Acira AI Logo
CijeneZnačajkeO namaUsporedi
Prijava

Procjena učinka prijenosa

PROCJENA UTJECAJA PRIJENOSA PODATAKA

Zadnji put ažurirano: 19. ožujka 2026.

Ovu Procjenu utjecaja prijenosa podataka ("TIA") pripremio je Acira AI LLC ("Acira AI," "mi," "nas") u skladu sa zahtjevima presude Suda Europske unije u predmetu Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Predmet C-311/18, "Schrems II") i preporukama Europskog odbora za zaštitu podataka (Preporuke EDPB-a 01/2020 o dopunskim mjerama).

Ova TIA procjenjuje primjerenost zaštite osobnih podataka koji se prenose iz Europskog gospodarskog prostora ("EGP"), Ujedinjenog Kraljevstva ("UK"), Švicarske i Kanade u Sjedinjene Američke Države i druge treće zemlje u vezi s pružanjem naših Usluga.

Ova TIA može biti prevedena na druge jezike radi vaše pogodnosti. U slučaju bilo kakvog sukoba ili nedosljednosti između engleske verzije i bilo koje prevedene verzije, engleska verzija ima prednost.

SADRŽAJ

  1. PREGLED PRIJENOSA
  2. VRSTA PRENESENIH PODATAKA
  3. MEHANIZMI PRIJENOSA
  4. PROCJENA ZAKONA ODREDIŠNIH ZEMALJA
  5. PROCJENA TOKOVA PODATAKA PREMA PRUŽATELJU USLUGA
  6. DOPUNSKE MJERE
  7. PROCJENA RIZIKA
  8. ZAKLJUČAK
  9. RASPORED PREGLEDA
  10. KONTAKTIRAJTE NAS

1. PREGLED PRIJENOSA

1.1 Kontekst

Acira AI je platforma softvera kao usluge (SaaS) koja omogućuje tvrtkama i pojedincima stvaranje, upravljanje i hosting AI-pokretanih web stranica. Kada korisnici stvaraju web stranice kojima pristupaju posjetitelji smješteni u EGP-u, UK-u, Švicarskoj ili Kanadi, osobni podaci tih posjetitelja mogu se prenijeti i obrađivati u Sjedinjenim Državama i na drugim lokacijama gdje naši pružatelji infrastrukture posluju.

1.2 Stranke

  • Izvoznik podataka: Operater web stranice (naš klijent, koji djeluje kao Voditelj obrade) i, za analitičke podatke, Acira AI kao Zajednički voditelj obrade.
  • Uvoznik podataka: Acira AI LLC, osnovan u Nevadi, Sjedinjene Države, koji djeluje kao Izvršitelj obrade (i Zajednički voditelj obrade za analitiku).
  • Podizvoditelji obrade: Pružatelji usluga trećih strana koje je angažirao Acira AI (navedeni u Odjeljku 5).

1.3 Odredišta prijenosa

Odredište Pružatelji Osnova
Sjedinjene Države i Europska unija (Stockholm) AWS SCC-ovi + Dopunske mjere (SAD); Unutar EGP-a za automatizirane operacije usmjerene na posjetitelje za rezidente EU-a
Sjedinjene Države Stripe, Fireworks AI, xAI SCC-ovi + Dopunske mjere
Globalno (rubne lokacije) Cloudflare SCC-ovi + Dopunske mjere
Izrael BrightData (samo na uputu korisnika) SCC-ovi + Dopunske mjere
Europska unija Black Forest Labs, ScreenshotOne, CloudConvert Intra-EGP (nije potreban mehanizam prijenosa)

2. VRSTA PRENESENIH PODATAKA

2.1 Kategorije osobnih podataka

Preneseni osobni podaci ovise o značajkama koje je omogućio operater web stranice i interakcijama posjetitelja web stranice. Sljedeće kategorije mogu biti prenesene:

Kategorija podataka Opis Osjetljivost Volumen
Analitički identifikatori Dnevno-rotirajući kriptografski hash od IP + User-Agent + datum (pseudonimizirani) Niska Visoka (svaki pregled stranice)
Metapodaci posjetitelja Zemlja, regija, jezik, vrsta uređaja, preglednik, OS, referentna domena, UTM parametri Niska Visoka (svaki pregled stranice)
IP adrese Pohranjene kao metapodaci uz podnošenje obrazaca i razgovore chatbota; hashirani za analitiku; privremeno korišteni za provjeru bot izazova; privremeno pohranjeni za ograničavanje brzine (do 7 dana) Srednja Srednja
Sadržaj podnošenja obrazaca Slobodna tekstualna polja koja podnose posjetitelji (imena, e-pošta, poruke itd.) Promjenjiva (ovisi o obrascu) Niska do srednja
Poruke chatbota Poruke posjetitelja i AI-generirani odgovori (max. 2.000 znakova po poruci) Niska do srednja Niska
Učitavanja datoteka Datoteke koje posjetitelji učitavaju putem obrazaca web stranice (slike, dokumenti) Promjenjiva Niska
Identifikatori sesije Identifikatori sesije na strani poslužitelja i kolačići sesije na strani klijenta Niska Visoka
Vjerodajnice za autentifikaciju Lozinke za zaštićena područja web stranice (pohranjene samo u hashiranom obliku) Visoka (ali hashirana) Niska

