Pogodba o obdelavi podatkov | AgentForge

1. Stranki

To DPA je sklenjena med:

Upravljavec podatkov ("Upravljavec"): Entiteta stranke, ki je sklenila pogodbo o naročnini za storitve AgentForge in določa namene in sredstva obdelave osebnih podatkov.
Obdelovalec podatkov ("Obdelovalec"): KOWEX Co. Holding, podjetje registrirano v Češki, ki upravlja platformo AgentForge na agentforge.community.

2. Obseg obdelave

Obdelovalec obdeluje osebne podatke v imenu Upravljavca samo za namen zagotavljanja storitev platforme AgentForge, vključno s:

Zagotavljanje dostopa do API in nadzorne plošče AgentForge
Gostovanje in ponudba konfiguracije MCP strežnika
Obdelava zahtevkov API med agenti in MCP strežniki
Vzdrževanje dnevnikov uporabe in analitike
Upravljanje avtentikacije in nadzora dostopa
Obdelava operacij naročnine in obračunavanja

Obdelovalec obdeluje osebne podatke samo na dokumentirane navodile Upravljavca, razen če to zahtevajo zakoni EU ali držav članic.

3. Kategorije obdelanih podatkov

Naslednje kategorije osebnih podatkov se lahko obdelujejo v skladu s to DPA:

Kategorija	Elementi podatkov	Subjekti podatkov
Podatki računa	E-naslov, ime za prikaz, podrobnosti avtentikacije (zgoščene)	Zaposleni Upravljavca, pooblaščeni uporabniki
Podatki o uporabi API	Klicane končne točke, časovne oznake, kode stanja odziva, števci omejitev hitrosti	Zaposleni Upravljavca, agenti
Metapodatki strežnika	Imena MCP strežnika, opisi, definicije orodja, zmožnosti	Zaposleni Upravljavca
Tehnični podatki	IP naslovi, nizi uporabniške agente, metapodatki zahteve	Zaposleni Upravljavca, agenti

4. Varnostni ukrepi

Obdelovalec izvaja in vzdržuje naslednje tehnične in organizacijske ukrepe za zagotavljanje varnosti osebnih podatkov v skladu s členom 32 GDPR:

Šifriranje v počitku: Vse shranjevanje podatkovne baze je šifrirano z AES-256. API ključi so shranjeni kot zgoščeni s soljo.
Šifriranje med prenosom: Vsi podatki, poslani med odjemalci, strežniki in podprocesatorji, so zaščiteni z TLS 1.2 ali višje.
Nadzor dostopa: Nadzor dostopa na podlagi vloge (RBAC) z načeli najmanjšega privilegija. Večfaktorska avtentikacija za upravni dostop. Row Level Security (RLS) uveljavljan na ravni podatkovne baze.
Dnevnik revizije: Vsi dostopi do API in upravne akcije so zabeleženi s časovnimi oznakami, identifikacijo akterja in podrobnostmi dejanja. Dnevniki se zadržijo 90 dni.
Varnost infrastrukture: Upravljano gostovanje na Supabase (SOC 2 tipa II) in Vercel z avtomatiziranim popravkom in skeniranjem ranljivosti.
Odziv na incident: Dokumentirani postopki odziva na incident s določenimi vlogami in komunikacijskimi protokoli.

5. Podprocesatorji

Upravljavec odobrava splošno dovoljenjo, da se Obdelovalec poveže z naslednjimi podprocesatorji. Obdelovalec Upravljavca obavesti najmanj 30 dni vnaprej o morebitnih spremembah podprocesatorjev, kar Upravljavcu daje priložnost, da se ugovarja.

