ДОБАВКА ЗА ОБРАБОТКА НА ДАННИ

Последна актуализация: 19 март 2026 г.

Настоящата Добавка за обработка на данни („DPA") е неразделна част от Общите условия („Споразумение") между Acira AI LLC („Обработващ", „ние", „нас") и потребителя на Услугите („Администратор", „вие") и допълва Споразумението по отношение на обработката на лични данни.

Настоящата DPA се прилага, когато използвате Услугите за създаване, хостване и публикуване на уебсайтове, които събират или обработват лични данни на лица, намиращи се в Европейското икономическо пространство („ЕИП"), Обединеното кралство („ОК") или Швейцария, или когато е приложимо от съответното законодателство за защита на данните.

Това Допълнение за обработка на данни може да бъде преведено на други езици за Ваше удобство. В случай на конфликт или несъответствие между английската версия и преведена версия, английската версия има предимство.

СЪДЪРЖАНИЕ

1. ДЕФИНИЦИИ
2. ОБХВАТ И РОЛИ
3. ПОДРОБНОСТИ ЗА ОБРАБОТКАТА НА ДАННИ
4. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ
5. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА
6. ПОДОБРАБОТВАЩИ
7. МЕЖДУНАРОДНО ПРЕДАВАНЕ НА ДАННИ
8. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
9. СИГУРНОСТ НА ДАННИТЕ
10. УВЕДОМЯВАНЕ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИТЕ
11. ОДИТИ И ПРОВЕРКА НА СЪОТВЕТСТВИЕ
12. СЪХРАНЕНИЕ И ИЗТРИВАНЕ НА ДАННИ
13. СРОК И ПРЕКРАТЯВАНЕ
14. ОГРАНИЧАВАНЕ НА ОТГОВОРНОСТТА
15. СВЪРЖЕТЕ СЕ С НАС

1. ДЕФИНИЦИИ

„Приложимо законодателство за защита на данните" означава всички закони и разпоредби, приложими към обработката на лични данни съгласно настоящата DPA, включително (когато е приложимо) Общия регламент за защита на данните (ЕС) 2016/679 („GDPR"), Великобританския GDPR, Федералния закон на Швейцария за защита на данните („FADP") и Калифорнийския закон за защита на неприкосновеността на потребителите („CCPA").

„Администратор" означава физическо или юридическо лице, което определя целите и средствата за обработката на личните данни — в настоящия контекст, вие, потребителят на Услугите, който управлява уебсайт чрез платформата.

„Субект на данни" означава идентифицирано или подлежащо на идентификация физическо лице, чиито лични данни се обработват.

„Лични данни" означава всяка информация, свързана с субект на данни, която се обработва чрез Услугите.

„Обработка" означава всяка операция, извършена с лични данни, включително събиране, записване, организиране, структуриране, съхранение, адаптиране, извличане, консултиране, използване, разкриване, разпространение, ограничаване, изтриване или унищожаване.

„Обработващ" означава физическо или юридическо лице, което обработва лични данни от името на Администратора — в настоящия контекст, Acira AI LLC.

„Подобработващ" означава всяка трета страна, ангажирана от Обработващия за обработка на лични данни от името на Администратора.

„Стандартни договорни клаузи" или „СДК" означава стандартните договорни клаузи за прехвърляне на лични данни към обработващи, установени в трети държави, приети от Европейската комисия.

2. ОБХВАТ И РОЛИ

2.1 Отношение при обработката

Когато използвате Услугите за създаване и управление на уебсайт, който събира лични данни от посетителите на вашия уебсайт (чрез формуляри, потребителски акаунти, взаимодействия с чатбот, коментари, отзиви или други интерактивни функции), вие действате като Администратор, а ние действаме като Обработващ на тези лични данни на посетителите.