2.2 Kategorije ispitanika

  • Posjetitelji web stranica hostiranih na platformi Acira AI
  • Korisnici koji stvaraju račune na web stranicama hostiranim na platformi
  • Korisnici koji podnose obrasce, stupaju u interakciju s chatbotovima ili učitavaju datoteke na hostiranim web stranicama

2.3 Podaci koji se ne prenose

  • Geolokacijski podaci: IP-to-location pretraživanja obavljaju se na mrežnom rubu od strane našeg pružatelja infrastrukture. Nikakve IP adrese posjetitelja ne prenose se nijednoj vanjskoj usluzi geolokacije.
  • Sirove analitičke IP adrese: Pohranjuje se samo dnevno-rotirajući kriptografski hash; sirove IP adrese ne pohranjuju se u analitičkim sustavima.
  • Lozinke u obliku otvorenog teksta: Pohranjuju se i prenose samo kriptografski hashevi.

3. MEHANIZMI PRIJENOSA

3.1 Primarni mehanizam: Standardne ugovorne klauzule

Oslanjamo se na Standardne ugovorne klauzule (SCC) Europske komisije usvojene Provedbenom odlukom Komisije (EU) 2021/914, konkretno:

  • Modul jedan (Voditelj obrade prema Voditelju obrade): Za prijenose analitičkih podataka gdje Acira AI djeluje kao zajednički voditelj obrade s operaterom web stranice (vidi DPA Odjeljak 2.3).
  • Modul dva (Voditelj obrade prema Izvršitelju obrade): Za prijenose osobnih podataka posjetitelja od operatera web stranice (Voditelja obrade) do Acira AI-a (Izvršitelja obrade).
  • Modul tri (Izvršitelj obrade prema Podizvoditelju obrade): Za naknadne prijenose od Acira AI-a do naših podizvoditelja obrade.

3.2 Prijenosi iz UK-a, Švicarske i Kanade

  • UK: Primjenjuje se UK Međunarodni dodatak za prijenos podataka uz EU SCC-ove.
  • Švicarska: SCC-ovi se primjenjuju s izmjenama koje zahtijeva Švicarski savezni zakon o zaštiti podataka (FADP).
  • Kanada: Prijenosi se oslanjaju na ugovorne zaštite s pojedinim podizvoditeljem obrade koji nameće obveze u skladu sa Zakonom o zaštiti osobnih podataka i elektroničkim dokumentima (PIPEDA) i primjenjivim pokrajinskim zakonodavstvom o privatnosti, u kombinaciji s dopunskim tehničkim i organizacijskim mjerama opisanim u Odjeljku 6. Pojedinosti potražite u DPA Odjeljku 7.4.

3.3 Mehanizmi prijenosa podizvoditelja obrade

Podizvoditelj obrade Mehanizam prijenosa
Amazon Web Services SCC-ovi (AWS DPA), certificiran prema ISO 27001/27017/27018
Cloudflare SCC-ovi (Cloudflare DPA), certificiran prema ISO 27001
Stripe SCC-ovi (Stripe DPA), certificiran prema PCI DSS Level 1
Fireworks AI SCC-ovi (Fireworks AI DPA), SOC 2 Type II, certificiran prema ISO 27001/27701/42001
xAI SCC-ovi (xAI DPA s EU SCC-ovima)
BrightData SCC-ovi (BrightData DPA)

4. PROCJENA ZAKONA ODREDIŠNIH ZEMALJA

4.1 Sjedinjene Države

Sjedinjene Države primarna su odredišna zemlja za prenesene podatke. Sljedeći američki zakoni relevantni su za ovu procjenu:

4.1.1 Zakon o nadzoru stranih obavještajnih službi (FISA), Odjeljak 702

FISA Odjeljak 702 ovlašćuje američku vladu da prisili pružatelje usluga elektroničke komunikacije na pružanje pristupa komunikacijama ne-američkih osoba smještenih izvan Sjedinjenih Država u svrhe strane obavještajne djelatnosti.

