Edastamise mõjuhinnang
ANDMEEDASTUSE MÕJUHINNANG
Viimati uuendatud: 19. märts 2026
Käesoleva andmeedastuse mõjuhinnangu (ingl „TIA") on koostanud Acira AI LLC („Acira AI", „meie", „meid") vastavalt Euroopa Liidu Kohtu otsuse nõuetele kohtuasjas Andmekaitsevolinik vs Facebook Ireland Limited ja Maximillian Schrems (kohtuasi C-311/18, „Schrems II") ning Euroopa Andmekaitsenõukogu soovitustele (EDPB soovitused 01/2020 täiendavate meetmete kohta).
Käesolev TIA hindab Euroopa Majanduspiirkonnast (EMP), Ühendkuningriigist, Šveitsist ja Kanadast Ameerika Ühendriikidesse ja teistesse kolmandatesse riikidesse meie teenuste osutamisega seoses edastatavate isikuandmete kaitse piisavust.
Käesolev TIA võib teie mugavuse huvides olla tõlgitud teistesse keeltesse. Ingliskeelse versiooni ja mis tahes tõlgitud versiooni vahelise konflikti või vastuolu korral on ülimuslik ingliskeelne versioon.
SISUKORD
- EDASTUSTE ÜLEVAADE
- EDASTATAVATE ANDMETE OLEMUS
- EDASTAMISE MEHHANISMID
- SIHTRIIGI SEADUSTE HINDAMINE
- ANDMEVOOGUDE HINDAMINE TEENUSEPAKKUJA KAUPA
- TÄIENDAVAD MEETMED
- RISKIHINNANG
- JÄRELDUS
- ÜLEVAATAMISE AJAKAVA
- KONTAKT
1. EDASTUSTE ÜLEVAADE
1.1 Kontekst
Acira AI on tarkvara-teenusena platvorm, mis võimaldab ettevõtetel ja üksikisikutel luua, hallata ja majutada tehisintellektil põhinevaid veebisaite. Kui kasutajad loovad veebisaite, mida külastavad EMP-s, Ühendkuningriigis, Šveitsis või Kanadas asuvad külastajad, võidakse nende külastajate isikuandmeid edastada Ameerika Ühendriikidesse ja teistesse asukohtadesse, kus meie infrastruktuuripakkujad tegutsevad, ning seal töödelda.
1.2 Pooled
- Andmete eksportija: Veebisaidi operaator (meie klient, kes tegutseb vastutava töötlejana) ning analüütikaandmete puhul Acira AI kaasvastutava töötlejana.
- Andmete importija: Acira AI LLC, registreeritud Nevadas, Ameerika Ühendriikides, tegutsedes volitatud töötlejana (ja analüütikaandmete kaasvastutava töötlejana).
- Alamtöötlejad: Acira AI poolt kaasatud kolmandate osapoolte teenusepakkujad (loetletud jaotises 5).
1.3 Edastuse sihtkohad
| Sihtkoht | Pakkujad | Alus |
|---|---|---|
| Ameerika Ühendriigid ja Euroopa Liit (Stockholm) | AWS | SCC-d + Täiendavad meetmed (USA); EMP-sisene EL-i residentide automaatsete külastajale suunatud toimingute jaoks |
| Ameerika Ühendriigid | Stripe, Fireworks AI, xAI | SCC-d + Täiendavad meetmed |
| Globaalne (servaasukohad) | Cloudflare | SCC + täiendavad meetmed |
| Iisrael | BrightData (ainult kasutaja juhtimisel) | SCC + täiendavad meetmed |
| Euroopa Liit | Black Forest Labs, ScreenshotOne, CloudConvert | EMP-sisene (edastamise mehhanism ei ole vajalik) |
2. EDASTATAVATE ANDMETE OLEMUS
2.1 Isikuandmete kategooriad
Edastatavad isikuandmed sõltuvad veebisaidi operaatori lubatud funktsioonidest ja veebisaidi külastajate suhtlusest. Edastatada võidakse järgmisi kategooriaid:
| Andmekategooria | Kirjeldus | Tundlikkus | Maht |
|---|---|---|---|
| Analüütikaidentifikaatorid | Igapäevaselt pöörlev krüptograafiline räsi IP + User-Agent + kuupäev (pseudonüümitud) | Madal | Kõrge (iga leheküljevaatamine) |
| Külastaja metaandmed | Riik, piirkond, keel, seadme tüüp, brauser, OS, referrer domeen, UTM parameetrid | Madal | Kõrge (iga lehevaatamine) |
| IP-aadressid | Salvestatud metaandmetena vormi esitamiste ja vestlusroboti vestlustega; räsitud analüütikas; ajutiselt kasutatud bot challenge kinnitamiseks; ajutiselt salvestatud määra piiramiseks (kuni 7 päeva) | Keskmine | Keskmine |
| Vormi esitamise sisu | Külastajate esitatud vabateksti väljad (nimed, e-posti aadressid, sõnumid jne) | Muutuv (sõltub vormist) | Madal kuni keskmine |
| Vestlusroboti sõnumid | Külastajate sõnumid ja tehisintellekti genereeritud vastused (maks 2 000 märki sõnumi kohta) | Madal kuni keskmine | Madal |
| Failide üleslaadimised | Külastajate poolt veebisaidi vormide kaudu üleslaaditud failid (pildid, dokumendid) | Muutuv | Madal |
| Seansi identifikaatorid | Serveri poolsed seansi ID-d ja kliendipoolsed seansikupsised | Madal | Kõrge |
| Autentimisandmed | Veebisaidi kaitstud alade paroolid (salvestatud ainult räsitud kujul) | Kõrge (kuid räsitud) | Madal |
2.2 Andmesubjektide kategooriad
- Acira AI platvormil majutatud veebisaitide külastajad
- Kasutajad, kes loovad kontosid platvormil majutatud veebisaitidel
- Kasutajad, kes esitavad vorme, suhtlevad vestlusrobotitega või laadivad üles faile majutatud veebisaitidel
2.3 Mitteedastatavad andmed
- Geolokatsiooniandmed: IP-asukohapäringuid teeb meie infrastruktuuripakkuja võrgu servas. Ühtegi külastaja IP-aadressi ei edastata ühelegi välisele geolokatsiooni teenusele.
