Datu apstrādes līgums
Spēkā stāšanās datums: 2026. gada 26. marts
1. Puses
Šis DPA tiek noslēgts starp:
- Datu pārzinis ("Pārzinis"): Klientu entītija, kas noslēgusi abonēšanas līgumu AgentForge pakalpojumiem un nosaka personas datu apstrādes mērķus un līdzekļus.
- Datu apstrādātājs ("Apstrādātāju"): KOWEX Co. Holding, uzņēmums reģistrēts Čehijas Republikā, darbina AgentForge platformu agentforge.community.
2. Apstrādes darbības joma
Apstrādātāju apstrādās personas datus Pārzinieka vārdā vienīgi nolūkā sniegt AgentForge platformas pakalpojumus, ieskaitant:
- Piekļuve AgentForge API un paneļu nodrošināšana
- MCP serveru konfigurāciju mitināšana un servēšana
- API pieprasījumu apstrāde starp aģentiem un MCP serveriem
- Lietošanas žurnālu un analītikas uzturēšana
- Autentifikācijas un piekļuves kontroles pārvaldīšana
- Abonēšanas un norēķinu darbību apstrāde
Apstrādātāju apstrādās personas datus tikai uz dokumentālas instrukcijas Pārziņa, ja vien to neparedz ES vai dalībvalsts likums.
3. Apstrādāto personas datu kategorijas
Šajā DPA saskaņā var tikt apstrādātas šādas personas datu kategorijas:
| Kategorija | Datu elementi | Datu subjekti |
|---|---|---|
| Konta informācija | E-pasta adrese, parādītājs vārds, autentifikācijas akreditācijas (hešota) | Pārzinieka darbinieki, autorizēti lietotāji |
| API lietošanas dati | Izsauktie galapunkti, laika zīmes, atbildes kodi, ātruma ierobežošanas skaitītāji | Pārzinieka darbinieki, aģenti |
| Servera metadati | MCP serveru nosaukumi, apraksti, rīku definīcijas, iespējas | Pārzinieka darbinieki |
| Tehniskā dati | IP adreses, pārlūka identifikācijas virknes, pieprasījuma metadati | Pārzinieka darbinieki, aģenti |
4. Drošības pasākumi
Apstrādātāju īsteno un uztur šādus tehniskos un organizacionālus pasākumus personas datu drošības nodrošināšanai GDPR 32. panta atbilstības:
- Šifrēšana posmā atlikumā: Viss datu bāzes glabāšana tiek šifrēts ar AES-256. API atslēgas tiek glabātas kā sālīti heši.
- Šifrēšana pārsūtīšanā: Visi dati, kas pārsūtīti starp klientiem, serveriem un apakšprocessoriem, tiek aizsargāti ar TLS 1.2 vai augstāks.
- Piekļuves kontrole: Lomu balstīta piekļuves kontrole (RBAC) ar vismazākā privilēģija principiem. Vairāku faktoru autentifikācija administratīvai piekļuvei. Rindas līmeņa drošība (RLS) nosaka datu bāzes slānī.
- Audita žurnāļu: Visu API piekļuves un administratīvo darbību žurnāļi ar laika zīmēm, darbības identificēšanu un darbības detaļas. Žurnāļi tiek glabāti 90 dienas.
- Infrastruktūras drošība: Pārvaldīta mitināšana uz Supabase (SOC 2 II tips) un Vercel ar automātiskiem labojumiem un ievainojamības skenēšanu.
- Incidenta reagēšana: Dokumentālas incidenta reagēšanas procedūras ar definētiem lomu un komunikācijas protokoliem.
5. Apakšprocesori
Pārzinis piešķir vispārēju pilnvaru Apstrādātājam iesaistīt šādus apakšprocesorus. Apstrādātāju paziņos Pārzinim vismaz 30 dienas iepriekš par jebkurām iecerētām apakšprocesoru izmaiņām, dodot Parziniekam iespēju iebilst.
| Apakšprocesors | Nolūks | Vieta |
|---|---|---|
| Supabase Inc. | Datu bāzes mitināšana, autentifikācija, glabāšana | EU (Frankfurt, Vācija) |
| Stripe Inc. | Maksājumu apstrāde, abonēšanas pārvaldīšana | EU |
| Vercel Inc. | Programmas mitināšana, malas piegāde | EU mala (globāls CDN) |
| Anthropic PBC | AI-darbinātas funkcijas (aģenta rekomendācijas) | ASV (ar SCCs) |
6. Datu pārrāvuma paziņošana
Personas datu pārrāvuma gadījumā Apstrādātāju:
- Paziņo Pārzinim bez nepieciešamas kavēšanās un ne vēlāk kā 72 stundas pēc tam, kad tas uzzinājis par pārrāvumu, GDPR 33. panta atbilstības.