Procjena rizika:

  • Primjenjivost: FISA Odjeljak 702 primjenjuje se na "pružatelje usluga elektroničke komunikacije" kako je definirano u 50 U.S.C. § 1881(b)(4). Acira AI je SaaS platforma za hosting web stranica, a ne tradicionalni pružatelj telekomunikacijskih usluga. Veća je vjerojatnost da će naši podizvoditelji obrade (AWS, Cloudflare) biti predmet direktiva prema Odjeljku 702.
  • Opseg podataka pod rizikom: Osobni podaci koje obrađujemo uglavnom se sastoje od analitike posjetitelja web stranice (pseudonimizirane), podnošenja obrazaca i poruka chatbota. Malo je vjerojatno da su ovi podaci od interesa za stranu obavještajnu djelatnost.
  • Praktična vjerojatnost: Nikada nismo primili direktivu prema FISA Odjeljku 702 i procjenjujemo da je praktična vjerojatnost primitka takve direktive vrlo niska, s obzirom na prirodu naših Usluga i podatke koje obrađujemo.

4.1.2 Izvršna uredba 12333

Izvršna uredba 12333 ovlašćuje američke obavještajne agencije na provođenje nadzornih aktivnosti, uključujući masovno prikupljanje signalnih obavještajnih informacija. Primjenjuje se na podatke u prijenosu i ne prisiljava privatne tvrtke na suradnju.

Procjena rizika:

  • Ublažavanje: Svi podaci u prijenosu šifrirani su korištenjem TLS-a. Masovnim presretanjem šifriranih podataka u prijenosu ne bi se dobili osobni podaci u obliku otvorenog teksta.
  • Praktična vjerojatnost: Niska. Podaci koji se obrađuju putem naših Usluga nisu one vrste koje su obično meta signalnih obavještajnih informacija.

4.1.3 Izvršna uredba 14086 i Okvir zaštite podataka EU-SAD

Izvršna uredba 14086 (listopad 2022.) uvela je dodatne zaštitne mjere za aktivnosti signalnih obavještajnih službi, uključujući:

  • Zahtjeve nužnosti i proporcionalnosti za prikupljanje obavještajnih informacija
  • Dvostupanjski mehanizam pravnih lijekova (Dužnosnik za zaštitu građanskih sloboda + Sud za pregled zaštite podataka) dostupan osobama iz EU/UK/Švicarske
  • Ograničenja masovnog prikupljanja

Europska komisija donijela je 10. srpnja 2023. odluku o primjerenosti za Okvir zaštite podataka EU-SAD (DPF). Iako Acira AI trenutno nije samocertificiran u okviru DPF-a, zaštite prema Izvršnoj uredbi 14086 primjenjuju se na sve prijenose podataka u Sjedinjene Države i koriste svim ispitanicima bez obzira na korišteni mehanizam prijenosa.

4.1.4 CLOUD zakon

Zakon o razjašnjavanju zakonitog prekomorskog korištenja podataka (CLOUD) dopušta američkim tijelima za provedbu zakona da prisile pružatelje sa sjedištem u SAD-u na davanje podataka bez obzira na mjesto pohrane, uz valjani nalog ili sudski nalog.

Procjena rizika:

  • Zaštitne mjere: CLOUD zakon zahtijeva valjani pravni postupak (nalog, sudski poziv ili sudski nalog). Ne ovlašćuje neograničeni masovni pristup.
  • Odredbe o ustupanju: CLOUD zakon uključuje okvir ustupanja koji pružateljima omogućuje da ospore naloge koji su u sukobu sa stranim zakonom.
  • Praktična vjerojatnost: Niska za podatke posjetitelja web stranica. Zahtjevi tijela za provedbu zakona vjerojatnije bi ciljali na određene račune osumnjičene za kriminalnu djelatnost, a ne na analitiku posjetitelja ili podnošenja obrazaca.

4.2 Izrael (BrightData)

BrightData ima sjedište u Izraelu. Izrael ima odluku o primjerenosti Europske komisije (2011/61/EU), što znači da se prijenosi u Izrael tretiraju slično intra-EGP prijenosima. Međutim, BrightData obrađuje podatke i na drugim globalnim lokacijama. Napominjemo:

  • Obrada putem BrightData odvija se samo na uputu korisnika (pri uvoz sadržaja za vrijeme izrade web stranice) ili pri planiranom SERP praćenju.
  • Nikakvi osobni podaci posjetitelja web stranica ne prenose se BrightDatau.

