ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ПРЕХВЪРЛЯНЕТО
Последна актуализация: 19 март 2026 г.
Настоящата Оценка на въздействието върху прехвърлянето („ОВП") е изготвена от Acira AI LLC („Acira AI", „ние", „нас") в съответствие с изискванията на решението на Съда на Европейския съюз по делото Комисар за защита на данните срещу Facebook Ireland Limited и Максимилиан Шремс (Дело C-311/18, „Schrems II") и препоръките на Европейския комитет по защита на данните (Препоръки 01/2020 на ЕКЗД относно допълнителни мерки).
Настоящата ОВП оценява адекватността на защитата на личните данни, прехвърляни от Европейското икономическо пространство („ЕИП"), Обединеното кралство, Швейцария и Канада към Съединените американски щати и други трети държави във връзка с предоставянето на нашите Услуги.
Настоящата ОВП може да бъде преведена на други езици за ваше удобство. При всяко противоречие или несъответствие между английската версия и някоя преведена версия, английската версия има предимство.
СЪДЪРЖАНИЕ
- ОБЩ ПРЕГЛЕД НА ПРЕХВЪРЛЯНИЯТА
- ЕСТЕСТВО НА ПРЕХВЪРЛЯНИТЕ ДАННИ
- МЕХАНИЗМИ ЗА ПРЕХВЪРЛЯНЕ
- ОЦЕНКА НА ЗАКОНОДАТЕЛСТВОТО НА ДЪРЖАВАТА ПОЛУЧАТЕЛ
- ОЦЕНКА НА ПОТОЦИТЕ ОТ ДАННИ ПО ДОСТАВЧИК НА УСЛУГИ
- ДОПЪЛНИТЕЛНИ МЕРКИ
- ОЦЕНКА НА РИСКА
- ЗАКЛЮЧЕНИЕ
- ГРАФИК ЗА ПРЕГЛЕД
- СВЪРЖЕТЕ СЕ С НАС
1. ОБЩ ПРЕГЛЕД НА ПРЕХВЪРЛЯНИЯТА
1.1 Контекст
Acira AI е платформа за софтуер като услуга (SaaS), която позволява на фирми и физически лица да създават, управляват и хостват уебсайтове с изкуствен интелект. Когато потребителите създават уебсайтове, достъпни за посетители, намиращи се в ЕИП, Обединеното кралство, Швейцария или Канада, личните данни на тези посетители могат да бъдат прехвърлени и обработени в Съединените американски щати и на други места, където нашите инфраструктурни доставчици работят.
1.2 Страни
- Износител на данни: Операторът на уебсайта (наш клиент, действащ като Администратор) и, за аналитични данни, Acira AI като Съвместен администратор.
- Вносител на данни: Acira AI LLC, регистрирана в Невада, Съединени американски щати, действаща като Обработващ (и Съвместен администратор за аналитика).
- Подобработващи: Трети доставчици на услуги, ангажирани от Acira AI (изброени в Раздел 5).
1.3 Дестинации на прехвърляне
| Дестинация | Доставчици | Основание |
|---|---|---|
| САЩ и Европейски съюз (Стокхолм) | AWS | СДК + Допълнителни мерки (САЩ); Вътре в ЕИП за автоматизирани операции, насочени към посетители, за резиденти на ЕС |
| САЩ | Stripe, Fireworks AI, xAI | СДК + Допълнителни мерки |
| Глобален (гранични локации) | Cloudflare | СКК + Допълнителни мерки |
| Израел | BrightData (само при насочване от потребителя) | СКК + Допълнителни мерки |
| Европейски съюз | Black Forest Labs, ScreenshotOne, CloudConvert | Вътре в ЕИП (не е необходим механизъм за прехвърляне) |
2. ЕСТЕСТВО НА ПРЕХВЪРЛЯНИТЕ ДАННИ
2.1 Категории лични данни
Прехвърляните лични данни зависят от функциите, активирани от оператора на уебсайта, и от взаимодействията на посетителите на уебсайта. Могат да бъдат прехвърлени следните категории:
| Категория данни | Описание | Чувствителност | Обем |
|---|---|---|---|
| Идентификатори за анализ | Ежедневно ротиращ криптографски хеш на IP + User-Agent + дата (псевдонимизиран) | Ниска | Висок (при всяко преглеждане на страница) |
| Метаданни за посетителя | Държава, регион, език, тип устройство, браузър, ОС, домейн на препратката, UTM параметри | Ниска | Висок (всяко преглеждане на страница) |
| IP адреси | Съхранявани като метаданни с изпратени формуляри и разговори с чатбот; хеширани за аналитика; временно използвани за проверка с бот предизвикателство; временно съхранявани за ограничаване на скоростта (до 7 дни) | Средна | Среден |
