DODATEK O ZPRACOVÁNÍ ÚDAJŮ

Poslední aktualizace: 19. března 2026

Tento Dodatek o zpracování údajů („DPA") tvoří součást Podmínek a ujednání („Smlouva") mezi Acira AI LLC („Zpracovatel", „my", „nás") a uživatelem Služeb („Správce", „vy") a doplňuje Smlouvu ohledně zpracování osobních údajů.

Tento DPA se uplatní, pokud využíváte Služby k vytváření, hostování a zveřejňování webových stránek, které shromažďují nebo zpracovávají osobní údaje fyzických osob nacházejících se v Evropském hospodářském prostoru („EHP"), Spojeném království („UK") nebo ve Švýcarsku, nebo pokud to jinak vyžadují platné právní předpisy o ochraně osobních údajů.

Tento Dodatek o zpracování údajů může být pro vaše pohodlí přeložen do jiných jazyků. V případě jakéhokoli rozporu nebo nesouladu mezi anglickou verzí a jakoukoli přeloženou verzí má přednost anglická verze.

OBSAH

1. DEFINICE
2. ROZSAH A ROLE
3. PODROBNOSTI O ZPRACOVÁNÍ ÚDAJŮ
4. POVINNOSTI ZPRACOVATELE
5. POVINNOSTI SPRÁVCE
6. DÍLČÍ ZPRACOVATELÉ
7. MEZINÁRODNÍ PŘEDÁVÁNÍ ÚDAJŮ
8. PRÁVA SUBJEKTŮ ÚDAJŮ
9. ZABEZPEČENÍ ÚDAJŮ
10. OZNAMOVÁNÍ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
11. AUDITY A OVĚŘOVÁNÍ SOULADU
12. UCHOVÁVÁNÍ A VÝMAZ ÚDAJŮ
13. PLATNOST A UKONČENÍ
14. OMEZENÍ ODPOVĚDNOSTI
15. KONTAKTUJTE NÁS

1. DEFINICE

„Platné právní předpisy o ochraně osobních údajů" znamenají veškeré právní a regulatorní předpisy vztahující se na zpracování osobních údajů v rámci tohoto DPA, včetně (ve vhodných případech) Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů („GDPR"), UK GDPR, švýcarského federálního zákona o ochraně osobních údajů („FADP") a Kalifornského zákona o ochraně spotřebitelů („CCPA").

„Správce" znamená fyzickou nebo právnickou osobu, která určuje účely a prostředky zpracování osobních údajů – v tomto kontextu vy, uživatel Služeb, který provozuje webové stránky prostřednictvím platformy.

„Subjekt údajů" znamená identifikovanou nebo identifikovatelnou fyzickou osobu, jejíž osobní údaje jsou zpracovávány.

„Osobní údaje" znamenají veškeré informace týkající se subjektu údajů, které jsou zpracovávány prostřednictvím Služeb.

„Zpracování" znamená jakoukoli operaci prováděnou s osobními údaji, včetně shromažďování, záznamu, organizování, strukturování, ukládání, přizpůsobení, vyhledávání, nahlížení, použití, zpřístupnění, šíření, omezení, výmazu nebo zničení.

„Zpracovatel" znamená fyzickou nebo právnickou osobu, která zpracovává osobní údaje jménem Správce – v tomto kontextu Acira AI LLC.

„Dílčí zpracovatel" znamená jakoukoli třetí stranu, kterou Zpracovatel pověřil zpracováním osobních údajů jménem Správce.

„Standardní smluvní doložky" nebo „SSD" znamenají standardní smluvní doložky pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích, přijaté Evropskou komisí.

2. ROZSAH A ROLE

2.1 Vztah při zpracování

Pokud využíváte Služby k vytváření a provozování webových stránek, které shromažďují osobní údaje vašich návštěvníků (prostřednictvím formulářů, uživatelských účtů, interakcí s chatbotem, komentářů, recenzí nebo jiných interaktivních funkcí), jednáte jako Správce a my jednáme jako Zpracovatel těchto osobních údajů návštěvníků.

2.2 Naše role jako Správce

Jednáme jako nezávislý Správce osobních údajů, které shromažďujeme pro vlastní účely, včetně: informací o vašem účtu, fakturačních údajů, analýzy využití, obecných charakteristik webových stránek odvozených z obsahu vašich webových stránek (jako je odvětví nebo typ podnikání) a provozních údajů platformy. Zpracování těchto údajů se řídí našimi Zásadami ochrany osobních údajů a je mimo rozsah tohoto DPA.

