Umowa Powierzenia Przetwarzania Danych
Data wejścia w życie: 26 marca 2026
1. Strony
Ta DPA zawarta jest pomiędzy:
- Administrator Danych ("Administrator"): Podmiot klienta, który zawarł umowę subskrypcji dla usług AgentForge i określa cele i środki przetwarzania danych osobowych.
- Przetwarzający Dane ("Przetwarzający"): KOWEX Co. Holding, spółka zarejestrowana w Czechach, obsługująca platformę AgentForge na agentforge.community.
2. Zakres Przetwarzania
Przetwarzający będzie przetwarzać dane osobowe w imieniu Administratora wyłącznie w celu świadczenia usług platformy AgentForge, w tym:
- Zapewnianie dostępu do API i pulpitu AgentForge
- Hosting i serwowanie konfiguracji serwera MCP
- Przetwarzanie żądań API między agentami a serwerami MCP
- Utrzymywanie dzienników użytkowania i analityki
- Zarządzanie uwierzytelnianiem i kontrolą dostępu
- Przetwarzanie operacji subskrypcji i rozliczeniowych
Przetwarzający będzie przetwarzać dane osobowe wyłącznie na udokumentowane instrukcje Administratora, chyba że wymagane jest to prawem UE lub państwa członkowskiego.
3. Kategorie Przetwarzanych Danych
Poniższe kategorie danych osobowych mogą być przetwarzane na podstawie tej DPA:
| Kategoria | Elementy Danych | Osoby, których Dane Dotyczą |
|---|---|---|
| Informacje o koncie | Adres e-mail, nazwa wyświetlana, poświadczenia uwierzytelniania (zahaszowane) | Pracownicy Administratora, upoważnieni użytkownicy |
| Dane użytkowania API | Punkty końcowe, znaczniki czasu, kody odpowiedzi, liczniki limitów szybkości | Pracownicy Administratora, agenci |
| Metadane serwera | Nazwy serwerów MCP, opisy, definicje narzędzi, możliwości | Pracownicy Administratora |
| Dane techniczne | Adresy IP, ciągi user agent, metadane żądania | Pracownicy Administratora, agenci |
4. Środki Bezpieczeństwa
Przetwarzający wdraża i utrzymuje następujące techniczne i organizacyjne środki w celu zapewnienia bezpieczeństwa danych osobowych zgodnie z artykułem 32 RODO:
- Szyfrowanie w spoczynku: Wszystkie przechowywanie w bazie danych jest szyfrowane za pomocą AES-256. Klucze API są przechowywane jako zahaszowane solanką.
- Szyfrowanie podczas transmisji: Wszystkie dane przesyłane między klientami, serwerami i przetwarzającymi dane są chronione przez TLS 1.2 lub wyższy.
- Kontrola dostępu: Kontrola dostępu oparta na rolach (RBAC) z zasadami najmniejszych uprawnień. Uwierzytelnianie wieloskładnikowe do dostępu administracyjnego. Bezpieczeństwo na poziomie wierszy (RLS) wymuszane na warstwie bazy danych.
- Rejestrowanie audytu: Wszystkie dostępy do API i działania administracyjne są rejestrowane ze znacznikami czasu, identyfikacją aktora i szczegółami działania. Dzienniki są przechowywane przez 90 dni.
- Bezpieczeństwo infrastruktury: Zarządzane hosting na Supabase (SOC 2 Type II) i Vercel z automatycznym łatkowaniem i skanowaniem podatności.
- Reagowanie na incydenty: Udokumentowane procedury reagowania na incydenty z określonymi rolami i protokołami komunikacji.
5. Podmioty Przetwarzające Dane
Administrator udzielania ogólnej autoryzacji Przetwarzającemu do zaangażowania następujących podmiotów przetwarzających dane. Przetwarzający poinformuje Administratora co najmniej 30 dni przed planowanymi zmianami podmiotów przetwarzających dane, dając Administratorowi możliwość sprzeciwu.
| Przetwarzający | Cel | Lokalizacja |
|---|---|---|
| Supabase Inc. | Hosting bazy danych, uwierzytelnianie, przechowywanie | UE (Frankfurt, Niemcy) |
| Stripe Inc. | Przetwarzanie płatności, zarządzanie subskrypcjami | UE |
| Vercel Inc. | Hosting aplikacji, dostarczanie na krawędzi | Krawędź UE (globalny CDN) |
| Anthropic PBC | Funkcje oparte na AI (rekomendacje agentów) | USA (z SCCs) |
6. Powiadomienie o Naruszeniu Danych
W przypadku naruszenia danych osobowych Przetwarzający będzie:
- Powiadomić Administratora bez zbędnej zwłoki nie później niż 72 godziny po świadomości naruszenia, zgodnie z artykułem 33 RODO.