| Съдържание на изпратени формуляри | Свободен текст, изпратен от посетители (имена, имейли, съобщения и др.) | Променлива (зависи от формуляра) | Ниска до средна |
| Съобщения от чатбот | Съобщения на посетители и отговори, генерирани от ИИ (макс. 2000 знака на съобщение) | Ниска до средна | Ниска |
| Качени файлове | Файлове, качени от посетители чрез формуляри на уебсайта (изображения, документи) | Променлива | Ниска |
| Идентификатори на сесия | Идентификатори на сесии от страна на сървъра и бисквитки за сесии от страна на клиента | Ниска | Висок |
| Идентификационни данни за удостоверяване | Пароли за защитени зони на уебсайта (съхранявани само в хеширан вид) | Висока (но хеширана) | Ниска |
2.2 Категории субекти на данни
- Посетители на уебсайтове, хоствани на платформата Acira AI
- Потребители, създаващи акаунти на уебсайтове, хоствани на платформата
- Потребители, изпращащи формуляри, взаимодействащи с чатботове или качващи файлове на хостваните уебсайтове
2.3 Данни, които не се прехвърлят
- Данни за геолокация: Търсенията от IP до местоположение се извършват на мрежовия ръб от нашия доставчик на инфраструктура. Никакви IP адреси на посетители не се предават на каквато и да е външна услуга за геолокация.
- Необработени IP адреси за анализ: Съхранява се само ежедневно ротиращ криптографски хеш; необработените IP адреси не се съхраняват в аналитичните системи.
- Пароли в обикновен текст: Съхраняват и прехвърлят се само криптографски хешове.
3. МЕХАНИЗМИ ЗА ПРЕХВЪРЛЯНЕ
3.1 Основен механизъм: Стандартни договорни клаузи
Разчитаме на Стандартните договорни клаузи (СДК) на Европейската комисия, приети с Решение за изпълнение (ЕС) 2021/914 на Комисията, конкретно:
- Модул първи (Администратор към Администратор): За прехвърляне на аналитични данни, при което Acira AI действа като съвместен администратор с оператора на уебсайта (вж. Раздел 2.3 от DPA).
- Модул втори (Администратор към Обработващ): За прехвърляне на лични данни на посетители от оператора на уебсайта (Администратор) към Acira AI (Обработващ).
- Модул трети (Обработващ към Подобработващ): За последващи прехвърляния от Acira AI към нашите подобработващи.
3.2 Прехвърляния от Обединеното кралство, Швейцария и Канада
- Обединено кралство: Прилага се Великобританското международно допълнение за прехвърляне на данни към СДК на ЕС.
- Швейцария: СДК се прилагат с модификации, изисквани от Федералния закон за защита на данните (ФЗЗД).
- Канада: Прехвърлянията разчитат на договорна защита с всеки подобработващ, налагаща задължения, съответстващи на Закона за защита на личната информация и електронните документи (ПИПЕДА) и приложимото провинциално законодателство за поверителност, в комбинация с допълнителните технически и организационни мерки, описани в Раздел 6. Вижте Раздел 7.4 от DPA за подробности.
3.3 Механизми за прехвърляне от подобработващи
| Подобработващ | Механизъм за прехвърляне |
|---|---|
| Amazon Web Services | СДК (AWS DPA), сертифициран по ISO 27001/27017/27018 |
| Cloudflare | СДК (Cloudflare DPA), сертифициран по ISO 27001 |
| Stripe | СДК (Stripe DPA), сертифициран PCI DSS Level 1 |
| Fireworks AI | СДК (Fireworks AI DPA), SOC 2 Type II, сертифициран по ISO 27001/27701/42001 |
| xAI | СДК (xAI DPA с EU СДК) |
| BrightData | СДК (BrightData DPA) |
4. ОЦЕНКА НА ЗАКОНОДАТЕЛСТВОТО НА ДЪРЖАВАТА ПОЛУЧАТЕЛ
4.1 Съединени американски щати
Съединените американски щати са основната дестинация за прехвърлените данни. Следните американски закони са релевантни за тази оценка:
4.1.1 Закон за наблюдение на чуждестранното разузнаване (FISA), Раздел 702
Раздел 702 от FISA оправомощава правителството на САЩ да задължава доставчиците на електронни комуникационни услуги да предоставят достъп до комуникациите на лица, които не са граждани на САЩ и се намират извън Съединените американски щати, за разузнавателни цели.