2.2 Нашата роля като Администратор

Ние действаме като независим Администратор на лични данни, които събираме за собствени цели, включително: информацията за вашия акаунт, данни за фактуриране, анализ на използването, общи характеристики на уебсайта, извлечени от съдържанието на вашия уебсайт (като индустрия или тип бизнес), и данни за работата на платформата. Обработката на тези данни се урежда от нашата Политика за поверителност и е извън обхвата на това DPA.

2.3 Анализи на платформата

Събираме основни, щадящи поверителността анализи за посетителите на уебсайтовете (както е описано в Споразумението). За данните от анализите действаме като съвместни администратори с вас. Разработили сме нашите анализи, за да сведем до минимум събирането на лични данни — не съхраняваме необработени IP адреси, а идентификаторите на посетителите се обновяват ежедневно. Съответните отговорности на всеки съвместен администратор са следните:

• Acira AI (Обработващ/Съвместен администратор): Определя техническите средства за събиране на анализи, включително кои точки с данни се събират, как се изчисляват идентификаторите на посетителите (ежедневно ротиращи хешове) и как се обобщават данните. Отговаряме за сигурността и целостта на инфраструктурата за анализи и за отговаряне на общи запитвания как работят анализите на платформата.
• Вие (Администратор/Съвместен администратор): Определяте дали да използвате анализи на вашия уебсайт (анализите са активирани по подразбиране като част от Услугите). Отговаряте за оповестяването на събирането на аналитични данни в политиката за поверителност на вашия уебсайт и за отговаряне на заявки от субекти на данни от посетителите на вашия уебсайт относно техните аналитични данни.
• Точка за контакт за субектите на данни: Субектите на данни могат да се свържат с вас (собственика на уебсайта) относно аналитичните данни, събрани на вашия уебсайт. Ако получим заявка от субект на данни относно аналитични данни, ще ги насочим към вас, освен ако не ни дадете инструкции за друго. За общи запитвания относно платформата субектите на данни могат да се свържат с нас на legal@acira.ai.

2.4 Същност на договореността за съвместно администриране

В съответствие с член 26, параграф 2 от GDPR, същността на договореността за съвместно администриране на аналитичните данни е следната: Ние (Acira AI) определяме техническите средства и точките с данни, които се събират; вие (операторът на уебсайта) определяте дали анализите се използват на вашия уебсайт. Всеки от нас носи отговорност за съответните си задължения съгласно Приложимото законодателство за защита на данните. Вие сте основната точка за контакт за посетителите на вашия уебсайт относно аналитичните данни. Резюме на тази договореност е достъпно за субектите на данни чрез настоящата DPA и на https://www.acira.ai/dpa.

2.5 Определяне на доставчик на услуги по CCPA

Доколкото обработваме лична информация, подлежаща на Калифорнийския закон за защита на неприкосновеността на потребителите („CCPA"), от ваше името, ние сме вашият „доставчик на услуги" съгласно определението в Cal. Civ. Code § 1798.140(ag). Ние няма да:

• Продаваме или споделяме (съгласно значението на тези термини по CCPA) лична информация, предоставена от вас;
• Съхраняваме, използваме или разкриваме лична информация за цели, различни от бизнес целите, посочени в тази DPA и Споразумението, или по друг начин, разрешен от CCPA;
• Съхраняваме, използваме или разкриваме лична информация извън прякото бизнес отношение между вас и нас;
• Комбинираме лична информация, получена от вас, с лична информация, получена от или от името на друго лице, или събрана от нашите собствени взаимодействия с потребителите, освен ако CCPA не разрешава това.

Можем да извличаме общи, неидентифициращи бизнес характеристики (като класификация на индустрията) от съдържанието на вашия уебсайт с цел предоставяне на подходящи продуктови препоръки, както е описано в Раздел 2.2. Тази ограничена употреба не представлява продажба, споделяне или комбиниране на лична информация по смисъла на CCPA.

Потвърждаваме, че разбираме тези ограничения и ще ги спазваме.