- Toorandmed analüütika IP-aadressidest: Talletatakse ainult igapäevaselt pöörlev krüptograafiline räsi; toorad IP-aadressid ei jää analüütikasüsteemides püsima.
- Selgetekstilised paroolid: Salvestatakse ja edastatakse ainult krüptograafilised räsid.
3. EDASTAMISE MEHHANISMID
3.1 Peamine mehhanism: Standardsed lepingutingimused
Tugineme Euroopa Komisjoni standardsetele lepingutingimustele (SCC), mis on vastu võetud komisjoni rakendusotsusega (EL) 2021/914, täpsemalt:
- Moodul üks (vastutav töötleja vastutavale töötlejale): Analüütikaandmete edastamiseks, kus Acira AI tegutseb veebisaidi operaatoriga kaasvastutava töötlejana (vt DPA jaotis 2.3).
- Moodul kaks (vastutav töötleja volitatud töötlejale): Veebisaidi külastajate isikuandmete edastamiseks veebisaidi operaatorilt (vastutav töötleja) Acira AI-le (volitatud töötleja).
- Moodul kolm (volitatud töötleja alamtöötlejale): Edasisteks edastuseteks Acira AI-lt meie alamtöötlejatele.
3.2 Ühendkuningriigi, Šveitsi ja Kanada edastused
- Ühendkuningriik: Kohaldatakse Ühendkuningriigi rahvusvahelist andmeedastuse lisakokkulepet ELi SCC-de juurde.
- Šveits: SCC-d kohaldatakse koos Šveitsi föderaalse andmekaitseseaduse (FADP) nõutud muudatustega.
- Kanada: Edastused põhinevad lepingulistel kaitsemeetmetel iga alamtöötlejaga, mis kehtestavad kohustused, mis on kooskõlas isikuandmete kaitse ja elektrooniliste dokumentide seadusega (PIPEDA) ning kohaldatava provintside privaatsusseadusandlusega, koos jaotises 6 kirjeldatud täiendavate tehniliste ja organisatsiooniliste meetmetega. Üksikasju vt DPA jaotisest 7.4.
3.3 Alamtöötlejate edastamise mehhanismid
| Alamtöötleja | Edastamise mehhanism |
|---|---|
| Amazon Web Services | SCC (AWS DPA), sertifitseeritud ISO 27001/27017/27018 |
| Cloudflare | SCC (Cloudflare DPA), sertifitseeritud ISO 27001 |
| Stripe | SCC (Stripe DPA), sertifitseeritud PCI DSS tase 1 |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 tüüp II, sertifitseeritud ISO 27001/27701/42001 |
| xAI | SCC (xAI DPA ELi SCC-dega) |
| BrightData | SCC (BrightData DPA) |
4. SIHTRIIGI SEADUSTE HINDAMINE
4.1 Ameerika Ühendriigid
Ameerika Ühendriigid on edastatavate andmete peamine sihtkoht. Järgmised USA seadused on selle hindamise jaoks asjakohased:
4.1.1 Välisluure järelevalve seadus (FISA), jaotis 702
FISA jaotis 702 volitab USA valitsust sundima elektroonilise side teenusepakkujaid andma juurdepääsu väljaspool USA-d asuvate mitte-USA isikute sidele välisluure eesmärkidel.
Riskihinnang:
- Kohaldatavus: FISA jaotis 702 kohaldub „elektroonilise side teenusepakkujatele" vastavalt 50 U.S.C. § 1881(b)(4) määratlusele. Acira AI on SaaS veebisaitide majutusplatvorm, mitte traditsiooniline telekommunikatsioonipakkuja. Meie alamtöötlejad (AWS, Cloudflare) on tõenäolisemalt jaotise 702 direktiivide subjektid.
