TIETOJENKÄSITTELYLISÄYS

Viimeksi päivitetty: 19. maaliskuuta 2026

Tämä tietojenkäsittelylisäys ("DPA") on osa Acira AI LLC:n ("Käsittelijä", "me", "meille") ja palveluiden käyttäjän ("Rekisterinpitäjä", "sinä") välisiä käyttöehtoja ("Sopimus") ja täydentää sopimusta henkilötietojen käsittelyn osalta.

Tätä DPA:ta sovelletaan, kun käytät palveluita luodaksesi, isännöidäksesi ja julkaistaksesi verkkosivustoja, jotka keräävät tai käsittelevät Euroopan talousalueella ("ETA"), Yhdistyneessä kuningaskunnassa ("UK") tai Sveitsissä sijaitsevien henkilöiden henkilötietoja, tai muulloin kun sovellettavat tietosuojalait sitä edellyttävät.

Tämä Tietojenkäsittelysopimus voidaan kääntää muille kielille avuksesi. Englanninkielisen version ja minkä tahansa käännetyn version välisessä ristiriitatilanteessa englanninkielinen versio on ratkaiseva.

SISÄLLYSLUETTELO

1. MÄÄRITELMÄT
2. SOVELTAMISALA JA ROOLIT
3. TIETOJENKÄSITTELYN TIEDOT
4. KÄSITTELIJÄN VELVOLLISUUDET
5. REKISTERINPITÄJÄN VELVOLLISUUDET
6. ALIKÄSITTELIJÄT
7. KANSAINVÄLISET TIEDONSIIRROT
8. REKISTERÖITYJEN OIKEUDET
9. TIETOTURVA
10. TIETOTURVALOUKKAUSILMOITUS
11. AUDITOINNIT JA VAATIMUSTENMUKAISUUDEN TODENTAMINEN
12. TIETOJEN SÄILYTYS JA POISTAMINEN
13. VOIMASSAOLO JA PÄÄTTYMINEN
14. VASTUUNRAJOITUS
15. OTA MEIHIN YHTEYTTÄ

1. MÄÄRITELMÄT

"Sovellettava tietosuojalaki" tarkoittaa kaikkia lakeja ja asetuksia, joita sovelletaan tämän DPA:n mukaiseen henkilötietojen käsittelyyn, mukaan lukien (soveltuvin osin) yleinen tietosuoja-asetus (EU) 2016/679 ("GDPR"), UK GDPR, Sveitsin liittovaltion tietosuojalaki ("FADP") ja Kalifornian kuluttajien yksityisyydensuojalaki ("CCPA").

"Rekisterinpitäjä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot — tässä yhteydessä sinä, palveluiden käyttäjä, joka ylläpitää verkkosivustoa alustan kautta.

"Rekisteröity" tarkoittaa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jonka henkilötietoja käsitellään.

"Henkilötiedot" tarkoittavat kaikkia rekisteröityä koskevia tietoja, joita käsitellään palveluiden kautta.

"Käsittely" tarkoittaa mitä tahansa henkilötiedoille suoritettavaa toimintoa, mukaan lukien kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, mukauttaminen, hakeminen, käyttö, luovuttaminen, levittäminen, rajoittaminen, poistaminen tai tuhoaminen.

"Käsittelijä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta — tässä yhteydessä Acira AI LLC.

"Alikäsittelijä" tarkoittaa mitä tahansa kolmatta osapuolta, jonka käsittelijä on nimennyt käsittelemään henkilötietoja rekisterinpitäjän puolesta.

"Vakiosopimuslausekkeet" tai "SCC:t" tarkoittavat Euroopan komission hyväksymiä vakiosopimuslausekkeita henkilötietojen siirtämiseksi kolmansissa maissa sijaitseville käsittelijöille.

2. SOVELTAMISALA JA ROOLIT

2.1 Käsittelysuhde

Kun käytät palveluita luodaksesi ja ylläpitääksesi verkkosivustoa, joka kerää henkilötietoja verkkosivustosi kävijöiltä (lomakkeiden, käyttäjätilien, chatbot-vuorovaikutusten, kommenttien, arvostelujen tai muiden vuorovaikutteisten ominaisuuksien kautta), toimit Rekisterinpitäjänä ja me toimimme kyseisten kävijöiden henkilötietojen Käsittelijänä.

2.2 Roolimme Rekisterinpitäjänä

Toimimme itsenäisenä Rekisterinpitäjänä henkilötiedoille, joita keräämme omiin tarkoituksiimme, mukaan lukien: tilisi tiedot, laskutustiedot, käyttöanalytiikka, verkkosivustosi sisällöstä johdetut yleiset verkkosivuston ominaisuudet (kuten toimiala tai yritystyyppi) ja alustan käyttötiedot. Näiden tietojen käsittelyä säätelee tietosuojakäytäntömme, ja se jää tämän DPA:n soveltamisalan ulkopuolelle.

