Εκτίμηση Αντικτύπου Μεταφοράς
ΑΞΙΟΛΟΓΗΣΗ ΑΝΤΙΚΤΥΠΟΥ ΜΕΤΑΦΟΡΩΝ
Τελευταία ενημέρωση: 19 Μαρτίου 2026
Η παρούσα Αξιολόγηση Αντικτύπου Μεταφορών («TIA») έχει καταρτιστεί από την Acira AI LLC («Acira AI», «εμείς», «ημάς») σύμφωνα με τις απαιτήσεις της απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση Επίτροπος Προστασίας Δεδομένων κατά Facebook Ireland Limited και Maximillian Schrems (Υπόθεση C-311/18, «Schrems II») και τις συστάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (Συστάσεις ΕΣΠΔ 01/2020 για συμπληρωματικά μέτρα).
Η παρούσα TIA αξιολογεί την επάρκεια της προστασίας για τα προσωπικά δεδομένα που μεταφέρονται από τον Ευρωπαϊκό Οικονομικό Χώρο («ΕΟΧ»), το Ηνωμένο Βασίλειο, την Ελβετία και τον Καναδά στις Ηνωμένες Πολιτείες και άλλες τρίτες χώρες στο πλαίσιο της παροχής των Υπηρεσιών μας.
Η παρούσα TIA μπορεί να μεταφραστεί σε άλλες γλώσσες για τη διευκόλυνσή σας. Σε περίπτωση σύγκρουσης ή ασυνέπειας μεταξύ της αγγλικής έκδοσης και οποιασδήποτε μεταφρασμένης έκδοσης, υπερισχύει η αγγλική έκδοση.
ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ
- ΕΠΙΣΚΟΠΗΣΗ ΜΕΤΑΦΟΡΩΝ
- ΦΥΣΗ ΤΩΝ ΜΕΤΑΦΕΡΟΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ
- ΜΗΧΑΝΙΣΜΟΙ ΜΕΤΑΦΟΡΑΣ
- ΑΞΙΟΛΟΓΗΣΗ ΝΟΜΩΝ ΧΩΡΑΣ ΠΡΟΟΡΙΣΜΟΥ
- ΑΞΙΟΛΟΓΗΣΗ ΡΟΩΝ ΔΕΔΟΜΕΝΩΝ ΑΝΑ ΠΑΡΟΧΟ ΥΠΗΡΕΣΙΩΝ
- ΣΥΜΠΛΗΡΩΜΑΤΙΚΑ ΜΕΤΡΑ
- ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΟΥ
- ΣΥΜΠΕΡΑΣΜΑ
- ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΕΠΑΝΕΞΕΤΑΣΗΣ
- ΕΠΙΚΟΙΝΩΝΙΑ
1. ΕΠΙΣΚΟΠΗΣΗ ΜΕΤΑΦΟΡΩΝ
1.1 Πλαίσιο
Η Acira AI είναι μια πλατφόρμα λογισμικού ως υπηρεσία (SaaS) που επιτρέπει σε επιχειρήσεις και ιδιώτες να δημιουργούν, να διαχειρίζονται και να φιλοξενούν ιστότοπους με τεχνητή νοημοσύνη. Όταν οι χρήστες δημιουργούν ιστότοπους που επισκέπτονται επισκέπτες από τον ΕΟΧ, το Ηνωμένο Βασίλειο, την Ελβετία ή τον Καναδά, τα προσωπικά δεδομένα αυτών των επισκεπτών μπορεί να μεταφερθούν και να υποστούν επεξεργασία στις Ηνωμένες Πολιτείες και άλλες τοποθεσίες όπου λειτουργούν οι πάροχοι υποδομής μας.
1.2 Μέρη
- Εξαγωγέας Δεδομένων: Ο διαχειριστής ιστότοπου (ο πελάτης μας, που ενεργεί ως Υπεύθυνος Επεξεργασίας) και, για δεδομένα αναλυτικών στοιχείων, η Acira AI ως Από Κοινού Υπεύθυνος Επεξεργασίας.
- Εισαγωγέας Δεδομένων: Acira AI LLC, εγγεγραμμένη στη Νεβάδα, Ηνωμένες Πολιτείες, ενεργώντας ως Εκτελών την Επεξεργασία (και Από Κοινού Υπεύθυνος Επεξεργασίας για αναλυτικά στοιχεία).
- Υπο-εκτελούντες την Επεξεργασία: Τρίτοι πάροχοι υπηρεσιών που έχουν συνάψει σύμβαση με την Acira AI (αναφέρονται στην Ενότητα 5).
1.3 Προορισμοί Μεταφοράς
| Προορισμός | Πάροχοι | Βάση |
|---|---|---|
| Ηνωμένες Πολιτείες και Ευρωπαϊκή Ένωση (Στοκχόλμη) | AWS | ΤΣΡ + Συμπληρωματικά Μέτρα (ΗΠΑ)· Εντός ΕΟΧ για αυτοματοποιημένες λειτουργίες προσανατολισμένες στους επισκέπτες για κατοίκους ΕΕ |
| Ηνωμένες Πολιτείες | Stripe, Fireworks AI, xAI | ΤΣΡ + Συμπληρωματικά Μέτρα |
| Παγκόσμια (τοποθεσίες edge) | Cloudflare | ΤΚΣ + Συμπληρωματικά Μέτρα |
| Ισραήλ | BrightData (μόνο κατόπιν οδηγιών χρήστη) | ΤΚΣ + Συμπληρωματικά Μέτρα |
| Ευρωπαϊκή Ένωση | Black Forest Labs, ScreenshotOne, CloudConvert | Εντός ΕΟΧ (δεν απαιτείται μηχανισμός μεταφοράς) |
2. ΦΥΣΗ ΤΩΝ ΜΕΤΑΦΕΡΟΜΕΝΩΝ ΔΕΔΟΜΕΝΩΝ
2.1 Κατηγορίες Προσωπικών Δεδομένων
Τα προσωπικά δεδομένα που μεταφέρονται εξαρτώνται από τις λειτουργίες που έχει ενεργοποιήσει ο διαχειριστής ιστότοπου και τις αλληλεπιδράσεις των επισκεπτών. Οι ακόλουθες κατηγορίες μπορεί να μεταφερθούν:
| Κατηγορία Δεδομένων | Περιγραφή | Ευαισθησία | Όγκος |
|---|---|---|---|
| Αναγνωριστικά αναλυτικών στοιχείων | Ημερησίως εναλλασσόμενη κρυπτογραφική κατακερματισμένη τιμή IP + User-Agent + ημερομηνία (ψευδωνυμοποιημένη) | Χαμηλή | Υψηλός (κάθε προβολή σελίδας) |
| Μεταδεδομένα επισκεπτών | Χώρα, περιοχή, γλώσσα, τύπος συσκευής, πρόγραμμα περιήγησης, ΛΣ, τομέας referrer, παράμετροι UTM | Χαμηλή | Υψηλός (κάθε προβολή σελίδας) |
| Διευθύνσεις IP | Αποθηκεύονται ως μεταδεδομένα με υποβολές φορμών και συνομιλίες chatbot· κατακερματίζονται για αναλυτικά στοιχεία· χρησιμοποιούνται προσωρινά για επαλήθευση bot challenge· αποθηκεύονται προσωρινά για περιορισμό ρυθμού (έως 7 ημέρες) | Μέση | Μέσος |
