ANDMETÖÖTLUSE LISA

Viimati uuendatud: 19. märts 2026

See Andmetöötluse Lisa („DPA") moodustab osa Tingimuste ja kokkuleppe („Leping") vahel Acira AI LLC („Volitatud töötleja", „meie") ja Teenuste kasutaja („Vastutav töötleja", „teie") vahel ning täiendab Lepingut isikuandmete töötlemise osas.

Käesolev DPA kehtib, kui kasutate Teenuseid selliste veebisaitide loomiseks, majutamiseks ja avaldamiseks, mis koguvad või töötlevad Euroopa Majanduspiirkonnas („EMP"), Ühendkuningriigis („UK") või Šveitsis asuvate isikute isikuandmeid, või kui seda nõuab muu kohaldatav andmekaitseõigus.

See Andmetöötluse lisa võidakse teie mugavuse huvides tõlkida teistesse keeltesse. Ingliskeelse versiooni ja mis tahes tõlgitud versiooni vastuolu korral on ülimuslik ingliskeelne versioon.

SISUKORD

1. MÕISTED
2. ULATUS JA ROLLID
3. ANDMETÖÖTLUSE ÜKSIKASJAD
4. VOLITATUD TÖÖTLEJA KOHUSTUSED
5. VASTUTAVA TÖÖTLEJA KOHUSTUSED
6. ALAMTÖÖTLEJAD
7. RAHVUSVAHELISED ANDMEEDASTUSED
8. ANDMESUBJEKTIDE ÕIGUSED
9. ANDMETURVE
10. ANDMEKAITSERIKKUMISEST TEAVITAMINE
11. AUDITID JA VASTAVUSE KONTROLL
12. ANDMETE SÄILITAMINE JA KUSTUTAMINE
13. KEHTIVUS JA LÕPETAMINE
14. VASTUTUSE PIIRANG
15. VÕTKE MEIEGA ÜHENDUST

1. MÕISTED

„Kohaldatav andmekaitseõigus" tähendab kõiki käesoleva DPA alusel isikuandmete töötlemisele kohaldatavaid seadusi ja eeskirju, sealhulgas (vastavalt vajadusele) Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 („GDPR"), UK GDPRi, Šveitsi föderaalset andmekaitseseadust („FADP") ja California tarbijaõiguste kaitseseadust („CCPA").

„Vastutav töötleja" tähendab füüsilist või juriidilist isikut, kes määrab isikuandmete töötlemise eesmärgid ja vahendid — käesolevas kontekstis teie, Teenuste kasutaja, kes haldab platvormi kaudu veebisaiti.

„Andmesubjekt" tähendab tuvastatud või tuvastatavat füüsilist isikut, kelle isikuandmeid töödeldakse.

„Isikuandmed" tähendavad Teenuste kaudu töödeldavat mis tahes andmesubjekti puudutavat teavet.

„Töötlemine" tähendab mis tahes isikuandmetega tehtavaid toiminguid, sealhulgas kogumist, salvestamist, korrastamist, struktureerimist, säilitamist, kohandamist, otsimist, päringutsemist, kasutamist, avaldamist, levitamist, piiramist, kustutamist või hävitamist.

„Volitatud töötleja" tähendab füüsilist või juriidilist isikut, kes töötleb isikuandmeid vastutava töötleja nimel — käesolevas kontekstis Acira AI LLC.

„Alamtöötleja" tähendab mis tahes kolmandat isikut, kelle Volitatud töötleja on kaasanud isikuandmete töötlemiseks Vastutava töötleja nimel.

„Standardsed lepingutingimused" ehk „SLT" tähendavad standardseid lepingutingimusi isikuandmete edastamiseks kolmandates riikides asuvatele volitatud töötlejatele, mille on vastu võtnud Euroopa Komisjon.

2. ULATUS JA ROLLID

2.1 Töötlemissuhe

Kui kasutate Teenuseid sellise veebisaidi loomiseks ja haldamiseks, mis kogub isikuandmeid teie veebisaidi külastajatelt (vormide, kasutajakontode, juturobot-interaktsioonide, kommentaaride, arvustuste või muude interaktiivsete funktsioonide kaudu), tegutsete teie Vastutava töötlejana ja meie tegutseme nende külastajate isikuandmete Volitatud töötlejana.

2.2 Meie roll Vastutava töötlejana

Me tegutseme sõltumatu Vastutava töötlejana isikuandmete suhtes, mida kogume oma eesmärkidel, sealhulgas: teie konto teave, arveldusandmed, kasutusanalüütika, teie veebisaidi sisust tuletatud üldised veebisaidi omadused (nagu tööstusharu või äritüüp) ja platvormi tööandmed. Nende andmete töötlemist reguleerib meie Privaatsuspoliitika ja see jääb käesoleva DPA reguleerimisalast välja.