Оценка на риска:
- Приложимост: Раздел 702 от FISA се прилага за „доставчици на електронни комуникационни услуги" съгласно определението в 50 U.S.C. § 1881(b)(4). Acira AI е SaaS платформа за хостване на уебсайтове, а не традиционен доставчик на телекомуникационни услуги. По-вероятно е нашите подобработващи (AWS, Cloudflare) да са обект на директиви по Раздел 702.
- Обхват на данните в риск: Личните данни, които обработваме, се състоят основно от аналитика на посетителите на уебсайта (псевдонимизирана), изпратени формуляри и съобщения от чатбот. Малко вероятно е тези данни да представляват интерес за разузнаването.
- Практическа вероятност: Никога не сме получавали директива по Раздел 702 от FISA и оценяваме практическата вероятност от получаване на такава като много ниска, предвид естеството на нашите Услуги и данните, които обработваме.
4.1.2 Изпълнителна заповед 12333
Изпълнителна заповед 12333 оправомощава американските разузнавателни агенции да провеждат дейности по наблюдение, включително масово събиране на разузнавателни данни за сигнали. Тя се прилага за данни при пренос и не задължава частни компании да сътрудничат.
Оценка на риска:
- Смекчаване: Всички данни при пренос са криптирани с помощта на TLS. Масовото прехващане на криптирани данни при пренос не би довело до лични данни в обикновен текст.
- Практическа вероятност: Ниска. Данните, обработвани чрез нашите Услуги, не са от вида, обичайно насочван от разузнаването на сигнали.
4.1.3 Изпълнителна заповед 14086 и рамката за поверителност на данните между ЕС и САЩ
Изпълнителна заповед 14086 (октомври 2022 г.) въведе допълнителни гаранции за дейностите по разузнаване на сигнали, включително:
- Изисквания за необходимост и пропорционалност при събирането на разузнавателна информация
- Двустепенен механизъм за обжалване (Служител за защита на гражданските свободи + Съд за преглед на защитата на данните), достъпен за лица от ЕС/Обединеното кралство/Швейцария
- Ограничения на масовото събиране
Европейската комисия прие решение за адекватност относно Рамката за поверителност на данните между ЕС и САЩ (DPF) на 10 юли 2023 г. Въпреки че Acira AI понастоящем не е самосертифицирана по DPF, защитата по Изпълнителна заповед 14086 се прилага широко за всички прехвърляния на данни към Съединените американски щати и облагодетелства всички субекти на данни, независимо от използвания механизъм за прехвърляне.
4.1.4 Закон CLOUD
Законът за изясняване на законното задгранично използване на данни (CLOUD Act) позволява на американските правоприлагащи органи да задължават американски доставчици да предоставят данни, независимо от мястото на съхранение, при наличие на валиден съдебен акт или съдебна заповед.
Оценка на риска:
- Гаранции: Законът CLOUD изисква валиден правен процес (заповед, призовка или съдебна заповед). Той не разрешава масов достъп без съдебно разрешение.
- Разпоредби за зачитане на интересите: Законът CLOUD включва рамка за зачитане на интересите, която позволява на доставчиците да оспорват заповеди, противоречащи на чуждото законодателство.
- Практическа вероятност: Ниска за данни на посетители на уебсайтове. Исканията от правоприлагащите органи по-вероятно биха насочени към конкретни акаунти, заподозрени в престъпна дейност, а не към аналитика на посетителите или изпратени формуляри.
4.2 Израел (BrightData)
BrightData е базирана в Израел. Израел има решение за адекватност от Европейската комисия (2011/61/ЕС), което означава, че прехвърлянията към Израел се третират подобно на прехвърлянията вътре в ЕИП. Въпреки това BrightData също обработва данни на други глобални места. Отбелязваме, че:
- Обработването от BrightData се извършва само когато е насочено от потребителя (по време на създаване на уебсайт за импортиране на съдържание) или по време на планирано SERP проследяване.
- Никакви лични данни на посетители на уебсайтове не се предават на BrightData.