2.3 Analytika platformy

Shromažďujeme základní, soukromí šetrnou analytiku o návštěvnících webových stránek (jak je popsáno ve Smlouvě). Pro analytická data jednáme jako společní správci s vámi. Naši analytiku jsme navrhli tak, aby minimalizovala shromažďování osobních údajů – neukládáme nezpracované IP adresy a identifikátory návštěvníků se denně obnovují. Příslušné povinnosti každého společného správce jsou následující:

• Acira AI (Zpracovatel/Společný správce): Určuje technické prostředky sběru analytiky, včetně toho, jaké datové body jsou shromažďovány, jak jsou vypočítávány identifikátory návštěvníků (denně se obnovující haše), a jak jsou data agregována. Neseme odpovědnost za bezpečnost a integritu analytické infrastruktury a za odpovídání na obecné dotazy ohledně fungování analytiky na platformě.
• Vy (Správce/Společný správce): Rozhodujete o tom, zda používat analytiku na vašich webových stránkách (analytika je ve výchozím nastavení povolena jako součást Služeb). Jste odpovědni za zveřejnění shromažďování analytických dat v zásadách ochrany soukromí vašich webových stránek a za vyřizování žádostí subjektů údajů od návštěvníků vašich webových stránek týkajících se jejich analytických dat.
• Kontaktní místo pro subjekty údajů: Subjekty údajů vás mohou kontaktovat (jako vlastníka webových stránek) ohledně analytických dat shromážděných na vašich webových stránkách. Pokud obdržíme žádost od subjektu údajů týkající se analytických dat, přesměrujeme ho na vás, pokud nám neudělíte jiné pokyny. Pro obecné dotazy na platformu nás subjekty údajů mohou kontaktovat na adrese legal@acira.ai.

2.4 Podstata ujednání o společné správě

V souladu s článkem 26 odst. 2 GDPR je podstata tohoto ujednání o společné správě pro analytická data následující: My (Acira AI) určujeme technické prostředky a shromažďované datové body; vy (provozovatel webových stránek) rozhodujete o tom, zda se na vašich webových stránkách analytika používá. Každý z nás nese odpovědnost za plnění svých povinností vyplývajících z platných právních předpisů o ochraně osobních údajů. Vy jste primárním kontaktním místem pro návštěvníky vašich webových stránek ohledně analytických dat. Shrnutí tohoto ujednání je subjektům údajů zpřístupněno prostřednictvím tohoto DPA a na adrese https://www.acira.ai/dpa.

2.5 Označení poskytovatele služeb podle CCPA

V rozsahu, v jakém zpracováváme osobní informace podléhající Kalifornskému zákonu o ochraně spotřebitelů („CCPA") vaším jménem, jsme vaším „poskytovatelem služeb" ve smyslu Cal. Civ. Code § 1798.140(ag). Nezajistíme:

• Prodej ani sdílení (ve smyslu definic stanovených CCPA) žádných osobních informací, které nám poskytnete;
• Uchovávání, použití ani zpřístupnění osobních informací za jiným účelem, než jsou obchodní účely stanovené v tomto DPA a ve Smlouvě, nebo jak jinak povoluje CCPA;
• Uchovávání, použití ani zpřístupnění osobních informací mimo rámec přímého obchodního vztahu mezi vámi a námi;
• Kombinování osobních informací obdržených od vás s osobními informacemi, které obdržíme od jiné osoby nebo jejím jménem, nebo které shromažďujeme z vlastních interakcí se spotřebiteli, s výjimkou případů povolených CCPA.

Z obsahu vašich webových stránek můžeme odvodit obecné, neidentifikující obchodní charakteristiky (jako je klasifikace odvětví) za účelem poskytování relevantních produktových doporučení, jak je popsáno v Oddíle 2.2. Toto omezené použití nepředstavuje prodej, sdílení ani kombinování osobních údajů ve smyslu CCPA.

Potvrzujeme, že tato omezení chápeme a budeme je dodržovat.