| Περιεχόμενο υποβολής φόρμας | Πεδία ελεύθερου κειμένου που υποβάλλονται από επισκέπτες (ονόματα, email, μηνύματα κ.λπ.) | Μεταβλητή (ανάλογα με τη φόρμα) | Χαμηλός έως Μέσος |
| Μηνύματα chatbot | Μηνύματα επισκεπτών και απαντήσεις ΤΝ (μέγ. 2.000 χαρακτήρες ανά μήνυμα) | Χαμηλή έως Μέση | Χαμηλός |
| Μεταφορτώσεις αρχείων | Αρχεία που μεταφορτώνουν επισκέπτες μέσω φορμών ιστότοπου (εικόνες, έγγραφα) | Μεταβλητή | Χαμηλός |
| Αναγνωριστικά συνεδρίας | Αναγνωριστικά συνεδρίας πλευράς διακομιστή και cookies συνεδρίας πλευράς πελάτη | Χαμηλή | Υψηλός |
| Διαπιστευτήρια ελέγχου ταυτότητας | Κωδικοί πρόσβασης για προστατευμένες περιοχές ιστότοπου (αποθηκεύονται μόνο σε κατακερματισμένη μορφή) | Υψηλή (αλλά κατακερματισμένη) | Χαμηλός |
2.2 Κατηγορίες Υποκειμένων Δεδομένων
- Επισκέπτες ιστότοπων που φιλοξενούνται στην πλατφόρμα Acira AI
- Χρήστες που δημιουργούν λογαριασμούς σε ιστότοπους που φιλοξενούνται στην πλατφόρμα
- Χρήστες που υποβάλλουν φόρμες, αλληλεπιδρούν με chatbot ή μεταφορτώνουν αρχεία σε φιλοξενούμενους ιστότοπους
2.3 Δεδομένα που δεν Μεταφέρονται
- Δεδομένα γεωεντοπισμού: Οι αναζητήσεις IP-σε-τοποθεσία εκτελούνται στο άκρο του δικτύου από τον πάροχο υποδομής μας. Καμία διεύθυνση IP επισκέπτη δεν διαβιβάζεται σε οποιαδήποτε εξωτερική υπηρεσία γεωεντοπισμού.
- Ακατέργαστες διευθύνσεις IP αναλυτικών στοιχείων: Αποθηκεύεται μόνο ημερησίως εναλλασσόμενη κρυπτογραφική κατακερματισμένη τιμή· οι ακατέργαστες IP δεν διατηρούνται σε συστήματα αναλυτικών στοιχείων.
- Κωδικοί πρόσβασης σε απλό κείμενο: Αποθηκεύονται και μεταφέρονται μόνο κρυπτογραφικές κατακερματισμένες τιμές.
3. ΜΗΧΑΝΙΣΜΟΙ ΜΕΤΑΦΟΡΑΣ
3.1 Πρωτεύων Μηχανισμός: Τυποποιημένες Συμβατικές Ρήτρες
Βασιζόμαστε στις Τυποποιημένες Συμβατικές Ρήτρες (ΤΚΣ) της Ευρωπαϊκής Επιτροπής που εγκρίθηκαν με την Εκτελεστική Απόφαση (ΕΕ) 2021/914 της Επιτροπής, συγκεκριμένα:
- Ενότητα Ένα (Υπεύθυνος Επεξεργασίας σε Υπεύθυνο Επεξεργασίας): Για μεταφορές δεδομένων αναλυτικών στοιχείων όπου η Acira AI ενεργεί ως από κοινού υπεύθυνος επεξεργασίας με τον διαχειριστή ιστότοπου (βλ. DPA Ενότητα 2.3).
- Ενότητα Δύο (Υπεύθυνος Επεξεργασίας σε Εκτελούντα την Επεξεργασία): Για μεταφορές προσωπικών δεδομένων επισκεπτών από τον διαχειριστή ιστότοπου (Υπεύθυνος Επεξεργασίας) στην Acira AI (Εκτελών την Επεξεργασία).
- Ενότητα Τρία (Εκτελών την Επεξεργασία σε Υπο-εκτελούντα την Επεξεργασία): Για περαιτέρω μεταφορές από την Acira AI στους υπο-εκτελούντες την επεξεργασία.
3.2 Μεταφορές στο ΗΒ, την Ελβετία και τον Καναδά
- Ηνωμένο Βασίλειο: Εφαρμόζεται το Βρετανικό Διεθνές Πρόσθετο Μεταφοράς Δεδομένων στις ΤΚΣ ΕΕ.
- Ελβετία: Οι ΤΚΣ εφαρμόζονται με τροποποιήσεις που απαιτεί ο Ελβετικός Ομοσπονδιακός Νόμος για την Προστασία Δεδομένων (FADP).
- Καναδάς: Οι μεταφορές βασίζονται σε συμβατικές προστασίες με κάθε υπο-εκτελούντα την επεξεργασία που επιβάλλουν υποχρεώσεις συμβατές με τον Νόμο για την Προστασία Προσωπικών Πληροφοριών και Ηλεκτρονικά Έγγραφα (PIPEDA) και την εφαρμοστέα επαρχιακή νομοθεσία περί απορρήτου, σε συνδυασμό με τα συμπληρωματικά τεχνικά και οργανωτικά μέτρα που περιγράφονται στην Ενότητα 6. Βλ. DPA Ενότητα 7.4 για λεπτομέρειες.
3.3 Μηχανισμοί Μεταφοράς Υπο-εκτελούντων την Επεξεργασία
| Υπο-εκτελών την Επεξεργασία | Μηχανισμός Μεταφοράς |
|---|---|
| Amazon Web Services | ΤΚΣ (AWS DPA), πιστοποιημένο ISO 27001/27017/27018 |
| Cloudflare | ΤΚΣ (Cloudflare DPA), πιστοποιημένο ISO 27001 |
| Stripe | ΤΚΣ (Stripe DPA), πιστοποιημένο PCI DSS Level 1 |
| Fireworks AI | ΤΚΣ (Fireworks AI DPA), SOC 2 Τύπου II, πιστοποιημένο ISO 27001/27701/42001 |
| xAI | ΤΚΣ (xAI DPA με ΤΚΣ ΕΕ) |
| BrightData | ΤΚΣ (BrightData DPA) |
4. ΑΞΙΟΛΟΓΗΣΗ ΝΟΜΩΝ ΧΩΡΑΣ ΠΡΟΟΡΙΣΜΟΥ
4.1 Ηνωμένες Πολιτείες
Οι Ηνωμένες Πολιτείες είναι ο κύριος προορισμός για τα μεταφερόμενα δεδομένα. Οι ακόλουθοι νόμοι των ΗΠΑ είναι σχετικοί με αυτή την αξιολόγηση:
4.1.1 Νόμος Επιτήρησης Εξωτερικής Κατασκοπείας (FISA), Άρθρο 702
Το Άρθρο 702 του FISA εξουσιοδοτεί την αμερικανική κυβέρνηση να αναγκάζει παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών να παρέχουν πρόσβαση σε επικοινωνίες μη αμερικανών προσώπων που βρίσκονται εκτός των ΗΠΑ για σκοπούς εξωτερικής κατασκοπείας.