2.6 Оценка на представителя по швейцарския FADP

Член 14 от Федералния закон на Швейцария за защита на данните („FADP") изисква от неШвейцарски частен администратор да определи представител в Швейцария само когато всичките четири следни кумулативни условия са изпълнени едновременно: (1) обработката е свързана с предлагане на стоки или услуги или наблюдение на поведението на лица в Швейцария; (2) обработката е в голям мащаб; (3) обработката се извършва редовно; и (4) обработката създава висок риск за правата на личността или основните права на субектите на данни.

Оценихме нашите дейности по обработка спрямо тези условия и установихме, че макар условия (1) и (3) да са изпълнени, останалите условия не са изпълнени по следните причини:

• Не е в голям мащаб: Ние сме малка SaaS платформа. Обемът на личните данни на жители на Швейцария, обработвани чрез нашите Услуги, е ограничен и не представлява обработка в голям мащаб по смисъла на член 14 от FADP.
• Не е висок риск: Личните данни, които обработваме от името на операторите на уебсайтове, се състоят предимно от псевдонимизирани аналитични идентификатори (ежедневно ротиращи хешове), основни метаданни за посетителите (държава, тип устройство, браузър), съдържание на изпратени формуляри и съобщения в чатбот. Не обработваме специални категории лични данни (член 5, буква „в" от FADP), нито се ангажираме с профилиране с висок риск за субектите на данни. Федералният комисар на Швейцария за защита на данните и информацията („FDPIC") е посочил, че това задължение е насочено предимно към големи интернет платформи и социални мрежи, работещи от чужбина, което не описва нашите Услуги.

Въз основа на тази оценка стигнахме до заключението, че в момента не сме задължени да определим представител в Швейцария съгласно член 14 от FADP. Ще преразглеждаме периодично това определяне, включително при съществени промени в мащаба или характера на нашите дейности по обработка, засягащи жителите на Швейцария.

3. ПОДРОБНОСТИ ЗА ОБРАБОТКАТА НА ДАННИ

3.1 Предмет и продължителност

Обработката на лични данни съгласно настоящата DPA се извършва с цел предоставяне на Услугите, описани в Споразумението, и ще продължи за срока на Споразумението.

3.2 Характер и цел на обработката

Обработваме лични данни за:

• Хостване и предоставяне на съдържанието на вашия уебсайт
• Съхраняване и управление на данни, изпратени чрез формулярите и интерактивните функции на вашия уебсайт
• Поддържане на потребителски акаунти и сесии за защитените зони на вашия уебсайт
• Изпращане на имейл комуникации от ваше название
• Препращане на имейли, получени на персонализираните имейл адреси на вашия домейн
• Управление на разговори с AI чатбот с посетителите на вашия уебсайт
• Генериране на описания и метаданни, захранвани от AI, за качени файлове
• Конвертиране на качени файлове в уеб-оптимизирани формати
• Предоставяне на анализи за посетителите
• Извличане на общи характеристики на уебсайта (като индустрия или тип бизнес) за предоставяне на подходящи препоръки на платформата
• Откриване и предотвратяване на спам и злоупотреби (включително bot предизвикателства за доказателство за работа)
• Извършване на модерация на съдържанието на качени файлове
• Преглед на съдържанието на уебсайта при публикуване за съответствие с политиките за съдържание на платформата
• Управление на предпочитанията за отписване от имейли за получателите на имейли от вашия уебсайт
• Улесняване на комуникациите в реално време на вашия уебсайт чрез WebSocket връзки (съобщенията са временни и не се съхраняват)
• Поддържане на журнали за грешки и диагностика за надеждността на платформата и отстраняване на неизправности (може да включват IP адреси и метаданни за заявки; съхраняват се до тридесет (30) дни)

3.3 Видове лични данни

Видовете обработвани лични данни зависят от това, което събирате чрез вашия уебсайт, и могат да включват:

• Имена и информация за контакт
• Имейл адреси
• Съобщения и изпратени формуляри
• Файлове, качени от посетителите на уебсайта (като изображения и документи)
• Съдържание на разговори с чатбот (съобщения на посетителите и отговори на AI)
• Идентификационни данни за потребителски акаунт (съхранявани в хеширана форма)
• Данни за сесията
• IP адреси (не се съхраняват в анализите — съхранява се само ежедневно ротиращ хеш; съхраняват се като метаданни заедно с изпратените формуляри и разговорите с чатбот; временно се използват и хешират за проверка на bot предизвикателства; временно се съхраняват за ограничаване на скоростта до седем (7) дни и автоматично се изчистват)
• Информация за браузъра и устройството
• Данни за местоположението (на ниво държава и регион, получени от IP)
• Записи за отписване от имейли (съхранявани като криптографски хешове на имейл адресите на получателите; не се съхраняват в суров вид)
• Резултати от класификация на спам (дали дадено подаване е определено като спам)
• Данни от журнали за грешки и диагностика (IP адреси, пътища на заявките и подробности за грешки; съхраняват се до тридесет (30) дни и автоматично се изчистват)

3.4 Категории субекти на данни

• Посетителите на вашия уебсайт
• Потребители, които създават акаунти на вашия уебсайт
• Потребители, изпращащи формуляри или взаимодействащи с чатботове на вашия уебсайт
• Потребители, изпращащи коментари, отзиви или други приноси на вашия уебсайт

4. ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ

Ние ще:

1. Обработваме лични данни само въз основа на вашите документирани инструкции, освен ако приложимото законодателство не изисква друго (в такъв случай ще ви информираме за това правно изискване преди обработката, освен ако законът не забранява това);
2. Осигурим, че лицата, упълномощени да обработват лични данни, са поели задължение за поверителност или са обвързани от подходящо законово задължение за поверителност;
3. Приложим подходящи технически и организационни мерки за сигурност, описани в Раздел 9;
4. Спазваме условията за ангажиране на подобработващи, предвидени в Раздел 6;
5. Съдействаме ви, отчитайки характера на обработката, при отговарянето на заявки от субекти на данни, упражняващи правата си съгласно Приложимото законодателство за защита на данните;
6. Съдействаме ви при осигуряване на съответствие с вашите задължения по членове 32–36 от GDPR (сигурност, уведомяване за нарушения, оценки на въздействието върху защитата на данните и предварителна консултация), като се вземат предвид характерът на обработката и информацията, с която разполагаме. Когато използването на Услугите от ваша страна включва обработка с висок риск, която може да изисква Оценка на въздействието върху защитата на данните (DPIA), ще ви предоставим информация за нашите дейности по обработка, технически и организационни мерки и подобработващи, за да подкрепим вашата оценка;
7. Съдействаме ви при изпълнение на задълженията ви по член 22 от GDPR (автоматизирано индивидуално вземане на решения), като предоставяме информация за всяка автоматизирана обработка, извършвана от ваше название, включително модерация на съдържанието, откриване на спам и защита от ботове, и като улесняваме проверката от страна на човек на автоматизирани решения при поискване;
8. Ви информираме, ако по наше мнение дадена инструкция от ваша страна нарушава Приложимото законодателство за защита на данните;
9. По ваш избор изтрием или върнем всички лични данни след края на предоставянето на Услугите и изтрием съществуващите копия, освен ако съхранението не е изисквано от приложимото законодателство;
10. Предоставим ви цялата информация, необходима за доказване на съответствие с задълженията, предвидени в настоящата DPA, и да допринесем за проверката на съответствие, описана в Раздел 11.

5. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА

Вие ще:

1. Гарантирате, че събирането и обработката на лични данни чрез вашия уебсайт са в съответствие с всички Приложими закони за защита на данните;
2. Предоставите подходящи уведомления за поверителност на посетителите на вашия уебсайт, описващи вашите практики за събиране на данни, включително оповестяване на анализите на ниво платформа, взаимодействията с чатбот, задвижвани от AI, обнаруженото спам и защитата от ботове;
3. Получите всички необходими съгласия или установите друго законово основание за обработка на лични данни чрез вашия уебсайт;
4. Гарантирате, че вашите инструкции към нас относно обработката на лични данни са в съответствие с Приложимите закони за защита на данните;
5. Носите отговорност за точността, качеството и законосъобразността на личните данни, предоставени ни чрез вашия уебсайт.

