DATABEHANDLINGSTILLÆG

Sidst opdateret: 19. marts 2026

Dette Databehandlingstillæg ("DPA") udgør en del af Vilkår og betingelser ("Aftalen") mellem Acira AI LLC ("Databehandler", "vi", "os") og brugeren af Tjenesterne ("Dataansvarlig", "du") og supplerer Aftalen med hensyn til behandling af personoplysninger.

Dette DPA finder anvendelse, når du bruger Tjenesterne til at oprette, hoste og publicere websteder, der indsamler eller behandler personoplysninger om personer i Det Europæiske Økonomiske Samarbejdsområde ("EØS"), Det Forenede Kongerige ("UK") eller Schweiz, eller hvor det ellers kræves af gældende databeskyttelseslovgivning.

Denne DPA kan blive oversat til andre sprog for din bekvemmelighed. I tilfælde af uoverensstemmelse eller modsigelse mellem den engelske version og en oversat version, har den engelske version forrang.

INDHOLDSFORTEGNELSE

1. DEFINITIONER
2. OMFANG OG ROLLER
3. DETALJER OM DATABEHANDLING
4. DATABEHANDLERENS FORPLIGTELSER
5. DEN DATAANSVARLIGES FORPLIGTELSER
6. UNDERDATABEHANDLERE
7. INTERNATIONALE DATAOVERFØRSLER
8. REGISTREREDES RETTIGHEDER
9. DATASIKKERHED
10. UNDERRETNING OM DATABRUD
11. REVISION OG OVERHOLDELSESVERIFIKATION
12. OPBEVARING OG SLETNING AF DATA
13. VARIGHED OG OPSIGELSE
14. ANSVARSBEGRÆNSNING
15. KONTAKT OS

1. DEFINITIONER

"Gældende databeskyttelseslovgivning" betyder alle love og regler, der finder anvendelse på behandling af personoplysninger i henhold til dette DPA, herunder (hvor det er relevant) Databeskyttelsesforordningen (EU) 2016/679 ("GDPR"), UK GDPR, den schweiziske forbundslov om databeskyttelse ("FADP") og California Consumer Privacy Act ("CCPA").

"Dataansvarlig" betyder den fysiske eller juridiske person, der fastlægger formålene med og midlerne til behandling af personoplysninger – i denne sammenhæng dig, brugeren af Tjenesterne, der driver et websted via platformen.

"Registreret" betyder en identificeret eller identificerbar fysisk person, hvis personoplysninger behandles.

"Personoplysninger" betyder enhver information vedrørende en registreret, der behandles via Tjenesterne.

"Behandling" betyder enhver operation, der udføres på personoplysninger, herunder indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, genfinding, konsultation, brug, videregivelse, formidling, begrænsning, sletning eller destruktion.

"Databehandler" betyder en fysisk eller juridisk person, der behandler personoplysninger på vegne af den dataansvarlige – i denne sammenhæng Acira AI LLC.

"Underdatabehandler" betyder enhver tredjepart, som Databehandleren har engageret til at behandle personoplysninger på vegne af den dataansvarlige.

"Standardkontraktbestemmelser" eller "SCC'er" betyder standardkontraktbestemmelserne for overførsel af personoplysninger til databehandlere etableret i tredjelande, som vedtaget af Europa-Kommissionen.

2. OMFANG OG ROLLER

2.1 Behandlingsforhold

Når du bruger Tjenesterne til at oprette og drive et websted, der indsamler personoplysninger fra dine besøgende (via formularer, brugerkonti, chatbot-interaktioner, kommentarer, anmeldelser eller andre interaktive funktioner), optræder du som Dataansvarlig, og vi optræder som Databehandler af disse besøgendes personoplysninger.

2.2 Vores rolle som dataansvarlig

Vi fungerer som uafhængig Dataansvarlig for personoplysninger, vi indsamler til vores egne formål, herunder: dine kontooplysninger, faktureringsdata, brugsanalyse, generelle webstedskarakteristika afledt af dit websteds indhold (såsom branche eller virksomhedstype) og platformens driftsdata. Behandlingen af disse data er underlagt vores Privatlivspolitik og falder uden for dette DPA's anvendelsesområde.