4.3 Канада (Прехвърляния от Канада към Съединените американски щати)
Личните данни на посетители на уебсайтове, намиращи се в Канада, могат да бъдат прехвърлени към Съединените американски щати за обработване. Следните канадски закони са релевантни за тази оценка:
4.3.1 Закон за защита на личната информация и електронните документи (ПИПЕДА)
ПИПЕДА регулира събирането, използването и разкриването на лична информация от организации от частния сектор в хода на търговски дейности. Принцип 4.1.3 от ПИПЕДА изисква организациите да използват договорни или други средства, за да осигурят сравнимо ниво на защита, когато лична информация се прехвърля на трети страни за обработване, включително прехвърляния извън Канада.
Оценка на риска:
- Сравнима защита: Допълнителните мерки, описани в Раздел 6 (криптиране, псевдонимизация, контрол на достъпа, минимизиране на данните), осигуряват ниво на защита, сравнимо с изисквания по ПИПЕДА. Сключени са писмени споразумения за обработване на данни с всички подобработващи.
- Без изискване за адекватност: За разлика от GDPR, ПИПЕДА не забранява прехвърлянията към страни, лишени от констатация за „адекватност". Организациите трябва да осигурят сравнима защита чрез договорни и други средства, което ние сме приложили.
4.3.2 Провинциално законодателство за поверителност
Законът за защита на личната информация (PIPA) на Алберта, Законът за защита на личната информация (PIPA) на Британска Колумбия и Законът за защита на личната информация в частния сектор на Квебек налагат допълнителни изисквания за определени провинции:
Оценка на риска:
- Закон 25 на Квебек: Модернизираният закон за поверителност на Квебек (в сила от септември 2023 г.) изисква оценка на въздействието върху поверителността преди прехвърляне на лична информация извън Квебек, а прехвърлящата организация трябва да се убеди, че информацията ще получи адекватна защита. Нашата договорна защита, допълнителните технически мерки и естеството на данните (основно псевдонимизирана аналитика и взаимодействия на посетители на малки бизнес уебсайтове) подкрепят констатацията за адекватна защита.
- Алберта и Британска Колумбия: PIPA на Алберта и Британска Колумбия изискват организациите да осигурят сравнима защита за прехвърлените данни. Нашите договорни и технически гаранции отговарят на това изискване.
4.3.3 Достъп на правителството на САЩ от канадска перспектива
Същите рискове за достъп от страна на правителството на САЩ, оценени в Раздел 4.1, се прилагат за канадските прехвърляния на данни. Ниската вероятност за достъп от страна на правителството (предвид естеството на данните и профила на нашата компания), в комбинация с допълнителните мерки в Раздел 6, гарантира, че личните данни, прехвърлени от Канада към Съединените американски щати, получават сравнимо ниво на защита с изисквания по канадското законодателство за поверителност.
4.4 Глобални гранични локации (Cloudflare)
Cloudflare управлява глобална мрежа от гранични локации. Заявките на посетители от ЕС обикновено се обработват в най-близката точка на присъствие на Cloudflare, която за посетителите от ЕС обикновено ще бъде локация в ЕС.
- Маршрутизирането на заявките, прекратяването на TLS и защитата от ботове се извършват в най-близката гранична локация.
- За оператори на уебсайтове, идентифицирани като жители на ЕС, постоянното съхранение (съдържащо формуляри, чат разговори и данни за сесии) е юрисдикционно ограничено до Европейския съюз, като се използва API за юрисдикция на Cloudflare. За оператори на уебсайтове извън ЕС, постоянното съхранение се намира в близост до географския регион на оператора, но може да се намира извън ЕС.
- Аналитичните данни се обработват в инфраструктура, управлявана от Cloudflare.