4.3 Kanada (Prijenosi iz Kanade u Sjedinjene Države)

Osobni podaci posjetitelja web stranica smještenih u Kanadi mogu se prenijeti u Sjedinjene Države radi obrade. Sljedeći kanadski zakoni relevantni su za ovu procjenu:

4.3.1 Zakon o zaštiti osobnih podataka i elektroničkim dokumentima (PIPEDA)

PIPEDA regulira prikupljanje, korištenje i otkrivanje osobnih podataka od strane organizacija privatnog sektora u tijeku komercijalnih aktivnosti. Načelo 4.1.3 PIPEDE zahtijeva da organizacije koriste ugovorna ili druga sredstva kako bi osigurale usporedivu razinu zaštite kada se osobni podaci prenose trećim stranama radi obrade, uključujući prijenose izvan Kanade.

Procjena rizika:

  • Usporediva zaštita: Dopunske mjere opisane u Odjeljku 6 (enkripcija, pseudonimizacija, kontrole pristupa, minimizacija podataka) pružaju razinu zaštite usporedivu s onom koja se zahtijeva prema PIPEDI. Pisani ugovori o obradi podataka su na snazi sa svim podizvoditeljima obrade.
  • Nema zahtjeva za primjerenost: Za razliku od GDPR-a, PIPEDA ne zabranjuje prijenose u zemlje kojima nedostaje nalaz "primjerenosti". Organizacije moraju osigurati usporedivu zaštitu ugovornim i drugim sredstvima, što smo implementirali.

4.3.2 Pokrajinsko zakonodavstvo o privatnosti

Albertin Zakon o zaštiti osobnih podataka (PIPA), Zakon o zaštiti osobnih podataka Britanske Kolumbije (PIPA) i Quebeški zakon o zaštiti osobnih podataka u privatnom sektoru nameću dodatne zahtjeve za određene provincije:

Procjena rizika:

  • Quebeški zakon 25: Modernizirani quebeški zakon o privatnosti (na snazi od rujna 2023.) zahtijeva procjenu utjecaja na privatnost prije prijenosa osobnih podataka izvan Quebeca, a organizacija koja prenosi mora biti zadovoljna da će podaci dobiti adekvatnu zaštitu. Naše ugovorne zaštite, dopunske tehničke mjere i priroda podataka (uglavnom pseudonimizirana analitika i interakcije malih poslovnih web stranica) podupiru nalaz adekvatne zaštite.
  • Alberta i BC: PIPE Alberta i BC zahtijevaju da organizacije osiguraju usporedivu zaštitu za prenesene podatke. Naše ugovorne i tehničke zaštitne mjere zadovoljavaju ovaj zahtjev.

4.3.3 Pristup američke vlade iz kanadske perspektive

Isti rizici pristupa američke vlade procijenjeni u Odjeljku 4.1 primjenjuju se na kanadske prijenose podataka. Niska vjerojatnost pristupa vlade (s obzirom na prirodu podataka i profil naše tvrtke), u kombinaciji s dopunskim mjerama iz Odjeljka 6, osigurava da osobni podaci preneseni iz Kanade u Sjedinjene Države primaju usporedivu razinu zaštite s onom koja se zahtijeva prema kanadskom zakonu o privatnosti.

4.4 Globalne rubne lokacije (Cloudflare)

Cloudflare upravlja globalnom mrežom rubnih lokacija. Zahtjevi EU posjetitelja obično se obrađuju na najbližoj Cloudflare točki prisutnosti, koja će za EU posjetitelje obično biti EU lokacija.

  • Usmjeravanje zahtjeva, prekid TLS-a i zaštita od botova odvijaju se na najbližoj rubnoj lokaciji.
  • Za operatere web stranica identificirane kao rezidente EU, trajno pohranište (koje sadrži podneske obrazaca, razgovore chatbota i podatke sesije) jurisdikcijski je ograničeno na Europsku uniju korištenjem Cloudflareovog API-ja za jurisdikciju. Za operatere web stranica koji nisu iz EU, trajno pohranište je smješteno blizu geografske regije operatera, ali može biti smješteno izvan EU.
  • Analitički podaci obrađuju se na infrastrukturi kojom upravlja Cloudflare.

5. PROCJENA TOKOVA PODATAKA PREMA PRUŽATELJU USLUGA

5.1 Amazon Web Services (SAD)

Tok podataka Uključeni osobni podaci Svrha
Pohrana baze podataka Metapodaci podnošenja obrazaca (IP, zemlja, regija), zapisi razgovora chatbota, metapodaci datoteka, zapisi sesija Trajno pohranjivanje podataka posjetitelja web stranice
Pohrana datoteka Učitane datoteke (slike, dokumenti), snimke postavljanja Pohrana datoteka
AI zaključivanje Sadržaj datoteke (za AI opise), sadržaj e-pošte (za otkrivanje neželjene pošte) Opisi pogonjeni AI-jem i klasifikacija neželjene pošte
Moderiranje sadržaja Učitane slike Moderiranje sadržaja (otkrivanje golotinje/eksplicitnog sadržaja)
Isporuka e-pošte Adrese e-pošte, sadržaj poruka Transakcijska isporuka e-pošte i obavijesti o slanju sadržaja. Za operatore web-mjesta rezidente EU-a, ove operacije se obrađuju u Europskoj uniji (Stockholm).
Otkrivanje jezika Tekst poruke e-pošte Otkrivanje jezika