Αξιολόγηση κινδύνου:
- Εφαρμοσιμότητα: Το Άρθρο 702 του FISA εφαρμόζεται σε «παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών» όπως ορίζεται στο 50 U.S.C. § 1881(b)(4). Η Acira AI είναι μια πλατφόρμα SaaS φιλοξενίας ιστότοπων, όχι παραδοσιακός πάροχος τηλεπικοινωνιών. Οι υπο-εκτελούντες την επεξεργασία μας (AWS, Cloudflare) είναι πιθανότερο να υπόκεινται σε οδηγίες Άρθρου 702.
- Εύρος δεδομένων σε κίνδυνο: Τα προσωπικά δεδομένα που επεξεργαζόμαστε αποτελούνται κυρίως από αναλυτικά στοιχεία επισκεπτών (ψευδωνυμοποιημένα), υποβολές φορμών και μηνύματα chatbot. Αυτά τα δεδομένα είναι απίθανο να παρουσιάζουν ενδιαφέρον για εξωτερική κατασκοπεία.
- Πρακτική πιθανότητα: Δεν έχουμε λάβει ποτέ οδηγία Άρθρου 702 του FISA και εκτιμούμε ότι η πρακτική πιθανότητα λήψης μίας είναι πολύ χαμηλή, δεδομένης της φύσης των Υπηρεσιών μας και των δεδομένων που επεξεργαζόμαστε.
4.1.2 Εκτελεστική Διαταγή 12333
Η ΕΔ 12333 εξουσιοδοτεί τις αμερικανικές υπηρεσίες πληροφοριών να διεξάγουν δραστηριότητες παρακολούθησης, συμπεριλαμβανομένης της μαζικής συλλογής πληροφοριών σημάτων. Εφαρμόζεται σε δεδομένα κατά τη μεταφορά και δεν αναγκάζει ιδιωτικές εταιρείες να συνεργαστούν.
Αξιολόγηση κινδύνου:
- Μετριασμός: Όλα τα δεδομένα κατά τη μεταφορά είναι κρυπτογραφημένα με TLS. Η μαζική υποκλοπή κρυπτογραφημένων δεδομένων κατά τη μεταφορά δεν θα αποφέρει προσωπικά δεδομένα σε απλό κείμενο.
- Πρακτική πιθανότητα: Χαμηλή. Τα δεδομένα που επεξεργάζονται μέσω των Υπηρεσιών μας δεν έχουν τη φύση που τυπικά στοχεύεται από πληροφορίες σημάτων.
4.1.3 Εκτελεστική Διαταγή 14086 και το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ
Η Εκτελεστική Διαταγή 14086 (Οκτώβριος 2022) εισήγαγε πρόσθετες διασφαλίσεις για δραστηριότητες πληροφοριών σημάτων, συμπεριλαμβανομένων:
- Απαιτήσεων αναγκαιότητας και αναλογικότητας για τη συλλογή πληροφοριών
- Ενός διαδικασίας προσφυγής δύο βαθμίδων (Αξιωματούχος Προστασίας Πολιτικών Ελευθεριών + Δικαστήριο Επανεξέτασης Προστασίας Δεδομένων) διαθέσιμης για άτομα της ΕΕ/ΗΒ/Ελβετίας
- Περιορισμών στη μαζική συλλογή
Η Ευρωπαϊκή Επιτροπή εξέδωσε απόφαση επάρκειας για το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ (DPF) στις 10 Ιουλίου 2023. Αν και η Acira AI δεν είναι αυτο-πιστοποιημένη βάσει του DPF, οι προστασίες βάσει της ΕΔ 14086 εφαρμόζονται ευρέως σε όλες τις μεταφορές δεδομένων στις ΗΠΑ και ωφελούν όλα τα υποκείμενα δεδομένων ανεξαρτήτως του χρησιμοποιούμενου μηχανισμού μεταφοράς.
4.1.4 Νόμος CLOUD
Ο Νόμος για τη Διευκρίνιση της Νόμιμης Χρήσης Δεδομένων στο Εξωτερικό (CLOUD Act) επιτρέπει στις αμερικανικές αρχές επιβολής νόμου να αναγκάζουν παρόχους με έδρα στις ΗΠΑ να παράγουν δεδομένα ανεξάρτητα από το πού αποθηκεύονται, υπό την προϋπόθεση έγκυρης εντολής ή δικαστικής διαταγής.
Αξιολόγηση κινδύνου:
- Διασφαλίσεις: Ο CLOUD Act απαιτεί έγκυρη νομική διαδικασία (εντολή, κλήση ή δικαστική διαταγή). Δεν εξουσιοδοτεί μαζική πρόσβαση χωρίς εντολή.
- Διατάξεις comity: Ο CLOUD Act περιλαμβάνει ένα πλαίσιο comity που επιτρέπει στους παρόχους να αμφισβητούν διαταγές που έρχονται σε σύγκρουση με το αλλοδαπό δίκαιο.
- Πρακτική πιθανότητα: Χαμηλή για δεδομένα επισκεπτών ιστότοπου. Τα αιτήματα επιβολής νόμου θα στοχεύουν πιθανότερα σε συγκεκριμένους λογαριασμούς ύποπτους για εγκληματική δραστηριότητα, όχι αναλυτικά στοιχεία επισκεπτών ή υποβολές φορμών.
4.2 Ισραήλ (BrightData)
Η BrightData έχει έδρα στο Ισραήλ. Το Ισραήλ διαθέτει απόφαση επάρκειας από την Ευρωπαϊκή Επιτροπή (2011/61/EU), πράγμα που σημαίνει ότι οι μεταφορές στο Ισραήλ αντιμετωπίζονται παρόμοια με τις ενδο-ΕΟΧ μεταφορές. Ωστόσο, η BrightData επεξεργάζεται επίσης δεδομένα σε άλλες παγκόσμιες τοποθεσίες. Σημειώνουμε ότι:
- Η επεξεργασία BrightData πραγματοποιείται μόνο κατόπιν οδηγιών χρήστη (κατά τη δημιουργία ιστότοπου για εισαγωγή περιεχομένου) ή κατά τη διάρκεια προγραμματισμένης παρακολούθησης SERP.
- Κανένα προσωπικό δεδομένο επισκεπτών ιστότοπου δεν διαβιβάζεται στην BrightData.
4.3 Καναδάς (Μεταφορές από Καναδά στις ΗΠΑ)
Τα προσωπικά δεδομένα επισκεπτών ιστότοπου που βρίσκονται στον Καναδά μπορεί να μεταφερθούν στις ΗΠΑ για επεξεργασία. Οι ακόλουθοι καναδικοί νόμοι είναι σχετικοί με αυτή την αξιολόγηση:
4.3.1 Νόμος για την Προστασία Προσωπικών Πληροφοριών και Ηλεκτρονικά Έγγραφα (PIPEDA)
Ο PIPEDA διέπει τη συλλογή, χρήση και αποκάλυψη προσωπικών πληροφοριών από οργανισμούς του ιδιωτικού τομέα στο πλαίσιο εμπορικών δραστηριοτήτων. Η Αρχή 4.1.3 του PIPEDA απαιτεί οι οργανισμοί να χρησιμοποιούν συμβατικά ή άλλα μέσα για να διασφαλίσουν συγκρίσιμο επίπεδο προστασίας όταν προσωπικές πληροφορίες μεταφέρονται σε τρίτους για επεξεργασία, συμπεριλαμβανομένων μεταφορών εκτός Καναδά.