5. ОЦЕНКА НА ПОТОЦИТЕ ОТ ДАННИ ПО ДОСТАВЧИК НА УСЛУГИ
5.1 Amazon Web Services (САЩ)
| Поток от данни | Включени лични данни | Цел |
|---|---|---|
| Съхранение в база данни | Метаданни на изпратени формуляри (IP, държава, регион), записи на чат разговори, метаданни на файлове, записи на сесии | Постоянно съхранение на данни за посетители на уебсайта |
| Файлово съхранение | Качени файлове (изображения, документи), снимки на внедряване | Съхранение на файлове |
| AI изводи | Съдържание на файлове (за AI описания), съдържание на имейли (за откриване на спам) | Описания с AI и класификация на спам |
| Модериране на съдържание | Качени изображения | Модериране на съдържание (откриване на голота/изрично съдържание) |
| Доставка на имейли | Имейл адреси, съдържание на съобщения | Доставка на транзакционни имейли и уведомления за подаване на съдържание. За оператори на уебсайтове, резиденти на ЕС, тези операции се обработват в Европейския съюз (Стокхолм). |
| Разпознаване на езика | Текст на имейл съобщения | Разпознаване на езика |
Гаранции на AWS:
- Сертифициран по ISO 27001, 27017, 27018
- Налични са SOC 1/2/3 доклади
- Данни, криптирани в покой с помощта на стандартно за индустрията криптиране
- Данните са криптирани при пренос (TLS)
- Контроли за достъп с минимални привилегии за всеки системен компонент
- Основните услуги са хоствани в САЩ; автоматизирани операции, насочени към посетители (уведомления за подаване на съдържание и доставка на транзакционни имейли) за оператори на уебсайтове, резиденти на ЕС, се обработват в Европейския съюз (Стокхолм)
5.2 Cloudflare (Глобален)
| Поток от данни | Включени лични данни | Цел |
|---|---|---|
| Гранично маршрутизиране | IP адреси, HTTP заглавия, URL адреси на заявки | Маршрутизиране на заявки, DDoS защита, прекратяване на TLS |
| Хостване на уебсайт | Съдържание на страницата, метаданни на посетителя | Хостване и доставка на уебсайт |
| Постоянно съхранение | Изпратени формуляри, чат разговори, данни за сесии, данни от потребителска таблица | Съхранение за всеки уебсайт |
| Анализи | Псевдонимизиран хеш на посетителя, държава, устройство, браузър, препращащ, UTM | Анализи за посетители, щадящи поверителността |
| AI изводи | Съобщения в чатбот, резюмета на полета на формуляри | Отговори на чатбот с AI, откриване на спам |
| Съхранение на активи | Активи на уебсайта (изображения, файлове) | Съхранение на статични активи и доставка чрез CDN |
Гаранции на Cloudflare:
- Сертифициран по ISO 27001, SOC 2 Type II
- TLS 1.2+ за всички връзки
- Cloudflare DPA с налични СДК
- Edge обработката означава, че данните на посетителите от ЕС обикновено се обработват в edge локации в ЕС за обработка на заявки
- За оператори на уебсайтове, идентифицирани като резиденти на ЕС, постоянното хранилище (съдържащо подадени формуляри, разговори с чатбот, данни за сесии и данни от потребителски таблици) е юрисдикционно ограничено до Европейския съюз чрез API за юрисдикция на Cloudflare, гарантирайки, че тези данни се съхраняват и обработват изключително в центрове за данни на ЕС. Извикванията на бекенд API от периферията (за уведомления за подаване на съдържание и доставка на транзакционни имейли) се насочват към AWS инфраструктурата, базирана в ЕС.
- Изводът на ИИ не запазва входните данни за обучение
5.3 Stripe (САЩ)
| Поток от данни | Включени лични данни | Цел |
|---|---|---|
| Обработване на плащания | Данни за фактуриране на оператора на уебсайта (име, имейл, метод на плащане) | Обработване на плащания за абонаменти и домейни |
Забележка: Stripe не получава лични данни на посетители на уебсайтове. Само данните за фактуриране на оператора на уебсайта (нашия клиент) се обработват от Stripe.
Гаранции на Stripe:
- Сертифициран PCI DSS Level 1
- Сертифициран по ISO 27001
- Stripe DPA с налични СДК
5.4 Доставчици на AI извод (САЩ)
Fireworks AI и xAI предоставят услуги за извод на AI модели.
| Поток от данни | Включени лични данни | Цел |
|---|---|---|
| Генериране на текст (съдържание на уебсайта) | Съдържание на уебсайта (не данни на посетители) | Създаване и редактиране на съдържание на уебсайта |
| Генериране на изображения | Текстови подкани (не данни на посетители) | Създаване на изображения за уебсайтове |
| Разговорен AI (чат агент) | Потребителско име на платформата, имейл, езикови предпочитания и история на разговорите | AI асистент за потребители на платформата (оператори на уебсайтове) |
Забележка: Тези AI доставчици не получават лични данни на посетители на уебсайтове. Функцията за чатбот (обслужваща посетители на уебсайтове) използва Cloudflare Workers AI (оценен в Раздел 5.2), а не тези доставчици. Въпреки това разговорният AI асистент на платформата — използван от операторите на уебсайтове за управление на техните уебсайтове — изпраща лични данни на потребители на платформата (име, имейл адрес и история на разговорите) на тези доставчици като част от генерирането на отговори. За тази обработка Acira AI действа като администратор (не обработващ), а субектите на данни са нашите потребители на платформата (оператори на уебсайтове), а не техните посетители на уебсайтове. Този поток от данни се управлява от нашата Политика за поверителност и нашите споразумения с тези доставчици, а не от рамката на DPA администратор-обработващ за данни на посетители.