2.3 Platformsanalyse

Vi indsamler grundlæggende, privatlivsvenlige analyser om webstedsbesøgende (som beskrevet i Aftalen). For analysedata optræder vi som fælles dataansvarlige med dig. Vi har designet vores analyser til at minimere indsamlingen af personoplysninger – vi gemmer ikke rå IP-adresser, og besøgsidentifikatorer roterer dagligt. De respektive ansvarsområder for hver fælles dataansvarlig er som følger:

• Acira AI (Databehandler/Fælles dataansvarlig): Fastlægger de tekniske midler til analyseindsamling, herunder hvilke datapunkter der indsamles, hvordan besøgsidentifikatorer beregnes (dagligt roterende hashes), og hvordan data aggregeres. Vi er ansvarlige for sikkerheden og integriteten af analyseinfrastrukturen og for at besvare generelle henvendelser om, hvordan analyser fungerer på platformen.
• Du (Dataansvarlig/Fælles dataansvarlig): Bestemmer, om der skal bruges analyser på dit websted (analyser er som standard aktiveret som en del af Tjenesterne). Du er ansvarlig for at oplyse om indsamling af analysedata i dit websteds privatlivspolitik og for at besvare registreredes anmodninger fra dine webstedsbesøgende vedrørende deres analysedata.
• Kontaktpunkt for registrerede: Registrerede kan kontakte dig (webstedsejeren) vedrørende analysedata indsamlet på dit websted. Hvis vi modtager en anmodning fra en registreret vedrørende analysedata, vil vi henvise dem til dig, medmindre du instruerer os anderledes. For generelle platformshenvendelser kan registrerede kontakte os på legal@acira.ai.

2.4 Essensen af den fælles dataansvarlige-ordning

I overensstemmelse med artikel 26, stk. 2, i GDPR er essensen af denne fælles dataansvarlige-ordning for analysedata som følger: Vi (Acira AI) fastlægger de tekniske midler og de indsamlede datapunkter; du (webstedsoperatøren) bestemmer, om analyser bruges på dit websted. Vi er hver ansvarlige for vores respektive forpligtelser i henhold til gældende databeskyttelseslovgivning. Du er det primære kontaktpunkt for dine webstedsbesøgende vedrørende analysedata. Et resumé af denne ordning gøres tilgængeligt for registrerede via dette DPA og på https://www.acira.ai/dpa.

2.5 CCPA-tjenesteudbyderdesignation

I det omfang vi behandler personoplysninger underlagt California Consumer Privacy Act ("CCPA") på dine vegne, er vi din "serviceudbyder" som defineret i Cal. Civ. Code § 1798.140(ag). Vi vil ikke:

• Sælge eller dele (som disse udtryk er defineret under CCPA) nogen personoplysninger, du giver os;
• Opbevare, bruge eller videregive personoplysninger til noget andet formål end de forretningsformål, der er specificeret i dette DPA og Aftalen, eller som ellers tilladt af CCPA;
• Opbevare, bruge eller videregive personoplysninger uden for det direkte forretningsforhold mellem dig og os;
• Kombinere personoplysninger modtaget fra dig med personoplysninger, vi modtager fra eller på vegne af en anden person, eller som vi indsamler fra vores egne interaktioner med forbrugere, medmindre det er tilladt i henhold til CCPA.

Vi kan udlede generelle, ikke-identificerende virksomhedskarakteristika (såsom brancheklassificering) fra dit websteds indhold med henblik på at give relevante produktanbefalinger, som beskrevet i Afsnit 2.2. Denne begrænsede brug udgør ikke salg, deling eller kombination af personlige oplysninger i CCPA's forstand.

Vi bekræfter, at vi forstår og vil overholde disse begrænsninger.