- Ohus olevate andmete ulatus: Meie töödeldavad isikuandmed koosnevad peamiselt veebisaidi külastajate analüütikast (pseudonümiseeritud), vormi esitamistest ja vestlusroboti sõnumitest. Need andmed ei ole tõenäoliselt välisluure huvi.
- Praktiline tõenäosus: Me ei ole kunagi saanud FISA jaotise 702 direktiivi ning hindame selle saamise praktilist tõenäosust väga madalaks, arvestades meie teenuste iseloomu ja meie poolt töödeldavaid andmeid.
4.1.2 Täitevkorraldus 12333
TK 12333 volitab USA luureasutusi läbi viima jälitustegevust, sealhulgas signaalluure massilist kogumist. See kohaldub transiidis olevatele andmetele ega kohusta eraettevõtteid koostööle.
Riskihinnang:
- Leevendus: Kõik transiidis olevad andmed on krüpteeritud TLS-i abil. Krüpteeritud transiidiandmete massiline pealtkuulamine ei annaks selgetekstilisi isikuandmeid.
- Praktiline tõenäosus: Madal. Meie teenuste kaudu töödeldavad andmed ei ole signaalluure poolt tavaliselt sihitavat laadi.
4.1.3 Täitevkorraldus 14086 ja EL-USA andmeprivaatsuse raamistik
Täitevkorraldus 14086 (oktoober 2022) tutvustas signaalluure tegevuse jaoks täiendavaid kaitsemeetmeid, sealhulgas:
- Luure kogumise vajalikkuse ja proportsionaalsuse nõuded
- Kaheastmeline kaebemehhanismi (kodanikuvabaduste kaitseametnik + andmekaitse läbivaatamiskohus), mis on kättesaadav EL/UK/Šveitsi isikutele
- Massilise kogumise piirangud
Euroopa Komisjon võttis 10. juulil 2023 vastu adekvaatsusotsuse EL-USA andmeprivaatsuse raamistiku (DPF) kohta. Kuigi Acira AI ei ole praegu DPF alusel ise sertifitseeritud, kohalduvad TK 14086 alusel antud kaitsed laialdaselt kõikidele andmeedastustele Ameerika Ühendriikidesse ning kasutatavast edastamise mehhanismist sõltumata kõikidele andmesubjektidele.
4.1.4 CLOUD seadus
Välismaal andmete seadusliku kasutamise selgitamise seadus (CLOUD Act) lubab USA õiguskaitseorganitel sundida USA-s asuvaid pakkujaid andmeid tootma sõltumata nende salvestamise kohast, eeldusel et on olemas kehtiv korraldus või kohtumäärus.
Riskihinnang:
- Kaitsemeetmed: CLOUD seadus nõuab kehtivat õiguslikku menetlust (korraldus, kohtukutse või kohtumäärus). See ei luba korralduseta massilist juurdepääsu.
- Viisakussätted: CLOUD seadus sisaldab viisakusraamistikku, mis lubab pakkujatel vaidlustada korraldused, mis on vastuolus välisriigi seadusega.
- Praktiline tõenäosus: Madal veebisaidi külastajate andmete puhul. Õiguskaitseorganite taotlused sihiksid tõenäolisemalt konkreetseid kuritegeliku tegevuse kahtlusega kontosid, mitte külastajate analüütikat või vormi esitamisi.
4.2 Iisrael (BrightData)
BrightData asub Iisraelis. Iisraelil on Euroopa Komisjoni adekvaatsusotsus (2011/61/EL), mis tähendab, et Iisraeli edastusi käsitletakse sarnaselt EMP-siseste edastusetega. Siiski töötleb BrightData andmeid ka muudes globaalsetes asukohtades. Märgime, et:
- BrightData töötlemine toimub ainult kasutaja juhtimisel (veebisaidi loomise ajal sisu importimiseks) või plaanilise SERP jälgimise ajal.
- Veebisaidi külastajate isikuandmeid ei edastata BrightData-le.
4.3 Kanada (edastused Kanadast Ameerika Ühendriikidesse)
Kanadas asuvate veebisaidi külastajate isikuandmeid võidakse töötlemiseks edastada Ameerika Ühendriikidesse. Järgmised Kanada seadused on selle hindamise jaoks asjakohased:
4.3.1 Isikuandmete kaitse ja elektrooniliste dokumentide seadus (PIPEDA)
PIPEDA reguleerib eraõiguslike organisatsioonide isikuandmete kogumist, kasutamist ja avaldamist äritegevuse käigus. PIPEDA põhimõte 4.1.3 nõuab, et organisatsioonid kasutaksid lepingulisi või muid vahendeid võrreldava kaitse taseme tagamiseks, kui isikuandmeid edastatakse töötlemiseks kolmandatele osapooltele, sealhulgas Kanada välistesse edastustesse.