Фамилии модели: Тези доставчици на инфраструктура хостват и изпълняват AI модели, разработени от различни трети страни. Конкретните модели и фамилии модели, използвани, може да се промени с течение на времето. Разработчиците на модели не получават и нямат достъп до данни на потребителите — всяка обработка на данни се извършва изключително в инфраструктурата на посочените субпроцесори, независимо от това къде е разработен оригинално моделът. Всяка обработка на AI изводи остава в инфраструктурата на нашите посочени субпроцесори. Никакви данни на потребители не се предават на разработчиците на модели или на инфраструктура извън субпроцесорите, посочени в тази оценка. Актуален списък на използваните фамилии модели е достъпен при поискване чрез legal@acira.ai.
5.5 BrightData (Израел / Глобален)
| Поток от данни | Включени лични данни | Цел |
|---|---|---|
| Събиране на уеб данни | Публично достъпно уеб съдържание (не данни на посетители) | Импортиране на съдържание по време на създаване на уебсайт (насочено от потребителя) |
| SERP проследяване | Ключови думи за търсене (не данни на посетители) | Мониторинг на класирането по ключови думи |
Забележка: BrightData не обработва лични данни на посетители на уебсайтове. Той обработва публично достъпно уеб съдържание, когато е насочен от потребителя, и проследява класирането в търсачките за ключови думи, дефинирани от потребителя.
5.6 Доставчици в ЕС (без прехвърляне)
| Доставчик | Местоположение | Цел |
|---|---|---|
| Black Forest Labs | Германия (ЕС) | AI генериране на изображения (Flux модели) |
| ScreenshotOne | Европейски съюз | Заснемане на екранни снимки на уебсайтове |
| CloudConvert | Германия (ЕС) | Конвертиране на файлови формати |
Тези доставчици обработват данни в рамките на ЕС и не представляват международно прехвърляне. Black Forest Labs получава само текстови подкани за генериране на изображения; не са включени лични данни.
6. ДОПЪЛНИТЕЛНИ МЕРКИ
В допълнение към СДК прилагаме следните допълнителни мерки, за да осигурим по същество еквивалентно ниво на защита за прехвърляните лични данни:
6.1 Технически мерки
| Мярка | Описание |
|---|---|
| Криптиране при пренос | Всички данни, предавани между посетители, крайна мрежа и бекенд услуги, са криптирани с TLS (минимум TLS 1.2). Вътрешната комуникация между услугите използва криптирани канали. |
| Криптиране в покой | Всички записи в база данни, файлово съхранение и хоствано на ръба постоянно съхранение са криптирани в покой с помощта на стандартно за индустрията криптиране, управлявано от съответния доставчик на инфраструктура. |
| Псевдонимизация | Аналитиката за посетители използва ежедневно ротиращ криптографски хеш (IP + User-Agent + дата) вместо съхраняване на необработени IP адреси. Този хеш не може да бъде обърнат и се ротира на всеки 24 часа, предотвратявайки проследяването между дни. |
| Минимизиране на данните | Анализите събират само метаданни на агрегирано ниво (държава, тип устройство, браузър). Необработени IP адреси не се съхраняват в анализите. Съобщенията в чатбота са ограничени до 2 000 знака. |
| Хеширане на пароли | Всички пароли на посетители (за защитени зони на уебсайтове) се хешират с помощта на силни криптографски алгоритми с произволни соли на потребител преди съхранение. Паролите в обикновен текст никога не се съхраняват или предават. |
| Контроли за достъп | Политиките за достъп с минимални привилегии ограничават всеки системен компонент само до ресурсите, от които се нуждае. API токените за всеки уебсайт ограничават достъпа до отделни уебсайтове. |
| Мрежова изолация | Бекенд услугите комуникират по вътрешни мрежи. Хостингът на уебсайтове работи в изолирани пясъчни кутии за изпълнение. Изпълнението на персонализиран код използва пясъчна кутия базирана на WebAssembly. |
| Юрисдикционно местоположение на данните | За оператори на уебсайтове, идентифицирани като резиденти на ЕС, постоянното хранилище, съдържащо данни за посетители (подадени формуляри, разговори с чатбот, данни за сесии и данни от потребителски таблици), е юрисдикционно ограничено до Европейския съюз, гарантирайки, че тези данни се съхраняват и обработват изключително в центрове за данни на ЕС. Автоматизирани операции, насочени към посетители (уведомления за подаване на съдържание и доставка на транзакционни имейли) също се обработват в инфраструктурата, базирана в ЕС. |
