Personuppgiftsbiträdesavtal
Ikraftträdandedatum: 26 mars 2026
1. Parter
Denna DPA ingås mellan:
- Personuppgiftsansvarig ("ansvarig"): Den kundentitet som har ingått ett prenumerationsavtal för AgentForge-tjänster och bestämmer ändamål och medel för bearbetningen av personuppgifter.
- Personuppgiftsbiträde ("biträde"): KOWEX Co. Holding, ett företag registrerat i Tjeckien, som driver AgentForge-plattformen på agentforge.community.
2. Bearbetningens omfattning
Biträdet ska behandla personuppgifter på uppdrag av den ansvarige endast för att tillhandahålla AgentForge-plattformstjänster, inklusive:
- Tillhandahållande av åtkomst till AgentForge API och instrumentpanel
- Värdskap och servering av MCP-serverkonfigurationer
- Bearbetning av API-förfrågningar mellan agenter och MCP-servrar
- Underhåll av användningsloggar och analys
- Hantering av autentisering och åtkomstkontroll
- Behandling av prenumerations- och faktureringsoperationer
Biträdet ska behandla personuppgifter endast enligt dokumenterade instruktioner från den ansvarige, om det inte krävs enligt EU:s eller medlemsstats lagstiftning.
3. Kategorier av behandlade personuppgifter
Följande kategorier av personuppgifter kan behandlas enligt denna DPA:
| Kategori | Dataelement | Registrerade |
|---|---|---|
| Kontoinformation | E-postadress, visningsnamn, autentiseringsuppgifter (hashade) | Ansvariges anställda, auktoriserade användare |
| API-användningsdata | Anropade slutpunkter, tidsstämplar, svarskoder, hastighetsbegränsningsräknare | Ansvariges anställda, agenter |
| Servermetadata | MCP-servernamn, beskrivningar, verktygsdefinitioner, förmågor | Ansvariges anställda |
| Tekniska data | IP-adresser, användaragentaktuell strängar, begärmetadata | Ansvariges anställda, agenter |
4. Säkerhetsmål
Biträdet implementerar och upprätthåller följande tekniska och organisatoriska åtgärder för att säkerställa säkerheten för personuppgifter i enlighet med GDPR artikel 32:
- Kryptering i vila: All databaslagring är krypterad med AES-256. API-nycklar lagras som saltade hashar.
- Kryptering under överföring: All data som överförts mellan klienter, servrar och underbearbetare skyddas av TLS 1.2 eller högre.
- Åtkomstkontroller: Rollbaserad åtkomstkontroll (RBAC) med principen om minsta behörighet. Multifaktorautentisering för administrativ åtkomst. Row Level Security (RLS) tillämpad på databasnivå.
- Revisionsloggning: All API-åtkomst och administrativa åtgärder loggas med tidsstämplar, skådespelareidentifikation och åtgärdsinformation. Loggar behålls i 90 dagar.
- Infrastruktursäkerhet: Hanterad värdskap på Supabase (SOC 2 typ II) och Vercel med automatiserad uppdatering och sårbarhetsskanning.
- Incidenthantering: Dokumenterade procedurer för incidenthantering med definierade roller och kommunikationsprotokoll.
5. Underbearbetare
Den ansvarige beviljar allmänt tillstånd för biträdet att engagera följande underbearbetare. Biträdet ska meddela den ansvarige minst 30 dagar i förväg om eventuella avsedda ändringar av underbearbetare och ge den ansvarige möjlighet att invända.
| Underbearbetare | Syfte | Plats |
|---|---|---|
| Supabase Inc. | Databasvärdskap, autentisering, lagring | EU (Frankfurt, Tyskland) |
| Stripe Inc. | Betalningsbehandling, prenumerationshantering | EU |
| Vercel Inc. | Värdskap för program, kantleverans | EU-kant (globalt CDN) |
| Anthropic PBC | AI-driven funktioner (agentrekommendationer) | USA (med standardiserade avtalsklausuler) |
6. Dataintrång meddelande
I händelse av ett personuppgiftsintrång ska biträdet:
- Meddela den ansvarige utan onödigt dröjsmål och senast 72 timmar efter att ha blivit medvetna om intrånget, i enlighet med GDPR artikel 33.