2.6 Vurdering af schweizisk FADP-repræsentant

Artikel 14 i den schweiziske forbundslov om databeskyttelse ("FADP") kræver, at en ikke-schweizisk privat dataansvarlig udpeger en repræsentant i Schweiz kun, når alle fire følgende kumulative betingelser er opfyldt: (1) behandlingen er forbundet med udbud af varer eller tjenesteydelser til eller overvågning af adfærden hos personer i Schweiz; (2) behandlingen sker i stor skala; (3) behandlingen finder regelmæssigt sted; og (4) behandlingen udgør en høj risiko for de registreredes personlighedsrettigheder eller grundlæggende rettigheder.

Vi har vurderet vores behandlingsaktiviteter i forhold til disse betingelser og fastslået, at selv om betingelserne (1) og (3) er opfyldt, er de resterende betingelser ikke opfyldt af følgende årsager:

• Ikke stor skala: Vi er en lille SaaS-platform. Mængden af personoplysninger om schweiziske borgere, der behandles via vores Tjenester, er begrænset og udgør ikke behandling i stor skala inden for betydningen af artikel 14 FADP.
• Ikke høj risiko: De personoplysninger, vi behandler på vegne af webstedsoperatører, består primært af pseudonymiserede analyseidentifikatorer (dagligt roterende hashes), grundlæggende besøgsmetadata (land, enhedstype, browser), formularindsendelses­indhold og chatbot-beskeder. Vi behandler ikke særlige kategorier af personoplysninger (artikel 5(c) FADP), og vi udfører ikke profilering med høj risiko for de registrerede. Den schweiziske forbundsdatakommissær og -informationskommissær ("FDPIC") har angivet, at denne forpligtelse primært er rettet mod store internetplatforme og sociale netværk, der opererer fra udlandet, hvilket ikke beskriver vores Tjenester.

Baseret på denne vurdering har vi konkluderet, at vi ikke på nuværende tidspunkt er forpligtet til at udpege en repræsentant i Schweiz i henhold til artikel 14 FADP. Vi vil regelmæssigt revurdere denne beslutning, herunder ved væsentlige ændringer i omfanget eller karakteren af vores behandlingsaktiviteter, der berører schweiziske borgere.

3. DETALJER OM DATABEHANDLING

3.1 Emne og varighed

Behandlingen af personoplysninger i henhold til dette DPA udføres med det formål at levere Tjenesterne som beskrevet i Aftalen og vil fortsætte i aftalens løbetid.

3.2 Behandlingens karakter og formål

Vi behandler personoplysninger for at:

• Hoste og levere dit webstedsindhold
• Gemme og administrere data indsendt via dit websteds formularer og interaktive funktioner
• Vedligeholde brugerkonti og sessioner for dit websteds beskyttede områder
• Levere e-mailkommunikation på dine vegne
• Videresende e-mails modtaget på dine brugerdefinerede domæne-e-mailadresser
• Drive AI chatbot-samtaler med dine webstedsbesøgende
• Generere AI-drevne beskrivelser og metadata for uploadede filer
• Konvertere uploadede filer til weboptimerede formater
• Levere besøgsanalyser
• Udlede generelle webstedskarakteristika (såsom branche eller virksomhedstype) for at give relevante platformanbefalinger
• Opdage og forhindre spam og misbrug (herunder proof-of-work bot-udfordringer)
• Udføre indholdsmoderation på uploadede filer
• Gennemgå webstedsindhold under publicering for overholdelse af platformens indholdspolitikker
• Administrere e-mail fravalgsindstillinger for dit websteds e-mail-modtagere
• Lette realtids-kanalkommunikation på dit websted via WebSocket-forbindelser (beskeder er midlertidige og gemmes ikke)
• Vedligeholde fejl- og diagnostiklogfiler for platformens pålidelighed og fejlfinding (kan inkludere IP-adresser og anmodningsmetadata; opbevares i op til tredive (30) dage)

3.3 Typer af personoplysninger

De typer personoplysninger, der behandles, afhænger af, hvad du indsamler via dit websted, og kan omfatte:

• Navne og kontaktoplysninger
• E-mailadresser
• Beskeder og formularindsendelser
• Filuploads indsendt af webstedsbesøgende (såsom billeder og dokumenter)
• Chatbot-samtaleindhold (besøgendes beskeder og AI-svar)
• Brugerkontoanmeldelsesoplysninger (gemt i hashet form)
• Sessionsdata
• IP-adresser (ikke gemt i analyser – kun en dagligt roterende hash gemmes; gemt som metadata ved siden af formularindsendelser og chatbot-samtaler; midlertidigt brugt og hashet til bot-udfordringsverifikation; midlertidigt gemt til hastighedsbegrænsning i op til syv (7) dage og automatisk slettet)
• Browser- og enhedsoplysninger
• Lokationsdata (lande- og regionsniveau, afledt fra IP)
• E-mail fravalgsposter (gemt som kryptografiske hash af modtagernes e-mailadresser; ikke gemt i rå form)
• Spamklassifikationsresultater (om en indsendelse blev fastslået at være spam)
• Fejl- og diagnostiklogdata (IP-adresser, anmodningsstier og fejldetaljer; opbevares i op til tredive (30) dage og slettes automatisk)

3.4 Kategorier af registrerede

• Dine webstedsbesøgende
• Brugere, der opretter konti på dit websted
• Brugere, der indsender formularer eller interagerer med chatbots på dit websted
• Brugere, der indsender kommentarer, anmeldelser eller andre bidrag på dit websted

4. DATABEHANDLERENS FORPLIGTELSER

Vi skal:

1. Behandle personoplysninger udelukkende på grundlag af dine dokumenterede instruktioner, medmindre det kræves af gældende lovgivning (i så fald vil vi informere dig om dette lovkrav inden behandlingen, medmindre loven forbyder det);
2. Sikre, at personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt fortrolighedsforpligtelse;
3. Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger som beskrevet i afsnit 9;
4. Overholde betingelserne for at engagere underdatabehandlere som fastsat i afsnit 6;
5. Bistå dig, under hensyntagen til behandlingens karakter, med at besvare anmodninger fra registrerede, der udøver deres rettigheder i henhold til gældende databeskyttelseslovgivning;
6. Bistå dig med at sikre overholdelse af dine forpligtelser i henhold til GDPR's artikler 32–36 (sikkerhed, underretning om brud, konsekvensanalyser for databeskyttelse og forudgående høring), under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for os. Hvis din brug af Tjenesterne involverer høj-risiko-behandling, der kan kræve en konsekvensanalyse for databeskyttelse (DPIA), vil vi give dig oplysninger om vores behandlingsaktiviteter, tekniske og organisatoriske foranstaltninger og underdatabehandlere til støtte for din analyse;
7. Bistå dig med at opfylde dine forpligtelser i henhold til GDPR's artikel 22 (automatiserede individuelle afgørelser) ved at give oplysninger om enhver automatiseret behandling udført på dine vegne, herunder indholdsmoderation, spamdetektering og bot-beskyttelse, og ved at lette menneskelig gennemgang af automatiserede afgørelser efter anmodning;
8. Informere dig, hvis vi mener, at en instruktion fra dig overtræder gældende databeskyttelseslovgivning;
9. Efter dit valg slette eller tilbagelevere alle personoplysninger efter afslutningen af levering af Tjenesterne og slette eksisterende kopier, medmindre opbevaring kræves af gældende lovgivning;
10. Stille alle oplysninger nødvendige for at påvise overholdelse af de forpligtelser, der er fastsat i dette DPA, til rådighed for dig og bidrage til overholdelsesverifikation som beskrevet i afsnit 11.

5. DEN DATAANSVARLIGES FORPLIGTELSER

Du skal:

1. Sikre, at din indsamling og behandling af personoplysninger via dit websted overholder al gældende databeskyttelseslovgivning;
2. Give passende privatlivsmeddelelser til dine webstedsbesøgende, der beskriver dine dataindsamlingspraksisser, herunder oplysning om analyser på platformsniveau, AI-drevne chatbot-interaktioner, spamdetektering og bot-beskyttelse;
3. Indhente alle nødvendige samtykker eller etablere et andet retsgrundlag for behandling af personoplysninger via dit websted;
4. Sikre, at dine instruktioner til os vedrørende behandling af personoplysninger overholder gældende databeskyttelseslovgivning;
5. Være ansvarlig for nøjagtigheden, kvaliteten og lovligheden af personoplysninger leveret til os via dit websted.