2.3 Alustaanalytiikka

Keräämme verkkosivuston kävijöistä perusanalytiikkaa, joka suojelee yksityisyyttä (kuten sopimuksessa kuvataan). Analytiikkatietojen osalta toimimme kanssasi yhteisrekisterinpitäjänä. Olemme suunnitelleet analytiikkamme minimoimaan henkilötietojen keräämisen — emme tallenna raaka-IP-osoitteita, ja kävijätunnisteet vaihtuvat päivittäin. Kunkin yhteisrekisterinpitäjän vastuut ovat seuraavat:

• Acira AI (Käsittelijä/Yhteisrekisterinpitäjä): Määrittelee analytiikan keräämisen tekniset keinot, mukaan lukien mitä datapisteitä kerätään, miten kävijätunnisteet lasketaan (päivittäin vaihtuvat tiivisteet) ja miten tiedot aggregoidaan. Olemme vastuussa analytiikkainfrastruktuurin turvallisuudesta ja eheydestä sekä vastaamaan alustan analytiikan toimintaa koskeviin yleisiin tiedusteluihin.
• Sinä (Rekisterinpitäjä/Yhteisrekisterinpitäjä): Päätät, käytetäänkö analytiikkaa verkkosivustollasi (analytiikka on oletuksena käytössä osana palveluita). Olet vastuussa analytiikkatietojen keräämisen ilmoittamisesta verkkosivustosi tietosuojakäytännössä ja kävijöiltäsi tuleviin analytiikkatietoja koskeviin rekisteröityjen pyyntöihin vastaamisesta.
• Rekisteröityjen yhteyshenkilö: Rekisteröidyt voivat ottaa sinuun (verkkosivuston omistajaan) yhteyttä verkkosivustollasi kerättyjen analytiikkatietojen osalta. Jos saamme rekisteröidyltä pyynnön analytiikkatietoja koskien, ohjaamme heidät sinulle, ellet toisin ohjeista. Yleisiä alustatiedusteluita varten rekisteröidyt voivat ottaa meihin yhteyttä osoitteessa legal@acira.ai.

2.4 Yhteisrekisterinpitäjäjärjestelyn ydin

GDPR:n 26 artiklan 2 kohdan mukaisesti tämän analytiikkatietoja koskevan yhteisrekisterinpitäjäjärjestelyn ydin on seuraava: Me (Acira AI) määrittelemme tekniset keinot ja kerätyt datapisteet; sinä (verkkosivuston ylläpitäjä) päätät, käytetäänkö analytiikkaa verkkosivustollasi. Olemme kumpikin vastuussa omista velvollisuuksistamme sovellettavan tietosuojalain mukaisesti. Olet verkkosivustosi kävijöiden ensisijainen yhteyshenkilö analytiikkatietoja koskevissa asioissa. Yhteenveto tästä järjestelystä on rekisteröityjen saatavilla tämän DPA:n kautta ja osoitteessa https://www.acira.ai/dpa.

2.5 CCPA-palveluntarjoajanimitys

Siltä osin kuin käsittelemme puolestasi Kalifornian kuluttajien yksityisyydensuojalain ("CCPA") alaisia henkilötietoja, olemme "palveluntarjoajasi" Cal. Civ. Code § 1798.140(ag):ssa määritellyn mukaisesti. Emme:

• Myy tai jaa (kuten nämä termit on määritelty CCPA:ssa) mitään sinulta saamiamme henkilötietoja;
• Säilytä, käytä tai luovuta henkilötietoja muuhun tarkoitukseen kuin tässä DPA:ssa ja sopimuksessa määriteltyihin liiketoimintatarkoituksiin tai muutoin CCPA:n sallimalla tavalla;
• Säilytä, käytä tai luovuta henkilötietoja sinun ja meidän välisen välittömän liikesuhteen ulkopuolella;
• Yhdistä sinulta saamiamme henkilötietoja henkilötietoihin, jotka saamme tai saamme jonkun muun puolesta tai keräämme omista vuorovaikutuksistamme kuluttajien kanssa, paitsi CCPA:n sallimalla tavalla.

Voimme johtaa yleisiä, ei-tunnistettavia liiketoimintaominaisuuksia (kuten toimialaluokitus) verkkosivustosi sisällöstä tarjotaksemme olennaisia tuotesuosituksia, kuten kohdassa 2.2 on kuvattu. Tämä rajoitettu käyttö ei muodosta henkilötietojen myyntiä, jakamista tai yhdistämistä CCPA:n tarkoittamassa merkityksessä.

Vakuutamme ymmärtävämme nämä rajoitukset ja noudattavamme niitä.

2.6 Sveitsin FADP-edustaja-arviointi

Sveitsin liittovaltion tietosuojalain ("FADP") 14 artikla edellyttää ei-sveitsiläistä yksityistä rekisterinpitäjää nimeämään edustajan Sveitsiin vain, kun kaikki neljä seuraavaa kumulatiivista ehtoa täyttyvät: (1) käsittely liittyy tavaroiden tai palveluiden tarjoamiseen Sveitsissä oleville henkilöille tai heidän käyttäytymisensä seurantaan; (2) käsittely on laajamittaista; (3) käsittely tapahtuu säännöllisesti; ja (4) käsittely aiheuttaa suuren riskin rekisteröityjen persoonallisuusoikeuksille tai perusoikeuksille.