Αξιολόγηση κινδύνου:
- Συγκρίσιμη προστασία: Τα συμπληρωματικά μέτρα που περιγράφονται στην Ενότητα 6 (κρυπτογράφηση, ψευδωνυμοποίηση, έλεγχοι πρόσβασης, ελαχιστοποίηση δεδομένων) παρέχουν επίπεδο προστασίας συγκρίσιμο με αυτό που απαιτείται βάσει PIPEDA. Γραπτές συμφωνίες επεξεργασίας δεδομένων υπάρχουν με όλους τους υπο-εκτελούντες.
- Χωρίς απαίτηση επάρκειας: Σε αντίθεση με τον ΓΚΠΔ, ο PIPEDA δεν απαγορεύει τις μεταφορές σε χώρες χωρίς εύρεση «επάρκειας». Οι οργανισμοί πρέπει να διασφαλίσουν συγκρίσιμη προστασία μέσω συμβατικών και άλλων μέσων, τα οποία έχουμε εφαρμόσει.
4.3.2 Επαρχιακή Νομοθεσία Απορρήτου
Ο Νόμος Προστασίας Προσωπικών Πληροφοριών (PIPA) της Αλμπέρτα, ο Νόμος Προστασίας Προσωπικών Πληροφοριών (PIPA) της Βρετανικής Κολομβίας και ο Νόμος του Κεμπέκ σχετικά με την προστασία προσωπικών πληροφοριών στον ιδιωτικό τομέα επιβάλλουν πρόσθετες απαιτήσεις για ορισμένες επαρχίες:
Αξιολόγηση κινδύνου:
- Νόμος 25 του Κεμπέκ: Ο εκσυγχρονισμένος νόμος απορρήτου του Κεμπέκ (σε ισχύ από τον Σεπτέμβριο 2023) απαιτεί εκτίμηση αντικτύπου απορρήτου πριν από τη μεταφορά προσωπικών πληροφοριών εκτός Κεμπέκ, και ο μεταβιβαστής οργανισμός πρέπει να έχει διαπιστώσει ότι οι πληροφορίες θα λάβουν επαρκή προστασία. Οι συμβατικές μας προστασίες, τα συμπληρωματικά τεχνικά μέτρα και η φύση των δεδομένων (κυρίως ψευδωνυμοποιημένα αναλυτικά στοιχεία και αλληλεπιδράσεις ιστότοπων μικρών επιχειρήσεων) υποστηρίζουν ευρεση επαρκούς προστασίας.
- Αλμπέρτα και Βρετανική Κολομβία: Τα PIPA της Αλμπέρτα και της ΒΚ απαιτούν από οργανισμούς να διασφαλίζουν συγκρίσιμη προστασία για μεταφερόμενα δεδομένα. Οι συμβατικές και τεχνικές μας διασφαλίσεις ικανοποιούν αυτή την απαίτηση.
4.3.3 Πρόσβαση Αμερικανικής Κυβέρνησης από Καναδική Σκοπιά
Οι ίδιοι κίνδυνοι πρόσβασης αμερικανικής κυβέρνησης που αξιολογήθηκαν στην Ενότητα 4.1 ισχύουν για καναδικές μεταφορές δεδομένων. Η χαμηλή πιθανότητα κυβερνητικής πρόσβασης (δεδομένης της φύσης των δεδομένων και του προφίλ της εταιρείας μας), σε συνδυασμό με τα συμπληρωματικά μέτρα στην Ενότητα 6, διασφαλίζει ότι τα προσωπικά δεδομένα που μεταφέρονται από τον Καναδά στις ΗΠΑ λαμβάνουν συγκρίσιμο επίπεδο προστασίας με αυτό που απαιτείται βάσει του καναδικού νόμου περί απορρήτου.
4.4 Παγκόσμιες Τοποθεσίες Edge (Cloudflare)
Η Cloudflare λειτουργεί ένα παγκόσμιο δίκτυο τοποθεσιών edge. Τα αιτήματα επισκεπτών ΕΕ επεξεργάζονται τυπικά στο πλησιέστερο σημείο παρουσίας Cloudflare, το οποίο για επισκέπτες ΕΕ θα είναι συνήθως μια τοποθεσία ΕΕ.
- Η δρομολόγηση αιτημάτων, ο τερματισμός TLS και η προστασία bot πραγματοποιούνται στην πλησιέστερη τοποθεσία edge.
- Για διαχειριστές ιστότοπων που έχουν ταυτοποιηθεί ως κάτοικοι ΕΕ, ο μόνιμος χώρος αποθήκευσης (που περιέχει υποβολές φορμών, συνομιλίες chatbot και δεδομένα συνεδρίας) περιορίζεται δικαιοδοτικά στην Ευρωπαϊκή Ένωση χρησιμοποιώντας το API δικαιοδοσίας της Cloudflare. Για διαχειριστές ιστότοπων εκτός ΕΕ, ο μόνιμος χώρος αποθήκευσης βρίσκεται κοντά στη γεωγραφική περιοχή του διαχειριστή, αλλά μπορεί να βρίσκεται εκτός ΕΕ.
- Τα δεδομένα αναλυτικών στοιχείων επεξεργάζονται σε υποδομή που διαχειρίζεται η Cloudflare.