Чрез използването на Услугите ни инструктирате да извършваме следните дейности по обработка от ваше название като част от стандартните операции на платформата: модерация на съдържанието на качени файлове, преглед на политиката за съдържание на публикуваното съдържание на уебсайта, обнаруждане на спам при изпращане на формуляри, защита от ботове чрез предизвикателства за доказателство за работа и взаимодействия с чатбот, захранван от AI, с посетителите на вашия уебсайт. Тези дейности са документирани инструкции по член 28, параграф 3, буква „а" от GDPR.

6. ПОДОБРАБОТВАЩИ

6.1 Упълномощени подобработващи

Давате ни общо разрешение да ангажираме подобработващи, за да помогнем при предоставянето на Услугите. Нашите настоящи подобработващи са изброени по-долу и на https://www.acira.ai/dpa.

6.2 Списък на настоящите подобработващи

6.3 Промени в подобработващите

Ще ви уведомяваме за всякакви планирани промени в списъка на подобработващите за Услугите, които използвате в момента, като актуализираме списъка на подобработващите на https://www.acira.ai/dpa поне четиринадесет (14) дни преди новият подобработващ да започне да обработва лични данни. Когато въвеждаме нови функции или услуги, включващи допълнителни подобработващи, тези подобработващи ще бъдат оповестени в момента, когато функцията или услугата стане достъпна; използването на новата функция или услуга от ваша страна представлява приемане на оповестените подобработващи. Ваша отговорност е периодично да преглеждате списъка на подобработващите за промени. Ако имате основателно възражение срещу нов подобработващ, обработващ данни за съществуващи Услуги, можете да ни уведомите писмено в рамките на четиринадесет (14) дни от публикуването на промяната. Ще работим с вас добросъвестно, за да разрешим вашите опасения. Ако не можем да разрешим възражението по начин, задоволителен за вас, можете да прекратите Споразумението с писмено уведомление.

6.4 Задължения на подобработващите

Ще сключваме писмени споразумения с всеки подобработващ, налагащи задължения за защита на данните, не по-малко защитни от предвидените в настоящата DPA. Ние оставаме отговорни за действията и бездействията на нашите подобработващи в същата степен, в която бихме носили отговорност, ако предоставяхме услугите директно.

7. МЕЖДУНАРОДНО ПРЕДАВАНЕ НА ДАННИ

7.1 Механизми за предаване

Услугите се хостват предимно в Съединените американски щати. Личните данни, обработвани чрез Услугите, могат да бъдат предадени и обработвани в Съединените американски щати и в други държави, където работят нашите подобработващи. Доставчиците на AI изводи (Fireworks AI и xAI) обработват данни в Съединените американски щати. BrightData може да обработва данни в Израел и на други места по света. Cloudflare обработва данни на крайни местоположения по целия свят.

Местоживеене на данните в ЕС: За оператори на уебсайтове, идентифицирани като пребиваващи в ЕС, прилагаме следните мерки за местоживеене на данните, за да минимизираме прехвърлянето на лични данни на посетителите извън Европейския съюз:

• Съхранение: Данните на посетителите в постоянното крайно съхранение — включително подадени формуляри, чатбот разговори, данни за сесии и данни от потребителски таблици — са ограничени до Европейския съюз. Тези данни се съхраняват изключително в центрове за данни в ЕС.
• Автоматизирана обработка, насочена към посетители: Операции, задействани автоматично от активността на посетителите — включително уведомления за подаване на съдържание и доставка на транзакционни имейли — се обработват в Европейския съюз и не преминават през инфраструктурата на САЩ.
• Достъп за управление на платформата: Когато достъпвате данните на посетителите на вашия уебсайт чрез таблото за управление на платформата или разговорния интерфейс (например, преглед на подадени формуляри или управление на потребителски записи), тези данни могат да бъдат обработени чрез нашата инфраструктура в САЩ, за да изпълним заявката ви. Тези прехвърляния са по заявка, инициирани от вас (Администратора), и защитени от механизмите за прехвърляне и допълнителните мерки, описани по-долу.
• Друга обработка в САЩ: Данни за анализи и данни, обработвани от нашата облачна инфраструктура в САЩ за модерация на съдържание и AI извод, все още могат да бъдат прехвърляни в САЩ съгласно механизмите за прехвърляне по-долу.

