Zmluva o spracúvaní údajov
Dátum účinnosti: 26. marca 2026
1. Strany
Táto DPA je uzatvorená medzi:
- Prevádzkovateľ údajov ("Prevádzkovateľ"): Entita zákazníka, ktorá uzavrela zmluvu o predplatnom na služby AgentForge a určuje účely a prostriedky spracúvania osobných údajov.
- Sprostredkovateľ údajov ("Sprostredkovateľ"): KOWEX Co. Holding, spoločnosť registrovaná v Česká republika, ktorá prevádzkuje platformu AgentForge na agentforge.community.
2. Rozsah spracúvania
Sprostredkovateľ bude spracúvať osobné údaje v mene Prevádzkovateľa iba na účel poskytovania služby platformy AgentForge, vrátane:
- Poskytnúť prístup k API AgentForge a prístrojovému panelu
- Hosting a poskytovanie konfigurácií serverov MCP
- Spracovanie požiadaviek API medzi agentmi a servermi MCP
- Udržiavanie protokolov používania a analytiky
- Správa overenia a kontroly prístupu
- Spracovanie operácií predplatného a fakturácie
Sprostredkovateľ bude spracúvať osobné údaje iba podľa dokumentovaných pokynov od Prevádzkovateľa, pokiaľ nie je vyžadované zákonmi EÚ alebo štátu.
3. Kategórie spracúvaných údajov
V rámci tejto DPA sa môžu spracúvať nasledujúce kategórie osobných údajov:
| Kategória | Prvky údajov | Dotknuté osoby |
|---|---|---|
| Informácie o konte | Adresa e-mailu, zobrazované meno, poverenia na overenie (hešované) | Zamestnanci Prevádzkovateľa, oprávnení používatelia |
| Údaje o používaní API | Volané koncové body, časové razítka, kódy odpovedí, čítače limitov rýchlosti | Zamestnanci Prevádzkovateľa, agenti |
| Metaúdaje servera | Názvy MCP serverov, popisy, definície nástrojov, možnosti | Zamestnanci Prevádzkovateľa |
| Technické údaje | IP adresy, reťazce agenta používateľa, metaúdaje požiadavky | Zamestnanci Prevádzkovateľa, agenti |
4. Bezpečnostné opatrenia
Sprostredkovateľ implementuje a udržiava nasledujúce technické a organizačné opatrenia na zabezpečenie bezpečnosti osobných údajov v súlade s článkom 32 GDPR:
- Šifrovanie uložených údajov: Všetko úložsko databázy je zašifrované pomocou AES-256. Kľúče API sú uložené ako hešované solí.
- Šifrovanie pri prenose: Všetky údaje prenesené medzi klientmi, servermi a sprostredkovateľmi sú chránené TLS 1.2 alebo vyššej.
- Kontrola prístupu: Kontrola prístupu na základe roly (RBAC) s princípmi najnižšej výsady. Overenie viacerých faktorov za administratívny prístup. Bezpečnosť na úrovni riadka (RLS) vynútená na vrstve databázy.
- Audit logging: Všetok prístup k API a administratívne akcie sú protokolované s časovými razítkami, identifikáciou aktéra a podrobnosťami akcie. Protokoly sa uchovávanajú na 90 dní.
- Bezpečnosť infraštruktúry: Spravované hosting na Supabase (SOC 2 typ II) a Vercel s automatickou opravou a skenom zraniteľnosti.
- Reagovanie na incidenty: Dokumentované postupy reagovania na incidenty s definovanými úlohami a protokolmi komunikácie.
5. Sprostredkovatelia
Prevádzkovateľ udeľuje všeobecnú autorizáciu na Sprostredkovateľa na zapojenie nasledujúcich sprostredkovateľov. Sprostredkovateľ Prevádzkovateľa upozorní minimálne 30 dní pred určením zmien sprostredkovateľov, čo Prevádzkovateľovi umožňuje námietku.
| Sprostredkovateľ | Účel | Umiestnenie |
|---|---|---|
| Supabase Inc. | Hosting databázy, overenie, úložko | EU (Frankfurt, Nemecko) |
| Stripe Inc. | Spracovanie platieb, správa predplatného | EU |
| Vercel Inc. | Hosting aplikácií, doručovanie okrajom | EU hranu (globálna CDN) |
| Anthropic PBC | AI-podporované funkcie (odporúčania agenta) | USA (s SCCs) |
6. Oznámenie porušenia údajov
V prípade porušenia osobných údajov bude Sprostredkovateľ:
- Upozorniť Prevádzkovateľa bez zbytočného odkladu a najneskôr do 72 hodín od vedomosti porušenia, v súlade s článkom 33 GDPR.