2.3 Platvormianalüütika

Kogume veebisaidi külastajate kohta põhilisi, privaatsussõbralikke analüütikaandmeid (nagu Lepingus kirjeldatud). Analüütikaandmete puhul tegutseme koos teiega ühiste vastutavate töötlejatena. Oleme kujundanud oma analüütika nii, et isikuandmete kogumine oleks minimaalne — me ei säilita töötlemata IP-aadresse ja külastajate identifikaatorid vahetuvad iga päev. Ühiste vastutavate töötlejate vastavad kohustused on järgmised:

• Acira AI (Volitatud töötleja/Ühine vastutav töötleja): Määrab analüütika kogumise tehnilised vahendid, sealhulgas kogutavad andmepunktid, külastajate identifikaatorite arvutamise viisi (iga päev vahetuvad räsid) ja andmete koondamise viisi. Vastutame analüütikainfrastruktuuri turvalisuse ja terviklikkuse eest ning üldiste päringute eest selle kohta, kuidas analüütika platvormil töötab.
• Teie (Vastutav töötleja/Ühine vastutav töötleja): Otsustate, kas kasutada oma veebisaidil analüütikat (analüütika on Teenuste osana vaikimisi lubatud). Vastutate analüütikaandmete kogumisest teavitamise eest oma veebisaidi privaatsuspoliitikas ning oma veebisaidi külastajatelt pärit andmesubjektide taotlustele vastamise eest, mis puudutavad nende analüütikaandmeid.
• Andmesubjektide kontaktpunkt: Andmesubjektid võivad teie veebisaidil kogutud analüütikaandmete osas teiega (veebisaidi omanikuga) ühendust võtta. Kui saame andmesubjektilt analüütikaandmeid puudutava taotluse, suuname ta teie juurde, välja arvatud juhul, kui annate meile teistsuguseid juhiseid. Platvormi üldiste päringute jaoks võivad andmesubjektid meiega ühendust võtta aadressil legal@acira.ai.

2.4 Ühise vastutava töötleja korralduse olemus

Kooskõlas GDPRi artikli 26 lõikega 2 on käesoleva ühise vastutava töötleja korralduse olemus analüütikaandmete puhul järgmine: Meie (Acira AI) määrame tehnilised vahendid ja kogutavad andmepunktid; teie (veebisaidi haldaja) otsustate, kas teie veebisaidil kasutatakse analüütikat. Meil kummalgi on kohustus täita oma vastavaid kohustusi kohaldatava andmekaitseõiguse alusel. Teie olete oma veebisaidi külastajate jaoks analüütikaandmete osas peamine kontaktpunkt. Kokkuvõte sellest korraldusest on andmesubjektidele kättesaadav käesoleva DPA kaudu ja aadressil https://www.acira.ai/dpa.

2.5 CCPA teenusepakkuja määratlus

Ulatuses, milles töötleme California tarbijaõiguste kaitseseaduse („CCPA") kohaldamisalasse kuuluvat isikuteavet teie nimel, oleme teie „teenusepakkuja" Cal. Civ. Code § 1798.140(ag) tähenduses. Me ei:

• Müü ega jaga (nagu need mõisted on CCPA-s määratletud) ühtegi teie poolt meile antud isikuteavet;
• Säilita, kasuta ega avalda isikuteavet muul eesmärgil kui käesolevas DPAs ja Lepingus täpsustatud ärieesmärgid või muul viisil CCPAga lubatu;
• Säilita, kasuta ega avalda isikuteavet väljaspool teie ja meie vahelist otsest ärisuhet;
• Ühenda teilt saadud isikuteavet isikuteabega, mille saame teiselt isikult või tema nimel, või mille kogume oma suhtlusest tarbijatega, välja arvatud CCPAga lubatu.

Me võime tuletada teie veebisaidi sisust üldiseid, mitteidentifitseerivaid äriomadusi (nagu tööstusharu klassifikatsioon), et pakkuda asjakohaseid tootesoovitusi, nagu on kirjeldatud jaotises 2.2. See piiratud kasutus ei kujuta endast isikuandmete müümist, jagamist ega ühendamist CCPA tähenduses.

Kinnitame, et mõistame neid piiranguid ja täidame neid.