Ved at bruge Tjenesterne instruerer du os til at udføre følgende behandlingsaktiviteter på dine vegne som en del af standard platformsdrift: indholdsmoderation af uploadede filer, indholdspolitikgennemgang af publiceret webstedsindhold, spamdetektering på formularindsendelser, bot-beskyttelse via proof-of-work-udfordringer og AI-drevne chatbot-interaktioner med dine webstedsbesøgende. Disse aktiviteter er dokumenterede instruktioner i henhold til GDPR's artikel 28, stk. 3, litra a).

6. UNDERDATABEHANDLERE

6.1 Autoriserede underdatabehandlere

Du giver generel godkendelse til, at vi engagerer underdatabehandlere til at hjælpe med at levere Tjenesterne. Vores nuværende underdatabehandlere er angivet nedenfor og på https://www.acira.ai/dpa.

6.2 Aktuel liste over underdatabehandlere

6.3 Ændringer til underdatabehandlere

Vi vil informere dig om eventuelle planlagte ændringer til listen over underdatabehandlere for de Tjenester, du aktuelt anvender, ved at opdatere listen på https://www.acira.ai/dpa mindst fjorten (14) dage, inden den nye underdatabehandler begynder at behandle personoplysninger. Når vi introducerer nye funktioner eller tjenester, der involverer yderligere underdatabehandlere, vil disse underdatabehandlere blive oplyst på det tidspunkt, hvor funktionen eller tjenesten bliver tilgængelig; din brug af den nye funktion eller tjeneste udgør accept af de oplyste underdatabehandlere. Det er dit ansvar regelmæssigt at gennemgå listen over underdatabehandlere for ændringer. Hvis du har en rimelig indsigelse mod en ny underdatabehandler, der behandler data for eksisterende Tjenester, kan du underrette os skriftligt inden for fjorten (14) dage efter offentliggørelsen af ændringen. Vi vil i god tro samarbejde med dig om at imødekomme dine bekymringer. Hvis vi ikke kan løse indsigelsen til din rimelige tilfredshed, kan du opsige Aftalen ved at give skriftlig besked.

6.4 Underdatabehandlernes forpligtelser

Vi vil indgå skriftlige aftaler med hver underdatabehandler, der pålægger databeskyttelsesforpligtelser, der ikke er mindre beskyttende end dem, der er fastsat i dette DPA. Vi forbliver ansvarlige for vores underdatabehandleres handlinger og undladelser i samme omfang, som vi ville være ansvarlige, hvis vi leverede tjenesterne direkte.

7. INTERNATIONALE DATAOVERFØRSLER

7.1 Overførselsmekanismer

Tjenesterne er primært hostet i USA. Personoplysninger behandlet via Tjenesterne kan overføres til og behandles i USA og andre lande, hvor vores underdatabehandlere opererer. AI-inferensudbydere (Fireworks AI og xAI) behandler data i USA. BrightData kan behandle data i Israel og andre steder globalt. Cloudflare behandler data på edge-lokationer over hele verden.

EU-dataophold: For webstedsoperatører identificeret som EU-residenter anvender vi følgende dataopholdsforanstaltninger for at minimere overførsler af besøgendes personoplysninger uden for Den Europæiske Union:

• Lagring: Besøgsdata i vedvarende edge-lagring — herunder formularindsendelser, chatbot-samtaler, sessionsdata og brugertabeldata — er begrænset til Den Europæiske Union. Disse data lagres udelukkende i EU-datacentre.
• Automatiseret besøgsrettet behandling: Operationer, der automatisk udløses af besøgsaktivitet — herunder indholdsindsendelsesmeddelelser og transaktionel e-mail-levering — behandles inden for Den Europæiske Union og passerer ikke gennem amerikansk infrastruktur.
• Platformstyringsadgang: Når du tilgår dine webstedsbesøgsdata via platformens dashboard eller samtalebaserede grænseflade (f.eks. visning af formularindsendelser eller administration af brugeroptegnelser), kan disse data blive behandlet via vores USA-baserede infrastruktur for at opfylde din forespørgsel. Disse overførsler er on-demand, initieret af dig (den Dataansvarlige), og beskyttet af overførselsmekanismerne og de supplerende foranstaltninger beskrevet nedenfor.
• Anden USA-baseret behandling: Analysedata og data behandlet af vores USA-baserede cloudinfrastruktur til indholdsmoderering og AI-inferens kan stadig overføres til USA i henhold til overførselsmekanismerne nedenfor.