5. ΑΞΙΟΛΟΓΗΣΗ ΡΟΩΝ ΔΕΔΟΜΕΝΩΝ ΑΝΑ ΠΑΡΟΧΟ ΥΠΗΡΕΣΙΩΝ
5.1 Amazon Web Services (ΗΠΑ)
| Ροή Δεδομένων | Εμπλεκόμενα Προσωπικά Δεδομένα | Σκοπός |
|---|---|---|
| Αποθήκευση βάσης δεδομένων | Μεταδεδομένα υποβολής φόρμας (IP, χώρα, περιοχή), αρχεία συνομιλίας chatbot, μεταδεδομένα αρχείων, αρχεία συνεδρίας | Μόνιμη αποθήκευση δεδομένων επισκεπτών ιστότοπου |
| Αποθήκευση αρχείων | Μεταφορτωμένα αρχεία (εικόνες, έγγραφα), στιγμιότυπα ανάπτυξης | Αποθήκευση αρχείων |
| Συμπέρασμα ΤΝ | Περιεχόμενο αρχείου (για περιγραφές ΤΝ), περιεχόμενο email (για ανίχνευση spam) | Περιγραφές με τεχνητή νοημοσύνη και ταξινόμηση spam |
| Μετριασμός περιεχομένου | Μεταφορτωμένες εικόνες | Μετριασμός περιεχομένου (ανίχνευση γυμνότητας/ρητού περιεχομένου) |
| Παράδοση email | Διευθύνσεις email, περιεχόμενο μηνυμάτων | Συναλλακτική παράδοση email και ειδοποιήσεις υποβολής περιεχομένου. Για τους διαχειριστές ιστοτόπων κατοίκους ΕΕ, αυτές οι λειτουργίες επεξεργάζονται στην Ευρωπαϊκή Ένωση (Στοκχόλμη). |
| Ανίχνευση γλώσσας | Κείμενο μηνύματος email | Ανίχνευση γλώσσας |
Διασφαλίσεις AWS:
- Πιστοποιημένο ISO 27001, 27017, 27018
- Διαθέσιμες αναφορές SOC 1/2/3
- Δεδομένα κρυπτογραφημένα σε κατάσταση ηρεμίας χρησιμοποιώντας κρυπτογράφηση βιομηχανικού προτύπου
- Δεδομένα κρυπτογραφημένα κατά τη μεταφορά (TLS)
- Έλεγχοι πρόσβασης ελάχιστων δικαιωμάτων ανά στοιχείο συστήματος
- Κύριες υπηρεσίες που φιλοξενούνται στις Ηνωμένες Πολιτείες· αυτοματοποιημένες λειτουργίες προσανατολισμένες στους επισκέπτες (ειδοποιήσεις υποβολής περιεχομένου και συναλλακτική παράδοση email) για διαχειριστές ιστοτόπων κατοίκους ΕΕ επεξεργάζονται στην Ευρωπαϊκή Ένωση (Στοκχόλμη)
5.2 Cloudflare (Παγκόσμια)
| Ροή Δεδομένων | Εμπλεκόμενα Προσωπικά Δεδομένα | Σκοπός |
|---|---|---|
| Δρομολόγηση edge | Διευθύνσεις IP, κεφαλίδες HTTP, URL αιτημάτων | Δρομολόγηση αιτημάτων, προστασία DDoS, τερματισμός TLS |
| Φιλοξενία ιστότοπου | Περιεχόμενο σελίδας, μεταδεδομένα επισκεπτών | Φιλοξενία και παράδοση ιστότοπου |
| Μόνιμος χώρος αποθήκευσης | Υποβολές φορμών, συνομιλίες chatbot, δεδομένα συνεδρίας, δεδομένα πίνακα χρηστών | Αποθήκευση ανά ιστότοπο με κατάσταση |
| Αναλυτικά στοιχεία | Ψευδωνυμοποιημένος κατακερματισμός επισκέπτη, χώρα, συσκευή, πρόγραμμα περιήγησης, referrer, UTM | Αναλυτικά στοιχεία επισκεπτών φιλικά προς το απόρρητο |
| Συμπέρασμα ΤΝ | Μηνύματα chatbot, περιλήψεις πεδίων φόρμας | Απαντήσεις chatbot ΤΝ, ανίχνευση spam |
| Αποθήκευση στοιχείων | Στοιχεία ιστότοπου (εικόνες, αρχεία) | Αποθήκευση στατικών στοιχείων και παράδοση CDN |
Διασφαλίσεις Cloudflare:
- Πιστοποιημένο ISO 27001, SOC 2 Τύπου II
- TLS 1.2+ για όλες τις συνδέσεις
- Διαθέσιμο DPA Cloudflare με ΤΚΣ
- Η επεξεργασία edge σημαίνει ότι τα δεδομένα επισκεπτών ΕΕ επεξεργάζονται τυπικά σε τοποθεσίες edge της ΕΕ για τον χειρισμό αιτημάτων
- Για τους διαχειριστές ιστοτόπων που ταυτοποιούνται ως κάτοικοι ΕΕ, η μόνιμη αποθήκευση (που περιέχει υποβολές φορμών, συνομιλίες chatbot, δεδομένα συνεδρίας και δεδομένα πινάκων χρηστών) περιορίζεται δικαιοδοτικά στην Ευρωπαϊκή Ένωση χρησιμοποιώντας το API δικαιοδοσίας της Cloudflare, διασφαλίζοντας ότι αυτά τα δεδομένα αποθηκεύονται και επεξεργάζονται αποκλειστικά σε κέντρα δεδομένων της ΕΕ. Κλήσεις backend API από το edge (για ειδοποιήσεις υποβολής περιεχομένου και συναλλακτική παράδοση email) δρομολογούνται στην υποδομή AWS που βρίσκεται στην ΕΕ.
- Το συμπέρασμα ΤΝ δεν διατηρεί δεδομένα εισόδου για εκπαίδευση
5.3 Stripe (ΗΠΑ)
| Ροή Δεδομένων | Εμπλεκόμενα Προσωπικά Δεδομένα | Σκοπός |
|---|---|---|
| Επεξεργασία πληρωμών | Δεδομένα τιμολόγησης διαχειριστή ιστότοπου (όνομα, email, μέθοδος πληρωμής) | Επεξεργασία πληρωμών συνδρομής και τομέα |
Σημείωση: Η Stripe δεν λαμβάνει προσωπικά δεδομένα επισκεπτών ιστότοπου. Μόνο τα τιμολογιακά στοιχεία του διαχειριστή ιστότοπου (του πελάτη μας) υποβάλλονται σε επεξεργασία από τη Stripe.
Διασφαλίσεις Stripe:
- Πιστοποιημένο PCI DSS Level 1
- Πιστοποιημένο ISO 27001
- Διαθέσιμο DPA Stripe με ΤΚΣ
5.4 Πάροχοι Συμπεράσματος ΤΝ (ΗΠΑ)
Οι Fireworks AI και xAI παρέχουν υπηρεσίες συμπεράσματος μοντέλων ΤΝ.
| Ροή Δεδομένων | Εμπλεκόμενα Προσωπικά Δεδομένα | Σκοπός |
|---|---|---|
| Δημιουργία κειμένου (περιεχόμενο ιστότοπου) | Περιεχόμενο ιστότοπου (όχι δεδομένα επισκεπτών) | Δημιουργία και επεξεργασία περιεχομένου ιστότοπου |
| Δημιουργία εικόνας | Εκτρεπόμενα κείμενα (όχι δεδομένα επισκεπτών) | Δημιουργία εικόνων για ιστότοπους |
| Συνομιλητική ΤΝ (agent chat) | Όνομα χρήστη πλατφόρμας, email, γλωσσική προτίμηση και ιστορικό συνομιλίας | Βοηθός ΤΝ για χρήστες πλατφόρμας (διαχειριστές ιστότοπου) |
Σημείωση: Αυτοί οι πάροχοι ΤΝ δεν λαμβάνουν προσωπικά δεδομένα επισκεπτών ιστότοπου. Η λειτουργία chatbot (που εξυπηρετεί επισκέπτες ιστότοπου) χρησιμοποιεί Cloudflare Workers AI (αξιολογείται στην Ενότητα 5.2), όχι αυτούς τους παρόχους. Ωστόσο, ο συνομιλητικός βοηθός ΤΝ της πλατφόρμας — που χρησιμοποιείται από διαχειριστές ιστότοπου για τη διαχείριση των ιστότοπών τους — αποστέλλει προσωπικά δεδομένα χρηστών πλατφόρμας (όνομα, διεύθυνση email και ιστορικό συνομιλίας) σε αυτούς τους παρόχους ως μέρος της δημιουργίας απαντήσεων. Για αυτή την επεξεργασία, η Acira AI ενεργεί ως υπεύθυνος επεξεργασίας (όχι εκτελών), και τα υποκείμενα δεδομένων είναι οι χρήστες της πλατφόρμας μας (διαχειριστές ιστότοπου), όχι οι επισκέπτες των ιστότοπών τους. Αυτή η ροή δεδομένων διέπεται από την Πολιτική Απορρήτου μας και τις συμφωνίες μας με αυτούς τους παρόχους, αντί του πλαισίου υπεύθυνου-εκτελούντος του DPA για δεδομένα επισκεπτών.