Olemme arvioineet käsittelytoimintamme näitä ehtoja vasten ja todenneet, että vaikka ehdot (1) ja (3) täyttyvät, jäljelle jäävät ehdot eivät täyty seuraavista syistä:

• Ei laajamittaista: Olemme pieni SaaS-alusta. Palveluidemme kautta käsiteltävien sveitsiläisten asukkaiden henkilötietojen määrä on rajallinen, eikä se muodosta FADP:n 14 artiklan mukaista laajamittaista käsittelyä.
• Ei suurta riskiä: Verkkosivustoylläpitäjien puolesta käsittelemämme henkilötiedot koostuvat pääasiassa pseudonymisoiduista analytiikkatunnisteista (päivittäin vaihtuvat tiivisteet), peruskävijöiden metatiedoista (maa, laitteen tyyppi, selain), lomakkeiden lähetyssisällöistä ja chatbot-viesteistä. Emme käsittele erityisiä henkilötietokategorioita (FADP:n 5 artiklan c kohta), emmekä harjoita profilointia, joka aiheuttaa suuren riskin rekisteröidyille. Sveitsin liittovaltion tietosuoja- ja tietoturvavaltuutettu ("FDPIC") on ilmoittanut, että tämä velvoite on ensisijaisesti suunnattu suurille ulkomailta toimiville internetalustoille ja sosiaalisille verkostoille, mikä ei kuvaa palveluitamme.

Tämän arvioinnin perusteella olemme päätyneet siihen, että meillä ei ole tällä hetkellä velvollisuutta nimetä edustajaa Sveitsiin FADP:n 14 artiklan nojalla. Arvioimme tämän päätelmän säännöllisesti uudelleen, mukaan lukien käsittelytoimintojemme laajuuden tai luonteen olennaisesti muuttuessa sveitsiläisiin asukkaisiin vaikuttavien seikkojen osalta.

3. TIETOJENKÄSITTELYN TIEDOT

3.1 Kohde ja kesto

Tämän DPA:n mukainen henkilötietojen käsittely suoritetaan sopimuksessa kuvattujen palveluiden tarjoamiseksi ja jatkuu sopimuksen voimassaoloajan.

3.2 Käsittelyn luonne ja tarkoitus

Käsittelemme henkilötietoja:

• Verkkosivustosi sisällön isännöimiseksi ja toimittamiseksi
• Verkkosivustosi lomakkeiden ja vuorovaikutteisten ominaisuuksien kautta lähetettyjen tietojen tallentamiseksi ja hallinnoimiseksi
• Käyttäjätilien ja istuntojen ylläpitämiseksi verkkosivustosi suojatuilla alueilla
• Sähköpostiviestinnän toimittamiseksi puolestasi
• Mukautettuihin verkkotunnussähköpostiosoitteisiisi vastaanotettujen sähköpostien edelleenlähettämiseksi
• Tekoälychattibottivuorovaikutusten mahdollistamiseksi verkkosivustosi kävijöiden kanssa
• Tekoälyavusteisten kuvausten ja metatietojen luomiseksi ladatuille tiedostoille
• Ladattujen tiedostojen muuntamiseksi verkkoon optimoituihin muotoihin
• Kävijäanalytiikan tarjoamiseksi
• Yleisten verkkosivuston ominaisuuksien (kuten toimiala tai yritystyyppi) johtaminen olennaisten alustasuositusten tarjoamiseksi
• Roskapostin ja väärinkäytösten havaitsemiseksi ja estämiseksi (mukaan lukien proof-of-work-bottitestaukset)
• Ladattujen tiedostojen sisällönmoderoinnin suorittamiseksi
• Verkkosivuston sisällön tarkistamiseksi julkaisun aikana alustan sisältökäytäntöjen noudattamisen varmistamiseksi
• Hallita sähköpostin peruutusasetuksia verkkosivustosi sähköpostin vastaanottajille
• Reaaliaikaisen kanavaviestinnän mahdollistamiseksi verkkosivustollasi WebSocket-yhteyksien kautta (viestit ovat lyhytaikaisia eikä niitä säilytetä)
• Virhe- ja diagnostiikkalokien ylläpitämiseksi alustan luotettavuuden ja vianmäärityksen tueksi (voi sisältää IP-osoitteita ja pyyntöjen metatietoja; säilytetään enintään kolmekymmentä (30) päivää)

3.3 Henkilötietotyypit

Käsiteltyjen henkilötietojen tyypit riippuvat siitä, mitä keräät verkkosivustosi kautta, ja ne voivat sisältää:

• Nimiä ja yhteystietoja
• Sähköpostiosoitteita
• Viestejä ja lomakelähetyksiä
• Verkkosivuston kävijöiden lähettämiä tiedostoja (kuten kuvia ja asiakirjoja)
• Chatbot-vuorovaikutusten sisältöä (kävijöiden viestit ja tekoälyvastaukset)
• Käyttäjätilin tunnistetietoja (tallennettu hajautettuina)
• Istuntotietoja
• IP-osoitteita (ei tallennettu analytiikassa — tallennetaan vain päivittäin vaihtuva tiiviste; tallennetaan metatietona lomakelähetysten ja chatbot-vuorovaikutusten yhteydessä; käytetään tilapäisesti ja hajautetaan bottivarmistuksen yhteydessä; tallennetaan tilapäisesti nopeusrajoitusta varten enintään seitsemäksi (7) päiväksi ja poistetaan automaattisesti)
• Selain- ja laitetietoja
• Sijaintitietoja (maa- ja aluetaso, johdettu IP-osoitteesta)
• Sähköpostin peruutustietueet (tallennettu vastaanottajien sähköpostiosoitteiden kryptografisina tiivisteenä; ei tallenneta raakamuodossa)
• Roskapostiluokittelutuloksia (onko lähetys todettu roskapostiksi)
• Virhe- ja diagnostiikkalokitietoja (IP-osoitteet, pyyntöpolut ja virhetiedot; säilytetään enintään kolmekymmentä (30) päivää ja poistetaan automaattisesti)

3.4 Rekisteröityjen kategoriat

• Verkkosivustosi kävijät
• Käyttäjät, jotka luovat tilejä verkkosivustollasi
• Käyttäjät, jotka lähettävät lomakkeita tai ovat vuorovaikutuksessa chatbottien kanssa verkkosivustollasi
• Käyttäjät, jotka lähettävät kommentteja, arvosteluja tai muita lisäyksiä verkkosivustollasi

4. KÄSITTELIJÄN VELVOLLISUUDET

Olemme velvolliset:

1. Käsittelemään henkilötietoja ainoastaan dokumentoitujen ohjeidesi mukaisesti, ellei sovellettava laki edellytä muuta (jolloin ilmoitamme sinulle tästä lainmukaisesta vaatimuksesta ennen käsittelyä, ellei laki kiellä sitä);
2. Varmistamaan, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitovelvollisuuteen tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus;
3. Toteuttamaan asianmukaiset tekniset ja organisatoriset turvatoimet 9 jaksossa kuvatulla tavalla;
4. Noudattamaan alikäsittelijöiden käyttämisen ehtoja 6 jaksossa vahvistetulla tavalla;
5. Avustamaan sinua, ottaen huomioon käsittelyn luonteen, vastaamaan rekisteröityjen pyyntöihin heidän käyttäessä oikeuksiaan sovellettavan tietosuojalain nojalla;
6. Avustamaan sinua varmistamaan GDPR:n 32–36 artiklan (turvallisuus, tietomurtoilmoitus, tietosuojaa koskevat vaikutustenarvioinnit ja ennakkokuuleminen) mukaisten velvollisuuksiesi täyttäminen, ottaen huomioon käsittelyn luonteen ja käytettävissämme olevat tiedot. Kun palveluiden käyttösi sisältää suuren riskin käsittelyä, joka saattaa edellyttää tietosuojaa koskevaa vaikutustenarviointia (DPIA), annamme sinulle tietoja käsittelytoimistamme, teknisistä ja organisatorisista toimenpiteistä sekä alikäsittelijöistä arviointisi tueksi;
7. Avustamaan sinua GDPR:n 22 artiklan (automatisoitu yksilöllinen päätöksenteko) mukaisten velvollisuuksiesi täyttämisessä antamalla tietoja puolestasi suoritetuista automaattisista käsittelyistä, mukaan lukien sisällönmoderaatio, roskapostin tunnistus ja bottiensuojaus, sekä helpottamalla automaattisten päätösten ihmisten suorittamaa arviointia pyynnöstä;
8. Ilmoittamaan sinulle, jos mielestämme jokin ohjeistuksesi rikkoo sovellettavaa tietosuojalakia;
9. Poistamaan tai palauttamaan valintasi mukaan kaikki henkilötiedot palveluiden tarjoamisen päättymisen jälkeen sekä poistamaan olemassa olevat kopiot, ellei sovellettava laki edellytä säilyttämistä;
10. Antamaan sinulle kaikki tiedot, jotka ovat tarpeen tässä DPA:ssa vahvistettujen velvollisuuksien noudattamisen osoittamiseksi, ja osallistumaan vaatimustenmukaisuuden todentamiseen 11 jaksossa kuvatulla tavalla.

5. REKISTERINPITÄJÄN VELVOLLISUUDET

Olet velvolliset:

1. Varmistamaan, että henkilötietojen keräämisesi ja käsittelysi verkkosivustosi kautta on kaikkien sovellettavien tietosuojalakien mukaista;
2. Antamaan asianmukaiset tietosuojailmoitukset verkkosivustosi kävijöille, joissa kuvataan tietojenkeräyskäytäntösi, mukaan lukien alustatason analytiikan, tekoälypohjaisten chatbot-vuorovaikutusten, roskapostin tunnistuksen ja bottiensuojauksen ilmoittaminen;
3. Hankkimaan kaikki tarvittavat suostumukset tai muodostamaan muun lainmukaisen perustan verkkosivustosi kautta tapahtuvalle henkilötietojen käsittelylle;
4. Varmistamaan, että henkilötietojen käsittelyä koskevat ohjeistuksesi meille ovat sovellettavan tietosuojalain mukaisia;
5. Olemaan vastuussa meille verkkosivustosi kautta toimitettujen henkilötietojen tarkkuudesta, laadusta ja lainmukaisuudesta.