For overførsler af personoplysninger fra EØS, UK eller Schweiz til lande, der ikke er anerkendt som at yde et tilstrækkeligt beskyttelsesniveau for personoplysninger, støtter vi os på:

1. Standardkontraktbestemmelser (SCC'er): Vi inkorporerer Europa-Kommissionens Standardkontraktbestemmelser i dette DPA ved reference: Modul et (Dataansvarlig til dataansvarlig) for analysedata, hvor vi optræder som fælles dataansvarlige (se afsnit 2.3), og Modul to (Dataansvarlig til databehandler) for alle andre personoplysninger behandlet på dine vegne. SCC'erne er tilgængelige på https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: For overførsler fra UK finder UK-tillægget til EU SCC'erne anvendelse.
3. Schweiziske dataoverførselsmekanismer: For overførsler fra Schweiz finder SCC'erne anvendelse med de ændringer, der kræves af den schweiziske FADP.

7.2 Supplerende foranstaltninger

Vi implementerer følgende supplerende foranstaltninger for at beskytte overførte personoplysninger:

• Kryptering af data under transport (TLS/SSL) og i hvile
• Adgangskontroller og autentificeringsmekanismer
• Regelmæssige sikkerhedsvurderinger
• Dataminimeringspraksisser (f.eks. dagligt roterende besøgshashes i stedet for rå IP-lagring)
• Jurisdiktionelt dataophold for EU-baserede webstedsoperatører (vedvarende lagring og automatiseret besøgsrettet behandling begrænset til EU)
• EU-baseret beregnings- og e-mail-infrastruktur til automatiserede besøgsrettede operationer (indholdsindsendelsesmeddelelser og transaktionel e-mail-levering behandlet i Den Europæiske Union for webstedsoperatører bosiddende i EU)

7.3 Overførselskonsekvensanalyse

Disse supplerende foranstaltninger er informeret af vores vurdering af lovgivning og praksis i destinationslandene, under hensyntagen til karakteren af de overførte data, den anvendte overførselsmekanisme og de tekniske og organisatoriske sikkerhedsforanstaltninger på plads. Vi har vurderet, at de supplerende foranstaltninger beskrevet ovenfor, sammen med forpligtelserne i SCC'erne, giver et tilstrækkeligt beskyttelsesniveau for de overførte personoplysninger. Vores Overførselskonsekvensanalyse er tilgængelig på https://www.acira.ai/tia.

7.4 Canadiske dataoverførsler

For overførsler af personoplysninger fra Canada støtter vi os på følgende sikkerhedsforanstaltninger for at sikre, at personoplysninger overført uden for Canada modtager et sammenligneligt beskyttelsesniveau som krævet i henhold til Personal Information Protection and Electronic Documents Act (PIPEDA) og gældende provinsprivatlivslovgivning (herunder Albertas PIPA, British Columbias PIPA og Quebecs lov om beskyttelse af personoplysninger i den private sektor):

1. Kontraktbeskyttelse: Skriftlige databehandlingsaftaler med hver underdatabehandler, der pålægger forpligtelser til at beskytte personoplysninger til en standard, der er i overensstemmelse med canadisk privatlivslovgivning, herunder krav om passende sikkerhedsforanstaltninger, anvendelsesbegrænsninger, underretning om brud og registreredes adgang.
2. Tekniske sikkerhedsforanstaltninger: De samme krypterings-, pseudonymiserings-, adgangskontrol- og dataminimerings­foranstaltninger beskrevet i afsnit 7.2 finder anvendelse på canadiske dataoverførsler.
3. Organisatoriske sikkerhedsforanstaltninger: Due diligence for underdatabehandlere, fortrolighedsforpligtelser for personale og dokumenterede hændelsesresponsprocedurer som beskrevet i dette DPA.