Riskihinnang:
- Võrreldav kaitse: Jaotises 6 kirjeldatud täiendavad meetmed (krüpteerimine, pseudonümiseerimine, juurdepääsu kontrollid, andmete minimeerimine) pakuvad PIPEDA alusel nõutavaga võrreldavat kaitse taset. Kõikide alamtöötlejatega on sõlmitud kirjalikud andmetöötluslepingud.
- Adekvaatsusnõue puudub: Erinevalt GDPR-ist ei keela PIPEDA edastusi riikidesse, millel puudub „adekvaatsuse" leid. Organisatsioonid peavad tagama võrreldava kaitse lepinguliste ja muude vahendite kaudu, mida oleme rakendanud.
4.3.2 Provintside privaatsusseadusandlus
Alberta isikuandmete kaitse seadus (PIPA), Briti Columbia isikuandmete kaitse seadus (PIPA) ja Québeci eraõigusliku sektori isikuandmete kaitsega seotud seadus kehtestavad teatud provintsidele lisanõuded:
Riskihinnang:
- Québeci seadus 25: Québeci kaasaegne privaatsusseadus (jõus alates septembrist 2023) nõuab privaatsusmõju hindamist enne isikuandmete edastamist väljaspool Québeci ning edastav organisatsioon peab veenduma, et andmed saavad piisava kaitse. Meie lepingulised kaitsemeetmed, täiendavad tehnilised meetmed ja andmete iseloom (peamiselt pseudonümiseeritud analüütika ja väikeettevõtete veebisaidi suhtlused) toetavad piisava kaitse leiamist.
- Alberta ja Briti Columbia: Alberta ja Briti Columbia PIPA-d nõuavad organisatsioonidelt edastatavate andmete võrreldava kaitse tagamist. Meie lepingulised ja tehnilised kaitsemeetmed vastavad sellele nõudele.
4.3.3 USA valitsuse juurdepääs Kanada vaatepunktist
Samad USA valitsuse juurdepääsu riskid, mida hinnati jaotises 4.1, kehtivad Kanada andmeedastuste puhul. Madal valitsuse juurdepääsu tõenäosus (arvestades andmete iseloomu ja meie ettevõtte profiili) koos jaotise 6 täiendavate meetmetega tagab, et Kanadast Ameerika Ühendriikidesse edastatavad isikuandmed saavad võrreldava kaitse taseme, mida Kanada privaatsusseadus nõuab.
4.4 Globaalsed servaasukohad (Cloudflare)
Cloudflare haldab servakohtade ülemaailmset võrku. EL-i külastajate päringuid töödeldakse tavaliselt lähimas Cloudflare'i kohalolekupunktis, mis EL-i külastajate jaoks on tavaliselt EL-i asukoht.
- Taotluste suunamine, TLS-i lõpetamine ja bot kaitse toimuvad lähimas servakohas.
- Euroopa Liidu elanikeks tuvastatud veebisaidioperaatorite jaoks on püsimälu (mis sisaldab vormi esitusi, vestlusroboti vestlusi ja seansiandmeid) Cloudflare'i jurisdiktsiooni API abil jurisdiktsiooniliselt piiratud Euroopa Liiduga. EL-i mittekuuluvate veebisaidioperaatorite puhul asub püsimälu operaatori geograafilise piirkonna lähedal, kuid võib asuda väljaspool EL-i.
- Analüütikaandmeid töödeldakse Cloudflare'i hallatavast infrastruktuuris.