- Poskytnúť komplexné podrobnosti vrátane povahy porušenia, kategórií a približného počtu dotknutých osôb, pravdepodobných dôsledkov a opatrení podniknutých alebo navrhnutých na zmiernenie porušenia.
- Plne spolupracovať s Prevádzkovateľom pri vyšetrovaní porušenia a plnení povinnosti Prevádzkovateľa na oznámenie orgánom dohľadu a dotknutým osobám.
- Dokumentovať všetky porušenia bez ohľadu na závažnosť, udržiavajúc záznamy o faktoch, účinkoch a nápravných opatreniach podniknutých.
7. Návrh a vymazanie údajov
Po ukončení alebo vypršaní zmluvy o poskytovaní služby bude Sprostredkovateľ na voľbu Prevádzkovateľa:
- Vrátiť všetky osobné údaje Prevádzkovateľovi v štruktúrovanom, bežne používanom, strojovo čitateľnom formáte (JSON export), vrátane údajov konta, konfigurácií servera a protokolov používania.
- Vymazať všetky osobné údaje do 30 dní od dátumu ukončenia, vrátane všetkých kópií v aktívnych systémoch a zálohy, okrem prípadov, keď je uchovávanie vyžadované právnymi predpismi EÚ alebo štátu.
Sprostredkovateľ na požiadanie poskytne písomné potvrdenie vymazania. Fakturačné záznamy sa môžu uchovávať až do 10 rokov podľa požiadaviek Česká republika zákona o účtovníctve (zákon č. 563/1991 Zb.).
8. Práva auditu
Prevádzkovateľ má právo overiť dodržiavanie tejto DPA sprostredkovateľom:
- Ročné audity: Prevádzkovateľ môže vykonať alebo objednať nezávislý audit činností spracúvania údajov Sprostredkovateľa raz za rok v kalendári s minimálne 30-denným priebehu.
- Rozsah: Audity môžu pokrývať bezpečnostné opatrenia, správu sprostredkovateľa, postupy spracúvania údajov a možnosti reagovania na porušenia.
- Spolupráca: Sprostredkovateľ poskytne všetky potrebné informácie na preukázanie súladu, vrátane prístupu k príslušným zariadeniam, systémom a personálu počas pracovného času.
- Alternatíva certifikácie: Sprostredkovateľ môže splniť požiadavky na audit poskytnutím aktuálnych správ SOC 2 typ II, certifikácií ISO 27001 alebo ekvivalentných nezávislých posúdení.
9. Medzinárodné prenosy
Sprostredkovateľ neprenesie osobné údaje mimo Európskeho hospodárskeho priestoru (EEA) okrem prípadov:
- Európska komisia vydala rozhodnutie o primeranosti pre cieľovú krajinu (článok 45 GDPR).
- Na mieste sú primeraného záruky, vrátane štandardných zmluvných klauzúl (SCCs) schválených Európskou komisiou (čl. 46(2)(c) GDPR).
- Bol vykonaný a dokumentovaný Posúdenie vplyvu prenosu (TIA) pre konkrétny prenos.
V súčasnosti je jediným sprostredkovateľom mimo EEA Anthropic PBC (Spojené štáty), pre ktorý sú na mieste SCCs a spracovanie AI nezahŕňa trvalé uloženie osobných údajov.
10. Kontakt na vykonanie DPA
Ak chcete požiadať o vykonanie DPA, diskutovať o podmienkach alebo sa spýtať na naše postupy ochrany údajov:
KOWEX Co. Holding — podnikový tím
E-mail: enterprise@agentforge.community
Špecialista ochrany údajov: privacy@agentforge.community
Táto DPA sa riadi právami Česká republika. Akékoľvek spory vyplývajúce z tejto DPA sú podľa výlučnej právomoci súdov Česká republika. Táto DPA nadobúda účinnosť na dobu trvania aktualizácie Prevádzkovateľa na platformu AgentForge a pokiaľ Sprostredkovateľ uchovávajú osobné údaje spracúvané v mene Prevádzkovateľa.