| Автоматизирано изтриване | Данните за сесиите изтичат след 30 дни неактивност. Временните файлове се изтриват в рамките на 24 часа. Данните от bot challenge са краткотрайни и не се съхраняват. |
6.2 Организационни мерки
| Мярка | Описание |
|---|---|
| Поверителност на персонала | Всички служители с достъп до лични данни са обвързани с задължения за поверителност. |
| Надлежна проверка на подобработващите | Подобработващите се оценяват за техните практики за сигурност и съответствие с защитата на данните преди ангажиране. Писмени DPA са сключени с всички подобработващи. |
| Реакция при инциденти | Процедурите за уведомяване при нарушения гарантират, че Администраторите се уведомяват в рамките на 72 часа след потвърждаването на нарушение на лични данни. |
| Политики за съхранение на данни | Документирани периоди на съхранение с автоматично прилагане (TTL-базирано изтриване, политики за жизнен цикъл). |
| Мониторинг на сигурността | Структурирано логване, автоматизиран мониторинг на сигурността и засичане на проникване. Журналите за грешки и диагностика се съхраняват до 30 дни. |
6.3 Договорни мерки
| Мярка | Описание |
|---|---|
| Стандартни договорни клаузи | СДК (Модул първи, Модул втори и Модул трети) са включени в нашия DPA чрез препратка. |
| СДК за подобработващи | Писмените споразумения с всеки подобработващ налагат задължения за защита на данните, не по-малко защитни от тези в нашия DPA. |
| Уведомяване за достъп от страна на правителството | Ние се ангажираме да уведомяваме Администраторите за искания за достъп от страна на правителството, когато е разрешено от законодателството, както е описано в нашите Общи условия. |
| Ангажимент за оспорване | Ние се ангажираме да оспорваме исканията за достъп от страна на правителството, които считаме за прекомерни или незаконни. |
7. ОЦЕНКА НА РИСКА
7.1 Вероятност за достъп от страна на правителството
| Фактор | Оценка |
|---|---|
| Естество на данните | Основно псевдонимизирана аналитика, изпратени формуляри и съобщения от чатбот от уебсайтове на малки фирми. Тези данни имат ниска разузнавателна стойност. |
| Обем на данните | Нисък до умерен. Всеки уебсайт обслужва собствена база от посетители; данните не се агрегират между уебсайтове за цели на наблюдение. |
| Профил на компанията | Acira AI е малка SaaS компания, хостваща уебсайтове на малки фирми. Ние не сме доставчик на телекомуникационни услуги или цел с висок профил за наблюдение. |
| Исторически искания | Към датата на тази оценка Acira AI никога не е получавала директива по Раздел 702 от FISA, Писмо за национална сигурност или какво-то и да е правителствено искане за масов достъп до данни на клиенти. |
| Профил на подобработващите | AWS и Cloudflare са големи инфраструктурни доставчици, публикуващи доклади за прозрачност. Техните доклади за прозрачност показват, че правителствените искания са насочени към конкретни акаунти, а не към масов достъп до хостваното съдържание. |
Обща вероятност: НИСКА
7.2 Въздействие при настъпване на достъп
| Фактор | Оценка |
|---|---|
| Чувствителност на данните | По-голямата част от прехвърляните данни е с ниска чувствителност (псевдонимизирана аналитика, метаданни за посетители на уебсайтове). Изпратените формуляри могат да съдържат данни с средна чувствителност (имена, имейл адреси, съобщения) в зависимост от уебсайта. |
| Ефективност на псевдонимизацията | Аналитичните данни не могат да бъдат свързани с физически лица без достъп до компонентите на ежедневно ротиращия хеш (IP + User-Agent + дата), които не се съхраняват. |