2.6 Posouzení potřeby zástupce podle švýcarského FADP

Článek 14 švýcarského federálního zákona o ochraně osobních údajů („FADP") vyžaduje, aby nešvýcarský soukromý správce jmenoval zástupce ve Švýcarsku pouze tehdy, jsou-li splněny všechny čtyři následující kumulativní podmínky: (1) zpracování je spojeno s nabídkou zboží nebo služeb osobám ve Švýcarsku nebo sledováním jejich chování; (2) zpracování probíhá ve velkém měřítku; (3) zpracování probíhá pravidelně; a (4) zpracování představuje vysoké riziko pro osobnostní práva nebo základní práva subjektů údajů.

Posoudili jsme naše zpracovatelské činnosti podle těchto podmínek a dospěli jsme k závěru, že ačkoli jsou podmínky (1) a (3) splněny, zbývající podmínky splněny nejsou z následujících důvodů:

• Nikoli ve velkém měřítku: Jsme malá SaaS platforma. Objem osobních údajů švýcarských rezidentů zpracovávaných prostřednictvím našich Služeb je omezený a nepředstavuje zpracování ve velkém měřítku ve smyslu článku 14 FADP.
• Bez vysokého rizika: Osobní údaje, které zpracováváme jménem provozovatelů webových stránek, sestávají zejména z pseudonymizovaných identifikátorů analytiky (denně se obnovující haše), základních metadat návštěvníků (země, typ zařízení, prohlížeč), obsahu odeslaných formulářů a zpráv chatbotu. Nezpracováváme zvláštní kategorie osobních údajů (článek 5 písm. c) FADP) ani neprovádíme profilování s vysokým rizikem pro subjekty údajů. Švýcarský federální komisař pro ochranu osobních údajů a informace („FDPIC") uvedl, že tato povinnost je primárně zaměřena na velké internetové platformy a sociální sítě působící ze zahraničí, což náš případ nepopisuje.

Na základě tohoto posouzení jsme dospěli k závěru, že v tuto chvíli nejsme povinni jmenovat zástupce ve Švýcarsku podle článku 14 FADP. Toto posouzení budeme pravidelně přehodnocovat, zejména v případě podstatných změn v rozsahu nebo povaze našich zpracovatelských činností ovlivňujících švýcarské rezidenty.

3. PODROBNOSTI O ZPRACOVÁNÍ ÚDAJŮ

3.1 Předmět a trvání

Zpracování osobních údajů v rámci tohoto DPA probíhá za účelem poskytování Služeb popsaných ve Smlouvě a bude pokračovat po dobu trvání Smlouvy.

3.2 Povaha a účel zpracování

Zpracováváme osobní údaje za účelem:

• Hostování a doručování obsahu vašich webových stránek
• Ukládání a správy dat odeslaných prostřednictvím formulářů a interaktivních funkcí vašich webových stránek
• Vedení uživatelských účtů a relací pro chráněné části vašich webových stránek
• Doručování e-mailové komunikace vaším jménem
• Přeposílání e-mailů přijatých na vaše e-mailové adresy s vlastní doménou
• Provozování chatbotových konverzací s AI s návštěvníky vašich webových stránek
• Generování popisů a metadat s pomocí AI pro nahrané soubory
• Převodu nahraných souborů do webově optimalizovaných formátů
• Poskytování analytiky návštěvníků
• Odvozování obecných charakteristik webových stránek (jako je odvětví nebo typ podnikání) za účelem poskytování relevantních doporučení platformy
• Detekce a prevence spamu a zneužití (včetně výzev pro roboty s proof-of-work)
• Moderování obsahu nahraných souborů
• Kontroly obsahu webových stránek při zveřejnění z hlediska souladu s obsahovými zásadami platformy
• Spravovat preference odhlášení z e-mailů pro příjemce e-mailů vašich webových stránek
• Zajišťování komunikace v reálném čase na vašich webových stránkách prostřednictvím připojení WebSocket (zprávy jsou dočasné a neukládají se)
• Vedení chybových a diagnostických protokolů pro spolehlivost platformy a řešení problémů (může zahrnovat IP adresy a metadata požadavků; uchovává se po dobu až třiceti (30) dní)

3.3 Typy osobních údajů

Typy zpracovávaných osobních údajů závisí na tom, co shromažďujete prostřednictvím svých webových stránek, a mohou zahrnovat:

• Jména a kontaktní informace
• E-mailové adresy
• Zprávy a odeslané formuláře
• Nahrané soubory odeslané návštěvníky webových stránek (jako jsou obrázky a dokumenty)
• Obsah chatbotových konverzací (zprávy návštěvníků a odpovědi AI)
• Přihlašovací údaje uživatelských účtů (uložené v hashované podobě)
• Data relací
• IP adresy (neukládány v analytice – ukládá se pouze denně se obnovující haš; ukládány jako metadata spolu s odeslanými formuláři a chatbotovými konverzacemi; dočasně používány a hashované pro ověřování výzev pro roboty; dočasně ukládány pro omezování rychlosti po dobu až sedmi (7) dní a automaticky vymazány)
• Informace o prohlížeči a zařízení
• Lokační data (na úrovni země a regionu, odvozena z IP)
• Záznamy o odhlášení z e-mailů (uložené jako kryptografické hashe e-mailových adres příjemců; neukládané v nezpracované podobě)
• Výsledky klasifikace spamu (zda bylo podání vyhodnoceno jako spam)
• Data chybových a diagnostických protokolů (IP adresy, cesty požadavků a podrobnosti chyb; uchovávána po dobu až třiceti (30) dní a automaticky vymazána)

3.4 Kategorie subjektů údajů

• Návštěvníci vašich webových stránek
• Uživatelé, kteří si vytvořili účty na vašich webových stránkách
• Uživatelé, kteří odesílají formuláře nebo interagují s chatboty na vašich webových stránkách
• Uživatelé, kteří zanechávají komentáře, recenze nebo jiné příspěvky na vašich webových stránkách

4. POVINNOSTI ZPRACOVATELE

Zavazujeme se:

1. Zpracovávat osobní údaje pouze na základě vašich zdokumentovaných pokynů, pokud nám to nenařizuje příslušné právo (v takovém případě vás o tomto zákonném požadavku před zpracováním informujeme, pokud nám to právo nezakazuje);
2. Zajistit, aby osoby oprávněné ke zpracování osobních údajů se zavázaly k zachování mlčenlivosti nebo se na ně vztahuje příslušná zákonná povinnost mlčenlivosti;
3. Zavést vhodná technická a organizační bezpečnostní opatření popsaná v oddíle 9;
4. Dodržovat podmínky pro pověřování dílčích zpracovatelů stanovené v oddíle 6;
5. Pomáhat vám, s přihlédnutím k povaze zpracování, při vyřizování žádostí subjektů údajů uplatňujících svá práva podle platných právních předpisů o ochraně osobních údajů;
6. Pomáhat vám zajistit soulad s vašimi povinnostmi podle článků 32–36 GDPR (bezpečnost, oznamování porušení, posouzení vlivu na ochranu osobních údajů a předchozí konzultace) s přihlédnutím k povaze zpracování a informacím, které máme k dispozici. Pokud vaše využívání Služeb zahrnuje zpracování s vysokým rizikem, které může vyžadovat posouzení vlivu na ochranu osobních údajů (DPIA), poskytneme vám informace o našich zpracovatelských činnostech, technických a organizačních opatřeních a dílčích zpracovatelích na podporu vašeho posouzení;
7. Pomáhat vám při plnění vašich povinností podle článku 22 GDPR (automatizované individuální rozhodování) tím, že poskytneme informace o veškerém automatizovaném zpracování prováděném vaším jménem, včetně moderování obsahu, detekce spamu a ochrany před roboty, a tím, že na žádost usnadníme lidský přezkum automatizovaných rozhodnutí;
8. Informovat vás, pokud se domníváme, že váš pokyn porušuje platné právní předpisy o ochraně osobních údajů;
9. Na vaši volbu vymazat nebo vrátit veškeré osobní údaje po skončení poskytování Služeb a vymazat existující kopie, pokud uchovávání nevyžaduje příslušné právo;
10. Zpřístupnit vám veškeré informace nezbytné k prokázání souladu s povinnostmi stanovenými v tomto DPA a přispívat k ověřování souladu, jak je popsáno v oddíle 11.