Käyttämällä palveluita ohjeistatte meitä suorittamaan seuraavat käsittelytoimet puolestasi osana alustan vakiotoimintoja: ladattujen tiedostojen sisällönmoderaatio, julkaistun verkkosivuston sisällön sisältökäytäntötarkistus, lomakelähetysten roskapostin tunnistus, bottiensuojaus proof-of-work-testausten avulla ja tekoälypohjaiset chatbot-vuorovaikutukset verkkosivustosi kävijöiden kanssa. Nämä toimet ovat GDPR:n 28 artiklan 3 kohdan a alakohdan mukaisia dokumentoituja ohjeistuksia.

6. ALIKÄSITTELIJÄT

6.1 Valtuutetut alikäsittelijät

Annat meille yleisen luvan käyttää alikäsittelijöitä palveluiden tarjoamisen tukemiseen. Nykyiset alikäsittelijämme on lueteltu alla ja osoitteessa https://www.acira.ai/dpa.

6.2 Nykyinen alikäsittelijäluettelo

6.3 Muutokset alikäsittelijöihin

Ilmoitamme sinulle kaikista suunnitelluista muutoksista alikäsittelijäluetteloon tällä hetkellä käyttämiesi Palvelujen osalta päivittämällä alikäsittelijäluettelon osoitteessa https://www.acira.ai/dpa vähintään neljätoista (14) päivää ennen kuin uusi alikäsittelijä aloittaa henkilötietojen käsittelyn. Kun otamme käyttöön uusia ominaisuuksia tai palveluja, joihin liittyy lisää alikäsittelijöitä, kyseiset alikäsittelijät ilmoitetaan sillä hetkellä, kun ominaisuus tai palvelu tulee saataville; uuden ominaisuuden tai palvelun käyttäminen tarkoittaa sen ilmoitettujen alikäsittelijöiden hyväksymistä. On sinun vastuullasi tarkistaa alikäsittelijäluettelo säännöllisesti muutosten varalta. Jos sinulla on perusteltu vastaväite uuden alikäsittelijän tietojen käsittelyä vastaan olemassa olevien Palvelujen osalta, voit ilmoittaa meille siitä kirjallisesti neljäntoista (14) päivän kuluessa muutoksen julkaisemisesta. Työskentelemme kanssasi vilpittömässä mielessä huoliesi ratkaisemiseksi. Jos emme pysty ratkaisemaan vastaväitettä kohtuullisella tavalla, voit purkaa sopimuksen antamalla kirjallisen ilmoituksen.

6.4 Alikäsittelijöiden velvollisuudet

Teemme jokaisen alikäsittelijän kanssa kirjalliset sopimukset, jotka asettavat tietosuojavelvollisuudet, jotka eivät ole tässä DPA:ssa vahvistettuja heikommat. Olemme vastuussa alikäsittelijöidemme toimista ja laiminlyönneistä siinä määrin kuin olisimme vastuussa, jos tarjoaisimme palvelut suoraan.

7. KANSAINVÄLISET TIEDONSIIRROT

7.1 Siirtomekanismit

Palvelut isännöidään pääasiassa Yhdysvalloissa. Palveluiden kautta käsiteltyjä henkilötietoja voidaan siirtää Yhdysvaltoihin ja muihin maihin, joissa alikäsittelijämme toimivat, ja käsitellä siellä. Tekoälypäättelypalveluntarjoajat (Fireworks AI ja xAI) käsittelevät tietoja Yhdysvalloissa. BrightData voi käsitellä tietoja Israelissa ja muualla maailmassa. Cloudflare käsittelee tietoja reunasolmuissa ympäri maailmaa.

EU:n tietojen sijainti: EU:n asukkaiksi tunnistetuille verkkosivuston ylläpitäjille sovellamme seuraavia tietojen sijaintitoimenpiteitä vähentääksemme vierailijoiden henkilötietojen siirtoja Euroopan unionin ulkopuolelle:

• Tallennus: Vierailijoiden tiedot pysyvässä reunatallennustilassa — mukaan lukien lomakkeiden lähetykset, chatbot-keskustelut, istuntotiedot ja käyttäjätaulukkotiedot — on rajoitettu Euroopan unioniin. Nämä tiedot tallennetaan yksinomaan EU:n datakeskuksiin.
• Automaattinen vierailijalle suunnattu käsittely: Vierailijan toiminnan automaattisesti käynnistämät toiminnot — mukaan lukien sisällön lähettämisilmoitukset ja tapahtumasähköpostin toimitus — käsitellään Euroopan unionissa eivätkä kulje Yhdysvaltain infrastruktuurin kautta.
• Alustan hallinnan käyttöoikeus: Kun käytät verkkosivustosi vierailijatietoja alustan hallintapaneelin tai keskusteluliittymän kautta (esimerkiksi lomakkeiden lähetysten tarkastelu tai käyttäjätietueiden hallinta), nämä tiedot saatetaan käsitellä USA:ssa sijaitsevan infrastruktuurimme kautta pyyntösi toteuttamiseksi. Nämä siirrot ovat pyydettäessä tapahtuvia, sinun (Rekisterinpitäjä) aloittamia ja suojattu alla kuvatuilla siirtomekanismeilla ja täydentävillä toimenpiteillä.
• Muu USA:ssa tapahtuva käsittely: Analytiikkatiedot ja USA:ssa sijaitsevan pilvi-infrastruktuurimme käsittelemät tiedot sisällön moderointia ja AI-päättelyä varten voivat edelleen siirtyä Yhdysvaltoihin alla olevien siirtomekanismien mukaisesti.

ETA:lta, Iso-Britanniasta tai Sveitsistä maihin, joita ei ole tunnustettu riittävän tietosuojan tarjoaviksi, tapahtuvissa henkilötietojen siirroissa käytämme:

1. Vakiosopimuslausekkeet (SCC:t): Sisällytämme Euroopan komission vakiosopimuslausekkeet tähän DPA:han viittauksen kautta: Moduuli yksi (Rekisterinpitäjältä rekisterinpitäjälle) analytiikkatiedoille, joissa toimimme yhteisrekisterinpitäjänä (ks. jakso 2.3), ja Moduuli kaksi (Rekisterinpitäjältä käsittelijälle) kaikille muille puolestasi käsitellyille henkilötiedoille. SCC:t ovat saatavilla osoitteessa https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Iso-Britannian kansainvälinen tiedonsiirtolisäys: Iso-Britanniasta tapahtuvia siirtoja varten sovelletaan EU SCC:iden Iso-Britannian lisäystä.
3. Sveitsin tiedonsiirtomekanismit: Sveitsistä tapahtuvia siirtoja varten SCC:t sovelletaan Sveitsin FADP:n edellyttämin muutoksin.

7.2 Lisätoimenpiteet

Toteutamme seuraavat lisätoimenpiteet siirrettyjen henkilötietojen suojaamiseksi:

• Tietojen salaus siirron aikana (TLS/SSL) ja levossa
• Pääsynhallinta ja todennusmekanismit
• Säännölliset tietoturva-arvioinnit
• Tietojen minimointikäytännöt (esim. päivittäin vaihtuvat kävijätiivisteet raaka-IP-tallennuksen sijaan)
• Oikeudenkäyttöalueen mukainen tietojen sijainti EU:ssa asuville verkkosivuston ylläpitäjille (pysyvä tallennus ja automatisoitu vierailijoille suunnattu käsittely rajoitettu EU:hun)
• EU:ssa sijaitseva laskenta- ja sähköposti-infrastruktuuri automaattisille vierailijalle suunnatuille toiminnoille (sisällön lähettämisilmoitukset ja tapahtumasähköpostin toimitus käsitellään Euroopan unionissa EU:ssa asuville verkkosivuston ylläpitäjille)

7.3 Siirron vaikutusarviointi

Nämä lisätoimenpiteet perustuvat arvioomme kohdemaiden laeista ja käytännöistä, ottaen huomioon siirrettyjen tietojen luonteen, käytetyn siirtomekanismin sekä käytössä olevat tekniset ja organisatoriset suojatoimet. Olemme arvioineet, että edellä kuvatut lisätoimenpiteet yhdessä SCC:issä olevien sitoumusten kanssa tarjoavat riittävän suojatason siirretyille henkilötiedoille. Siirron vaikutusarviointimme on saatavilla osoitteessa https://www.acira.ai/tia.

7.4 Kanadalaiset tiedonsiirrot

Kanadasta tapahtuvia henkilötietojen siirtoja varten käytämme seuraavia suojatoimia varmistaaksemme, että Kanadan ulkopuolelle siirretyt henkilötiedot saavat vertailukelpoisen suojan, kuten henkilötietoja ja sähköistä asiakirjaa koskeva laki (PIPEDA) ja sovellettava provinssilainsäädäntö (mukaan lukien Albertan PIPA, Brittiläisen Kolumbian PIPA ja Quebecin laki yksityisen sektorin henkilötietojen suojasta) edellyttävät:

1. Sopimusoikeudelliset suojatoimet: Kirjalliset tietojenkäsittelysopimukset jokaisen alikäsittelijän kanssa, jotka asettavat velvollisuudet suojata henkilötietoja Kanadan tietosuojalain kanssa yhdenmukaisen standardin mukaisesti, mukaan lukien vaatimukset asianmukaisista turvasuojauksista, käyttörajoituksista, tietomurtoilmoituksesta ja rekisteröidyn pääsystä.
2. Tekniset suojatoimet: Samat 7.2 jaksossa kuvatut salaus-, pseudonymisointi-, pääsynhallinta- ja tietojen minimointitoimenpiteet koskevat kanadalaisten tietojen siirtoja.
3. Organisatoriset suojatoimet: Alikäsittelijöiden huolellisuusarviointi, henkilöstön salassapitovelvollisuudet ja dokumentoidut häiriötilanteisiin reagointimenettelyt tässä DPA:ssa kuvatulla tavalla.