AWS zaštitne mjere:

  • Certificiran prema ISO 27001, 27017, 27018
  • Dostupna izvješća SOC 1/2/3
  • Podaci kriptirani u mirovanju korištenjem industrijskog standardnog kriptiranja
  • Podaci u prijenosu šifrirani (TLS)
  • Kontrole pristupa s najmanje privilegija po komponenti sustava
  • Primarne usluge smještene su u Sjedinjenim Državama; automatizirane operacije usmjerene na posjetitelje (obavijesti o slanju sadržaja i transakcijska isporuka e-pošte) za operatore web-mjesta rezidente EU-a obrađuju se u Europskoj uniji (Stockholm)

5.2 Cloudflare (Globalno)

Tok podataka Uključeni osobni podaci Svrha
Rubno usmjeravanje IP adrese, HTTP zaglavlja, URL-ovi zahtjeva Usmjeravanje zahtjeva, DDoS zaštita, prekid TLS-a
Hosting web stranice Sadržaj stranice, metapodaci posjetitelja Hosting i isporuka web stranice
Trajno pohranište Podnesci obrazaca, razgovori chatbota, podaci sesije, podaci korisničke tablice Pohranište s stanjem po web stranici
Analitika Pseudonimizirani hash posjetitelja, zemlja, uređaj, preglednik, referrer, UTM Analitika posjetitelja prilagođena privatnosti
AI zaključivanje Poruke chatbota, sažetci polja obrasca AI chatbot odgovori, otkrivanje neželjene pošte
Pohrana resursa Resursi web stranice (slike, datoteke) Pohrana statičnih resursa i CDN isporuka

Cloudflare zaštitne mjere:

  • Certificiran prema ISO 27001, SOC 2 Type II
  • TLS 1.2+ za sve veze
  • Cloudflare DPA s dostupnim SCC-ovima
  • Rubna obrada znači da se podaci EU posjetitelja obično obrađuju na EU rubnim lokacijama za rukovanje zahtjevima
  • Za operatore web-mjesta identificirane kao rezidente EU-a, trajna pohrana (koja sadrži slanja obrazaca, razgovore chatbota, podatke sesije i podatke korisničkih tablica) jurisdikcionalno je ograničena na Europsku uniju korištenjem Cloudflareovog API-ja za jurisdikciju, osiguravajući da se ovi podaci pohranjuju i obrađuju isključivo u podatkovnim centrima EU-a. Pozivi backend API-ja s ruba (za obavijesti o slanju sadržaja i transakcijsku isporuku e-pošte) usmjeravaju se na AWS infrastrukturu smještenu u EU-u.
  • AI zaključivanje ne zadržava ulazne podatke za treniranje

5.3 Stripe (SAD)

Tok podataka Uključeni osobni podaci Svrha
Obrada plaćanja Podaci za naplatu operatera web stranice (ime, e-mail, način plaćanja) Obrada pretplate i plaćanja domene

Napomena: Stripe ne prima osobne podatke posjetitelja web stranica. Stripe obrađuje samo podatke za naplatu operatera web stranice (našeg klijenta).

Stripe zaštitne mjere:

  • Certificiran prema PCI DSS Level 1
  • Certificiran prema ISO 27001
  • Stripe DPA s dostupnim SCC-ovima

5.4 AI pružatelji inferencije (SAD)

Fireworks AI i xAI pružaju usluge AI inferencije modela.

Tok podataka Uključeni osobni podaci Svrha
Generiranje teksta (sadržaj web stranice) Sadržaj web stranice (ne podaci posjetitelja) Izrada i uređivanje sadržaja web stranice
Generiranje slika Tekstualni upiti (ne podaci posjetitelja) Izrada slika za web stranice
Konverzacijski AI (chat agent) Ime korisnika platforme, e-mail, jezična preferencija i povijest razgovora AI asistent za korisnike platforme (operatere web stranica)

Napomena: Ovi AI pružatelji ne primaju osobne podatke posjetitelja web stranica. Značajka chatbota (koja opslužuje posjetitelje web stranica) koristi Cloudflare Workers AI (procijenjeno u Odjeljku 5.2), a ne ove pružatelje. Međutim, konverzacijski AI asistent platforme — kojeg koriste operateri web stranica za upravljanje njihovim web stranicama — šalje osobne podatke korisnika platforme (ime, adresu e-pošte i povijest razgovora) tim pružateljima kao dio generiranja odgovora. Za ovu obradu, Acira AI djeluje kao voditelj obrade (ne izvršitelj obrade), a ispitanici su naši korisnici platforme (operateri web stranica), a ne posjetitelji njihovih web stranica. Ovaj tok podataka reguliran je našom Politikom privatnosti i našim sporazumima s tim pružateljima, a ne DPA okvirom voditelja-izvršitelja obrade za podatke posjetitelja.