2.6 Šveitsi FADP esindaja hindamine

Šveitsi föderaalse andmekaitseseaduse („FADP") artikkel 14 nõuab mittešveitsist eraõiguslikult vastutavalt töötlejalt esindaja määramist Šveitsis ainult siis, kui on täidetud kõik neli järgmist kumulatiivset tingimust: (1) töötlemine on seotud kaupade või teenuste pakkumisega Šveitsis asuvatele isikutele või nende käitumise jälgimisega; (2) töötlemine toimub ulatuslikult; (3) töötlemine toimub regulaarselt; ja (4) töötlemine kujutab endast kõrget riski andmesubjektide isikuõigustele või põhiõigustele.

Oleme hinnanud oma töötlemistegevusi nende tingimuste suhtes ja tuvastanud, et kuigi tingimused (1) ja (3) on täidetud, ülejäänud tingimused ei ole järgmistel põhjustel täidetud:

• Mitte ulatuslik: Oleme väike SaaS-platvorm. Meie Teenuste kaudu töödeldavate Šveitsi elanike isikuandmete maht on piiratud ega kujuta endast ulatuslikku töötlemist FADP artikli 14 tähenduses.
• Kõrge riskita: Isikuandmed, mida töötleme veebisaitihaldurite nimel, koosnevad peamiselt pseudonüümitud analüütika identifikaatoritest (iga päev vahetuvad räsid), külastajate põhimetaandmetest (riik, seadme tüüp, brauser), vormide esituse sisust ja juturobot-sõnumitest. Me ei töötle isikuandmete eriliike (FADP artikkel 5(c)) ega teosta andmesubjektide jaoks kõrge riskiga profiilianalüüsi. Šveitsi föderaalne andmekaitse- ja avaliku teabe volinik („FDPIC") on märkinud, et see kohustus on suunatud peamiselt välismaalt tegutsevatele suurematele internetiplatvormidele ja sotsiaalvõrgustikele, mis ei kirjelda meie Teenuseid.

Selle hinnangu põhjal oleme jõudnud järeldusele, et meil ei ole praegu kohustust määrata Šveitsis esindajat vastavalt FADP artiklile 14. Vaatame selle otsuse perioodiliselt üle, sealhulgas meie Šveitsi elanikke mõjutavate töötlemistegevuste ulatuse või olemuse oluliste muutuste korral.

3. ANDMETÖÖTLUSE ÜKSIKASJAD

3.1 Sisu ja kestus

Käesoleva DPA alusel toimub isikuandmete töötlemine Lepingus kirjeldatud Teenuste osutamise eesmärgil ja see jätkub Lepingu kehtivuse ajal.

3.2 Töötlemise olemus ja eesmärk

Töötleme isikuandmeid, et:

• Majutada ja edastada teie veebisaidi sisu
• Salvestada ja hallata teie veebisaidi vormide ja interaktiivsete funktsioonide kaudu esitatud andmeid
• Hallata kasutajakontosid ja seansse teie veebisaidi kaitstud alade jaoks
• Saata teie nimel e-kirju
• Edastada teie kohandatud domeeni e-posti aadressidele saabunud kirju
• Juhtida AI juturobot-vestlusi teie veebisaidi külastajatega
• Genereerida üleslaaditud failidele AI-põhiseid kirjeldusi ja metaandmeid
• Teisendada üleslaaditud failid veebioptimeeritud vormingutesse
• Pakkuda külastajate analüütikat
• Üldiste veebisaidi omaduste (nagu tööstusharu või äritüüp) tuletamine asjakohaste platvormsoovituste pakkumiseks
• Tuvastada ja ennetada rämpsposti ja kuritarvitusi (sealhulgas tõenduspõhised robotite väljakutsed)
• Teostada üleslaaditud failide sisu modereerimist
• Kontrollida veebisaidi sisu avaldamise ajal vastavust platvormi sisupõhimõtetele
• Hallata e-posti loobumise eelistusi teie veebisaidi e-posti saajate jaoks
• Hõlbustada reaalajas suhtlust teie veebisaidil WebSocketi ühenduste kaudu (sõnumid on ajutised ja neid ei salvestata)
• Säilitada tõrkeid ja diagnostikat puudutavaid logisid platvormi töökindluse ja tõrkeotsingu jaoks (võib sisaldada IP-aadresse ja päringu metaandmeid; säilitatakse kuni kolmkümmend (30) päeva)

3.3 Isikuandmete liigid

Töödeldavate isikuandmete liigid sõltuvad sellest, mida te oma veebisaidi kaudu kogute, ja võivad hõlmata järgmist:

• Nimed ja kontaktandmed
• E-posti aadressid
• Sõnumid ja vormi esitused
• Veebisaidi külastajate üleslaaditud failid (nt pildid ja dokumendid)
• Juturobot-vestluste sisu (külastajate sõnumid ja AI vastused)
• Kasutajakonto mandaadid (salvestatud räsitud kujul)
• Seanse puudutavad andmed
• IP-aadressid (ei salvestata analüütikasse — salvestatakse ainult iga päev vahetuv räsi; salvestatakse metaandmetena koos vormi esituste ja juturobot-vestlustega; kasutatakse ajutiselt ja räsitakse roboti väljakutse kontrollimiseks; salvestatakse ajutiselt kiiruse piiramiseks kuni seitse (7) päeva ja kustutatakse automaatselt)
• Brauseri ja seadme teave
• Asukohaandmed (riigi ja piirkonna tasemel, tuletatud IP-st)
• E-posti loobumise kirjed (salvestatud saajate e-posti aadresside krüptograafiliste räsidena; ei salvestata töötlemata kujul)
• Rämpsposti klassifitseerimise tulemused (kas esitust peeti rämpspostiks)
• Tõrgete ja diagnostika logiandmed (IP-aadressid, päringu teed ja tõrkedetailid; säilitatakse kuni kolmkümmend (30) päeva ja kustutatakse automaatselt)

3.4 Andmesubjektide kategooriad

• Teie veebisaidi külastajad
• Kasutajad, kes loovad teie veebisaidil kontosid
• Kasutajad, kes esitavad vorme või suhtlevad teie veebisaidi juturobot-i-ga
• Kasutajad, kes esitavad teie veebisaidil kommentaare, arvustusi või muid panuseid

4. VOLITATUD TÖÖTLEJA KOHUSTUSED

Me:

1. Töötleme isikuandmeid ainult teie dokumenteeritud juhiste alusel, välja arvatud juhul, kui kohaldatav õigus kohustab meid seda tegema (sel juhul teavitame teid sellest seadusnõudest enne töötlemist, välja arvatud juhul, kui seadus seda keelab);
2. Tagame, et isikuandmete töötlemiseks volitatud isikud on kohustunud järgima konfidentsiaalsust või alluvad asjakohasele seadusjärgsele konfidentsiaalsuskohustusele;
3. Rakendame asjakohaseid tehnilisi ja korralduslikke turvameetmeid, nagu on kirjeldatud jaotises 9;
4. Järgime alamtöötlejate kaasamise tingimusi, mis on sätestatud jaotises 6;
5. Abistame teid, arvestades töötlemise laadi, andmesubjektide taotlustele vastamisel, kui nad kasutavad oma õigusi kohaldatava andmekaitseõiguse alusel;
6. Abistame teid teie kohustuste täitmisel GDPRi artiklite 32–36 alusel (turvalisus, rikkumisest teavitamine, andmekaitsealaste mõjuhinnangute tegemine ja eelnev konsulteerimine), arvestades töötlemise laadi ja meile kättesaadavat teavet. Kui teie Teenuste kasutamine hõlmab kõrge riskiga töötlemist, mis võib nõuda andmekaitsealast mõjuhinnangut (DPIA), pakume teile teavet meie töötlemistegevuste, tehniliste ja korralduslike meetmete ning alamtöötlejate kohta, et toetada teie hinnangut;
7. Abistame teid GDPRi artikli 22 (automatiseeritud individuaalsed otsused) alusel olevate kohustuste täitmisel, andes teavet mis tahes teie nimel teostatava automatiseeritud töötlemise kohta, sealhulgas sisu modereerimine, rämpsposti tuvastamine ja robotite kaitse, ning hõlbustame taotluse korral automatiseeritud otsuste inimlikku ülevaatamist;
8. Teavitame teid, kui meie arvates rikub teie juhis kohaldatavat andmekaitseõigust;
9. Teie valikul kustutame või tagastame kõik isikuandmed pärast Teenuste osutamise lõppu ning kustutame olemasolevad koopiad, välja arvatud juhul, kui kohaldatav õigus nõuab säilitamist;
10. Teeme teile kättesaadavaks kogu teabe, mis on vajalik käesolevas DPAs sätestatud kohustuste täitmise tõendamiseks, ning aitame kaasa vastavuse kontrollile, nagu kirjeldatud jaotises 11.

