Adattovábbítási hatásvizsgálat
ADATTOVÁBBÍTÁSI HATÁSVIZSGÁLAT
Utolsó frissítés: 2026. március 19.
Ezt az Adattovábbítási Hatásvizsgálatot ("TIA") az Acira AI LLC ("Acira AI," "mi," "minket") készítette az Európai Unió Bíróságának a Data Protection Commissioner v. Facebook Ireland Limited és Maximillian Schrems ügyben hozott döntésének (C-311/18. sz. ügy, "Schrems II") és az Európai Adatvédelmi Testület ajánlásainak (EDPB 01/2020 ajánlások a kiegészítő intézkedésekről) megfelelően.
Ez a TIA értékeli az Európai Gazdasági Térségből ("EGT"), az Egyesült Királyságból ("UK"), Svájcból és Kanadából az Egyesült Államokba és más harmadik országokba, Szolgáltatásaink nyújtásával összefüggésben továbbított személyes adatok védelmének megfelelőségét.
Ez a TIA kényelmi célokból más nyelvekre is lefordítható. Az angol verzió és bármely lefordított verzió közötti ellentmondás vagy következetlenség esetén az angol verzió az irányadó.
TARTALOMJEGYZÉK
- A TOVÁBBÍTÁSOK ÁTTEKINTÉSE
- A TOVÁBBÍTOTT ADATOK JELLEGE
- TOVÁBBÍTÁSI MECHANIZMUSOK
- A CÉLORSZÁG JOGSZABÁLYAINAK ÉRTÉKELÉSE
- AZ ADATFOLYAMOK ÉRTÉKELÉSE SZOLGÁLTATÓNKÉNT
- KIEGÉSZÍTŐ INTÉZKEDÉSEK
- KOCKÁZATÉRTÉKELÉS
- KÖVETKEZTETÉS
- FELÜLVIZSGÁLATI ÜTEMTERV
- KAPCSOLAT
1. A TOVÁBBÍTÁSOK ÁTTEKINTÉSE
1.1 Kontextus
Az Acira AI egy szoftver mint szolgáltatás (SaaS) platform, amely lehetővé teszi vállalkozások és magánszemélyek számára AI-alapú weboldalak létrehozását, kezelését és üzemeltetését. Amikor a felhasználók olyan weboldalakat hoznak létre, amelyeket az EGT-ben, az Egyesült Királyságban, Svájcban vagy Kanadában tartózkodó látogatók érnek el, ezen látogatók személyes adatai az Egyesült Államokba és más helyszínekre kerülhetnek, ahol infrastruktúra-szolgáltatóink működnek.
1.2 Felek
- Adatexportáló: A weboldal üzemeltetője (ügyfeleink, adatkezelőként eljárva), és az analitikai adatok esetén az Acira AI mint közös adatkezelő.
- Adatimportáló: Az Acira AI LLC, Nevada államban bejegyezve, Egyesült Államok, adatfeldolgozóként (és az analitika esetén közös adatkezelőként) eljárva.
- Adatfeldolgozók: Az Acira AI által igénybevett harmadik fél szolgáltatók (az 5. szakaszban felsorolva).
1.3 Továbbítási célhelyek
| Célhely | Szolgáltatók | Jogalap |
|---|---|---|
| Egyesült Államok és Európai Unió (Stockholm) | AWS | SCC-k + Kiegészítő intézkedések (USA); EGT-n belüli az EU-ban lakó automatizált látogató-orientált műveletekhez |
| Egyesült Államok | Stripe, Fireworks AI, xAI | SCC-k + Kiegészítő intézkedések |
| Globális (peremhálózati helyszínek) | Cloudflare | SCC-k + Kiegészítő intézkedések |
| Izrael | BrightData (csak felhasználói utasításra) | SCC-k + Kiegészítő intézkedések |
| Európai Unió | Black Forest Labs, ScreenshotOne, CloudConvert | EGT-n belüli (nincs szükség továbbítási mechanizmusra) |
2. A TOVÁBBÍTOTT ADATOK JELLEGE
2.1 A személyes adatok kategóriái
A továbbított személyes adatok a weboldal üzemeltetője által engedélyezett funkciókra és a weboldal látogatóinak interakcióira függnek. A következő kategóriák kerülhetnek továbbításra:
| Adatkategória | Leírás | Érzékenység | Mennyiség |
|---|---|---|---|
| Analitikai azonosítók | IP + User-Agent + dátum naponta rotáló kriptográfiai hashje (álnevesített) | Alacsony | Magas (minden oldalmegtekintés) |
| Látogatói metaadatok | Ország, régió, nyelv, eszköztípus, böngésző, OS, hivatkozó domain, UTM paraméterek | Alacsony | Magas (minden oldalmegtekintés) |
| IP-címek | Metaadatként tárolva az űrlapbeküldésekhez és chatbot-beszélgetésekhez; hashelve az analitikához; ideiglenesen botfelismerési ellenőrzéshez; ideiglenesen tárolva sebességkorlátozáshoz (legfeljebb 7 napig) | Közepes | Közepes |
| Űrlapbeküldési tartalom | A látogatók által beküldött szabad szöveges mezők (nevek, e-mailek, üzenetek stb.) | Változó (az űrlaptól függ) | Alacsony és közepes között |
| Chatbot-üzenetek | Látogatói üzenetek és AI által generált válaszok (üzenetenként max. 2 000 karakter) | Alacsony és közepes között | Alacsony |
| Fájlfeltöltések | A látogatók által weboldal-űrlapokon keresztül feltöltött fájlok (képek, dokumentumok) | Változó | Alacsony |
| Munkamenet-azonosítók | Szerveroldali munkamenet-azonosítók és kliensoldali munkamenet-cookie-k | Alacsony | Magas |
| Hitelesítési adatok | A weboldal védett területeire vonatkozó jelszavak (csak hashelt formában tárolva) | Magas (de hashelt) | Alacsony |
2.2 Az érintett személyek kategóriái
- Az Acira AI platformon üzemeltetett weboldalak látogatói
- A platformon üzemeltetett weboldalakon fiókot létrehozó felhasználók
- Az üzemeltetett weboldalakon űrlapot beküldő, chatbotokkal interakciót folytató vagy fájlokat feltöltő felhasználók
2.3 Nem továbbított adatok
- Geolokációs adatok: Az IP-cím alapú helymeghatározás a hálózati peremen történik infrastruktúra-szolgáltatónk által. Egyetlen látogatói IP-cím sem kerül továbbításra külső geolokációs szolgáltatáshoz.