5. POVINNOSTI SPRÁVCE

Zavazujete se:

1. Zajistit, aby vaše shromažďování a zpracování osobních údajů prostřednictvím vašich webových stránek bylo v souladu se všemi platnými právními předpisy o ochraně osobních údajů;
2. Poskytnout návštěvníkům vašich webových stránek vhodná oznámení o ochraně soukromí popisující vaše postupy shromažďování dat, včetně zveřejnění analytiky na úrovni platformy, chatbotových interakcí s AI, detekce spamu a ochrany před roboty;
3. Získat veškeré nezbytné souhlasy nebo stanovit jiný zákonný základ pro zpracování osobních údajů prostřednictvím vašich webových stránek;
4. Zajistit, aby vaše pokyny nám ohledně zpracování osobních údajů byly v souladu s platnými právními předpisy o ochraně osobních údajů;
5. Nést odpovědnost za přesnost, kvalitu a zákonnost osobních údajů, které nám poskytujete prostřednictvím vašich webových stránek.

Používáním Služeb nám dáváte pokyn provádět vaším jménem následující zpracovatelské činnosti jako součást standardního provozu platformy: moderování obsahu nahraných souborů, kontrola obsahu zveřejněného obsahu webových stránek z hlediska souladu s obsahovými zásadami, detekce spamu u odeslaných formulářů, ochrana před roboty prostřednictvím proof-of-work výzev a chatbotové interakce s AI s návštěvníky vašich webových stránek. Tyto činnosti jsou zdokumentovanými pokyny podle článku 28 odst. 3 písm. a) GDPR.

6. DÍLČÍ ZPRACOVATELÉ

6.1 Oprávnění dílčí zpracovatelé

Udělujete nám obecné oprávnění pověřit dílčí zpracovatele, aby nám pomáhali při poskytování Služeb. Naši aktuální dílčí zpracovatelé jsou uvedeni níže a na adrese https://www.acira.ai/dpa.

6.2 Aktuální seznam dílčích zpracovatelů

6.3 Změny dílčích zpracovatelů

Budeme vás informovat o jakýchkoli zamýšlených změnách v seznamu dílčích zpracovatelů pro Služby, které aktuálně používáte, aktualizací tohoto seznamu na adrese https://www.acira.ai/dpa nejméně čtrnáct (14) dní před tím, než nový dílčí zpracovatel začne zpracovávat osobní údaje. Pokud zavádíme nové funkce nebo služby zahrnující další dílčí zpracovatele, tito dílčí zpracovatelé budou zveřejněni v okamžiku, kdy bude daná funkce nebo služba k dispozici; vaše používání nové funkce nebo služby představuje souhlas s jejími zveřejněnými dílčími zpracovateli. Je vaší odpovědností pravidelně kontrolovat seznam dílčích zpracovatelů ohledně změn. Pokud máte odůvodněnou námitku proti novému dílčímu zpracovateli zpracovávajícímu údaje pro stávající Služby, můžete nás o tom písemně informovat do čtrnácti (14) dní od zveřejnění změny. Budeme s vámi v dobré víře spolupracovat na řešení vašich obav. Pokud nebudeme schopni vaši námitku uspokojivě vyřešit, můžete Smlouvu ukončit písemnou výpovědí.

6.4 Povinnosti dílčích zpracovatelů

Uzavřeme písemné smlouvy s každým dílčím zpracovatelem, které ukládají povinnosti v oblasti ochrany osobních údajů nejméně tak ochranné, jako jsou povinnosti stanovené v tomto DPA. Zůstáváme odpovědni za jednání a opomenutí našich dílčích zpracovatelů ve stejném rozsahu, v jakém bychom byli odpovědni, kdybychom služby poskytovali přímo.

7. MEZINÁRODNÍ PŘEDÁVÁNÍ ÚDAJŮ

7.1 Mechanismy předávání

Služby jsou hostovány primárně ve Spojených státech. Osobní údaje zpracovávané prostřednictvím Služeb mohou být předávány do Spojených států a dalších zemí, kde naši dílčí zpracovatelé působí, a zpracovávány tam. Poskytovatelé inference AI (Fireworks AI a xAI) zpracovávají data ve Spojených státech. BrightData může zpracovávat data v Izraeli a na dalších místech po celém světě. Cloudflare zpracovává data na edge lokacích po celém světě.