Obitelji modela: Ovi pružatelji infrastrukture hostiraju i izvršavaju AI modele koje su razvile različite treće strane. Specifični modeli i obitelji modela koji se koriste mogu se mijenjati s vremenom. Programeri modela ne primaju niti imaju pristup korisničkim podacima — sva obrada podataka odvija se isključivo unutar infrastrukture navedenih podobrađivača, bez obzira na to gdje je model izvorno razvijen. Sva obrada AI zaključivanja ostaje na infrastrukturi naših navedenih podobrađivača. Nijedan korisnički podatak ne prenosi se programerima modela niti infrastrukturi izvan podobrađivača navedenih u ovoj procjeni. Trenutni popis obitelji modela u upotrebi dostupan je na zahtjev kontaktiranjem legal@acira.ai.

5.5 BrightData (Izrael / Globalno)

Tok podataka Uključeni osobni podaci Svrha
Prikupljanje web podataka Javno dostupni web sadržaj (ne podaci posjetitelja) Uvoz sadržaja pri izradi web stranice (na uputu korisnika)
SERP praćenje Ključne riječi pretraživanja (ne podaci posjetitelja) Praćenje rangiranja ključnih riječi

Napomena: BrightData ne obrađuje osobne podatke posjetitelja web stranica. Obrađuje javno dostupni web sadržaj po uputama korisnika i prati rangiranja tražilica za korisnički definirane ključne riječi.

5.6 Pružatelji s poslovnim nastanom u EU (bez prijenosa)

Pružatelj Lokacija Svrha
Black Forest Labs Njemačka (EU) AI generiranje slika (Flux modeli)
ScreenshotOne Europska unija Snimanje zaslona web stranice
CloudConvert Njemačka (EU) Konverzija formata datoteka

Ovi pružatelji obrađuju podatke unutar EU i ne predstavljaju međunarodni prijenos. Black Forest Labs prima samo tekstualne upite za generiranje slika; nisu uključeni osobni podaci.

6. DOPUNSKE MJERE

Uz SCC-ove, provodimo sljedeće dopunske mjere kako bismo osigurali u suštini jednakovrijednu razinu zaštite za prenesene osobne podatke:

6.1 Tehničke mjere

Mjera Opis
Kriptiranje u prijenosu Svi podaci koji se prenose između posjetitelja, rubne mreže i pozadinskih usluga kriptirani su korištenjem TLS-a (minimalni TLS 1.2). Interna komunikacija između usluga koristi kriptirane kanale.
Kriptiranje u mirovanju Svi zapisi baze podataka, pohrana datoteka i pohrana rubnih poslužitelja trajno pohranjuju se kriptiranjem industrijskog standarda kojim upravlja odgovarajući pružatelj infrastrukture.
Pseudonimizacija Posjetiteljska analitika koristi dnevno-rotirajući kriptografski hash (IP + User-Agent + datum) umjesto pohranjivanja sirovih IP adresa. Ovaj hash ne može se preokrenuti i rotira svaka 24 sata, sprječavajući praćenje kroz dane.
Minimizacija podataka Analitika prikuplja samo metapodatke na agregatnoj razini (zemlja, vrsta uređaja, preglednik). U analitici se ne pohranjuju sirove IP adrese. Poruke chatbota ograničene su na 2.000 znakova.
Hashiranje lozinki Sve lozinke posjetitelja (za zaštićena područja web stranice) hashiraju se korištenjem jakih kriptografskih algoritama s nasumičnim solima po korisniku prije pohrane. Lozinke u obliku otvorenog teksta nikada se ne pohranjuju niti prenose.
Kontrole pristupa Pravila pristupa s najmanje privilegija ograničavaju svaku komponentu sustava samo na resurse koje su joj potrebne. API tokeni po web stranici ograničavaju pristup na pojedinačne web stranice.
Mrežna izolacija Pozadinske usluge komuniciraju putem internih mreža. Hosting web stranice radi u izoliranim okruženjima za izvođenje. Izvođenje prilagođenog koda koristi sandboxing baziran na WebAssembly-u.
Jurisdikcionalno prebivalište podataka Za operatore web-mjesta identificirane kao rezidente EU-a, trajna pohrana koja sadrži podatke posjetitelja (slanja obrazaca, razgovore chatbota, podatke sesije i podatke korisničkih tablica) jurisdikcionalno je ograničena na Europsku uniju, osiguravajući da se ovi podaci pohranjuju i obrađuju isključivo u podatkovnim centrima EU-a. Automatizirane operacije usmjerene na posjetitelje (obavijesti o slanju sadržaja i transakcijska isporuka e-pošte) također se obrađuju unutar infrastrukture smještene u EU-u.
Automatsko brisanje Podaci sesije istječu nakon 30 dana neaktivnosti. Privremene datoteke brišu se unutar 24 sata. Podaci bot izazova su efemerni i ne pohranjuju se.