5. ANDMEVOOGUDE HINDAMINE TEENUSEPAKKUJA KAUPA
5.1 Amazon Web Services (USA)
| Andmevoog | Kaasatud isikuandmed | Eesmärk |
|---|---|---|
| Andmebaasi talletamine | Vormi esitamise metaandmed (IP, riik, piirkond), vestlusroboti vestluskirjed, failide metaandmed, seanskirjed | Veebisaidi külastajate andmete püsimälu |
| Faili talletamine | Üleslaaditud failid (pildid, dokumendid), juurutamise hetktõmmised | Faili talletamine |
| Tehisintellekti järeldamine | Faili sisu (tehisintellekti kirjelduste jaoks), e-kirja sisu (rämpsposti tuvastamiseks) | Tehisintellektil põhinevad kirjeldused ja rämpsposti klassifitseerimine |
| Sisu modereerimine | Üleslaaditud pildid | Sisu modereerimine (alastuse/eksplitsiitne sisu tuvastamine) |
| E-posti kättetoimetamine | E-posti aadressid, sõnumite sisu | Tehingute e-posti kättetoimetamine ja sisuesitamise teatised. EL-i residentidest veebisaidioperaatoritele töödeldakse neid toiminguid Euroopa Liidus (Stockholm). |
| Keele tuvastamine | E-kirja sõnumi tekst | Keele tuvastamine |
AWS kaitsemeetmed:
- Sertifitseeritud ISO 27001, 27017, 27018
- SOC 1/2/3 aruanded saadaval
- Andmed puhkeolekus krüpteeritud valdkonna standardse krüpteerimisega
- Transiidis andmed krüpteeritud (TLS)
- Vähimate õiguste juurdepääsukontrollid süsteemikomponendi kohta
- Peamised teenused on majutatud Ameerika Ühendriikides; EL-i residentidest veebisaidioperaatoritele mõeldud automaatsed külastajale suunatud toimingud (sisuesitamise teatised ja tehingute e-posti kättetoimetamine) töödeldakse Euroopa Liidus (Stockholm)
5.2 Cloudflare (globaalne)
| Andmevoog | Kaasatud isikuandmed | Eesmärk |
|---|---|---|
| Serva suunamine | IP-aadressid, HTTP päised, taotluste URL-id | Taotluste suunamine, DDoS kaitse, TLS-i lõpetamine |
| Veebisaidi majutamine | Lehekülje sisu, külastajate metaandmed | Veebisaidi majutamine ja tarnimine |
| Püsimälu | Vormi esitused, vestlusroboti vestlused, seansiandmed, kasutajatabeli andmed | Olekuhoiustus veebisaidi kohta |
| Analüütika | Pseudonüümitud külastaja räsi, riik, seade, brauser, viide, UTM | Privaatsussõbralik külastajate analüütika |
| Tehisintellekti järeldamine | Vestlusroboti sõnumid, vormivälja kokkuvõtted | Tehisintellekti vestlusroboti vastused, rämpsposti tuvastamine |
| Varade talletamine | Veebisaidi varad (pildid, failid) | Staatiliste varade talletamine ja CDN-tarnimine |
Cloudflare'i kaitsemeetmed:
- Sertifitseeritud ISO 27001, SOC 2 tüüp II
- TLS 1.2+ kõikide ühenduste jaoks
- Cloudflare DPA SCC-dega saadaval
- Servatöötlus tähendab, et EL-i külastajate andmeid töödeldakse tavaliselt EL-i servakohtades taotluste käitlemiseks
- EL-i residentideks tuvastatud veebisaidioperaatoritele on püsisalvestus (mis sisaldab vormiesitatisi, vestlusroboti vestlusi, seansiandmeid ja kasutajatabelite andmeid) jurisdiktsiooniliselt piiratud Euroopa Liiduga Cloudflare jurisdiktsiooni API abil, tagades, et neid andmeid säilitatakse ja töödeldakse ainult EL-i andmekeskustes. Taustprogrammi API-kõned servast (sisuesitamise teatiste ja tehingute e-posti kättetoimetamise jaoks) suunatakse EL-is asuvasse AWS-i infrastruktuuri.
- Tehisintellekti järeldamine ei säilita sisendandmeid treenimiseks
5.3 Stripe (USA)
| Andmevoog | Kaasatud isikuandmed | Eesmärk |
|---|---|---|
| Maksete töötlemine | Veebisaidi operaatori arveldustsandmed (nimi, e-post, makseviis) | Tellimuse ja domeeni maksete töötlemine |
Märkus: Stripe ei saa veebisaidi külastajate isikuandmeid. Stripe töötleb ainult veebisaidi operaatori (meie kliendi) arveldustsandmeid.
Stripe'i kaitsemeetmed:
- Sertifitseeritud PCI DSS tase 1
- Sertifitseeritud ISO 27001
- Stripe DPA SCC-dega saadaval
5.4 Tehisintellekti järeldamise pakkujad (USA)
Fireworks AI ja xAI pakuvad tehisintellekti mudelite järeldamisteenuseid.
| Andmevoog | Kaasatud isikuandmed | Eesmärk |
|---|---|---|
| Teksti genereerimine (veebisaidi sisu) | Veebisaidi sisu (mitte külastajate andmed) | Veebisaidi sisu loomine ja redigeerimine |
| Pildi genereerimine | Tekstipäringud (mitte külastajate andmed) | Veebisaitide piltide loomine |
| Vestlev tehisintellekt (vestlusagent) | Platvormi kasutajanimi, e-post, keele eelistus ja vestluse ajalugu | Tehisintellekti assistent platvormi kasutajatele (veebisaidi operaatorid) |
Märkus: Need tehisintellekti pakkujad ei saa veebisaidi külastajate isikuandmeid. Vestlusroboti funktsioon (veebisaidi külastajatele) kasutab Cloudflare Workers AI-d (hinnatud jaotises 5.2), mitte neid pakkujaid. Siiski saadab platvormi vestlev tehisintellekti assistent — mida kasutavad veebisaidi operaatorid oma veebisaitide haldamiseks — platvormi kasutajate isikuandmeid (nimi, e-posti aadress ja vestluse ajalugu) nendele pakkujatele vastuste genereerimise osana. Selle töötlemise puhul tegutseb Acira AI vastutava töötlejana (mitte volitatud töötlejana) ning andmesubjektid on meie platvormi kasutajad (veebisaidi operaatorid), mitte nende veebisaidi külastajad. Seda andmevoogu reguleerib meie privaatsuspoliitika ja meie lepingud nende pakkujatega, mitte DPA vastutava-volitatud töötleja raamistik külastajate andmetele.