Podprocesator	Namen	Lokacija
Supabase Inc.	Gostovanje podatkovne baze, avtentikacija, shranjevanje	EU (Frankfurt, Nemčija)
Stripe Inc.	Obdelava plačil, upravljanje naročnin	EU
Vercel Inc.	Gostovanje aplikacije, dostava robov	EU rob (globalni CDN)
Anthropic PBC	Funkcije umetne inteligence (priporočila agenta)	ZDA (s SPC)

6. Obvestilo o kršitvi podatkov

V primeru kršitve osebnih podatkov Obdelovalec:

Obavesti Upravljavca brez nepotrebnega zamika in najpozneje 72 ur po spoznanju o kršitvi, v skladu s členom 33 GDPR.
Zagotovi celovite podrobnosti, vključno z naravo kršitve, kategorijami in približnim številom prizadetih subjektov podatkov, verjetnimi posledicami ter sprejetimi ali predlaganimi ukrepi za ublažitev kršitve.
V popolnosti sodeluje z Upravljavcem pri raziskovanju kršitve in izpolnjevanju obveznosti Upravljavca, da obvesti nadzorne organe in prizadete subjekte podatkov.
Dokumentira vse kršitve ne glede na resnost, vodijo zapise o dejstvih, učinkih in ukrepih za odpravo.

7. Vrnitev in brisanje podatkov

Po prenehanju ali izteku pogodbe o storitvi Obdelovalec na izbiro Upravljavca:

Vrne vse osebne podatke Upravljavcu v strukturirani, splošno uporabljeni, strojno čitljivi obliki (JSON izvoz), vključno s podatki računa, konfiguracijami strežnika in dnevniki uporabe.
Izbriše vse osebne podatke v 30 dneh od datuma prenehanja, vključno z vsemi kopijami v aktivnih sistemih in varnostnih kopijah, razen če zakon zahteva zadrževanje.

Obdelovalec zagotovi pisno potrdilo brisanja na zahtevo. Računovodski zapisi se lahko zadržijo do 10 let, kakor zahteva češki zakon o računovodstvu (Zakon št. 563/1991 Sbírka).

8. Revizijske pravice

Upravljavec ima pravico, da preveri skladnost Obdelovalca s to DPA:

Letne revizije: Upravljavec lahko izveде ali komisionira neodvisno revizijo dejavnosti obdelave podatkov Obdelovalca enkrat na leto, z najmanj 30 dnevi predhodnega pisnega obvestila.
Obseg: Revizije lahko zajemajo varnostne ukrepe, upravljanje podprocesatorjev, postopke obdelave podatkov in zmožnosti odziva na incident.
Sodelovanje: Obdelovalec zagotovi vse podatke, potrebne za dokazati skladnost, vključno z dostopom do ustreznih objektov, sistemov in osebja v delovnem času.
Alternativa certifikacija: Obdelovalec lahko izpolni zahtevke za revizijo z zagotovilom trenutnih poročil SOC 2 tipa II, certifikatov ISO 27001 ali enakovrednih neodvisnih ocen.

9. Mednarodni prenosi

Obdelovalec ne bo prenesel osebnih podatkov izven Evropskega gospodarskega območja (EGO), razen kadar:

Evropska komisija je izdala odločitev o ustreznosti za ciljno državo (člen 45 GDPR).
Na mestu so ustrezna varovalna sredstva, vključno s Standardnimi pogodbami klavzulami (SPC), ki jih je odobrila Evropska komisija (člen 46(2)(c) GDPR).
Je bila izvedena in dokumentirana presoja vpliva prenosa (TIA) za specifičen prenos.

Trenutno je edini podprocesator zunaj EGO Anthropic PBC (Združene države), za katere so na mestu SPC in obdelava umetne inteligence ne vključuje trajno shranjevanje osebnih podatkov.