6.2 Organizacijske mjere

Mjera Opis
Povjerljivost osoblja Svo osoblje s pristupom osobnim podacima vezano je obvezama povjerljivosti.
Ocjena podizvoditelja obrade Podizvoditelji obrade ocjenjuju se zbog svojih sigurnosnih praksi i usklađenosti sa zaštitom podataka prije angažmana. Pisani DPA-ovi su na snazi sa svim podizvoditeljima obrade.
Odgovor na incidente Postupci obavještavanja o povredi osiguravaju da se voditelji obrade obavijeste unutar 72 sata od potvrde povrede osobnih podataka.
Pravila zadržavanja podataka Dokumentirana razdoblja zadržavanja s automatiziranim provođenjem (brisanje temeljeno na TTL-u, pravila životnog ciklusa).
Praćenje sigurnosti Strukturirano bilježenje, automatizirano praćenje sigurnosti i otkrivanje upada. Evidencije grešaka i dijagnostike zadržavaju se do 30 dana.

6.3 Ugovorne mjere

Mjera Opis
Standardne ugovorne klauzule SCC-ovi (Modul jedan, Modul dva i Modul tri) uključeni su u naš DPA po referenci.
SCC-ovi podizvoditelja obrade Pisani sporazumi s pojedinim podizvoditeljem obrade nameću obveze zaštite podataka koje nisu manje zaštitne od onih u našem DPA-u.
Obavijest o pristupu vlade Obvezujemo se obavijestiti voditelje obrade o zahtjevima za pristup vlade gdje je to zakonski dopušteno, kako je opisano u našim Uvjetima i odredbama.
Obveza osporavanja Obvezujemo se osporavati zahtjeve za pristup vlade za koje smatramo da su preopsežni ili nezakoniti.

7. PROCJENA RIZIKA

7.1 Vjerojatnost pristupa vlade

Čimbenik Procjena
Priroda podataka Uglavnom pseudonimizirana analitika, podnošenja obrazaca i poruke chatbota s malih poslovnih web stranica. Ovi podaci su niske obavještajne vrijednosti.
Volumen podataka Nizak do umjeren. Svaka web stranica opslužuje vlastitu bazu posjetitelja; podaci nisu agregirani između web stranica u svrhe nadzora.
Profil tvrtke Acira AI je mala SaaS tvrtka koja hostira web stranice malih poduzeća. Nismo pružatelj telekomunikacijskih usluga niti visokoprofilna meta nadzora.
Povijesni zahtjevi Na datum ove procjene, Acira AI nikada nije primio direktivu prema FISA Odjeljku 702, Pismo nacionalne sigurnosti niti ikakav vladini zahtjev za masovni pristup korisničkim podacima.
Profil podizvoditelja obrade AWS i Cloudflare su veliki pružatelji infrastrukture koji objavljuju izvješća o transparentnosti. Njihova izvješća o transparentnosti ukazuju da su vladini zahtjevi usmjereni na određene račune, a ne na masovni pristup hostiranom sadržaju.

Ukupna vjerojatnost: NISKA

7.2 Utjecaj u slučaju pristupa

Čimbenik Procjena
Osjetljivost podataka Većina prenesenih podataka je niske osjetljivosti (pseudonimizirana analitika, metapodaci posjetitelja web stranica). Podnošenja obrazaca mogu sadržavati podatke srednje osjetljivosti (imena, e-mail adrese, poruke) ovisno o web stranici.
Učinkovitost pseudonimizacije Analitički podaci ne mogu se povezati s osobama bez pristupa dnevno-rotirajućim komponentama hasha (IP + User-Agent + datum), koji se ne pohranjuju.
Opseg izloženosti Svaki vladini pristup bio bi ograničen na specifične račune ili web-mjesta, a ne na cijelu platformu. Izolacija podataka po web-mjestima putem namjenskih instanci pohrane ograničava opseg potencijalne kompromitacije. Za operatore web-mjesta rezidente EU-a, trajna pohrana i automatizirana obrada usmjerena na posjetitelje (obavijesti o slanju sadržaja i transakcijska isporuka e-pošte) ograničene su na EU, dodatno ograničavajući izloženost pristupu vlade SAD-a ovim podacima.