За предаване на лични данни от ЕИП, ОК или Швейцария към държави, непризнати за предоставящи адекватно ниво на защита на данните, ние се позоваваме на:

1. Стандартни договорни клаузи (СДК): Включваме Стандартните договорни клаузи на Европейската комисия в настоящата DPA чрез препратка: Модул Едно (от Администратор към Администратор) за аналитичните данни, при които действаме като съвместни администратори (вж. Раздел 2.3), и Модул Два (от Администратор към Обработващ) за всички останали лични данни, обработвани от ваше название. СДК са достъпни на https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Добавка за международно предаване на данни от ОК: За предавания от ОК се прилага Добавката на ОК към СДК на ЕС.
3. Механизми за предаване на данни от Швейцария: За предавания от Швейцария се прилагат СДК с изменения, изисквани от швейцарския FADP.

7.2 Допълнителни мерки

Прилагаме следните допълнителни мерки за защита на предаваните лични данни:

• Криптиране на данните при пренос (TLS/SSL) и в покой
• Контроли на достъпа и механизми за удостоверяване на самоличността
• Редовни оценки на сигурността
• Практики за минимизиране на данните (напр. ежедневно ротиращи хешове на посетителите вместо съхранение на необработени IP адреси)
• Юрисдикционно местоживеене на данните за оператори на уебсайтове, пребиваващи в ЕС (постоянно съхранение и автоматизирана обработка, насочена към посетителите, ограничени до ЕС)
• Базирана в ЕС изчислителна и имейл инфраструктура за автоматизирани операции, насочени към посетители (уведомления за подаване на съдържание и доставка на транзакционни имейли, обработвани в Европейския съюз за оператори на уебсайтове, резиденти на ЕС)

7.3 Оценка на въздействието от предаването

Тези допълнителни мерки са информирани от нашата оценка на законите и практиките на държавите получатели, като се вземат предвид характерът на предаваните данни, механизмът за предаване, на който се разчита, и наличните технически и организационни мерки за защита. Оценихме, че допълнителните мерки, описани по-горе, заедно с ангажиментите в СДК, осигуряват адекватно ниво на защита за предаваните лични данни. Нашата Оценка на въздействието от предаването е достъпна на https://www.acira.ai/tia.

7.4 Канадски предавания на данни

За предаване на лични данни от Канада разчитаме на следните мерки за защита, за да гарантираме, че личните данни, предадени извън Канада, получават сравнимо ниво на защита, изисквано съгласно Закона за защита на личната информация и електронните документи (PIPEDA) и приложимото провинциално законодателство за поверителност (включително PIPA на Алберта, PIPA на Британска Колумбия и Закона на Квебек за защита на личната информация в частния сектор):

1. Договорна защита: Писмени споразумения за обработка на данни с всеки подобработващ, налагащи задължения за защита на личните данни до стандарт, съвместим с канадското законодателство за поверителност, включително изисквания за подходящи мерки за сигурност, ограничения за използване, уведомяване при нарушения и достъп на субектите на данни.
2. Технически мерки за защита: Същите мерки за криптиране, псевдонимизация, контрол на достъпа и минимизиране на данните, описани в Раздел 7.2, се прилагат за канадски предавания на данни.
3. Организационни мерки за защита: Надлежна проверка на подобработващите, задължения за поверителност за персонала и документирани процедури за реагиране при инциденти, описани в настоящата DPA.