10. Kontakt za izvajanje DPA

Za zahtevo za izvajanje te DPA, razpravo o pogojih ali povpraševanje o naših praksah varstva podatkov:

KOWEX Co. Holding — Podjetniški tim
E-pošta: enterprise@agentforge.community
Povernik za zaščito podatkov: privacy@agentforge.community

Zahtevaj podpisano DPA

To DPA je regulirana s strani zakonov Češke republike. Vsi spori, ki izhajajo iz te DPA, se podlegajo izključni pristojnosti sodišč Češke republike. Ta DPA ostaja v veljavi za čas uporabe AgentForge Upravljavca in dokler Obdelovalec zadržuje kakršne koli osebne podatke, obdelane v imenu Upravljavca.

1. Stranki

To DPA je sklenjena med:

Upravljavec podatkov ("Upravljavec"): Entiteta stranke, ki je sklenila pogodbo o naročnini za storitve AgentForge in določa namene in sredstva obdelave osebnih podatkov.
Obdelovalec podatkov ("Obdelovalec"): KOWEX Co. Holding, podjetje registrirano v Češki, ki upravlja platformo AgentForge na agentforge.community.

2. Obseg obdelave

Obdelovalec obdeluje osebne podatke v imenu Upravljavca samo za namen zagotavljanja storitev platforme AgentForge, vključno s:

Zagotavljanje dostopa do API in nadzorne plošče AgentForge
Gostovanje in ponudba konfiguracije MCP strežnika
Obdelava zahtevkov API med agenti in MCP strežniki
Vzdrževanje dnevnikov uporabe in analitike
Upravljanje avtentikacije in nadzora dostopa
Obdelava operacij naročnine in obračunavanja

Obdelovalec obdeluje osebne podatke samo na dokumentirane navodile Upravljavca, razen če to zahtevajo zakoni EU ali držav članic.

3. Kategorije obdelanih podatkov

Naslednje kategorije osebnih podatkov se lahko obdelujejo v skladu s to DPA:

Kategorija	Elementi podatkov	Subjekti podatkov
Podatki računa	E-naslov, ime za prikaz, podrobnosti avtentikacije (zgoščene)	Zaposleni Upravljavca, pooblaščeni uporabniki
Podatki o uporabi API	Klicane končne točke, časovne oznake, kode stanja odziva, števci omejitev hitrosti	Zaposleni Upravljavca, agenti
Metapodatki strežnika	Imena MCP strežnika, opisi, definicije orodja, zmožnosti	Zaposleni Upravljavca
Tehnični podatki	IP naslovi, nizi uporabniške agente, metapodatki zahteve	Zaposleni Upravljavca, agenti

4. Varnostni ukrepi

Obdelovalec izvaja in vzdržuje naslednje tehnične in organizacijske ukrepe za zagotavljanje varnosti osebnih podatkov v skladu s členom 32 GDPR:

Šifriranje v počitku: Vse shranjevanje podatkovne baze je šifrirano z AES-256. API ključi so shranjeni kot zgoščeni s soljo.
Šifriranje med prenosom: Vsi podatki, poslani med odjemalci, strežniki in podprocesatorji, so zaščiteni z TLS 1.2 ali višje.
Nadzor dostopa: Nadzor dostopa na podlagi vloge (RBAC) z načeli najmanjšega privilegija. Večfaktorska avtentikacija za upravni dostop. Row Level Security (RLS) uveljavljan na ravni podatkovne baze.
Dnevnik revizije: Vsi dostopi do API in upravne akcije so zabeleženi s časovnimi oznakami, identifikacijo akterja in podrobnostmi dejanja. Dnevniki se zadržijo 90 dni.
Varnost infrastrukture: Upravljano gostovanje na Supabase (SOC 2 tipa II) in Vercel z avtomatiziranim popravkom in skeniranjem ranljivosti.
Odziv na incident: Dokumentirani postopki odziva na incident s določenimi vlogami in komunikacijskimi protokoli.