Οικογένειες Μοντέλων: Αυτοί οι πάροχοι υποδομής φιλοξενούν και εκτελούν μοντέλα ΤΝ που αναπτύχθηκαν από διάφορα τρίτα μέρη. Τα συγκεκριμένα μοντέλα και οικογένειες μοντέλων που χρησιμοποιούνται μπορεί να αλλάξουν με την πάροδο του χρόνου. Οι προγραμματιστές μοντέλων δεν λαμβάνουν ούτε έχουν πρόσβαση σε δεδομένα χρηστών — όλη η επεξεργασία δεδομένων πραγματοποιείται αποκλειστικά εντός της υποδομής των αναφερόμενων υπο-εκτελούντων, ανεξάρτητα από το πού αναπτύχθηκε αρχικά ένα μοντέλο. Όλη η επεξεργασία συμπεράσματος ΤΝ παραμένει στην υποδομή των αναφερόμενων υπο-εκτελούντων μας. Κανένα δεδομένο χρήστη δεν διαβιβάζεται σε προγραμματιστές μοντέλων ή σε υποδομή εκτός των υπο-εκτελούντων που αναφέρονται στην παρούσα αξιολόγηση. Μια τρέχουσα λίστα οικογενειών μοντέλων που χρησιμοποιούνται είναι διαθέσιμη κατόπιν αιτήματος επικοινωνώντας στη διεύθυνση legal@acira.ai.
5.5 BrightData (Ισραήλ / Παγκόσμιο)
| Ροή Δεδομένων | Εμπλεκόμενα Προσωπικά Δεδομένα | Σκοπός |
|---|---|---|
| Συλλογή δεδομένων ιστού | Δημόσια διαθέσιμο περιεχόμενο ιστού (όχι δεδομένα επισκεπτών) | Εισαγωγή περιεχομένου κατά τη δημιουργία ιστότοπου (κατόπιν οδηγιών χρήστη) |
| Παρακολούθηση SERP | Λέξεις-κλειδιά αναζήτησης (όχι δεδομένα επισκεπτών) | Παρακολούθηση κατατάξεων λέξεων-κλειδιών |
Σημείωση: Η BrightData δεν επεξεργάζεται προσωπικά δεδομένα επισκεπτών ιστότοπου. Επεξεργάζεται δημόσια διαθέσιμο περιεχόμενο ιστού κατόπιν οδηγιών χρήστη και παρακολουθεί κατατάξεις μηχανών αναζήτησης για λέξεις-κλειδιά που ορίζει ο χρήστης.
5.6 Πάροχοι με Έδρα στην ΕΕ (Χωρίς Μεταφορά)
| Πάροχος | Τοποθεσία | Σκοπός |
|---|---|---|
| Black Forest Labs | Γερμανία (ΕΕ) | Δημιουργία εικόνων ΤΝ (μοντέλα Flux) |
| ScreenshotOne | Ευρωπαϊκή Ένωση | Λήψη στιγμιότυπων οθόνης ιστότοπου |
| CloudConvert | Γερμανία (ΕΕ) | Μετατροπή μορφής αρχείου |
Αυτοί οι πάροχοι επεξεργάζονται δεδομένα εντός της ΕΕ και δεν αποτελούν διεθνή μεταφορά. Η Black Forest Labs λαμβάνει μόνο εκτρεπόμενα κείμενα για δημιουργία εικόνων· δεν εμπλέκονται προσωπικά δεδομένα.
6. ΣΥΜΠΛΗΡΩΜΑΤΙΚΑ ΜΕΤΡΑ
Εκτός των ΤΚΣ, εφαρμόζουμε τα ακόλουθα συμπληρωματικά μέτρα για να διασφαλίσουμε ουσιαστικά ισοδύναμο επίπεδο προστασίας για τα μεταφερόμενα προσωπικά δεδομένα:
6.1 Τεχνικά Μέτρα
| Μέτρο | Περιγραφή |
|---|---|
| Κρυπτογράφηση κατά τη μεταφορά | Όλα τα δεδομένα που μεταδίδονται μεταξύ επισκεπτών, δικτύου edge και υπηρεσιών backend κρυπτογραφούνται με TLS (ελάχιστο TLS 1.2). Η εσωτερική επικοινωνία υπηρεσία-προς-υπηρεσία χρησιμοποιεί κρυπτογραφημένα κανάλια. |
| Κρυπτογράφηση σε κατάσταση ηρεμίας | Όλες οι εγγραφές βάσης δεδομένων, ο χώρος αποθήκευσης αρχείων και ο μόνιμος χώρος αποθήκευσης που φιλοξενείται στο edge κρυπτογραφούνται σε κατάσταση ηρεμίας χρησιμοποιώντας κρυπτογράφηση βιομηχανικού προτύπου που διαχειρίζεται ο αντίστοιχος πάροχος υποδομής. |
| Ψευδωνυμοποίηση | Τα αναλυτικά στοιχεία επισκεπτών χρησιμοποιούν ημερησίως εναλλασσόμενη κρυπτογραφική κατακερματισμένη τιμή (IP + User-Agent + ημερομηνία) αντί αποθήκευσης ακατέργαστων διευθύνσεων IP. Αυτή η κατακερματισμένη τιμή δεν μπορεί να αντιστραφεί και εναλλάσσεται κάθε 24 ώρες, αποτρέποντας διαρκή παρακολούθηση. |
| Ελαχιστοποίηση δεδομένων | Τα αναλυτικά στοιχεία συλλέγουν μόνο μεταδεδομένα σε επίπεδο αθροίσματος (χώρα, τύπος συσκευής, πρόγραμμα περιήγησης). Καμία ακατέργαστη διεύθυνση IP δεν αποθηκεύεται σε αναλυτικά στοιχεία. Τα μηνύματα chatbot περιορίζονται σε 2.000 χαρακτήρες. |
| Κατακερματισμός κωδικών πρόσβασης | Όλοι οι κωδικοί πρόσβασης επισκεπτών (για τις προστατευμένες περιοχές του ιστοτόπου) κατακερματίζονται με ισχυρούς κρυπτογραφικούς αλγόριθμους και τυχαία salts ανά χρήστη πριν από την αποθήκευση. Οι κωδικοί σε απλό κείμενο δεν αποθηκεύονται ούτε μεταδίδονται ποτέ. |
| Έλεγχοι πρόσβασης | Πολιτικές ελάχιστων δικαιωμάτων πρόσβασης περιορίζουν κάθε στοιχείο συστήματος μόνο στους πόρους που χρειάζεται. Τα API tokens ανά ιστότοπο περιορίζουν την πρόσβαση σε μεμονωμένους ιστότοπους. |
| Απομόνωση δικτύου | Οι υπηρεσίες backend επικοινωνούν μέσω εσωτερικών δικτύων. Η φιλοξενία ιστότοπου εκτελείται σε απομονωμένα sandbox εκτέλεσης. Η εκτέλεση προσαρμοσμένου κώδικα χρησιμοποιεί sandbox βασισμένο σε WebAssembly. |
| Δικαιοδοτική εγκατάσταση δεδομένων | Για τους διαχειριστές ιστοτόπων που ταυτοποιούνται ως κάτοικοι ΕΕ, η μόνιμη αποθήκευση που περιέχει δεδομένα επισκεπτών (υποβολές φορμών, συνομιλίες chatbot, δεδομένα συνεδρίας και δεδομένα πινάκων χρηστών) περιορίζεται δικαιοδοτικά στην Ευρωπαϊκή Ένωση, διασφαλίζοντας ότι αυτά τα δεδομένα αποθηκεύονται και επεξεργάζονται αποκλειστικά σε κέντρα δεδομένων της ΕΕ. Αυτοματοποιημένες λειτουργίες προσανατολισμένες στους επισκέπτες (ειδοποιήσεις υποβολής περιεχομένου και συναλλακτική παράδοση email) επεξεργάζονται επίσης εντός υποδομής που βρίσκεται στην ΕΕ. |
| Αυτοματοποιημένη διαγραφή | Τα δεδομένα συνεδρίας λήγουν μετά από 30 ημέρες αδράνειας. Τα προσωρινά αρχεία διαγράφονται εντός 24 ωρών. Τα δεδομένα πρόκλησης bot είναι εφήμερα και δεν διατηρούνται. |