Seuraamme Kanadan tietosuojalain kehitystä, mukaan lukien ehdotettu kuluttajien yksityisyydensuojalaki (CPPA), ja päivitämme siirtomekanismejamme tarpeen mukaan.

8. REKISTERÖITYJEN OIKEUDET

8.1 Pyyntöihin avustaminen

Autamme sinua vastaamaan rekisteröityjen pyyntöihin, kun he käyttävät oikeuksiaan sovellettavan tietosuojalain nojalla, mukaan lukien pääsyoikeus, oikaiseminen, poistaminen, rajoittaminen, siirrettävyys ja vastustaminen.

8.2 Ilmoittaminen

Jos saamme suoraan rekisteröidyltä pyynnön, joka koskee puolestasi käsiteltyjä henkilötietoja, ilmoitamme sinulle viipymättä emmekä vastaa pyyntöön ilman ohjeistustasi, ellei sovellettava laki sitä edellytä.

8.3 Alustan työkalut

Tarjoamme palveluissa työkaluja, jotka auttavat sinua täyttämään rekisteröityjen pyynnöt, mukaan lukien:

• Pääsy verkkosivustosi tietokantoihin tallennettuihin tietoihin ja niiden hallinta
• Yksittäisten tietueiden poistaminen verkkosivustosi tietokannoista
• Pyynnöstä voimme toimittaa tietojen viennit ZIP-muodossa auttaaksemme tietojen siirrettävyysvelvollisuuksien täyttämisessä

9. TIETOTURVA

9.1 Turvatoimet

Toteutamme ja ylläpidämme asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Nämä toimenpiteet sisältävät:

• Salaus: Tiedot salataan siirrossa TLS/SSL-protokollalla ja levossa alan standardin mukaisella salauksella
• Pääsynhallinta: Roolipohjainen pääsynhallinta, monivaiheinen todentaminen alustan hallinnoinnissa, vähimmän oikeuden periaatteen mukaiset käytännöt
• Infrastruktuurin turvallisuus: Hallinnoitu pilvi-infrastruktuuri automaattisella tietoturvakorjauksella, DDoS-suojauksella ja verkkosovellusmuurilla (WAF)
• Tietojen eristäminen: Verkkosivustokohtainen tietojen eristäminen omistettujen tallennusinstanssien avulla
• Valvonta: Automatisoitu tietoturvavalvonta, tunkeutumisen tunnistus ja rakenteellinen lokikirjaus
• Tunnistetietoturvallisuus: Kaikki API-avaimet ja salaisuudet tallennetaan omistettuihin salaisuuksien hallintapalveluihin; käyttäjien salasanat hajautetaan vahvoilla kryptografisilla algoritmeilla käyttäjäkohtaisilla suolauksilla
• Bottiensuojaus: Proof-of-work-testausta käyttävät järjestelmät automaattisen väärinkäytön estämiseksi

9.2 Luottamuksellisuus

Varmistamme, että kaikki henkilötietojen käsittelyyn valtuutetut henkilöt ovat sidottuja salassapitovelvollisuuksiin.

10. TIETOTURVALOUKKAUSILMOITUS

10.1 Ilmoitus rekisterinpitäjälle

Ilmoitamme sinulle ilman aiheetonta viivytystä sen jälkeen, kun olemme vahvistaneet puolestasi käsiteltyjä henkilötietoja koskevan tietoturvaloukkauksen. Ilmoitus lähetetään tiliisi liitettyihin yhteystietoihin.

10.2 Ilmoituksen sisältö

Tietoturvaloukkausilmoituksemme sisältää, siltä osin kuin saatavilla:

1. Kuvaus loukkauksen luonteesta, mukaan lukien asianomaisten rekisteröityjen ja tietueiden kategoriat ja likimääräinen lukumäärä;
2. Tietosuojayhdyshenkilömme nimi ja yhteystiedot;
3. Kuvaus loukkauksen todennäköisistä seurauksista;
4. Kuvaus loukkauksen käsittelemiseksi ja sen vaikutusten lieventämiseksi toteutetuista tai ehdotetuista toimenpiteistä.

10.3 Velvollisuutesi

Olet vastuussa henkilötietojen tietoturvaloukkauksesta ilmoittamisesta asianomaiselle valvontaviranomaiselle ja asianomaisille rekisteröidyille sovellettavan tietosuojalain edellyttämällä tavalla. Teemme kanssasi yhteistyötä ja annamme kohtuullista apua auttaaksemme sinua noudattamaan tietoturvaloukkausilmoitusvelvollisuuksiasi.