5. Podprocesatorji

Podprocesator	Namen	Lokacija
Supabase Inc.	Gostovanje podatkovne baze, avtentikacija, shranjevanje	EU (Frankfurt, Nemčija)
Stripe Inc.	Obdelava plačil, upravljanje naročnin	EU
Vercel Inc.	Gostovanje aplikacije, dostava robov	EU rob (globalni CDN)
Anthropic PBC	Funkcije umetne inteligence (priporočila agenta)	ZDA (s SPC)

6. Obvestilo o kršitvi podatkov

V primeru kršitve osebnih podatkov Obdelovalec:

Obavesti Upravljavca brez nepotrebnega zamika in najpozneje 72 ur po spoznanju o kršitvi, v skladu s členom 33 GDPR.
Zagotovi celovite podrobnosti, vključno z naravo kršitve, kategorijami in približnim številom prizadetih subjektov podatkov, verjetnimi posledicami ter sprejetimi ali predlaganimi ukrepi za ublažitev kršitve.
V popolnosti sodeluje z Upravljavcem pri raziskovanju kršitve in izpolnjevanju obveznosti Upravljavca, da obvesti nadzorne organe in prizadete subjekte podatkov.
Dokumentira vse kršitve ne glede na resnost, vodijo zapise o dejstvih, učinkih in ukrepih za odpravo.

7. Vrnitev in brisanje podatkov

Po prenehanju ali izteku pogodbe o storitvi Obdelovalec na izbiro Upravljavca:

Vrne vse osebne podatke Upravljavcu v strukturirani, splošno uporabljeni, strojno čitljivi obliki (JSON izvoz), vključno s podatki računa, konfiguracijami strežnika in dnevniki uporabe.
Izbriše vse osebne podatke v 30 dneh od datuma prenehanja, vključno z vsemi kopijami v aktivnih sistemih in varnostnih kopijah, razen če zakon zahteva zadrževanje.

Obdelovalec zagotovi pisno potrdilo brisanja na zahtevo. Računovodski zapisi se lahko zadržijo do 10 let, kakor zahteva češki zakon o računovodstvu (Zakon št. 563/1991 Sbírka).

8. Revizijske pravice

Upravljavec ima pravico, da preveri skladnost Obdelovalca s to DPA:

Letne revizije: Upravljavec lahko izveде ali komisionira neodvisno revizijo dejavnosti obdelave podatkov Obdelovalca enkrat na leto, z najmanj 30 dnevi predhodnega pisnega obvestila.
Obseg: Revizije lahko zajemajo varnostne ukrepe, upravljanje podprocesatorjev, postopke obdelave podatkov in zmožnosti odziva na incident.
Sodelovanje: Obdelovalec zagotovi vse podatke, potrebne za dokazati skladnost, vključno z dostopom do ustreznih objektov, sistemov in osebja v delovnem času.
Alternativa certifikacija: Obdelovalec lahko izpolni zahtevke za revizijo z zagotovilom trenutnih poročil SOC 2 tipa II, certifikatov ISO 27001 ali enakovrednih neodvisnih ocen.

9. Mednarodni prenosi

Obdelovalec ne bo prenesel osebnih podatkov izven Evropskega gospodarskega območja (EGO), razen kadar:

Evropska komisija je izdala odločitev o ustreznosti za ciljno državo (člen 45 GDPR).
Na mestu so ustrezna varovalna sredstva, vključno s Standardnimi pogodbami klavzulami (SPC), ki jih je odobrila Evropska komisija (člen 46(2)(c) GDPR).
Je bila izvedena in dokumentirana presoja vpliva prenosa (TIA) za specifičen prenos.

Trenutno je edini podprocesator zunaj EGO Anthropic PBC (Združene države), za katere so na mestu SPC in obdelava umetne inteligence ne vključuje trajno shranjevanje osebnih podatkov.

10. Kontakt za izvajanje DPA

Za zahtevo za izvajanje te DPA, razpravo o pogojih ali povpraševanje o naših praksah varstva podatkov:

KOWEX Co. Holding — Podjetniški tim
E-pošta: enterprise@agentforge.community
Povernik za zaščito podatkov: privacy@agentforge.community

Zahtevaj podpisano DPA