Ukupni utjecaj: NIZAK do SREDNJI (ovisno o osjetljivosti podataka koje prikupljaju pojedini operateri web-mjesta)

7.3 Procjena rezidualnog rizika

Uzimajući u obzir nisku vjerojatnost vladnog pristupa, dopunske tehničke mjere (enkripcija, pseudonimizacija, minimizacija podataka) i dodatne zaštitne mjere uvedene Izvršnom uredbom 14086, procjenjujemo da je rezidualni rizik za ispitanike nizak i da dopunske mjere, zajedno sa SCC-ovima (za prijenose iz EGP-a/UK-a/Švicarske) i ugovornim zaštitama (za kanadske prijenose), pružaju razinu zaštite u suštini jednakovrijednu onoj zajamčenoj unutar EGP-a i usporedivu s onom koja se zahtijeva prema kanadskom zakonu o privatnosti.

8. ZAKLJUČAK

Na temelju ove procjene zaključujemo:

  1. Osobni podaci preneseni iz EGP-a/UK-a/Švicarske/Kanade u Sjedinjene Države u vezi s pružanjem naših Usluga imaju koristi od u suštini jednakovrijedne razine zaštite s onom zajamčenom prema pravu EU o zaštiti podataka i usporedive razine zaštite s onom koja se zahtijeva prema kanadskom zakonu o privatnosti.

  2. Standardne ugovorne klauzule, u kombinaciji s dopunskim tehničkim, organizacijskim i ugovornim mjerama opisanim u Odjeljku 6, primjereno rješavaju rizike identificirane u ovoj procjeni.

  3. Priroda podataka (uglavnom pseudonimizirana analitika i interakcije posjetitelja malih poslovnih web stranica) i profil uvoznika podataka (mala SaaS tvrtka, a ne pružatelj telekomunikacijskih usluga) značajno smanjuju praktični rizik državnog nadzora.

  4. Zaštite uvedene Izvršnom uredbom 14086 i s njom povezani mehanizam pravnih lijekova pružaju dodatne zaštitne mjere svim ispitanicima, bez obzira na korišteni specifični mehanizam prijenosa.

  5. Za kanadske prijenose, ugovorne zaštite i dopunske mjere opisane ovdje osiguravaju usporedivu razinu zaštite s onom koja se zahtijeva prema PIPEDI i primjenjivom pokrajinskom zakonodavstvu o privatnosti, uključujući modernizirani quebeški zakon o privatnosti.

  6. Nastavit ćemo pratiti razvoj američkog prava i prakse u nadzoru, kao i razvoj kanadskog zakona o privatnosti (uključujući predloženi Zakon o zaštiti potrošačke privatnosti), te ćemo preispitati ovu TIA ako se okolnosti bitno promijene.

Prijenosi mogu nastaviti ovisno o kontinuiranoj primjeni SCC-ova i dopunskih mjera opisanih ovdje.

9. RASPORED PREGLEDA

Ova TIA bit će pregledana i ažurirana:

  • Godišnje, kao minimum, ili
  • Uz materijalne promjene primjenjivih zakona ili propisa (uključujući promjene FISA-e, CLOUD zakona, Izvršne uredbe 14086, PIPEDE ili kanadskog pokrajinskog zakonodavstva o privatnosti),
  • Uz promjene naših podizvoditelja obrade ili prirode prenesenih podataka,
  • Uz bilo koju sudsku odluku koja materijalno utječe na valjanost SCC-ova ili primjerenost zaštite podataka u SAD-u.

10. KONTAKTIRAJTE NAS

Ako imate pitanja o ovoj Procjeni utjecaja prijenosa podataka, molimo kontaktirajte nas:

Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-mail: legal@acira.ai

Vaša privatnost, naš prioritet

Ne prodajemo vaše podatke, ne koristimo kolačiće za praćenje — zato ovdje nećete vidjeti banner za kolačiće. Poštujemo Global Privacy Control, a za klijente iz EU-a podaci posjetitelja pohranjuju se i obrađuju isključivo unutar Europske unije.

Saznajte kako štitimo vaše podatke
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

Gradite prekrasne web stranice s AI-jem. Nije potrebno programiranje.

S ponosom izgrađeno u Sjedinjenim Državama

Tvrtka
CijeneZnačajkeO namaUsporediPovjerenje i privatnost
Pravne informacije
Pravila privatnostiUvjeti i odredbePrihvatljiva uporabaObrada podatakaUtjecaj prijenosa
Obrada podatakaUtjecaj prijenosa

© 2026 Acira AI LLC. Sva prava pridržana.