Наблюдаваме развитието на канадското законодателство за поверителност, включително предложения Закон за защита на неприкосновеността на потребителите (CPPA), и ще актуализираме нашите механизми за предаване при необходимост.

8. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

8.1 Съдействие при заявки

Ще ви съдействаме при отговарянето на заявки от субекти на данни, упражняващи правата си съгласно Приложимото законодателство за защита на данните, включително права на достъп, коригиране, изтриване, ограничаване, преносимост и възражение.

8.2 Уведомяване

Ако получим заявка директно от субект на данни относно лични данни, обработвани от ваше название, незабавно ще ви уведомим и няма да отговаряме на заявката без вашите инструкции, освен ако приложимото законодателство не изисква друго.

8.3 Инструменти на платформата

Предоставяме инструменти в рамките на Услугите, за да ви помогнем да изпълнявате заявките на субектите на данни, включително:

• Достъп до и управление на данни, съхранявани в базите данни на вашия уебсайт
• Изтриване на отделни записи от базите данни на вашия уебсайт
• При поискване можем да предоставим износ на данни в ZIP формат, за да подпомогнем изпълнението на задълженията за преносимост на данните

9. СИГУРНОСТ НА ДАННИТЕ

9.1 Мерки за сигурност

Прилагаме и поддържаме подходящи технически и организационни мерки за защита на личните данни срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или повреда. Тези мерки включват:

• Криптиране: Данните са криптирани при пренос чрез TLS/SSL и в покой с помощта на криптиране по стандарта на индустрията
• Контрол на достъпа: Контроли на достъпа, базирани на роли, многофакторна автентикация за администрацията на платформата, политики за достъп с най-малко привилегии
• Сигурност на инфраструктурата: Управлявана облачна инфраструктура с автоматизирано прилагане на пачове за сигурност, защита от DDoS и Уеб приложен защитен екран (WAF)
• Изолация на данни: Изолация на данните по уебсайт чрез специализирани инстанции за съхранение
• Мониторинг: Автоматизиран мониторинг на сигурността, откривателство на прониквания и структурирано регистриране
• Сигурност на идентификационните данни: Всички API ключове и тайни са съхранявани в специализирани услуги за управление на тайни; паролите на потребителите са хеширани с помощта на силни криптографски алгоритми с индивидуални солове за всеки потребител
• Защита от ботове: Системи за предизвикателства за доказателство за работа за предотвратяване на автоматизирана злоупотреба

9.2 Поверителност

Осигуряваме, че всички служители, упълномощени да обработват лични данни, са обвързани със задължения за поверителност.

10. УВЕДОМЯВАНЕ ПРИ НАРУШЕНИЕ НА СИГУРНОСТТА НА ДАННИТЕ

10.1 Уведомяване на Администратора

Ще ви уведомим без ненужно забавяне след потвърждаване на нарушение на сигурността на лични данни, засягащо лични данни, обработвани от ваше название. Уведомлението ще бъде изпратено до информацията за контакт, свързана с вашия акаунт.

10.2 Съдържание на уведомлението

Нашето уведомление за нарушение ще включва, доколкото е налично:

1. Описание на характера на нарушението, включително категориите и приблизителния брой засегнати субекти на данни и записи;
2. Наименованието и данните за контакт на нашия специалист по защита на данните;
3. Описание на вероятните последици от нарушението;
4. Описание на взетите или предложени мерки за справяне с нарушението и за намаляване на последиците от него.

10.3 Вашите задължения

Вие отговаряте за уведомяването на съответния надзорен орган и на засегнатите субекти на данни за нарушение на сигурността на лични данни, съгласно изискванията на Приложимото законодателство за защита на данните. Ще си сътрудничим с вас и ще предоставим разумно съдействие, за да ви помогнем да спазите задълженията ви за уведомяване при нарушения.