| Обхват на експозицията | Всеки правителствен достъп би бил насочен към конкретни акаунти или уебсайтове, а не към цялата платформа. Изолацията на данни по уебсайт чрез специализирани инстанции за съхранение ограничава обхвата на всяко потенциално компрометиране. За оператори на уебсайтове, резиденти на ЕС, постоянното хранилище и автоматизираната обработка, насочена към посетители (уведомления за подаване на съдържание и доставка на транзакционни имейли), са ограничени до ЕС, допълнително ограничавайки експозицията към достъп от правителството на САЩ за тези данни. |
Общо въздействие: НИСКО ДО СРЕДНО (в зависимост от чувствителността на данните, събрани от отделни оператори на уебсайтове)
7.3 Оценка на остатъчния риск
Предвид ниската вероятност за достъп от страна на правителството, допълнителните технически мерки (криптиране, псевдонимизация, минимизиране на данните) и допълнителните гаранции, въведени от Изпълнителна заповед 14086, оценяваме, че остатъчният риск за субектите на данни е нисък и че допълнителните мерки, заедно с СДК (за прехвърляния от ЕИП/Обединеното кралство/Швейцария) и договорната защита (за канадски прехвърляния), осигуряват ниво на защита по същество еквивалентно на гарантираното в рамките на ЕИП и сравнимо с изисквания по канадското законодателство за поверителност.
8. ЗАКЛЮЧЕНИЕ
Въз основа на тази оценка заключаваме, че:
Личните данни, прехвърляни от ЕИП/Обединеното кралство/Швейцария/Канада към Съединените американски щати във връзка с предоставянето на нашите Услуги, се ползват от по същество еквивалентно ниво на защита с гарантираното по законодателството на ЕС за защита на данните и сравнимо ниво на защита с изисквания по канадското законодателство за поверителност.
Стандартните договорни клаузи, в комбинация с допълнителните технически, организационни и договорни мерки, описани в Раздел 6, адекватно адресират рисковете, идентифицирани в тази оценка.
Естеството на данните (основно псевдонимизирана аналитика и взаимодействия на посетители на уебсайтове на малки фирми) и профилът на вносителя на данни (малка SaaS компания, а не доставчик на телекомуникационни услуги) значително намаляват практическия риск от правителствено наблюдение.
Защитата, въведена от Изпълнителна заповед 14086 и свързания механизъм за обжалване, осигурява допълнителни гаранции, от които се ползват всички субекти на данни, независимо от конкретния използван механизъм за прехвърляне.
За канадски прехвърляния договорната защита и допълнителните мерки, описани тук, гарантират сравнимо ниво на защита с изисквания по ПИПЕДА и приложимото провинциално законодателство за поверителност, включително модернизирания закон за поверителност на Квебек.
Ще продължим да следим развитията в американското законодателство и практика за наблюдение, както и развитията в канадското законодателство за поверителност (включително предложения Закон за защита на поверителността на потребителите), и ще преоценяваме тази ОВП, ако обстоятелствата се променят съществено.
Прехвърлянията могат да продължат при условие за продължително прилагане на СДК и допълнителните мерки, описани тук.
9. ГРАФИК ЗА ПРЕГЛЕД
Настоящата ОВП ще бъде преглеждана и актуализирана:
- Ежегодно, като минимум, или
- При съществени промени в приложимите закони или разпоредби (включително промени в FISA, Закона CLOUD, Изпълнителна заповед 14086, ПИПЕДА или канадското провинциално законодателство за поверителност),
- При промени в нашите подобработващи или естеството на прехвърляните данни,
- При всяко съдебно решение, което съществено засяга валидността на СДК или адекватността на защитата на данните в САЩ.
10. СВЪРЖЕТЕ СЕ С НАС
Ако имате въпроси относно тази Оценка на въздействието върху прехвърлянето, моля, свържете се с нас на:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Съединени американски щати
Телефон: 888-389-1189
Имейл: legal@acira.ai
Вашата поверителност, наш приоритет
Ние не продаваме данните ви, не използваме проследяващи бисквитки — затова тук няма да видите банер за бисквитки. Ние уважаваме Global Privacy Control, а за клиенти от ЕС данните на посетителите се съхраняват и обработват изключително в Европейския съюз.
Acira AI
Създавайте красиви уебсайтове с AI. Не се изисква програмиране.
С гордост създадено в Съединените щати
© 2026 Acira AI LLC. Всички права запазени.