- Nyers analitikai IP-címek: Csak a naponta rotáló kriptográfiai hash kerül tárolásra; a nyers IP-címek nem maradnak meg az analitikai rendszerekben.
- Egyszerű szöveges jelszavak: Csak kriptográfiai hashek kerülnek tárolásra és továbbításra.
3. TOVÁBBÍTÁSI MECHANIZMUSOK
3.1 Elsődleges mechanizmus: Standard szerződési kikötések
A Bizottság (EU) 2021/914 végrehajtási határozatával elfogadott Európai Bizottság Standard Szerződési Kikötéseire (SCC) támaszkodunk, konkrétan:
- 1. modul (adatkezelőtől adatkezelőhöz): Az analitikai adatok átadásához, ahol az Acira AI a weboldal üzemeltetőjével közös adatkezelőként jár el (lásd DPA 2.3. szakasz).
- 2. modul (adatkezelőtől adatfeldolgozóhoz): A látogatói személyes adatok a weboldal üzemeltetőjétől (adatkezelőtől) az Acira AI-hoz (adatfeldolgozóhoz) történő továbbításhoz.
- 3. modul (adatfeldolgozótól alfeldolgozóhoz): Az Acira AI-tól az alfeldolgozókhoz történő továbbabb adatátadáshoz.
3.2 Egyesült Királyságból, Svájcból és Kanadából történő továbbítások
- Egyesült Királyság: Az EU SCC-khez csatolt UK Nemzetközi Adattovábbítási Kiegészítő alkalmazandó.
- Svájc: Az SCC-k a Svájci Szövetségi Adatvédelmi Törvény (FADP) által megkövetelt módosításokkal alkalmazandók.
- Kanada: A továbbítások az egyes alfeldolgozókkal kötött szerződéses védelemre támaszkodnak, amelyek a Személyes Információ Védelméről és Elektronikus Dokumentumokról szóló törvénnyel (PIPEDA) és az alkalmazható tartományi adatvédelmi jogszabályokkal összhangban lévő kötelezettségeket írnak elő, a 6. szakaszban leírt kiegészítő technikai és szervezési intézkedésekkel kombinálva. A részletekért lásd a DPA 7.4. szakaszát.
3.3 Alfeldolgozói továbbítási mechanizmusok
| Alfeldolgozó | Továbbítási mechanizmus |
|---|---|
| Amazon Web Services | SCC-k (AWS DPA), ISO 27001/27017/27018 tanúsítvánnyal |
| Cloudflare | SCC-k (Cloudflare DPA), ISO 27001 tanúsítvánnyal |
| Stripe | SCC-k (Stripe DPA), PCI DSS Level 1 tanúsítvánnyal |
| Fireworks AI | SCC-k (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 tanúsítvánnyal |
| xAI | SCC-k (xAI DPA EU SCC-kkel) |
| BrightData | SCC-k (BrightData DPA) |
4. A CÉLORSZÁG JOGSZABÁLYAINAK ÉRTÉKELÉSE
4.1 Egyesült Államok
Az Egyesült Államok a továbbított adatok elsődleges célhelye. A következő amerikai jogszabályok relevánsak a jelen értékelés szempontjából:
4.1.1 Külföldi Hírszerzési Megfigyelési Törvény (FISA), 702. szakasz
A FISA 702. szakasza felhatalmazást ad az USA kormányának arra, hogy az elektronikus kommunikációs szolgáltatókat kötelezze az USA-n kívül tartózkodó nem-USA állampolgárok kommunikációjához való hozzáférés biztosítására külföldi hírszerzési célokból.