6.2 Οργανωτικά Μέτρα
| Μέτρο | Περιγραφή |
|---|---|
| Εμπιστευτικότητα προσωπικού | Όλο το προσωπικό με πρόσβαση σε προσωπικά δεδομένα δεσμεύεται από υποχρεώσεις εμπιστευτικότητας. |
| Δέουσα επιμέλεια υπο-εκτελούντων | Οι υπο-εκτελούντες αξιολογούνται για τις πρακτικές ασφάλειάς τους και τη συμμόρφωσή τους με την προστασία δεδομένων πριν από την ανάθεση. Γραπτά DPA υπάρχουν με όλους τους υπο-εκτελούντες. |
| Αντίδραση σε συμβάντα | Οι διαδικασίες γνωστοποίησης παραβίασης διασφαλίζουν ότι οι Υπεύθυνοι Επεξεργασίας ειδοποιούνται εντός 72 ωρών από την επιβεβαίωση παραβίασης προσωπικών δεδομένων. |
| Πολιτικές διατήρησης δεδομένων | Τεκμηριωμένες περίοδοι διατήρησης με αυτοματοποιημένη εφαρμογή (διαγραφή βάσει TTL, πολιτικές κύκλου ζωής). |
| Παρακολούθηση ασφάλειας | Δομημένη καταγραφή, αυτοματοποιημένη παρακολούθηση ασφάλειας και ανίχνευση εισβολής. Αρχεία καταγραφής σφαλμάτων και διαγνωστικών διατηρούνται έως 30 ημέρες. |
6.3 Συμβατικά Μέτρα
| Μέτρο | Περιγραφή |
|---|---|
| Τυποποιημένες Συμβατικές Ρήτρες | Οι ΤΚΣ (Ενότητα Ένα, Ενότητα Δύο και Ενότητα Τρία) ενσωματώνονται στο DPA μας με παραπομπή. |
| ΤΚΣ υπο-εκτελούντων | Γραπτές συμφωνίες με κάθε υπο-εκτελούντα επιβάλλουν υποχρεώσεις προστασίας δεδομένων που δεν είναι λιγότερο προστατευτικές από αυτές στο DPA μας. |
| Γνωστοποίηση κυβερνητικής πρόσβασης | Δεσμευόμαστε να ειδοποιούμε τους Υπεύθυνους Επεξεργασίας για αιτήματα κυβερνητικής πρόσβασης όπου επιτρέπεται νομικά, όπως περιγράφεται στους Όρους και Προϋποθέσεις μας. |
| Δέσμευση αμφισβήτησης | Δεσμευόμαστε να αμφισβητούμε αιτήματα κυβερνητικής πρόσβασης που πιστεύουμε ότι είναι υπερβολικά ευρεία ή παράνομα. |
7. ΕΚΤΙΜΗΣΗ ΚΙΝΔΥΝΟΥ
7.1 Πιθανότητα Κυβερνητικής Πρόσβασης
| Παράγοντας | Αξιολόγηση |
|---|---|
| Φύση των δεδομένων | Κυρίως ψευδωνυμοποιημένα αναλυτικά στοιχεία, υποβολές φορμών και μηνύματα chatbot από ιστότοπους μικρών επιχειρήσεων. Αυτά τα δεδομένα έχουν χαμηλή αξία πληροφοριών. |
| Όγκος δεδομένων | Χαμηλός έως μέτριος. Κάθε ιστότοπος εξυπηρετεί τη δική του βάση επισκεπτών· τα δεδομένα δεν συγκεντρώνονται σε ιστότοπους για σκοπούς παρακολούθησης. |
| Εταιρικό προφίλ | Η Acira AI είναι μια μικρή εταιρεία SaaS που φιλοξενεί ιστότοπους μικρών επιχειρήσεων. Δεν είμαστε πάροχος τηλεπικοινωνιών ούτε στόχος παρακολούθησης υψηλού προφίλ. |
| Ιστορικά αιτήματα | Από την ημερομηνία αυτής της αξιολόγησης, η Acira AI δεν έχει λάβει ποτέ οδηγία Άρθρου 702 FISA, Εθνική Επιστολή Ασφάλειας ή κυβερνητικό αίτημα για μαζική πρόσβαση σε δεδομένα πελατών. |
| Προφίλ υπο-εκτελούντων | Η AWS και η Cloudflare είναι μεγάλοι πάροχοι υποδομής που δημοσιεύουν εκθέσεις διαφάνειας. Οι εκθέσεις διαφάνειάς τους δείχνουν ότι τα κυβερνητικά αιτήματα στοχεύουν συγκεκριμένους λογαριασμούς, όχι μαζική πρόσβαση σε φιλοξενούμενο περιεχόμενο. |
Συνολική πιθανότητα: ΧΑΜΗΛΗ
7.2 Αντίκτυπος σε Περίπτωση Πρόσβασης
| Παράγοντας | Αξιολόγηση |
|---|---|
| Ευαισθησία δεδομένων | Η πλειονότητα των μεταφερόμενων δεδομένων έχει χαμηλή ευαισθησία (ψευδωνυμοποιημένα αναλυτικά στοιχεία, μεταδεδομένα επισκεπτών ιστότοπου). Οι υποβολές φορμών μπορεί να περιέχουν δεδομένα μέσης ευαισθησίας (ονόματα, διευθύνσεις email, μηνύματα) ανάλογα με τον ιστότοπο. |
| Αποτελεσματικότητα ψευδωνυμοποίησης | Τα δεδομένα αναλυτικών στοιχείων δεν μπορούν να συνδεθούν με άτομα χωρίς πρόσβαση στα ημερησίως εναλλασσόμενα συστατικά κατακερμάτισης (IP + User-Agent + ημερομηνία), τα οποία δεν αποθηκεύονται. |
| Εύρος έκθεσης | Οποιαδήποτε κυβερνητική πρόσβαση θα περιοριζόταν σε συγκεκριμένους λογαριασμούς ή ιστοτόπους, όχι σε ολόκληρη την πλατφόρμα. Η απομόνωση δεδομένων ανά ιστοτόπο μέσω αφιερωμένων περιπτώσεων αποθήκευσης περιορίζει το εύρος οποιασδήποτε δυνητικής παραβίασης. Για τους διαχειριστές ιστοτόπων κατοίκους ΕΕ, η μόνιμη αποθήκευση και η αυτοματοποιημένη επεξεργασία προσανατολισμένη στους επισκέπτες (ειδοποιήσεις υποβολής περιεχομένου και συναλλακτική παράδοση email) περιορίζονται στην ΕΕ, περιορίζοντας περαιτέρω την έκθεση στην πρόσβαση της αμερικανικής κυβέρνησης για αυτά τα δεδομένα. |
Συνολικός αντίκτυπος: ΧΑΜΗΛΟΣ έως ΜΕΣΟΣ (ανάλογα με την ευαισθησία των δεδομένων που συλλέγουν μεμονωμένοι διαχειριστές ιστότοπου)
7.3 Αξιολόγηση υπολειπόμενου κινδύνου
Λαμβάνοντας υπόψη τη χαμηλή πιθανότητα κυβερνητικής πρόσβασης, τα συμπληρωματικά τεχνικά μέτρα (κρυπτογράφηση, ψευδωνυμοποίηση, ελαχιστοποίηση δεδομένων) και τις πρόσθετες διασφαλίσεις που εισήγαγε η ΕΔ 14086, εκτιμούμε ότι ο υπολειπόμενος κίνδυνος για τα υποκείμενα δεδομένων είναι χαμηλός και ότι τα συμπληρωματικά μέτρα, μαζί με τις ΤΚΣ (για μεταφορές ΕΟΧ/ΗΒ/Ελβετίας) και συμβατικές προστασίες (για καναδικές μεταφορές), παρέχουν επίπεδο προστασίας ουσιαστικά ισοδύναμο με αυτό που εγγυάται εντός του ΕΟΧ και συγκρίσιμο με αυτό που απαιτείται βάσει του καναδικού νόμου περί απορρήτου.
