju usluge, Procesor će, prema izboru Voditeljice:

Vratiti sve osobne podatke Voditelju u strukturiranom, generalno korištenom, strojevima čitljivom formatu (JSON izvoz), uključujući podatke računa, konfiguracije poslužitelja i zapisnike korištenja.
Izbrisati sve osobne podatke u roku od 30 dana od datuma završetka, uključujući sve kopije u aktivnim sustavima i rezervnim kopijama, osim gdje je zadržavanje potrebno prema zakonu EU ili Članice.

Procesor će na zahtjev pružiti pisanu potvrdu brisanja. Računi naplate mogu se zadržati do 10 godina kako je potrebno za hrvatski zakon o računovodstvu (Zakon br. 563/1991 Zb.).

8. Prava provjeravanja

Voditelj ima pravo provjeriti sukladnost Procesora s ovim DPA:

Godišnje provjere: Voditelj može provesti ili naručiti nezavisnu provjeru Procesore obrada podataka jednom godišnje, s najmanje 30 dana prethodnom pismenom obavijesti.
Opseg: Provjere mogu pokrivati sigurnosne mjere, upravljanje podprocesoralom, postupce rukovanja podacima i mogućnosti odgovora na incidente.
Suradnja: Procesor će pružiti sve potrebne informacije kako bi pokazao sukladnost, uključujući pristup relevantnim objektima, sustavima i osoblju tijekom redovnog radnog vremena.
Alternativa certifikaciji: Procesor može zadovoljiti zahtjeve provjeravanja pružanjem aktualnih SOC 2 tip II izvješća, ISO 27001 certifikacija ili ekvivalentnih nezavisnih procjena.

9. Međunarodni prijenosi

Procesor neće prenositi osobne podatke izvan Europskog gospodarskog područja (EGP) osim gdje:

Europska komisija je donijela odluku o adekvatnosti za zemlju odredišta (GDPR članak 45).
Odgovarajuće zaštitne mjere su na mjestu, uključujući Standardne ugovorne klauzule (SCC) odobrene Europskom komisijom (GDPR članak 46(2)(c)).
Procjena utjecaja prijenosa (TIA) je provedena i dokumentirana za specifičan prijenos.

Trenutno, jedini podprocesor smješten izvan EGP je Anthropic PBC (Sjedinjene Države), za koju SCC su na mjestu i AI obrada ne uključuje trajnu pohranu osobnih podataka.

10. Kontakt za izvršavanje DPA

Za zahtjev za izvršavanje ovog DPA, raspraviti uvjete ili pitati o našim prakama zaštite podataka:

KOWEX Co. Holding — tim za poduzeće
E-pošta: enterprise@agentforge.community
Službenik zaštite podataka: privacy@agentforge.community

Zahtijevajte potpisani DPA

Ovaj DPA reguliran je zakonima Češke. Bilo koji sporovi koji proizlaze iz ovog DPA podleći će isključivoj nadležnosti sudova Češke. Ovaj DPA ostaje na snazi za vrijeme korištenja AgentForge usluga od strane Voditeljice i koliko dugo Procesor zadržava bilo koje osobne podatke obrađene u ime Voditeljice.

1. Strane

Ovaj DPA zaključen je između:

Voditelj obrade ("Voditelj"): Klijentska tvrtka koja je zaključila ugovor o pretplati za AgentForge usluge i određuje svrhe i sredstva obrade osobnih podataka.
Izvršitelj obrade ("Procesor"): KOWEX Co. Holding, tvrtka registrirana u Češkoj, koja upravlja AgentForge platformom na agentforge.community.

2. Opseg obrade

Procesor će obrađivati osobne podatke u ime Voditeljice samo u svrhu pružanja AgentForge platforme, uključujući:

Pružanje pristupa AgentForge API i kontrolnoj ploči
Hosting i služba MCP konfiguracije poslužitelja
Obrada API zahtjeva između agenta i MCP poslužitelja
Održavanje zapisnika korištenja i analitike
Upravljanje autentifikacijom i kontrolom pristupa
Obrada operacija pretplate i naplate

Procesor će obrađivati osobne podatke samo prema dokumentiranim uputama Voditeljice, osim ako to nije potrebno prema zakonu EU ili Članice.

3. Kategorije obrađenih podataka

Sljedeće kategorije osobnih podataka mogu se obrađivati prema ovom DPA:

Kategorija	Elementi podataka	Subjekti podataka
Podaci računa	Adresa e-pošte, prikazano ime, akreditivni podaci autentifikacije (heširani)	Zaposlenici Voditeljice, autorizirani korisnici
Podaci o korištenju API-ja	Krajnje točke koje se pozivaju, vremenske oznake, kodovi odgovora, brojači ograničenja brzine	Zaposlenici Voditeljice, agenti
Metapodaci poslužitelja	Imena MCP poslužitelja, opisi, definicije alata, sposobnosti	Zaposlenici Voditeljice
Tehnički podaci	IP adrese, nizovi korisničkog agenta, metapodaci zahtjeva	Zaposlenici Voditeljice, agenti

4. Sigurnosne mjere

Procesor primjenjuje i održava sljedeće tehničke i organizacijske mjere osigurati sigurnost osobnih podataka u skladu s GDPR člankom 32:

Šifriranje podataka u mirovanju: Sva pohrana baze podataka je šifrirana koristeći AES-256. API ključevi se čuvaju kao slani heši.
Šifriranje tijekom prijenosa: Svi podaci preneseni između klijenata, poslužitelja i podprocesorala zaštićeni su TLS 1.2 ili novijom verzijom.
Kontrola pristupa: Kontrola pristupa na osnovi uloga (RBAC) s načelima najmanje privilegija. Autentifikacija s više faktora za administrativni pristup. Sigurnost na razini reda (RLS) provedena na razini baze podataka.
Zapisivanje provjeravanja: Svi API pristup i administrativne akcije registrirani su s vremenskim oznakama, identifikacijom aktera i detaljima akcije. Zapisnici se čuvaju 90 dana.
Sigurnost infrastrukture: Upravljani hosting na Supabase (SOC 2 tip II) i Vercel s automatiziranom primjenom patcha i skeniranjem ranjivosti.
Odgovore na incidente: Dokumentirani postupci odgovora na incidente s definirane uloge i protokole komunikacije.

5. Podprocesorali

Podprocesor	Svrha	Lokacija
Supabase Inc.	Hosting baze podataka, autentifikacija, pohrana	EU (Frankfurt, Njemačka)
Stripe Inc.	Obrada plaćanja, upravljanje pretplatama	EU
Vercel Inc.	Hosting aplikacija, isporuka rubova	EU rub (globalni CDN)
Anthropic PBC	AI funkcije (preporuke agenta)	US (s SCC)

6. Obavijest o kršenju podataka

U slučaju kršenja osobnih podataka, Procesor će:

Obavijestiti Voditeljicu bez nepotrebnog odgode i najkasnije 72 sata nakon što je upoznao kršenje, u skladu s GDPR člankom 33.
Pružiti sveobuhvatne detalje uključujući prirodu kršenja, kategorije i približan broj zahvaćenih subjekata, vjerojatne posljedice i mjere koje su preuzete ili predložene za ublažavanje kršenja.
Potpuno suraditi s Voditeljem u istražujući kršenja i ispunjavajući obaveze Voditeljice obavijesti nadzornim tijelima i zahvaćenim subjektima.
Dokumentirati sva kršenja bez obzira na ozbiljnost, održavajući zapisnike činjenica, učinaka i sanacijskih mjera poduzeto.

7. Vraćanje podataka i brisanje

Po završetku ili isteku ugovora o pruživanju usluge, Procesor će, prema izboru Voditeljice:

Vratiti sve osobne podatke Voditelju u strukturiranom, generalno korištenom, strojevima čitljivom formatu (JSON izvoz), uključujući podatke računa, konfiguracije poslužitelja i zapisnike korištenja.
Izbrisati sve osobne podatke u roku od 30 dana od datuma završetka, uključujući sve kopije u aktivnim sustavima i rezervnim kopijama, osim gdje je zadržavanje potrebno prema zakonu EU ili Članice.

Procesor će na zahtjev pružiti pisanu potvrdu brisanja. Računi naplate mogu se zadržati do 10 godina kako je potrebno za hrvatski zakon o računovodstvu (Zakon br. 563/1991 Zb.).

8. Prava provjeravanja

Voditelj ima pravo provjeriti sukladnost Procesora s ovim DPA:

Godišnje provjere: Voditelj može provesti ili naručiti nezavisnu provjeru Procesore obrada podataka jednom godišnje, s najmanje 30 dana prethodnom pismenom obavijesti.
Opseg: Provjere mogu pokrivati sigurnosne mjere, upravljanje podprocesoralom, postupce rukovanja podacima i mogućnosti odgovora na incidente.
Suradnja: Procesor će pružiti sve potrebne informacije kako bi pokazao sukladnost, uključujući pristup relevantnim objektima, sustavima i osoblju tijekom redovnog radnog vremena.
Alternativa certifikaciji: Procesor može zadovoljiti zahtjeve provjeravanja pružanjem aktualnih SOC 2 tip II izvješća, ISO 27001 certifikacija ili ekvivalentnih nezavisnih procjena.

9. Međunarodni prijenosi

Procesor neće prenositi osobne podatke izvan Europskog gospodarskog područja (EGP) osim gdje:

Europska komisija je donijela odluku o adekvatnosti za zemlju odredišta (GDPR članak 45).
Odgovarajuće zaštitne mjere su na mjestu, uključujući Standardne ugovorne klauzule (SCC) odobrene Europskom komisijom (GDPR članak 46(2)(c)).
Procjena utjecaja prijenosa (TIA) je provedena i dokumentirana za specifičan prijenos.

Trenutno, jedini podprocesor smješten izvan EGP je Anthropic PBC (Sjedinjene Države), za koju SCC su na mjestu i AI obrada ne uključuje trajnu pohranu osobnih podataka.

10. Kontakt za izvršavanje DPA

Za zahtjev za izvršavanje ovog DPA, raspraviti uvjete ili pitati o našim prakama zaštite podataka:

KOWEX Co. Holding — tim za poduzeće
E-pošta: enterprise@agentforge.community
Službenik zaštite podataka: privacy@agentforge.community

Zahtijevajte potpisani DPA