5. VASTUTAVA TÖÖTLEJA KOHUSTUSED

Teie:

1. Tagate, et isikuandmete kogumine ja töötlemine teie veebisaidi kaudu vastab kõigile kohaldatavatele andmekaitseseadustele;
2. Teavitate oma veebisaidi külastajaid asjakohaste privaatsusteadetega, mis kirjeldavad teie andmekogumise tavasid, sealhulgas platvormi tasandi analüütika, AI-põhiste juturobot-interaktsioonide, rämpsposti tuvastamise ja robotite kaitse avaldamine;
3. Hankite kõik vajalikud nõusolekud või loote muu seadusliku aluse isikuandmete töötlemiseks teie veebisaidi kaudu;
4. Tagate, et teie juhised meile seoses isikuandmete töötlemisega vastavad kohaldatavatele andmekaitseseadustele;
5. Vastutate teie veebisaidi kaudu meile esitatud isikuandmete täpsuse, kvaliteedi ja seaduslikkuse eest.

Teenuste kasutamisega annate meile juhised järgmiste töötlemistegevuste teostamiseks teie nimel platvormi tavalise töö raames: üleslaaditud failide sisu modereerimine, avaldatud veebisaidi sisu sisupõhimõtete ülevaatus, vormi esituste rämpsposti tuvastamine, tõenduspõhised roboti kaitse väljakutsed ja AI juturobot-interaktsioonid teie veebisaidi külastajatega. Need tegevused on dokumenteeritud juhised GDPRi artikli 28 lõike 3 punkti a tähenduses.

6. ALAMTÖÖTLEJAD

6.1 Volitatud alamtöötlejad

Annate meile üldise loa kaasata alamtöötlejaid Teenuste osutamisel abistamiseks. Meie praegused alamtöötlejad on loetletud allpool ja aadressil https://www.acira.ai/dpa.

6.2 Alamtöötlejate praegune loend

6.3 Muutused alamtöötlejates

Teavitame teid kavandatavatest muutustest alamtöötlejate loendis teenuste puhul, mida te praegu kasutate, uuendades alamtöötlejate loendi aadressil https://www.acira.ai/dpa vähemalt neljateistkümne (14) päeva enne seda, kui uus alamtöötleja alustab isikuandmete töötlemist. Kui tutvustame uusi funktsioone või teenuseid, mis hõlmavad täiendavaid alamtöötlejaid, avalikustatakse need alamtöötlejad funktsiooni või teenuse kättesaadavaks muutmise ajal; uue funktsiooni või teenuse kasutamine tähendab avaldatud alamtöötlejate aktsepteerimist. Teie vastutus on alamtöötlejate loendi muutusi perioodiliselt üle vaadata. Kui teil on põhjendatud vastuväide uue alamtöötleja andmete töötlemise suhtes olemasolevate teenuste raames, võite meid sellest kirjalikult teavitada neljateistkümne (14) päeva jooksul pärast muutuse avaldamist. Töötame teiega heas usus, et teie muresid lahendada. Kui me ei suuda vastuväidet teie mõistlikul rahulolul lahendada, võite Lepingu kirjaliku teatega lõpetada.

6.4 Alamtöötlejate kohustused

Sõlmime iga alamtöötlejaga kirjalikud lepingud, mis kehtestavad andmekaitset puudutavad kohustused, mis ei ole vähem kaitsvad kui käesolevas DPAs sätestatud kohustused. Jääme vastutavaks oma alamtöötlejate tegude ja tegematajätmiste eest samas ulatuses, nagu vastutaksime teenuste otse osutamise eest.

7. RAHVUSVAHELISED ANDMEEDASTUSED

7.1 Edastamise mehhanismid

Teenused asuvad peamiselt Ameerika Ühendriikides. Teenuste kaudu töödeldavaid isikuandmeid võidakse edastada Ameerika Ühendriikidesse ja teistesse riikidesse, kus meie alamtöötlejad tegutsevad, ning seal töödelda. AI järeldamise pakkujad (Fireworks AI ja xAI) töötlevad andmeid Ameerika Ühendriikides. BrightData võib töödelda andmeid Iisraelis ja muudes asukohtades üle maailma. Cloudflare töötleb andmeid servaasukohades üle kogu maailma.

EL-i andmete asukoht: EL-i elanikena tuvastatud veebisaitide operaatorite puhul rakendame järgmisi andmete asukoha meetmeid, et minimeerida külastajate isikuandmete edastamist väljaspool Euroopa Liitu:

• Salvestamine: Külastajate andmed püsivas servasalvestuses — sealhulgas vormide esitamised, vestlusroboti vestlused, seansside andmed ja kasutajatabelite andmed — on piiratud Euroopa Liiduga. Need andmed salvestatakse ainult EL-i andmekeskustes.
• Automaatne külastajale suunatud töötlemine: Külastaja tegevusega automaatselt käivitatud toimingud — sealhulgas sisu esitamise teated ja tehinguline e-posti kohaletoimetamine — töödeldakse Euroopa Liidu piires ega läbi USA infrastruktuuri.
• Platvormi halduse juurdepääs: Kui pääsete oma veebisaidi külastajate andmetele juurde platvormi juhtpaneeli või vestlusliidese kaudu (näiteks vormide esitamiste vaatamine või kasutajakirjete haldamine), võidakse neid andmeid teie päringu täitmiseks töödelda meie USA-s asuva infrastruktuuri kaudu. Need edastamised toimuvad nõudmisel, on algatatud teie (vastutava töötleja) poolt ning kaitstud allpool kirjeldatud edastusmehhanismide ja täiendavate meetmetega.
• Muu USA-s põhinev töötlemine: Analüüsiandmed ja andmed, mida töödeldakse meie USA-s asuva pilveinfrastruktuuri poolt sisu modereerimiseks ja AI järeldamiseks, võivad endiselt olla edastatud USA-sse allpool toodud edastusmehhanismide alusel.

EMP-st, Ühendkuningriigist või Šveitsist isikuandmete edastamiseks riikidesse, mida ei tunnustata piisava andmekaitsetaseme pakkujatena, toetume:

1. Standardsetele lepingutingimustele (SLT): Lisame Euroopa Komisjoni standardsed lepingutingimused sellesse DPAsse viite teel: Moodul üks (Vastutav töötleja vastutavale töötlejale) analüütikaandmetele, kus me tegutseme ühiste vastutavate töötlejatena (vt jaotis 2.3), ja Moodul kaks (Vastutav töötleja volitatud töötlejale) kõikidele teie nimel töödeldavatele muudele isikuandmetele. SLT-d on kättesaadavad aadressil https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK rahvusvaheline andmeedastuse lisa: Ühendkuningriigist edastamise puhul kohaldatakse ELi SLT-de UK-lisa.
3. Šveitsi andmeedastuse mehhanismid: Šveitsist edastamise puhul kohaldatakse SLT-sid Šveitsi FADPi nõutud muudatustega.

7.2 Täiendavad meetmed

Rakendame järgmisi täiendavaid meetmeid edastatud isikuandmete kaitsmiseks:

• Andmete krüpteerimine edastamise ajal (TLS/SSL) ja puhkeolekus
• Juurdepääsukontrollid ja autentimismehhanismid
• Regulaarsed turvahinaangud
• Andmete minimeerimise tavad (nt iga päev vahetuvad külastajate räsid töötlemata IP-aadresside salvestamise asemel)
• Jurisdiktsiooniline andmete asukoht EL-is elavate veebisaitide operaatorite jaoks (püsiv salvestamine ja automatiseeritud külastajatele suunatud töötlemine piiratud EL-iga)
• EL-is asuv arvutus- ja e-posti infrastruktuur automaatsete külastajale suunatud toimingute jaoks (sisu esitamise teated ja tehinguline e-posti kohaletoimetamine, mida töödeldakse Euroopa Liidus EL-i residentidest veebisaidi operaatorite jaoks)

7.3 Edastamise mõjuhinnang

Need täiendavad meetmed põhinevad meie hinnangul sihtriikide seaduste ja tavade kohta, võttes arvesse edastatavate andmete laadi, kasutatavat edastamismehhanismi ning rakendatud tehnilisi ja korralduslikke kaitsemeetmeid. Oleme hinnanud, et eespool kirjeldatud täiendavad meetmed koos SLT-des sätestatud kohustusega tagavad edastatavatele isikuandmetele piisava kaitse taseme. Meie edastamise mõjuhinnang on kättesaadav aadressil https://www.acira.ai/tia.

7.4 Kanada andmeedastused

Kanada isikuandmete edastamiseks toetume järgmistele kaitsemeetmetele, tagamaks et väljaspool Kanadat edastatavatele isikuandmetele kohaldatakse võrreldavat kaitse taset, nagu nõuab isikuandmete kaitse ja elektrooniliste dokumentide seadus (PIPEDA) ja kohaldatavad provintsi privaatsusõigusaktid (sealhulgas Alberta PIPA, Briti Columbia PIPA ja Québeci eraõigusliku sektori isikuandmete kaitse seadus):

1. Lepinguline kaitse: Kirjalikud andmetöötluslepingud iga alamtöötlejaga, mis kehtestavad isikuandmete kaitse kohustused Kanada privaatsusõigusega ühtses standardis, sealhulgas nõuded asjakohastele turvakaitsetele, kasutuspiirangutele, rikkumisest teavitamisele ja andmesubjekti juurdepääsule.
2. Tehnilised kaitsemeetmed: Jaotises 7.2 kirjeldatud samad krüpteerimis-, pseudonüümimis-, juurdepääsukontrolli ja andmete minimeerimise meetmed kehtivad Kanada andmeedastustele.
3. Korralduslikud kaitsemeetmed: Alamtöötlejate hoolsuskohustus, konfidentsiaalsuskohustused töötajatele ning käesolevas DPAs kirjeldatud dokumenteeritud intsidentidele reageerimise protseduurid.