Rezidence dat v EU: Pro provozovatele webových stránek identifikované jako rezidenty EU uplatňujeme následující opatření pro rezidenci dat s cílem minimalizovat přenosy osobních údajů návštěvníků mimo Evropskou unii:

• Úložiště: Data návštěvníků v trvalém okrajovém úložišti — včetně odeslaných formulářů, konverzací chatbotu, dat relací a dat uživatelských tabulek — jsou omezena na Evropskou unii. Tato data jsou uchovávána výhradně v datových centrech EU.
• Automatizované zpracování zaměřené na návštěvníky: Operace automaticky spuštěné aktivitou návštěvníků — včetně oznámení o odeslání obsahu a transakčního doručování e-mailů — jsou zpracovávány v rámci Evropské unie a neprocházejí infrastrukturou USA.
• Přístup ke správě platformy: Když přistupujete k datům návštěvníků vašich webových stránek prostřednictvím řídicího panelu platformy nebo konverzačního rozhraní (například prohlížení odeslaných formulářů nebo správa uživatelských záznamů), tato data mohou být zpracována prostřednictvím naší infrastruktury v USA za účelem splnění vašeho požadavku. Tyto přenosy jsou na vyžádání, iniciované vámi (Správcem) a chráněné mechanismy přenosu a doplňkovými opatřeními popsanými níže.
• Jiné zpracování v USA: Analytická data a data zpracovávaná naší cloudovou infrastrukturou v USA pro moderaci obsahu a AI inferenci mohou být i nadále přenášena do USA v souladu s níže uvedenými mechanismy přenosu.

Pro předávání osobních údajů z EHP, UK nebo Švýcarska do zemí, které nejsou uznány jako poskytující odpovídající úroveň ochrany osobních údajů, spoléháme na:

1. Standardní smluvní doložky (SSD): Do tohoto DPA odkazem začleňujeme Standardní smluvní doložky Evropské komise: Modul jedna (Správce ke správci) pro analytická data, kde jednáme jako společní správci (viz oddíl 2.3), a Modul dva (Správce ke zpracovateli) pro všechny ostatní osobní údaje zpracovávané vaším jménem. SSD jsou k dispozici na adrese https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Dodatek pro mezinárodní předávání dat UK: Pro předávání z UK se uplatní Dodatek UK k SSD EU.
3. Švýcarské mechanismy předávání dat: Pro předávání ze Švýcarska se uplatní SSD s úpravami požadovanými švýcarským FADP.

7.2 Doplňková opatření

Provádíme následující doplňková opatření na ochranu předávaných osobních údajů:

• Šifrování dat při přenosu (TLS/SSL) a v klidovém stavu
• Kontroly přístupu a autentizační mechanismy
• Pravidelná bezpečnostní posouzení
• Postupy minimalizace dat (např. denně se obnovující haše návštěvníků místo ukládání nezpracovaných IP adres)
• Jurisdikční rezidence dat pro provozovatele webových stránek s bydlištěm v EU (trvalé úložiště a automatizované zpracování zaměřené na návštěvníky omezeno na EU)
• Výpočetní a e-mailová infrastruktura v EU pro automatizované operace zaměřené na návštěvníky (oznámení o odeslání obsahu a transakční doručování e-mailů zpracovávané v Evropské unii pro provozovatele webových stránek s bydlištěm v EU)

7.3 Posouzení dopadu předávání

Tato doplňková opatření vycházejí z našeho posouzení právních předpisů a praxe cílových zemí, s přihlédnutím k povaze předávaných dat, použitému mechanismu předávání a zavedeným technickým a organizačním opatřením. Dospěli jsme k závěru, že výše popsaná doplňková opatření spolu se závazky ve SSD poskytují odpovídající úroveň ochrany předávaných osobních údajů. Naše Posouzení dopadu předávání je k dispozici na adrese https://www.acira.ai/tia.

7.4 Předávání dat z Kanady

Pro předávání osobních údajů z Kanady spoléháme na následující záruky, abychom zajistili, že osobní údaje předávané mimo Kanadu obdrží srovnatelnou úroveň ochrany, jak vyžaduje Zákon o ochraně osobních informací a elektronických dokumentech (PIPEDA) a příslušné provinční zákony o ochraně soukromí (včetně albertského PIPA, PIPA Britské Kolumbie a quebeckého Zákona o ochraně osobních informací v soukromém sektoru):

1. Smluvní ochrana: Písemné smlouvy o zpracování dat s každým dílčím zpracovatelem, které ukládají povinnosti ochrany osobních údajů na úrovni odpovídající kanadskému právu ochrany soukromí, včetně požadavků na vhodná bezpečnostní opatření, omezení použití, oznamování porušení a přístupu subjektů údajů.
2. Technické záruky: Na předávání kanadských dat se uplatní stejná šifrování, pseudonymizace, kontroly přístupu a opatření minimalizace dat popsaná v oddíle 7.2.
3. Organizační záruky: Prověřování dílčích zpracovatelů, povinnosti mlčenlivosti pro zaměstnance a zdokumentované postupy při řešení incidentů, jak je popsáno v tomto DPA.