Vi overvåger udviklingen i canadisk privatlivslovgivning, herunder den foreslåede Consumer Privacy Protection Act (CPPA), og vil opdatere vores overførselsmekanismer efter behov.

8. REGISTREREDES RETTIGHEDER

8.1 Bistand med anmodninger

Vi vil bistå dig med at besvare anmodninger fra registrerede, der udøver deres rettigheder i henhold til gældende databeskyttelseslovgivning, herunder ret til indsigt, berigtigelse, sletning, begrænsning, portabilitet og indsigelse.

8.2 Underretning

Hvis vi modtager en anmodning direkte fra en registreret vedrørende personoplysninger behandlet på dine vegne, vil vi omgående underrette dig og ikke besvare anmodningen uden dine instruktioner, medmindre det kræves af gældende lovgivning.

8.3 Platformsværktøjer

Vi stiller værktøjer til rådighed inden for Tjenesterne for at hjælpe dig med at opfylde registreredes anmodninger, herunder:

• Adgang til og administration af data gemt i dit websteds databaser
• Sletning af individuelle poster fra dit websteds databaser
• Efter anmodning kan vi levere dataeksporter i ZIP-format til støtte for dataportabilitetsforpligtelser

9. DATASIKKERHED

9.1 Sikkerhedsforanstaltninger

Vi implementerer og vedligeholder passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse. Disse foranstaltninger omfatter:

• Kryptering: Data krypteret under transport via TLS/SSL og i hvile med industristandard-kryptering
• Adgangskontrol: Rollebaserede adgangskontroller, multifaktorgodkendelse til platformsadministration, adgangspolitikker med mindste privilegium
• Infrastruktursikkerhed: Administreret cloud-infrastruktur med automatisk sikkerhedspatching, DDoS-beskyttelse og Web Application Firewall (WAF)
• Dataisolation: Pr.-websted dataisolation via dedikerede lagerinstanser
• Overvågning: Automatiseret sikkerhedsovervågning, indtrængningsdetektion og struktureret logning
• Legitimationsoplysningssikkerhed: Alle API-nøgler og hemmeligheder gemt i dedikerede hemmeligheds­styringstjenester; brugeradgangskoder hashet med stærke kryptografiske algoritmer med pr.-bruger-salte
• Bot-beskyttelse: Proof-of-work-udfordrings­systemer til at forhindre automatiseret misbrug

9.2 Fortrolighed

Vi sikrer, at alt personale, der er autoriseret til at behandle personoplysninger, er bundet af fortrolighedsforpligtelser.

10. UNDERRETNING OM DATABRUD

10.1 Underretning til den dataansvarlige

Vi vil underrette dig uden unødig forsinkelse efter at have bekræftet et personoplysningsbrud, der berører personoplysninger behandlet på dine vegne. Underretning sendes til de kontaktoplysninger, der er knyttet til din konto.

10.2 Underretningens indhold

Vores underretning om brud vil indeholde, i det omfang det er tilgængeligt:

1. En beskrivelse af bruddets karakter, herunder kategorier og omtrentligt antal berørte registrerede og poster;
2. Navn og kontaktoplysninger for vores databeskyttelseskontakt;
3. En beskrivelse af de sandsynlige konsekvenser af bruddet;
4. En beskrivelse af de foranstaltninger, der er truffet eller foreslås for at håndtere bruddet og afbøde dets virkninger.

10.3 Dine forpligtelser

Du er ansvarlig for at underrette den relevante tilsynsmyndighed og berørte registrerede om et personoplysningsbrud som krævet af gældende databeskyttelseslovgivning. Vi vil samarbejde med dig og yde rimelig bistand til at hjælpe dig med at overholde dine underretnings­forpligtelser ved brud.