- Ge omfattande detaljer inklusive intrångets natur, kategorier och ungefärligt antal registrerade som påverkas, sannolika konsekvenser och åtgärder som vidtagits eller föreslår för att minska intrånget.
- Samarbeta fullt ut med den ansvarige vid utredning av intrånget och uppfyllelse av den ansvariges meddelandeskyldigheter gentemot tillsynsmyndigheter och påverkade registrerade.
- Dokumentera alla intrång oavsett allvar, och upprätthålla register över fakta, effekter och förbättringsåtgärder.
7. Dataretur och radering
Vid upphörande eller utgång av serviceavtalet ska biträdet, enligt den ansvariges val:
- Återlämna all personuppgifter till den ansvarige i ett strukturerat, vanligt använt, maskinläsbart format (JSON-export), inklusive kontodata, serverkonfigurationer och användningsloggar.
- Radera all personuppgifter inom 30 dagar från uppsägningsdatum, inklusive alla kopior i aktiva system och säkerhetskopior, utom där lagring krävs av EU:s eller medlemsstats lagstiftning.
Biträdet ska ge skriftlig bekräftelse av radering på begäran. Fakturingsuppgifter kan behållas i upp till 10 år enligt kraven i tjeckisk redovisningslagstiftning (lag nr. 563/1991 Coll.).
8. Granskningsrättigheter
Den ansvarige har rätt att verifiera biträdets överensstämmelse med denna DPA:
- Årlig granskning: Den ansvarige kan genomföra eller beställa en oberoende granskning av biträdets databearbetningsaktiviteter en gång per kalenderår, med minst 30 dagars förvarning skriftligt.
- Omfattning: Granskningar kan omfatta säkerhetsmål, hantering av underbearbetare, datahanteringsprocedurer och incidenthanteringsförmåga.
- Samarbete: Biträdet ska tillhandahålla all information som är nödvändig för att visa överensstämmelse, inklusive åtkomst till relevanta anläggningar, system och personal under normal arbetstid.
- Certifieringsalternativ: Biträdet kan uppfylla granskningskrav genom att tillhandahålla aktuella SOC 2 typ II-rapporter, ISO 27001-certifieringar eller motsvarande oberoende bedömningar.
9. Internationella överföringar
Biträdet ska inte överföra personuppgifter utanför det europeiska ekonomiska området (EES) utom där:
- Europeiska kommissionen har utfärdat ett tillåtlighetsbeslut för destinationslandet (GDPR artikel 45).
- Lämpliga skyddsåtgärder är på plats, inklusive standardiserade avtalsklausuler (SCCs) godkända av Europeiska kommissionen (GDPR artikel 46(2)(c)).
- En överföringspåverkansanalys (TIA) har genomförts och dokumenterats för den specifika överföringen.
För närvarande är den enda underbearbetare som är placerad utanför EES Anthropic PBC (USA), för vilken SCCs är på plats och AI-bearbetning involverar inte persistent lagring av personuppgifter.
10. Kontakt för DPA-verifikation
För att begära verifikation av denna DPA, diskutera villkor eller undersöka vår dataskyddspraxis:
KOWEX Co. Holding — företagsteam
E-post: enterprise@agentforge.community
Dataskyddsman: privacy@agentforge.community
Denna DPA regleras av lagarna i Tjeckien. Eventuella tvister som uppstår från denna DPA skall underställas den uteslutande jurisdiktionen för Tjeckiens domstolar. Denna DPA förblir i kraft under varaktigheten av den ansvariges användning av AgentForge-tjänster och så länge som biträdet behåller någon personuppgifter som behandlas på uppdrag av den ansvarige.