Duomenų tvarkymo sutartis
Įsigaliojimo data: 2026 m. kovo 26 d.
1. Šalys
Tai DPA yra sudaryta tarp:
- Duomenų valdytojas ("valdytojas"): Klientas esybė kurie yra sudaryta prenumeratos sutartis AgentForge paslaugoms ir nustato asmens duomenų apdorojimo tikslus ir priemones.
- Duomenų tvarkytojus ("tvarkytojus"): KOWEX Co. Holding, įmonė registruota Čekijos Respublikoje, veikdama AgentForge platformą agentforge.community.
2. Apdorojimo taikymo sritis
Tvarkytojus apdoroja asmens duomenis valdytojus vardu tik AgentForge platformos paslaugų teikimo tikslu, įskaitant:
- Teikiant AgentForge API ir skydelio prieigą
- Gaudavimas ir serverį MCP serverio konfigūracijas
- Apdorojimas API prašymai tarp agentų ir MCP serverių
- Naudojimo žurnalų ir analitikos palaikymas
- Autentifikavimo ir prieigos kontrolės valdymas
- Prenumeratos ir sąskaitos apdorojimo operacijas
Tvarkytojus apdoroja asmens duomenis tik valdytojaus dokumentuotus nurodymais, išskyrus jei reikalauja ES arba valstybės dėsnio.
3. Apdorojamos duomenų kategorijos
Šiomis duomenų kategorijomis gali būti apdorojama šame DPA:
| Kategorija | Duomenų elementai | Duomenų subjektai |
|---|---|---|
| Sąskaitos informacija | El. pašto adresas, rodymo vardas, autentifikavimo duomenys (maišo) | Valdytojaus darbuotojai, sukartoti naudotojai |
| API naudojimo duomenys | Iškviesti galutinės taškai, laiko žymos, atsakymo kodai, šalinimo skaičiumi | Valdytojaus darbuotojai, agentai |
| Serverio metaduomenys | MCP serverio vardai, aprašymai, įrankio apibrėžimai, galimybės | Valdytojaus darbuotojai |
| Techniniai duomenys | IP adresai, naudotojo agento eilutės, prašymo metaduomenys | Valdytojaus darbuotojai, agentai |
4. Saugumo priemonės
Tvarkytojus įgyvendina ir palaikys šios technines ir organizacines priemones jei jūs užtikrinimas asmens duomenų saugumo atitiktimi GDPR 32 straipsniu:
- Šifravimas likučioje: Viso duomenų bazės saugojimas yra šifruota AES-256. API raktai saugomi kaip druskintus maišus.
- Šifravimas perdavoje: Visos duomenys perduota tarp klientų, serverių ir sub-tvarkytojų yra apsauga TLS 1.2 arba aukščiausias.
- Prieigos kontrolės: Vaidmens pagrindline prieigos kontrolė (RBAC) su mažausiai-privilejiaus principai. Daugybės veiksnio autentifikavimas administratoriaus prieigai. Eilutės lygis saugumas (RLS) įgyvendinami duomenų bazės sluoksnyje.
- Audito žurnalas: Visos API prieigos ir administratoriaus veiksmai yra žurnale su laiko žymomis, veiksmų identifikavimui ir veiksmų detalėmis. Žurnalai yra saugomi 90 dienų.
- Infrastruktūros saugumas: Valdyti saugojimas Supabase (SOC 2 II tipo) ir Vercel su automatizuota išpleširimu ir sumidingumo skenavimų.
- Incidento atsako: Dokumentuoti incidento atsako procedūroms su apibrėžtomis vaidmenimis ir komunikacijos protokolais.
5. Sub-tvarkytojus
Valdytojas suteikia bendrą atitiktį tvarkytojui pasinaudoti šiomis sub-tvarkytojus. Tvarkytojus praneš valdytojaus mažiausiai 30 dienų išankstiniu pranešimu iš bet kokių ketinti pokyčiu sub-tvarkytojus, teikiant valdytojaus galimybę prieštarauti.
| Sub-tvarkytojus | Tikslas | Vieta |
|---|---|---|
| Supabase Inc. | Duomenų bazės saugojimas, autentifikavimas, saugojimas | EU (Frankfurtas, Vokietija) |
| Stripe Inc. | Mokėjimų apdorojimas, prenumeratos valdymas | EU |
| Vercel Inc. | Aplikacijos saugojimas, kraštinė pristatymas | EU kraštinė (globalinis CDN) |
| Anthropic PBC | DI-paleistas funkcijos (agento rekomendacijos) | JAV (su SCCs) |
6. Duomenų apsaugos incidento pranešimas
Atveju asmeninių duomenų apsaugos incidento, tvarkytojus:
- Praneš valdytojaus be nereikalingo delsio ir ne daugiau kaip 72 valandas po sužinojimo apie incidento, atitiktimi su GDPR 33 straipsniu.