11. REVISION OG OVERHOLDELSESVERIFIKATION

11.1 Overensstemmelsesdokumentation

For at demonstrere vores overholdelse af denne DPA vil vi efter rimelig skriftlig anmodning (op til én gang årligt) stille følgende til rådighed for dig:

1. Relevante tredjepartsrevisionsrapporter, certificeringer eller resuméer af sikkerhedsvurderinger;
2. Et resumé af vores nuværende tekniske og organisatoriske sikkerhedsforanstaltninger;
3. Oplysninger om vores behandlingsaktiviteter, underdatabehandlere og databeskyttelsespraksis.

Hvor vi er afhængige af tredjepartsinfrastrukturudbydere (såsom AWS og Cloudflare), er deres sikkerhedscertificeringer og overensstemmelsesdokumentation tilgængelig gennem deres respektive tillids- og overensstemmelsesprogrammer.

11.2 Yderligere henvendelser

Hvis dokumentationen i henhold til afsnit 11.1 ikke i rimelig grad adresserer dine bekymringer vedrørende overholdelse, kan du indsende specifikke skriftlige spørgsmål vedrørende vores databeskyttelsespraksis, som vi vil besvare inden for en rimelig tidsramme.

12. OPBEVARING OG SLETNING AF DATA

12.1 Under Aftalen

Vi vil opbevare personoplysninger behandlet på dine vegne i aftalens løbetid og i overensstemmelse med dine instruktioner via Tjenesterne. Specifikke opbevaringsperioder for besøgsdata inkluderer:

• Chatbot-samtaler på dit websted: Opbevares i tredive (30) dage fra den seneste interaktion i hver samtale. Samtaler gemmes i besøgssessioner på webstedets edge-infrastruktur og slettes automatisk, når sessionen udløber på grund af inaktivitet.
• Formularindsendelser og bruger-genereret indhold på dit websted: Opbevares i varigheden af det tilknyttede websted, medmindre du sletter dem tidligere via platformsværktøjerne.
• Sessionsdata for dine webstedsbesøgende: Slettes automatisk efter 30 dages inaktivitet.
• Slettet besøgsindhold (formularindsendelser, kommentarer og andet bruger-genereret indhold på dit websted): Når du sletter besøgsindhold via platformsværktøjerne, flyttes det til en blød slettet tilstand og opbevares i op til tredive (30) dage for at understøtte gendannelse. Efter denne periode fjernes blødt slettet indhold permanent. Du kan slette indhold permanent øjeblikkeligt ved at tømme det fra gendannelseskøen.
• E-mail fravalgsposter på dit websted: Opbevares i den tilknyttede websteds varighed, medmindre modtageren gentilmelder sig. Fravalgsposter slettes, når webstedet destrueres.
• Analysedata: Opbevares i varigheden af det tilknyttede websted (med forbehold for planbaserede opbevarings­begrænsninger; gratis plan analysedata opbevares i halvfems (90) dage).

12.2 Ved ophør

Ved ophør af Aftalen, eller efter din anmodning, vil vi slette personoplysninger behandlet på dine vegne i overensstemmelse med de dataopbevaringspraksisser, der er beskrevet i Aftalen (herunder den syv (7) dages frist for konto- og webstedssletninger). Efter fristen er sletning permanent og uigenkaldelig.

12.3 Undtagelser

Vi kan opbevare personoplysninger i det omfang, der kræves af gældende lovgivning, eller hvor data er anonymiseret og ikke længere kan knyttes til en registreret.

13. VARIGHED OG OPSIGELSE

Dette DPA træder i kraft på den dato, du accepterer Aftalen, og forbliver i kraft, så længe vi behandler personoplysninger på dine vegne. Fortroligheds- og databeskyttelsesforpligtelserne i dette DPA overlever aftalens ophør.

14. ANSVARSBEGRÆNSNING

Hver parts ansvar under dette DPA er underlagt ansvarsbegrænsningerne fastsat i Aftalen.

15. KONTAKT OS

For spørgsmål om dette DPA eller for at udøve dine rettigheder, kontakt os på:

Acira AI LLC
Att.: Databeskyttelse
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-mail: legal@acira.ai