11. ОДИТИ И ПРОВЕРКА НА СЪОТВЕТСТВИЕ

11.1 Документация за съответствие

За да демонстрираме съответствието си с настоящото DPA, ще ви предоставим при разумно писмено искане (до веднъж годишно) следното:

1. Съответни одиторски доклади, сертификати или обобщения на оценки на сигурността от трети страни;
2. Обобщение на текущите ни технически и организационни мерки за сигурност;
3. Информация за нашите дейности по обработка, подизпълнители и практики за защита на данните.

Когато разчитаме на доставчици на инфраструктура от трети страни (като AWS и Cloudflare), техните сертификати за сигурност и документация за съответствие са достъпни чрез съответните им програми за доверие и съответствие.

11.2 Допълнителни запитвания

Ако документацията, предоставена съгласно раздел 11.1, не адресира разумно вашите опасения относно съответствието, можете да подадете конкретни писмени въпроси относно нашите практики за защита на данните, на които ще отговорим в разумен срок.

12. СЪХРАНЕНИЕ И ИЗТРИВАНЕ НА ДАННИ

12.1 По време на Споразумението

Ще съхраняваме лични данни, обработвани от ваше название, за срока на Споразумението и в съответствие с вашите инструкции чрез Услугите. Конкретните срокове за съхранение на данните за посетителите включват:

• Разговори с чатбот на вашия уебсайт: Съхраняват се тридесет (30) дни от последното взаимодействие в рамките на всеки разговор. Разговорите се съхраняват в сесиите на посетителите на крайната инфраструктура на уебсайта и се изтриват автоматично при изтичане на сесията поради неактивност.
• Изпратени формуляри и потребителско съдържание на вашия уебсайт: Съхраняват се за срока на съответния уебсайт, освен ако не ги изтриете по-рано чрез инструментите на платформата.
• Данни за сесията на посетителите на вашия уебсайт: Автоматично се изтриват след 30 дни неактивност.
• Изтрито съдържание на посетителите (изпратени формуляри, коментари и друго потребителско съдържание на вашия уебсайт): Когато изтриете съдържание на посетителите чрез инструментите на платформата, то се преместя в статус на меко изтриване и се съхранява до тридесет (30) дни, за да се поддържа възстановяването. След този период меко изтритото съдържание се изтрива окончателно. Можете да изтриете съдържанието незабавно и окончателно, като го премахнете от опашката за възстановяване.
• Записи за отписване от имейли на вашия уебсайт: Съхраняват се за срока на свързания уебсайт, освен ако получателят не се абонира отново. Записите за отписване се изтриват при унищожаване на уебсайта.
• Аналитични данни: Съхраняват се за срока на съответния уебсайт (при съблюдаване на ограниченията за съхранение, базирани на плана; аналитичните данни на безплатния план се съхраняват за деветдесет (90) дни).

12.2 При прекратяване

При прекратяване на Споразумението или при ваше искане ще изтрием личните данни, обработвани от ваше название, в съответствие с практиките за съхранение на данни, описани в Споразумението (включително седемдневния (7) гратисен период за изтриване на акаунти и уебсайтове). След гратисния период изтриването е постоянно и необратимо.

12.3 Изключения

Можем да съхраняваме лични данни в степента, изисквана от приложимото законодателство, или когато данните са анонимизирани и вече не могат да бъдат свързани с субект на данни.

13. СРОК И ПРЕКРАТЯВАНЕ

Настоящата DPA влиза в сила на датата на приемане на Споразумението и остава в сила за толкова дълго, колкото обработваме лични данни от ваше название. Задълженията за поверителност и защита на данните, предвидени в настоящата DPA, продължават да действат след прекратяването на Споразумението.

14. ОГРАНИЧАВАНЕ НА ОТГОВОРНОСТТА

Отговорността на всяка страна съгласно настоящата DPA е предмет на ограниченията на отговорността, предвидени в Споразумението.

15. СВЪРЖЕТЕ СЕ С НАС

За въпроси относно настоящата DPA или за упражняване на вашите права, свържете се с нас на:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Телефон: 888-389-1189
Имейл: legal@acira.ai