Acord Prelucrare Date | AgentForge

1. Părți

Aceasta DPA se încheie între:

Operator Date ("Operator"): Entitate client care a încheiat acord abonament pentru servicii AgentForge și determină scopuri și mijloace prelucrare date personale.
Procesor Date ("Procesor"): KOWEX Co. Holding, companie înregistrată în Republica Cehă, operând platforma AgentForge la agentforge.community.

2. Domeniu Prelucrare

Procesorul va prelucrează date personale în numele Operatorului doar în scop furnizare servicii platformei AgentForge, incluzând:

Furnizare acces API AgentForge și tablou de bord
Găzduire și servire configurații server MCP
Procesare cereri API între agenți și servere MCP
Menținere jurnale utilizare și analize
Gestionare autentificare și control acces
Procesare operații abonament și facturare

Procesorul va prelucrează date personale doar pe instrucțiuni documentate de Operator, dacă nu e cerut fii lege UE sau stat membru.

3. Categorii Date Prelucrate

Următoarele categorii de date personale pot fi prelucrate sub DPA:

Categorie	Elemente Date	Persoane Vizate
Informații cont	Adresă e-mail, nume afișare, credențiale autentificare (hash)	Angajați Operator, utilizatori autorizați
Date utilizare API	Puncte finale apelate, marcaje temporale, coduri răspuns, contori rată-limită	Angajați Operator, agenți
Metadate server	Nume servere MCP, descrieri, definiții instrumente, capacități	Angajați Operator
Date tehnite	Adrese IP, șiruri user agent, metadate cerere	Angajați Operator, agenți

4. Măsuri Securitate

Procesorul implementează și menține următoarele măsuri tehnite și organizatorice pentru a asigura securitate date personale în conformitate cu Articolul GDPR 32:

Criptare repaos: Tot stocare bază de date e criptată folosind AES-256. Chei API sunt stocate ca hash-uri sărare.
Criptare tranzit: Tot date transmise între clienți, servere și sub-procesatori sunt protejate prin TLS 1.2 sau mai înalt.
Control acces: Control acces bazat pe rol (RBAC) cu principii least-privilege. Autentificare multi-factor pentru acces administrativ. Row Level Security (RLS) aplicat la nivel bază de date.
Audit logging: Tot API acces și acțiuni administrative sunt jurnalizate cu marcaje temporale, identificare actor și detalii acțiune. Jurnalele sunt păstrate 90 zile.
Securitate infrastructură: Găzduire gestionată pe Supabase (SOC 2 Type II) și Vercel cu patching automat și scanare vulnerabilitate.
Răspuns incident: Proceduri răspuns incident documentate cu roluri definite și protocoale comunicare.

5. Sub-procesatori

Operatorul acordă autorizare generală Procesorului să angajeze următorii sub-procesatori. Procesorul va notifica Operatorul cel puțin 30 zile în avans de orice schimbări intenționate la sub-procesatori, dând Operatorului oportunitate obiecție.

Sub-procesor	Scop	Locație
Supabase Inc.	Găzduire bază de date, autentificare, stocare	UE (Frankfurt, Germania)
Stripe Inc.	Procesare plăți, gestionare abonament	UE
Vercel Inc.	Găzduire aplicație, furnizare margine	Margine UE (CDN global)
Anthropic PBC	Caracteristici alimentate IA (recomandări agent)	SUA (cu SCC)

6. Notificare Breșă Date

În caz breșă date personale, Procesorul va:

Notifica Operatorul fără întârziere nejustificată și nu mai târziu decât 72 ore după conștientizare breșă, în conformitate cu Articolul GDPR 33.
Furniza detalii cuprinzătoare incluzând natura breșă, categorii și număr aproximativ persoane vizate afectate, consecințe probabile și măsuri luate sau propuse pentru mitigare breșă.
Coopera complet cu Operatorul în investigare breșă și îndeplinire obligații Operatorului la autorități supraveghere și persoane vizate afectate.
Documenta tot breșele indiferent de severitate, menținând înregistrări fapte, efecte și acțiuni reparare luate.