Sledujeme vývoj v kanadském právu ochrany soukromí, včetně navrhovaného Zákona o ochraně soukromí spotřebitelů (CPPA), a podle potřeby budeme aktualizovat naše mechanismy předávání.

8. PRÁVA SUBJEKTŮ ÚDAJŮ

8.1 Pomoc s žádostmi

Budeme vám pomáhat při vyřizování žádostí subjektů údajů uplatňujících svá práva podle platných právních předpisů o ochraně osobních údajů, včetně práv na přístup, opravu, výmaz, omezení, přenositelnost a námitku.

8.2 Oznámení

Pokud obdržíme žádost přímo od subjektu údajů ohledně osobních údajů zpracovávaných vaším jménem, budeme vás neprodleně informovat a na žádost nebudeme reagovat bez vašich pokynů, pokud to nevyžaduje příslušné právo.

8.3 Nástroje platformy

V rámci Služeb poskytujeme nástroje, které vám pomohou plnit žádosti subjektů údajů, včetně:

• Přístupu k datům uloženým v databázích vašich webových stránek a jejich správy
• Mazání jednotlivých záznamů z databází vašich webových stránek
• Na žádost můžeme poskytnout exporty dat ve formátu ZIP na pomoc s plněním povinností přenositelnosti dat

9. ZABEZPEČENÍ ÚDAJŮ

9.1 Bezpečnostní opatření

Zavádíme a udržujeme vhodná technická a organizační opatření na ochranu osobních údajů před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Tato opatření zahrnují:

• Šifrování: Data šifrována při přenosu pomocí TLS/SSL a v klidovém stavu pomocí šifrování podle průmyslových standardů
• Kontrola přístupu: Řízení přístupu na základě rolí, vícefaktorová autentizace pro správu platformy, zásady přístupu s nejnižšími oprávněními
• Bezpečnost infrastruktury: Spravovaná cloudová infrastruktura s automatickým bezpečnostním záplatováním, ochranou DDoS a webovým aplikačním firewallem (WAF)
• Izolace dat: Izolace dat pro každé webové stránky prostřednictvím dedikovaných úložných instancí
• Monitorování: Automatizované bezpečnostní monitorování, detekce průniků a strukturované protokolování
• Zabezpečení přihlašovacích údajů: Všechny API klíče a tajné klíče uloženy v dedikovaných službách správy tajných klíčů; uživatelská hesla hashována pomocí silných kryptografických algoritmů s individuálními solemi
• Ochrana před roboty: Systémy proof-of-work výzev pro prevenci automatizovaného zneužití

9.2 Důvěrnost

Zajišťujeme, aby veškerý personál oprávněný ke zpracování osobních údajů byl vázán povinnostmi mlčenlivosti.

10. OZNAMOVÁNÍ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

10.1 Oznámení Správci

Budeme vás informovat bez zbytečného odkladu po potvrzení porušení zabezpečení osobních údajů ovlivňujícího osobní údaje zpracovávané vaším jménem. Oznámení bude zasláno na kontaktní údaje spojené s vaším účtem.

10.2 Obsah oznámení

Naše oznámení o porušení bude obsahovat, v rozsahu dostupných informací:

1. Popis povahy porušení, včetně kategorií a přibližného počtu dotčených subjektů údajů a záznamů;
2. Jméno a kontaktní údaje našeho kontaktu pro ochranu osobních údajů;
3. Popis pravděpodobných důsledků porušení;
4. Popis opatření přijatých nebo navrhovaných k řešení porušení a zmírnění jeho účinků.

10.3 Vaše povinnosti

Jste odpovědni za oznamování příslušnému dozorovému úřadu a dotčeným subjektům údajů o porušení zabezpečení osobních údajů, jak vyžadují platné právní předpisy o ochraně osobních údajů. Budeme s vámi spolupracovat a poskytovat přiměřenou pomoc při plnění vašich povinností oznamování porušení.