8. ΣΥΜΠΕΡΑΣΜΑ
Βάσει αυτής της αξιολόγησης, συμπεραίνουμε ότι:
Τα προσωπικά δεδομένα που μεταφέρονται από τον ΕΟΧ/ΗΒ/Ελβετία/Καναδά στις ΗΠΑ στο πλαίσιο της παροχής των Υπηρεσιών μας επωφελούνται από ουσιαστικά ισοδύναμο επίπεδο προστασίας με αυτό που εγγυάται βάσει του δικαίου προστασίας δεδομένων της ΕΕ και συγκρίσιμο επίπεδο προστασίας με αυτό που απαιτείται βάσει του καναδικού νόμου περί απορρήτου.
Οι Τυποποιημένες Συμβατικές Ρήτρες, σε συνδυασμό με τα συμπληρωματικά τεχνικά, οργανωτικά και συμβατικά μέτρα που περιγράφονται στην Ενότητα 6, αντιμετωπίζουν επαρκώς τους κινδύνους που εντοπίστηκαν σε αυτή την αξιολόγηση.
Η φύση των δεδομένων (κυρίως ψευδωνυμοποιημένα αναλυτικά στοιχεία και αλληλεπιδράσεις επισκεπτών ιστότοπων μικρών επιχειρήσεων) και το προφίλ του εισαγωγέα δεδομένων (μια μικρή εταιρεία SaaS, όχι πάροχος τηλεπικοινωνιών) μειώνουν σημαντικά τον πρακτικό κίνδυνο κυβερνητικής παρακολούθησης.
Οι προστασίες που εισήχθησαν από την Εκτελεστική Διαταγή 14086 και ο συνοδευτικός μηχανισμός προσφυγής παρέχουν πρόσθετες διασφαλίσεις που ωφελούν όλα τα υποκείμενα δεδομένων, ανεξαρτήτως του συγκεκριμένου μηχανισμού μεταφοράς που χρησιμοποιείται.
Για καναδικές μεταφορές, οι συμβατικές προστασίες και τα συμπληρωματικά μέτρα που περιγράφονται εδώ διασφαλίζουν συγκρίσιμο επίπεδο προστασίας με αυτό που απαιτείται βάσει του PIPEDA και της εφαρμοστέας επαρχιακής νομοθεσίας περί απορρήτου, συμπεριλαμβανομένου του εκσυγχρονισμένου νόμου απορρήτου του Κεμπέκ.
Θα συνεχίσουμε να παρακολουθούμε εξελίξεις στο αμερικανικό δίκαιο και πρακτική παρακολούθησης, καθώς και εξελίξεις στον καναδικό νόμο περί απορρήτου (συμπεριλαμβανομένου του προτεινόμενου Νόμου Προστασίας Απορρήτου Καταναλωτών), και θα επαναξιολογήσουμε αυτή την TIA εάν οι συνθήκες αλλάξουν ουσιωδώς.
Οι μεταφορές μπορούν να προχωρήσουν υπό την προϋπόθεση της συνεχούς εφαρμογής των ΤΚΣ και των συμπληρωματικών μέτρων που περιγράφονται εδώ.
9. ΧΡΟΝΟΔΙΑΓΡΑΜΜΑ ΕΠΑΝΕΞΕΤΑΣΗΣ
Η παρούσα TIA θα επανεξεταστεί και θα ενημερωθεί:
- Ετησίως, τουλάχιστον, ή
- Επί ουσιωδών αλλαγών στους εφαρμοστέους νόμους ή κανονισμούς (συμπεριλαμβανομένων αλλαγών στο FISA, τον CLOUD Act, την ΕΔ 14086, τον PIPEDA ή την καναδική επαρχιακή νομοθεσία περί απορρήτου),
- Επί αλλαγών στους υπο-εκτελούντες μας ή στη φύση των μεταφερόμενων δεδομένων,
- Επί οποιασδήποτε δικαστικής απόφασης που επηρεάζει ουσιωδώς την εγκυρότητα των ΤΚΣ ή την επάρκεια της αμερικανικής προστασίας δεδομένων.
10. ΕΠΙΚΟΙΝΩΝΙΑ
Εάν έχετε ερωτήσεις σχετικά με αυτή την Αξιολόγηση Αντικτύπου Μεταφορών, επικοινωνήστε μαζί μας στα:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Τηλέφωνο: 888-389-1189
Ηλεκτρονικό ταχυδρομείο: legal@acira.ai
Το απόρρητό σας, η προτεραιότητά μας
Δεν πουλάμε τα δεδομένα σας, δεν χρησιμοποιούμε cookies παρακολούθησης — γι' αυτό δεν θα δείτε banner cookies εδώ. Σεβόμαστε το Global Privacy Control και για πελάτες της ΕΕ, τα δεδομένα επισκεπτών αποθηκεύονται και υποβάλλονται σε επεξεργασία αποκλειστικά εντός της Ευρωπαϊκής Ένωσης.
Acira AI
Χτίστε όμορφες ιστοσελίδες με τεχνητή νοημοσύνη. Δεν απαιτείται κώδικας.
Κατασκευάστηκε με υπερηφάνεια στις Ηνωμένες Πολιτείες
© 2026 Acira AI LLC. Με επιφύλαξη παντός δικαιώματος.