11. AUDITOINNIT JA VAATIMUSTENMUKAISUUDEN TODENTAMINEN

11.1 Vaatimustenmukaisuusdokumentaatio

Osoittaaksemme tämän DPA:n noudattamisen, asetamme saatavillesi kohtuullisen kirjallisen pyynnön perusteella (enintään kerran vuodessa) seuraavat:

1. Asianmukaiset kolmannen osapuolen tarkastusraportit, sertifikaatit tai turvallisuusarviointien yhteenvedot;
2. Yhteenveto nykyisistä teknisistä ja organisatorisista turvallisuustoimenpiteistämme;
3. Tiedot käsittelytoiminnastamme, alihankkijoistamme ja tietosuojakäytännöistämme.

Kun luotamme kolmannen osapuolen infrastruktuuritarjoajiin (kuten AWS ja Cloudflare), heidän turvasertifikaattinsa ja vaatimustenmukaisuusdokumentaationsa ovat saatavilla heidän luottamus- ja vaatimustenmukaisuusohjelmiensa kautta.

11.2 Lisäkyselyt

Jos osion 11.1 mukaisesti toimitettu dokumentaatio ei kohtuudella vastaa vaatimustenmukaisuushuoliisi, voit esittää erityisiä kirjallisia kysymyksiä tietosuojakäytännöistämme, joihin vastaamme kohtuullisessa ajassa.

12. TIETOJEN SÄILYTYS JA POISTAMINEN

12.1 Sopimuksen aikana

Säilytämme puolestasi käsitellyt henkilötiedot sopimuksen voimassaoloajan ja ohjeistuksesi mukaisesti palveluiden kautta. Kävijätietojen säilytysajat ovat seuraavat:

• Chatbot-keskustelut verkkosivustollasi: Säilytetään kolmekymmentä (30) päivää kunkin keskustelun viimeisestä vuorovaikutuksesta. Keskustelut tallennetaan kävijäistunnoissa verkkosivuston reunainfrastruktuurissa ja poistetaan automaattisesti, kun istunto vanhenee käyttämättömyyden vuoksi.
• Lomakelähetykset ja käyttäjien luoma sisältö verkkosivustollasi: Säilytetään kyseisen verkkosivuston olemassaolon ajan, ellei niitä poisteta aiemmin alustan työkalujen avulla.
• Istuntotiedot verkkosivustosi kävijöiltä: Poistetaan automaattisesti 30 päivän käyttämättömyyden jälkeen.
• Poistettu kävijäsisältö (lomakelähetykset, kommentit ja muu käyttäjien luoma sisältö verkkosivustollasi): Kun poistat kävijäsisällön alustan työkalujen avulla, se siirtyy pehmeästi poistettuun tilaan ja säilytetään enintään kolmekymmentä (30) päivää palautuksen tukemiseksi. Tämän ajanjakson jälkeen pehmeästi poistettu sisältö poistetaan pysyvästi. Voit poistaa sisällön välittömästi pysyvästi tyhjentämällä sen palautusjonosta.
• Sähköpostin peruutustietueet verkkosivustollasi: Säilytetään liittyvän verkkosivuston keston ajan, ellei vastaanottaja tilaa uudelleen. Peruutustietueet poistetaan, kun verkkosivusto tuhotaan.
• Analytiikkatiedot: Säilytetään kyseisen verkkosivuston olemassaolon ajan (suunnitelmaan perustuvin säilytysrajoituksin; ilmaisen suunnitelman analytiikkatietoja säilytetään yhdeksänkymmenen (90) päivän ajan).

12.2 Päättymisen yhteydessä

Sopimuksen päättyessä tai pyynnöstäsi poistamme puolestasi käsitellyt henkilötiedot sopimuksessa kuvattujen tietojen säilytyskäytäntöjen mukaisesti (mukaan lukien seitsemän (7) päivän toipumisaika tilien ja verkkosivustojen poistoille). Toipumisajan jälkeen poistaminen on pysyvää ja peruuttamatonta.

12.3 Poikkeukset

Voimme säilyttää henkilötietoja siltä osin kuin sovellettava laki sitä edellyttää tai siellä missä tiedot on anonymisoitu eikä niitä enää voida yhdistää rekisteröityyn.

13. VOIMASSAOLO JA PÄÄTTYMINEN

Tämä DPA tulee voimaan sinä päivänä, jona hyväksyt sopimuksen, ja pysyy voimassa niin kauan kuin käsittelemme henkilötietoja puolestasi. Tässä DPA:ssa vahvistetut salassapito- ja tietosuojavelvollisuudet jäävät voimaan sopimuksen päättymisen jälkeen.

14. VASTUUNRAJOITUS

Kummankin osapuolen vastuu tämän DPA:n nojalla on sopimuksessa vahvistettujen vastuunrajoitusten alainen.

15. OTA MEIHIN YHTEYTTÄ

Tätä DPA:ta koskevien kysymysten tai oikeuksien käyttämiseksi ota meihin yhteyttä:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Puhelin: 888-389-1189
Sähköposti: legal@acira.ai