7. Retur Date și Ștergere

La reziliere sau expirare acord serviciu, Procesorul va, la alegere Operator:

Întoarce tot date personale la Operator într-un format structurat, utilizat în mod obișnuit, ușor de citit pentru mașini (export JSON), incluzând date cont, configurări server și jurnale utilizare.
Șterge tot date personale în 30 zile data reziliere, incluzând tot copii în sisteme active și backup-uri, cu excepție unde retenție e cerută de lege UE sau stat membru.

Procesorul va furniza confirmație scrisă ștergere la cerere. Înregistrări facturare pot fi păstrate până la 10 ani după cum cere legea contabilității din Republica Cehă (Legea Nr. 563/1991 Coll.).

8. Drepturi Audit

Operatorul are dreptul să verifice conformitate Procesorului cu DPA:

Audituri anuale: Operatorul poate conduce sau comanda audit independent al activităților prelucrare date Procesorului o dată pe an calendar, cu notificare scrisă avansată cel puțin 30 zile.
Domeniu: Auditurile pot acoperi măsuri securitate, gestionare sub-procesor, proceduri manipulare date și capacități răspuns breșă.
Cooperare: Procesorul va furniza tot informații necesare pentru a demonstra conformitate, incluzând acces la facilități relevante, sisteme și personal în ore obișnuite lucru.
Alternativă certificare: Procesorul poate satisface cerințe audit furnizând rapoarte SOC 2 Type II curente, certificări ISO 27001 sau evaluări independente echivalente.

9. Transferuri Internaţionale

Procesorul nu va transfera date personale în afara Spațiului Economic European (SEE) cu excepția unde:

Comisia Europeană a emis decizie adecvare pentru țara destinație (Articolul GDPR 45).
Protecții corespunzătoare sunt în loc, incluzând Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană (Articolul GDPR 46(2)(c)).
Evaluare Impactul Transfer (TIA) a fost condusă și documentată pentru transfer specific.

În prezent, singurul sub-procesor situat în afara SEE e Anthropic PBC (Statele Unite), pentru care SCC sunt în loc și prelucrare IA nu implică stocare persistentă date personale.

10. Contact Executare DPA

Pentru a cere executare DPA, discuta termeni sau a se informa despre practici protecție date:

KOWEX Co. Holding — Echipă Enterprise
E-mail: enterprise@agentforge.community
Ofițer Protecție Date: privacy@agentforge.community

Cere DPA Semnat

DPA e guvernată de legile Republicii Cehe. Orice dispute decurgând din DPA vor fi supuse jurisdicției exclusive curți Republicii Cehe. DPA va rămâne în vigoare pentru durata utilizării AgentForge de către Operator și cât timp Procesorul păstrează orice date personale prelucrate în numele Operator.

1. Părți

Aceasta DPA se încheie între:

Operator Date ("Operator"): Entitate client care a încheiat acord abonament pentru servicii AgentForge și determină scopuri și mijloace prelucrare date personale.
Procesor Date ("Procesor"): KOWEX Co. Holding, companie înregistrată în Republica Cehă, operând platforma AgentForge la agentforge.community.

2. Domeniu Prelucrare

Procesorul va prelucrează date personale în numele Operatorului doar în scop furnizare servicii platformei AgentForge, incluzând:

Furnizare acces API AgentForge și tablou de bord
Găzduire și servire configurații server MCP
Procesare cereri API între agenți și servere MCP
Menținere jurnale utilizare și analize
Gestionare autentificare și control acces
Procesare operații abonament și facturare

Procesorul va prelucrează date personale doar pe instrucțiuni documentate de Operator, dacă nu e cerut fii lege UE sau stat membru.

3. Categorii Date Prelucrate

Următoarele categorii de date personale pot fi prelucrate sub DPA:

Categorie	Elemente Date	Persoane Vizate
Informații cont	Adresă e-mail, nume afișare, credențiale autentificare (hash)	Angajați Operator, utilizatori autorizați
Date utilizare API	Puncte finale apelate, marcaje temporale, coduri răspuns, contori rată-limită	Angajați Operator, agenți
Metadate server	Nume servere MCP, descrieri, definiții instrumente, capacități	Angajați Operator
Date tehnite	Adrese IP, șiruri user agent, metadate cerere	Angajați Operator, agenți

4. Măsuri Securitate

Procesorul implementează și menține următoarele măsuri tehnite și organizatorice pentru a asigura securitate date personale în conformitate cu Articolul GDPR 32:

Criptare repaos: Tot stocare bază de date e criptată folosind AES-256. Chei API sunt stocate ca hash-uri sărare.
Criptare tranzit: Tot date transmise între clienți, servere și sub-procesatori sunt protejate prin TLS 1.2 sau mai înalt.
Control acces: Control acces bazat pe rol (RBAC) cu principii least-privilege. Autentificare multi-factor pentru acces administrativ. Row Level Security (RLS) aplicat la nivel bază de date.
Audit logging: Tot API acces și acțiuni administrative sunt jurnalizate cu marcaje temporale, identificare actor și detalii acțiune. Jurnalele sunt păstrate 90 zile.
Securitate infrastructură: Găzduire gestionată pe Supabase (SOC 2 Type II) și Vercel cu patching automat și scanare vulnerabilitate.
Răspuns incident: Proceduri răspuns incident documentate cu roluri definite și protocoale comunicare.

5. Sub-procesatori

Sub-procesor	Scop	Locație
Supabase Inc.	Găzduire bază de date, autentificare, stocare	UE (Frankfurt, Germania)
Stripe Inc.	Procesare plăți, gestionare abonament	UE
Vercel Inc.	Găzduire aplicație, furnizare margine	Margine UE (CDN global)
Anthropic PBC	Caracteristici alimentate IA (recomandări agent)	SUA (cu SCC)

6. Notificare Breșă Date

În caz breșă date personale, Procesorul va:

Notifica Operatorul fără întârziere nejustificată și nu mai târziu decât 72 ore după conștientizare breșă, în conformitate cu Articolul GDPR 33.
Furniza detalii cuprinzătoare incluzând natura breșă, categorii și număr aproximativ persoane vizate afectate, consecințe probabile și măsuri luate sau propuse pentru mitigare breșă.
Coopera complet cu Operatorul în investigare breșă și îndeplinire obligații Operatorului la autorități supraveghere și persoane vizate afectate.
Documenta tot breșele indiferent de severitate, menținând înregistrări fapte, efecte și acțiuni reparare luate.

7. Retur Date și Ștergere

La reziliere sau expirare acord serviciu, Procesorul va, la alegere Operator:

Întoarce tot date personale la Operator într-un format structurat, utilizat în mod obișnuit, ușor de citit pentru mașini (export JSON), incluzând date cont, configurări server și jurnale utilizare.
Șterge tot date personale în 30 zile data reziliere, incluzând tot copii în sisteme active și backup-uri, cu excepție unde retenție e cerută de lege UE sau stat membru.

8. Drepturi Audit

Operatorul are dreptul să verifice conformitate Procesorului cu DPA:

Audituri anuale: Operatorul poate conduce sau comanda audit independent al activităților prelucrare date Procesorului o dată pe an calendar, cu notificare scrisă avansată cel puțin 30 zile.
Domeniu: Auditurile pot acoperi măsuri securitate, gestionare sub-procesor, proceduri manipulare date și capacități răspuns breșă.
Cooperare: Procesorul va furniza tot informații necesare pentru a demonstra conformitate, incluzând acces la facilități relevante, sisteme și personal în ore obișnuite lucru.
Alternativă certificare: Procesorul poate satisface cerințe audit furnizând rapoarte SOC 2 Type II curente, certificări ISO 27001 sau evaluări independente echivalente.

9. Transferuri Internaţionale

Procesorul nu va transfera date personale în afara Spațiului Economic European (SEE) cu excepția unde:

Comisia Europeană a emis decizie adecvare pentru țara destinație (Articolul GDPR 45).
Protecții corespunzătoare sunt în loc, incluzând Clauze Contractuale Standard (SCC) aprobate de Comisia Europeană (Articolul GDPR 46(2)(c)).
Evaluare Impactul Transfer (TIA) a fost condusă și documentată pentru transfer specific.

În prezent, singurul sub-procesor situat în afara SEE e Anthropic PBC (Statele Unite), pentru care SCC sunt în loc și prelucrare IA nu implică stocare persistentă date personale.

10. Contact Executare DPA

Pentru a cere executare DPA, discuta termeni sau a se informa despre practici protecție date:

KOWEX Co. Holding — Echipă Enterprise
E-mail: enterprise@agentforge.community
Ofițer Protecție Date: privacy@agentforge.community

Cere DPA Semnat