- Teikti nuorodas detalės apimančias incidento pobūdį, duomenų subjekto kategorijų ir apytikslį skaičių paveiktų, tikėtini pasėkos ir priemonės panaudoti arba siūlo sumažinti incidento.
- Bendradarbiavimas visiškai su valdytojaus incidento tyrinėjime ir valdytojaus pareigų išpildyme priežiūros institucijų ir paveiktų duomenų subjektų pranešimas.
- Dokumentuoti visus incidento nepaisant didelio, palaikymas žurnalus faktų, efektų ir remedialinių veiksmų.
7. Duomenų grąžinimas ir ištrynimas
Po nutraukimo arba iš jaunesnio paslaugų sutarties, tvarkytojus, valdytojaus pasirinkčių:
- Grąžinti visus asmens duomenis valdytojaus struktūruota, dažnai naudojama, mašino skaitoma forma (JSON eksportas), apimančias sąskaitos duomenis, serverio konfigūracijas ir naudojimo žurnalus.
- Ištrinti visus asmens duomenis per 30 dienų iš nutraukimo datos, apimančias visos kopijos aktyvios sistemos ir atsargos, išskyrus kur išsaugojimas yra reikalingas ES arba valstybės dėsnio.
Tvarkytojus teikti rašytus patvirtinimas ištrynimo pagal prašymą. Sąskaitų faktūrų žurnalai gali būti saugomi iki 10 metų kaip reikalauja Čekijos apskaitos dėsnio (Nr. 563/1991 Coll.).
8. Audito teisės
Valdytojas turi teisę patikrinti tvarkytojaus atitiktį šame DPA:
- Metinis audito: Valdytojas gali atlikti arba užsakyti nepriklausomą audito tvarkytojaus duomenų apdorojimo veiklos kartą per kalendorinį metai, su mažiausiai 30 dienų išankstiniu rašytu pranešimu.
- Apimtis: Audito gali sauguma priemones, sub-tvarkyto valdymą, duomenų tvarkymo procedūrų ir incidento atsako galimybės.
- Bendradarbiavimas: Tvarkytojus teikti visus informacija reikalingus parodyti atitiktį, apimančias prieigos pagreitinti objektai, sistemos ir personalu per normalias verslo valandas.
- Sertifikavimo alternatyva: Tvarkytojus gali patenkinti audito reikalavimus teikiant dabartinius SOC 2 II tipo ataskaitas, ISO 27001 sertifikatas arba lygiavertė nepriklausomą vertinimą.
9. Tarptautinis persiuntimas
Tvarkytojus nepersiusti asmens duomenų už Europos ekonominės zonos (EEA) ribų išskyrus kur:
- Europos komisija yra išdavusi adekvatumo sprendimą kaip paskirties šalyje (GDPR 45 straipsnis).
- Tinkami apsaugos yra vietoje, apimančias standartinės sutartinės sąlygas (SCCs) patvirtinti Europos komisija (GDPR 46(2)(c) straipsnis).
- Perdavimui poveikio vertinimas (TIA) buvo atliekama ir dokumentuota konkretiems perdavimui.
Šiuo metu, tik sub-tvarkytojus vieta už EEA yra Anthropic PBC (Jungtinės Valstijos), dėl ko SCCs yra vietoje ir DI apdorojimas neinvolving nuolatinis duomenų saugojimas.
10. DPA vykdymo kontaktas
Paprašyti vykdymą DPA, aptarti sąlygas arba užklausa apie mūsų duomenų apsaugos praktiką:
KOWEX Co. Holding — verslo komanda
El. paštas: enterprise@agentforge.community
Duomenų apsaugos pareigūnas: privacy@agentforge.community
Šame DPA reguliuojama Čekijos Respublikos dėsniu. Bet kokie ginčai iš DPA bus pagal teisingę žemyn Čekijos Respublikos teismo. Šame DPA išlieka galioje valdytojaus naudojimo AgentForge paslaugas ir kiek tvarkytojus palaikys bet kurios asmens duomenys apdorojami valdytojaus vardu.