Mudelifamiliad: Need infrastruktuuripakkujad majutavad ja käitavad mitmesuguste kolmandate osapoolte arendatud tehisintellekti mudeleid. Kasutatavad spetsiifilised mudelid ja mudelifamiliad võivad aja jooksul muutuda. Mudeli arendajad ei saa ega oma juurdepääsu kasutajaandmetele — kõik andmete töötlemine toimub eranditult loetletud alltöövõtjate infrastruktuuri piires, olenemata sellest, kus mudelit algselt arendati. Kogu tehisintellekti järeldamise töötlemine jääb meie loetletud alltöövõtjate infrastruktuuri. Ühtegi kasutajaandmeid ei edastata mudeli arendajatele ega väljaspool selles hinnangus loetletud alltöövõtjaid asuvasse infrastruktuuri. Kasutatavate mudelifamiliade ajakohane nimekiri on saadaval taotluse korral, võttes ühendust aadressil legal@acira.ai.
5.5 BrightData (Iisrael / Ülemaailmne)
| Andmevoog | Kaasatud isikuandmed | Eesmärk |
|---|---|---|
| Veebisaidi andmete kogumine | Avalikult kättesaadav veebisisu (mitte külastajate andmed) | Sisu importimine veebisaidi loomise ajal (kasutaja juhtimisel) |
| SERP jälgimine | Otsinguterminid (mitte külastajate andmed) | Märksõnade edetabelite jälgimine |
Märkus: BrightData ei töötle veebisaidi külastajate isikuandmeid. See töötleb avalikult kättesaadavat veebisisu kasutaja juhtimisel ja jälgib otsingumootorite edetabeleid kasutaja määratletud märksõnade jaoks.
5.6 EL-is asuvad pakkujad (edastus puudub)
| Pakkuja | Asukoht | Eesmärk |
|---|---|---|
| Black Forest Labs | Saksamaa (EL) | Tehisintellekti pildi genereerimine (Flux mudelid) |
| ScreenshotOne | Euroopa Liit | Veebisaidi ekraanipiltide tegemine |
| CloudConvert | Saksamaa (EL) | Faili formaadi teisendamine |
Need pakkujad töötlevad andmeid EL-is ega kujuta endast rahvusvahelist edastust. Black Forest Labs saab ainult tekstipäringuid pildi genereerimiseks; isikuandmeid ei kaasata.
6. TÄIENDAVAD MEETMED
Lisaks SCC-dele rakendame järgmisi täiendavaid meetmeid, et tagada edastatavate isikuandmete sisuliselt samaväärne kaitse tase:
6.1 Tehnilised meetmed
| Meede | Kirjeldus |
|---|---|
| Krüpteerimine transiidil | Kõik külastajate, servanärkide ja taustateenuste vahel edastatavad andmed on krüpteeritud TLS-iga (minimaalselt TLS 1.2). Sisemine teenuste omavaheline suhtlus kasutab krüpteeritud kanaleid. |
| Krüpteerimine puhkeolekus | Kõik andmebaasikirjed, failide talletamine ja serval majutatud püsimälu on krüpteeritud puhkeolekus, kasutades valdkonna standardset krüpteerimist, mida haldab vastav infrastruktuuripakkuja. |
| Pseudonümiseerimine | Külastajate analüütika kasutab igapäevaselt pöörlevat krüptograafilist räsi (IP + User-Agent + kuupäev) tooraste IP-aadresside talletamise asemel. Seda räsi ei saa tagasi pöörata ja see pöörleb iga 24 tunni tagant, takistades päevadeülest jälgimist. |
| Andmete minimeerimine | Analüütika kogub ainult koondtaseme metaandmeid (riik, seadme tüüp, brauser). Analüütikas ei talletata tooraid IP-aadresse. Vestlusroboti sõnumid on piiratud 2000 tähemärgiga. |
| Paroolide räsimine | Kõik külastajate paroolid (veebisaidi kaitstud alade jaoks) räsitakse enne salvestamist tugevate krüptograafiliste algoritmidega, kasutades kasutajapõhiseid juhuslikke soolasid. Lihttekstina paroole ei salvestata ega edastata kunagi. |
| Juurdepääsukontrollid | Vähimate õiguste juurdepääsupoliitikad piiravad iga süsteemikomponenti ainult vajalike ressurssidega. Veebisaidipõhised API-märgised piiravad juurdepääsu üksikutele veebisaitidele. |
| Võrgu isoleerimine | Taustateenused suhtlevad sisevõrkude kaudu. Veebisaidi majutamine töötab isoleeritud täitmise liivakastides. Kohandatud koodi täitmine kasutab WebAssembly-põhist liivakastimist. |