11. AUDITY A OVĚŘOVÁNÍ SOULADU

11.1 Dokumentace shody

K prokázání našeho souladu s tímto DPA vám na přiměřenou písemnou žádost (až jednou ročně) zpřístupníme následující:

1. Příslušné zprávy z auditů třetích stran, certifikace nebo shrnutí bezpečnostních hodnocení;
2. Shrnutí našich aktuálních technických a organizačních bezpečnostních opatření;
3. Informace o našich činnostech zpracování, dílčích zpracovatelích a postupech ochrany údajů.

Pokud se spoléháme na poskytovatele infrastruktury třetích stran (jako je AWS a Cloudflare), jejich bezpečnostní certifikace a dokumentace o shodě jsou dostupné prostřednictvím jejich příslušných programů důvěry a shody.

11.2 Další dotazy

Pokud dokumentace poskytnutá podle oddílu 11.1 přiměřeně neřeší vaše obavy ohledně shody, můžete předložit konkrétní písemné dotazy týkající se našich postupů ochrany údajů, na které odpovíme v přiměřené lhůtě.

12. UCHOVÁVÁNÍ A VÝMAZ ÚDAJŮ

12.1 Po dobu trvání Smlouvy

Osobní údaje zpracovávané vaším jménem budeme uchovávat po dobu trvání Smlouvy a v souladu s vašimi pokyny prostřednictvím Služeb. Konkrétní doby uchovávání dat návštěvníků zahrnují:

• Chatbotové konverzace na vašich webových stránkách: Uchovávány po dobu třiceti (30) dní od poslední interakce v každé konverzaci. Konverzace jsou uloženy v rámci relací návštěvníků na edge infrastruktuře webových stránek a jsou automaticky vymazány při vypršení platnosti relace z důvodu nečinnosti.
• Odeslané formuláře a uživatelem generovaný obsah na vašich webových stránkách: Uchovávány po dobu trvání příslušných webových stránek, pokud je dříve nevymažete prostřednictvím nástrojů platformy.
• Data relací návštěvníků vašich webových stránek: Automaticky vymazána po 30 dnech nečinnosti.
• Vymazaný obsah návštěvníků (odeslané formuláře, komentáře a další uživatelem generovaný obsah na vašich webových stránkách): Pokud vymažete obsah návštěvníků prostřednictvím nástrojů platformy, přejde do stavu dočasného vymazání a bude uchováván po dobu až třiceti (30) dní na podporu obnovy. Po uplynutí této doby je dočasně vymazaný obsah trvale odstraněn. Obsah můžete trvale vymazat okamžitě jeho odstraněním z fronty obnovy.
• Záznamy o odhlášení z e-mailů na vašich webových stránkách: Uchovávány po dobu existence příslušných webových stránek, pokud se příjemce znovu nepřihlásí. Záznamy o odhlášení jsou smazány při zničení webových stránek.
• Analytická data: Uchovávána po dobu trvání příslušných webových stránek (s výhradou limitů uchovávání závisejících na plánu; analytická data bezplatného plánu jsou uchovávána po dobu devadesáti (90) dní).

12.2 Po ukončení

Po ukončení Smlouvy nebo na vaši žádost vymažeme osobní údaje zpracovávané vaším jménem v souladu s postupy uchovávání dat popsanými ve Smlouvě (včetně sedmi (7) dnů lhůty pro obnovení u výmazů účtů a webových stránek). Po uplynutí lhůty je výmaz trvalý a nevratný.

12.3 Výjimky

Osobní údaje můžeme uchovávat v rozsahu vyžadovaném příslušnými právními předpisy nebo v případě, kdy byla data anonymizována a již je nelze spojit s konkrétním subjektem údajů.

13. PLATNOST A UKONČENÍ

Tento DPA nabývá účinnosti dnem přijetí Smlouvy a zůstává v platnosti po dobu, kdy zpracováváme osobní údaje vaším jménem. Povinnosti mlčenlivosti a ochrany osobních údajů stanovené v tomto DPA přetrvávají i po ukončení Smlouvy.

14. OMEZENÍ ODPOVĚDNOSTI

Odpovědnost každé ze stran v rámci tohoto DPA podléhá omezením odpovědnosti stanoveným ve Smlouvě.

15. KONTAKTUJTE NÁS

V případě otázek ohledně tohoto DPA nebo pro uplatnění vašich práv nás kontaktujte:

Acira AI LLC
K rukám: Ochrana osobních údajů
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-mail: legal@acira.ai