- Sniedz visaptverošu informāciju ieskaitant pārrāvuma raksturu, ietekmēto datu subjektu kategorijas un aptuvenais skaits, iespējamās sekas un veiktie vai ierosinātie pasākumi pārrāvuma mazināšanai.
- Pilnībā sadarbojas Pārzinim pārrāvuma izmeklēšanā un Pārzinieka pienākuma izpildē paziņošanai uzraudzības iestādēm un ietekmētajiem datu subjektiem.
- Dokumentē visas pārrāvumus neatkarīgi no smaguma, saglabājot ierakstus par faktiem, efektiem un veiktajiem labošanas pasākumiem.
7. Datu atgriešana un izdzēšana
Pēc pakalpojuma līguma izbeigšanas vai termiņa izbeigšanas Apstrādātāju, Pārzinieka izvēles:
- Atgriežas visus personas datus Pārzinim strukturētā, parasti lietotā, mašīnlasāmā formātā (JSON eksports), ieskaitant konta datus, servera konfigurācijas un lietošanas žurnālus.
- Dzēš visus personas datus 30 dienu laikā pēc izbeigšanas datuma, ieskaitant visas kopijas aktīvajās sistēmās un dublējumos, izņemot gadījumus, kad glabāšana ir nepieciešama ES vai dalībvalsts likumā.
Apstrādātāju sniedz rakstveida dzēšanas apstiprinājumu pēc pieprasījuma. Norēķinu dokumenti var tikt glabāti līdz 10 gadiem, kā to prasa Čehijas grāmatvedības likums (1991. gada likuma Nr. 563 Coll.).
8. Audita tiesības
Parziniekam ir tiesības pārbaudīt Apstrādātāju atbilstību šim DPA:
- Gada auditi: Pārzinis var veikt vai pasūtīt neatkarīgu auditu Apstrādātāju datu apstrādes darbībās reizi kalendāra gadā, ar vismaz 30 dienu iepriekšēju rakstveida paziņojumu.
- Darbības joma: Auditi var aptvert drošības pasākumus, apakšprocesoru pārvaldīšanu, datu apstrādes procedūras un pārrāvuma reagēšanas spējas.
- Sadarbība: Apstrādātāju nodrošinās visu informāciju, kas nepieciešama atbilstības demonstrēšanai, ieskaitant piekļuvi attiecīgiem objektiem, sistēmām un personālam darba laikā.
- Sertifikātu alternatīva: Apstrādātāju var apmierināt audita prasības, nodrošinot jaunos SOC 2 II tipos pārskatījumus, ISO 27001 sertifikātus vai līdzīgus neatkarīgos novērtējumus.
9. Starptautiskas pārsūtīšanas
Apstrādātāju nepārsūtīs personas datus ārpus Eiropas Ekonomikas zonas (EEA), izņemot gadījumus, kad:
- Eiropas Komisija ir izdotus atbilstības lēmumu adresētajai valstij (GDPR 45. pants).
- Ir spēkā pienācīgus drošības pasākumius, ieskaitant Eiropas Komisijas apstiprinātas standarta līgumklauzulas (SCCs) (GDPR 46. pants(2)(c)).
- Pārsūtīšanas ietekmes novērtējums (TIA) ir veikts un dokumentēts konkrētajam pārsūtīšanai.
Pašlaik vienīgais apakšprocesors, kas atrodas ārpus EEA, ir Anthropic PBC (Amerikas Savienotās Valstis), kam ir spēkā SCCs un AI apstrāde neietver personas datu pastāvīgu glabāšanu.
10. Kontakts DPA izpildei
Lai pieprasītu šī DPA izpildi, apspriests nosacījumus vai uzinteresēts par mūsu datu protektīvajām praksēm:
KOWEX Co. Holding — uzņēmuma komanda
E-pasts: enterprise@agentforge.community
Datu protektīvais birojs: privacy@agentforge.community
Šis DPA tiek regulēts Čehijas Republikas likumiem. Jebkuri strīdi, kas izriet no šī DPA, tiek pakļauti Čehijas Republikas tiesnešu ekskluzīvajai jurisdikcijā. Šis DPA paliek spēkā Pārzinieka AgentForge pakalpojumu lietošanas darbības laikā un tik ilgi, kamēr Apstrādātāju glabā jebkādus personas datus, kas apstrādāti Pārzinieka vārdā.