Jälgime arengusuundi Kanada privaatsusõiguses, sealhulgas kavandatavat tarbijate privaatsuse kaitse seadust (CPPA), ja uuendame vajaduse korral meie edastamismehhanisme.

8. ANDMESUBJEKTIDE ÕIGUSED

8.1 Taotlustele vastamisel abistamine

Abistame teid andmesubjektide taotlustele vastamisel, kui nad kasutavad oma õigusi kohaldatava andmekaitseõiguse alusel, sealhulgas juurdepääsu, parandamise, kustutamise, piiramise, ülekantavuse ja vastuväite esitamise õigused.

8.2 Teavitamine

Kui saame taotluse otse andmesubjektilt seoses isikuandmetega, mida töödeldakse teie nimel, teavitame teid viivitamata ega vasta taotlusele ilma teie juhisteta, välja arvatud juhul, kui kohaldatav õigus seda nõuab.

8.3 Platvormi tööriistad

Pakume Teenuste raames tööriistu, mis aitavad teil täita andmesubjektide taotlusi, sealhulgas:

• Juurdepääs teie veebisaidi andmebaasides salvestatud andmetele ja nende haldamine
• Üksikute kirjete kustutamine teie veebisaidi andmebaasidest
• Taotluse korral saame andmete ülekantavuse kohustuste täitmise abistamiseks pakkuda andmete ekspordi ZIP-vormingus

9. ANDMETURVE

9.1 Turvameetmed

Rakendame ja säilitame asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete kaitsmiseks volitamata või ebaseadusliku töötlemise ning juhusliku kaotuse, hävimise või kahjustuse eest. Need meetmed hõlmavad järgmist:

• Krüpteerimine: Andmeid edastamise ajal TLS/SSL kaudu ning puhkeolekus tööstusstandardite kohaselt krüpteerimisel
• Juurdepääsukontroll: Rollipõhised juurdepääsukontrollid, mitmeastmeline autentimine platvormi haldamiseks, vähimate õiguste juurdepääsupõhimõtted
• Infrastruktuuri turvalisus: Hallatud pilvinfrastruktuur automaatsete turvaparandustega, DDoS-kaitse ja veebirakenduste tulemüür (WAF)
• Andmete eraldamine: Veebisaidipõhine andmete eraldamine pühendatud salvestuseksemplaride kaudu
• Monitooring: Automatiseeritud turvaseire, sissetungide tuvastamine ja struktureeritud logimine
• Mandaatide turvalisus: Kõik API-võtmed ja saladused salvestatakse pühendatud saladuste haldusteenustesse; kasutajate paroolid räsitakse tugevate krüptograafiliste algoritmidega kasutajapõhiste saltidega
• Robotite kaitse: Tõenduspõhised väljakutsesüsteemid automatiseeritud kuritarvitamise vältimiseks

9.2 Konfidentsiaalsus

Tagame, et kõik isikuandmete töötlemiseks volitatud töötajad on seotud konfidentsiaalsuskohustustega.

10. ANDMEKAITSERIKKUMISEST TEAVITAMINE

10.1 Teavitamine Vastutavale töötlejale

Teavitame teid põhjendamatu viivituseta pärast teie nimel töödeldavaid isikuandmeid mõjutava isikuandmete rikkumise kinnitamist. Teatis saadetakse teie kontoga seotud kontaktteabele.

10.2 Teavituse sisu

Meie rikkumisteatis sisaldab kättesaadava teabe ulatuses:

1. Rikkumise laadi kirjeldust, sealhulgas asjaomaste andmesubjektide ja kirjete kategooriaid ning ligikaudset arvu;
2. Meie andmekaitsekontakti nime ja kontaktandmeid;
3. Rikkumise tõenäoliste tagajärgede kirjeldust;
4. Rikkumise käsitlemiseks ja selle mõju leevendamiseks võetud või kavandatavate meetmete kirjeldust.

10.3 Teie kohustused

Vastutate asjaomase järelevalveasutuse ja mõjutatud andmesubjektide teavitamise eest isikuandmete rikkumisest, nagu nõuab kohaldatav andmekaitseõigus. Teeme teiega koostööd ja pakume mõistlikku abi, et aidata teil täita oma rikkumisest teavitamise kohustusi.