| Jurisdiktsiooniline andmete asukoht | EL-i residentideks tuvastatud veebisaidioperaatoritele on külastajate andmeid (vormiesitatisi, vestlusroboti vestlusi, seansiandmeid ja kasutajatabelite andmeid) sisaldav püsisalvestus jurisdiktsiooniliselt piiratud Euroopa Liiduga, tagades, et neid andmeid säilitatakse ja töödeldakse ainult EL-i andmekeskustes. Automaatseid külastajale suunatud toiminguid (sisuesitamise teatised ja tehingute e-posti kättetoimetamine) töödeldakse samuti EL-is asuvas infrastruktuuris. |
| Automatiseeritud kustutamine | Seansiandmed aeguvad pärast 30-päevast tegevusetust. Ajutised failid kustutatakse 24 tunni jooksul. Bot-challenge'i andmed on ajutised ja neid ei salvestata püsivalt. |
6.2 Organisatsioonilised meetmed
| Meede | Kirjeldus |
|---|---|
| Personali konfidentsiaalsus | Kõik isikuandmetele juurdepääsuga personal on seotud konfidentsiaalsuskohustusega. |
| Alamtöötlejate hoolsuskohustus | Alamtöötlejaid hinnatakse nende turvatavade ja andmekaitse vastavuse osas enne kaasamist. Kõikide alamtöötlejatega on sõlmitud kirjalikud DPA-d. |
| Intsidendile reageerimine | Andmekaitserikkumise teavitamise protseduurid tagavad, et vastutavaid töötlejaid teavitatakse 72 tunni jooksul pärast isikuandmete rikkumise kinnitamist. |
| Andmete säilitamispoliitikad | Dokumenteeritud säilitamisperioodid automaatse jõustamisega (TTL-põhine kustutamine, elutsüklipoliitikad). |
| Turvajärelevalve | Struktureeritud logimine, automatiseeritud turvamonitoring ja sissetungi tuvastamine. Vea- ja diagnostikalogisid säilitatakse kuni 30 päeva. |
6.3 Lepingulised meetmed
| Meede | Kirjeldus |
|---|---|
| Standardsed lepingutingimused | SCC-d (moodul üks, moodul kaks ja moodul kolm) on viide kaudu meie DPA-sse lisatud. |
| Alamtöötlejate SCC-d | Kirjalikud lepingud iga alamtöötlejaga kehtestavad andmekaitsekohustused, mis ei ole meie DPA omadest vähem kaitsvad. |
| Valitsuse juurdepääsu teavitamine | Kohustume teavitama vastutavaid töötlejaid valitsuse juurdepääsu taotlustest, kus seaduslikult lubatud, nagu on kirjeldatud meie kasutustingimustes. |
| Vaidlustamiskohustus | Kohustume vaidlustama valitsuse juurdepääsu taotlused, mida peame liiga laiaulatuslikeks või ebaseaduslikeks. |
7. RISKIHINNANG
7.1 Valitsuse juurdepääsu tõenäosus
| Tegur | Hinnang |
|---|---|
| Andmete olemus | Peamiselt pseudonümiseeritud analüütika, vormi esitamised ja vestlusroboti sõnumid väikeettevõtete veebisaitidelt. Need andmed on väikese luureväärtusega. |
| Andmete maht | Madal kuni mõõdukas. Iga veebisait teenindab oma külastajate baasi; andmeid ei agregeerita jälgimisotstarbel veebisaitide üleselt. |
| Ettevõtte profiil | Acira AI on väike SaaS ettevõte, mis majutab väikeettevõtete veebisaite. Me ei ole telekommunikatsioonipakkuja ega kõrgprofiilne jälgimise sihtmärk. |
| Ajaloolised taotlused | Käesoleva hindamise kuupäeva seisuga ei ole Acira AI kunagi saanud FISA jaotise 702 direktiivi, riikliku julgeoleku kirja ega ühtegi valitsuse taotlust klientide andmetele massilise juurdepääsu kohta. |
| Alamtöötlejate profiil | AWS ja Cloudflare on suured infrastruktuuri pakkujad, kes avaldavad läbipaistvusaruandeid. Nende läbipaistvusaruanded näitavad, et valitsuse taotlused on suunatud konkreetsetele kontodele, mitte majutatud sisu massilisele juurdepääsule. |
Üldine tõenäosus: MADAL
7.2 Mõju juurdepääsu korral
| Tegur | Hinnang |
|---|---|
| Andmete tundlikkus | Enamik edastatavatest andmetest on madala tundlikkusega (pseudonümiseeritud analüütika, veebisaidi külastajate metaandmed). Vormi esitamised võivad sõltuvalt veebisaidist sisaldada keskmise tundlikkusega andmeid (nimed, e-posti aadressid, sõnumid). |
| Pseudonümiseerimise tõhusus | Analüütikaandmeid ei saa isikutega siduda ilma iga päev rotateeruvate räsikomponentidele (IP + kasutajaagent + kuupäev) juurdepääsuta, mida ei salvestata. |