- Dostarczyć kompleksowe szczegóły w tym charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, prawdopodobne skutki, a także podejmowane lub proponowane środki łagodzące naruszenie.
- W pełni współpracować z Administratorem w badaniu naruszenia i wypełnianiu zobowiązań Administratora do powiadomienia organów nadzorczych i osób, których dane dotyczą.
- Dokumentować wszystkie naruszenia niezależnie od ważności, prowadząc rejestr faktów, skutków i podjętych działań naprawczych.
7. Zwrot i Usunięcie Danych
Po rozwiązaniu lub wygaśnięciu umowy o świadczenie usług, Przetwarzający będzie, wedle wyboru Administratora:
- Zwrócić wszystkie dane osobowe Administratorowi w ustrukturyzowanym, powszechnie używanym, czytelnym dla maszyny formacie (eksport JSON), w tym dane konta, konfiguracje serwera i dzienniki użytkowania.
- Usunąć wszystkie dane osobowe w ciągu 30 dni od daty rozwiązania, w tym wszystkie kopie w aktywnych systemach i kopiach zapasowych, z wyjątkiem przypadków, gdy przechowywanie jest wymagane prawem UE lub państwa członkowskiego.
Przetwarzający będzie dostarczać pisemne potwierdzenie usunięcia na żądanie. Dokumenty rozliczeniowe mogą być przechowywane do 10 lat zgodnie z wymogami prawa księgowego w Czechach (Ustawa nr 563/1991).
8. Prawa do Audytu
Administrator ma prawo weryfikować zgodność Przetwarzającego z tą DPA:
- Audyty roczne: Administrator może przeprowadzić lub zlecić niezależny audyt działalności przetwarzania danych Przetwarzającego raz na rok kalendarza, z co najmniej 30-dniowym wcześniejszym powiadomieniem na piśmie.
- Zakres: Audyty mogą obejmować środki bezpieczeństwa, zarządzanie przetwarzającymi dane, procedury obsługi danych i możliwości reagowania na naruszenia.
- Współpraca: Przetwarzający będzie dostarczać wszystkie informacje niezbędne do wykazania zgodności, w tym dostęp do odpowiednich urządzeń, systemów i personelu w godzinach pracy.
- Alternatywa certyfikacji: Przetwarzający może spełnić wymagania audytu, dostarczając bieżące raporty SOC 2 Type II, certyfikacje ISO 27001 lub równoważne niezależne oceny.
9. Transfery Międzynarodowe
Przetwarzający nie będzie przenosić danych osobowych poza Europejski Obszar Gospodarczy (EOG), chyba że:
- Komisja Europejska wydała decyzję adekwatności dla kraju docelowego (artykuł 45 RODO).
- Na miejscu znajdują się odpowiednie zabezpieczenia, w tym Standardowe Klauzule Umowne (SCCs) zatwierdzone przez Komisję Europejską (artykuł 46(2)(c) RODO).
- Ocena Wpływu Transferu (TIA) została przeprowadzona i udokumentowana dla konkretnego transferu.
Obecnie jedynym przetwarzającym dane znajdujące się poza EOG jest Anthropic PBC (Stany Zjednoczone), do którego mają zastosowanie SCCs i przetwarzanie AI nie obejmuje trwałego przechowywania danych osobowych.
10. Kontakt do Wykonania DPA
Aby zażądać wykonania tej DPA, omówić warunki lub zapytać o nasze praktyki ochrony danych:
KOWEX Co. Holding — Zespół Korporacyjny
E-mail: enterprise@agentforge.community
Inspektor Ochrony Danych: privacy@agentforge.community
Ta DPA jest regulowana prawem Czechy. Wszelkie spory wynikające z tej DPA podlegają wyłącznej jurysdykcji sądów Republiki Czeskiej. Ta DPA pozostanie w mocy na czas korzystania Administratora z usług AgentForge i tak długo, jak Przetwarzający przechowuje jakiekolwiek dane osobowe przetwarzane w imieniu Administratora.