11. AUDITID JA VASTAVUSE KONTROLL

11.1 Vastavusdokumentatsioon

Sellele DPA-le vastavuse tõendamiseks teeme teile mõistliku kirjaliku taotluse alusel (kuni kord aastas) kättesaadavaks järgmise:

1. Asjakohased kolmandate osapoolte auditiaruanded, sertifikaadid või turvahinnangute kokkuvõtted;
2. Meie praeguste tehniliste ja organisatsiooniliste turvameetmete kokkuvõte;
3. Teave meie töötlemistegevuste, volitatud alltöötlejate ja andmekaitsetavade kohta.

Kui tugineme kolmandate osapoolte infrastruktuuri pakkujatele (nagu AWS ja Cloudflare), on nende turvasertifikaadid ja vastavusdokumentatsioon kättesaadavad nende vastavate usaldus- ja vastavusprogrammide kaudu.

11.2 Täiendavad päringud

Kui jaotise 11.1 alusel esitatud dokumentatsioon ei käsitle mõistlikult teie vastavusega seotud muresid, võite esitada konkreetseid kirjalikke küsimusi meie andmekaitsetavade kohta, millele vastame mõistliku aja jooksul.

12. ANDMETE SÄILITAMINE JA KUSTUTAMINE

12.1 Lepingu kehtivuse ajal

Säilitame teie nimel töödeldavaid isikuandmeid Lepingu kehtivuse ajal ja vastavalt teie juhistele Teenuste kaudu. Külastajate andmete konkreetsed säilitamisperioodid on järgmised:

• Juturobot-vestlused teie veebisaidil: Säilitatakse kolmkümmend (30) päeva alates viimasest suhtlusest igas vestluses. Vestlused salvestatakse veebisaidi servainfrastruktuuri külastajate seansidesse ja kustutatakse automaatselt, kui seanss tegevusetuse tõttu aegub.
• Vormi esitused ja kasutaja loodud sisu teie veebisaidil: Säilitatakse seotud veebisaidi kestuse jooksul, välja arvatud juhul, kui kustutate need varem platvormi tööriistade kaudu.
• Seanse puudutavad andmed teie veebisaidi külastajatele: Kustutatakse automaatselt pärast 30-päevast tegevusetust.
• Kustutatud külastajate sisu (vormi esitused, kommentaarid ja muu kasutaja loodud sisu teie veebisaidil): Kui kustutate külastajate sisu platvormi tööriistade kaudu, läheb see pehmelt kustutatud olekusse ja säilitatakse kuni kolmkümmend (30) päeva taastamise toetamiseks. Pärast seda perioodi eemaldatakse pehmelt kustutatud sisu jäädavalt. Võite sisu kohe jäädavalt kustutada, puhastades selle taastamisjärjekorrast.
• E-posti loobumise kirjed teie veebisaidil: Säilitatakse seotud veebisaidi kestuse jooksul, välja arvatud juhul, kui saaja uuesti tellib. Loobumise kirjed kustutatakse veebisaidi hävitamisel.
• Analüütikaandmed: Säilitatakse seotud veebisaidi kestuse ajal (vastavalt plaanipõhistele säilitamispiirangutele; tasuta plaani analüütikaandmeid säilitatakse üheksakümmend (90) päeva).

12.2 Lõpetamisel

Lepingu lõpetamisel või teie taotlusel kustutame teie nimel töödeldavad isikuandmed kooskõlas Lepingus kirjeldatud andmete säilitamise tavadega (sealhulgas seitse (7) päeva pikkune armuperiood kontode ja veebisaitide kustutamiseks). Pärast armuperioodit on kustutamine püsiv ja pöördumatu.

12.3 Erandid

Võime säilitada isikuandmeid ulatuses, mida nõuab kohaldatav õigus, või kui andmed on anonüümistatud ega saa enam olla seotud andmesubjektiga.

13. KEHTIVUS JA LÕPETAMINE

Käesolev DPA jõustub kuupäeval, mil nõustute Lepinguga, ja jääb jõusse nii kaua, kuni töötleme isikuandmeid teie nimel. Käesolevas DPAs sätestatud konfidentsiaalsus- ja andmekaitsekohusd jäävad kehtima ka pärast Lepingu lõpetamist.

14. VASTUTUSE PIIRANG

Kummagi poole vastutus käesoleva DPA alusel allub Lepingus sätestatud vastutuse piirangutele.

15. VÕTKE MEIEGA ÜHENDUST

Käesoleva DPA kohta küsimuste esitamiseks või õiguste kasutamiseks võtke meiega ühendust:

Acira AI LLC
Tähelepanu: Andmekaitse
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-post: legal@acira.ai