| Kokkupuute ulatus | Igasugune valitsuse juurdepääs piirduks konkreetsete kontode või veebisaitidega, mitte kogu platvormiga. Veebisaidipõhine andmete eraldamine pühendatud salvestusjuhtumite kaudu piirab mis tahes potentsiaalse kompromissi ulatust. EL-i residentidest veebisaidioperaatoritele on püsisalvestus ja automaatne külastajale suunatud töötlemine (sisuesitamise teatised ja tehingute e-posti kättetoimetamine) piiratud EL-iga, piirates veelgi kokkupuudet USA valitsuse juurdepääsuga nendele andmetele. |
Üldine mõju: MADAL kuni KESKMINE (sõltub üksikute veebisaidi operaatorite kogutud andmete tundlikkusest)
7.3 Jääkriski hindamine
Arvestades valitsuse juurdepääsu madalat tõenäosust, täiendavaid tehnilisi meetmeid (krüpteerimine, pseudonümiseerimine, andmete minimeerimine) ja TK 14086 poolt kasutusele võetud täiendavaid kaitsemeetmeid, hindame, et andmesubjektide jääkrisk on madal ning täiendavad meetmed koos SCC-dega (EMP/UK/Šveitsi edastuste puhul) ja lepinguliste kaitsemeetmetega (Kanada edastuste puhul) pakuvad kaitse taset, mis on sisuliselt samaväärne EMP-s garanteerituga ja võrreldav Kanada privaatsusseaduse alusel nõutavaga.
8. JÄRELDUS
Selle hindamise põhjal järeldame, et:
EMP-st/UK-st/Šveitsist/Kanadast Ameerika Ühendriikidesse meie teenuste osutamisega seoses edastatavad isikuandmed saavad sisuliselt samaväärse kaitse taseme EL-i andmekaitseõiguse alusel garanteerituga ning võrreldava kaitse taseme Kanada privaatsusseaduse alusel nõutavaga.
Standardsed lepingutingimused koos jaotises 6 kirjeldatud täiendavate tehniliste, organisatsiooniliste ja lepinguliste meetmetega käsitlevad piisavalt selles hindamises tuvastatud riske.
Andmete olemus (peamiselt pseudonümiseeritud analüütika ja väikeettevõtete veebisaidi külastajate suhtlused) ja andmete importija profiil (väike SaaS ettevõte, mitte telekommunikatsioonipakkuja) vähendavad oluliselt valitsuse jälgimise praktilist riski.
Täitevkorralduse 14086 poolt kasutusele võetud kaitsed ja sellega seotud kaebemehhanism pakuvad täiendavaid kaitsemeetmeid, mis kasutatavast konkreetsest edastamise mehhanismist sõltumata kõikidele andmesubjektidele kasulikud on.
Kanada edastuste puhul tagavad siin kirjeldatud lepingulised kaitsemeetmed ja täiendavad meetmed võrreldava kaitse taseme PIPEDA ja kohaldatava provintside privaatsusseadusandluse, sealhulgas Québeci kaasaegse privaatsusseaduse alusel nõutavaga.
Jätkame USA jälgimusõiguse ja -praktika arengu ning Kanada privaatsusõiguse arengu (sealhulgas kavandatava tarbijaprivaatsuse kaitse seaduse) jälgimist ning hindame käesoleva TIA ümber, kui asjaolud oluliselt muutuvad.
Edastused võivad jätkuda eeldusel, et SCC-sid ja siin kirjeldatud täiendavaid meetmeid jätkuvalt kohaldatakse.
9. ÜLEVAATAMISE AJAKAVA
Käesolevat TIA-d vaadatakse üle ja uuendatakse:
- Igal aastal, vähemalt, või
- Kohaldatavate seaduste või määruste oluliste muutuste korral (sealhulgas muutused FISA-s, CLOUD seaduses, TK 14086-s, PIPEDA-s või Kanada provintside privaatsusseadusandluses),
- Meie alamtöötlejate muutuste korral või edastatavate andmete olemuse muutumise korral,
- Mis tahes kohtuotsuse korral, mis oluliselt mõjutab SCC-de kehtivust või USA andmekaitse piisavust.
10. KONTAKT
Kui teil on küsimusi selle andmeedastuse mõjuhinnangu kohta, võtke meiega ühendust:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
E-post: legal@acira.ai
Teie privaatsus, meie prioriteet
Me ei müü teie andmeid, me ei kasuta jälgimisküpsiseid — seepärast ei näe te siin küpsiste bännerit. Me austame Global Privacy Control'i ja EL-i klientide puhul salvestatakse ja töödeldakse külastajate andmeid ainult Euroopa Liidus.
Acira AI
Ehita ilusaid veebisaite tehisintellektiga. Programmeerimine pole vajalik.
Uhkusega ehitatud Ameerika Ühendriikides
© 2026 Acira AI LLC. Kõik õigused kaitstud.