Kockázatértékelés:
- Alkalmazhatóság: A FISA 702. szakasza az 50 U.S.C. § 1881(b)(4) által meghatározott "elektronikus kommunikációs szolgáltatókra" vonatkozik. Az Acira AI egy SaaS weboldal-üzemeltető platform, nem hagyományos telekommunikációs szolgáltató. Nagyobb valószínűséggel alfeldolgozóink (AWS, Cloudflare) esnek a 702. szakasz szerinti utasítások hatálya alá.
- Veszélyeztetett adatok köre: Az általunk kezelt személyes adatok elsősorban weboldal-látogatói analitikából (álnevesített), űrlapbeküldésekből és chatbot-üzenetekből állnak. Ezek az adatok valószínűleg nem érdekesek külföldi hírszerzési szempontból.
- Gyakorlati valószínűség: Soha nem kaptunk FISA 702. szakasz szerinti utasítást, és a Szolgáltatásaink természetét és az általunk kezelt adatokat figyelembe véve azt értékeljük, hogy az ilyen utasítás megkapásának gyakorlati valószínűsége nagyon alacsony.
4.1.2 12333. sz. Elnöki Rendelet
A 12333. sz. Elnöki Rendelet felhatalmazást ad az USA hírszerző ügynökségeinek felügyeleti tevékenységek végzésére, beleértve a jelhírszerzési adatok tömeges gyűjtését. Az átvitel alatt lévő adatokra vonatkozik, és nem kötelezi a magánvállalatokat együttműködésre.
Kockázatértékelés:
- Mérséklés: Az átvitel alatt lévő összes adat TLS segítségével titkosítva van. Az átvitel alatt lévő titkosított adatok tömeges elfogása nem eredményezne egyszerű szöveges személyes adatokat.
- Gyakorlati valószínűség: Alacsony. A Szolgáltatásainkon keresztül kezelt adatok nem olyanok, amelyeket általában jelhírszerzési célból céloznának.
4.1.3 14086. sz. Elnöki Rendelet és az EU-USA Adatvédelmi Keret
A 14086. sz. Elnöki Rendelet (2022. október) további biztosítékokat vezetett be a jelhírszerzési tevékenységekhez, beleértve:
- Szükségességi és arányossági követelményeket a hírszerzési adatgyűjtéshez
- Kétlépéses jogorvoslati mechanizmust (Polgári Szabadságjogok Védelmi Tisztviselője + Adatvédelmi Felülvizsgálati Bíróság) az EU/UK/svájci személyek számára
- Tömeges adatgyűjtési korlátozásokat
Az Európai Bizottság 2023. július 10-én elfogadta az EU-USA Adatvédelmi Keret (DPF) megfelelőségi határozatát. Bár az Acira AI jelenleg nincs öntanúsítva a DPF keretében, a 14086. sz. Elnöki Rendelet szerinti védelmek általánosan alkalmazandók az Egyesült Államokba irányuló összes adattovábbításra, és az alkalmazott továbbítási mechanizmustól függetlenül minden érintettre vonatkoznak.
4.1.4 CLOUD törvény
A Törvényes Tengerentúli Adatfelhasználás Pontosításáról szóló törvény (CLOUD) lehetővé teszi az USA bűnüldöző szervei számára, hogy érvényes parancs vagy bírósági végzés alapján az USA-ban székhellyel rendelkező szolgáltatókat adatok előállítására kényszerítsék, függetlenül attól, hogy az adatokat hol tárolják.
Kockázatértékelés:
- Biztosítékok: A CLOUD törvény érvényes jogi eljárást (parancs, idézés vagy bírósági végzés) követel meg. Nem engedélyezi a parancs nélküli tömeges hozzáférést.
- Méltányossági rendelkezések: A CLOUD törvény tartalmaz egy méltányossági keretet, amely lehetővé teszi a szolgáltatók számára, hogy megtámadják a külföldi joggal ütköző végzéseket.
- Gyakorlati valószínűség: Alacsony a weboldal-látogatói adatok tekintetében. A bűnüldözési kérelmek nagyobb valószínűséggel céloznának bűnözésre gyanúsított egyes számlákat, nem a látogatói analitikát vagy az űrlapbeküldéseket.
4.2 Izrael (BrightData)
A BrightData Izraelben székhellyel rendelkezik. Izraelnek van az Európai Bizottság megfelelőségi határozata (2011/61/EU), ami azt jelenti, hogy az Izraelbe irányuló adattovábbítást hasonlóan kezelik, mint az EGT-n belüli adattovábbítást. Ugyanakkor a BrightData más globális helyszíneken is adatokat dolgoz fel. Megjegyezzük:
- A BrightData-feldolgozás csak felhasználói utasításra (weboldal-létrehozás során tartalomimport céljából) vagy ütemezett SERP-nyomon követés során történik.
- Egyetlen weboldal-látogatói személyes adat sem kerül a BrightData-hoz.
4.3 Kanada (Kanadából az Egyesült Államokba irányuló továbbítások)
A Kanadában tartózkodó weboldal-látogatók személyes adatai feldolgozás céljából az Egyesült Államokba kerülhetnek. A következő kanadai jogszabályok relevánsak a jelen értékelés szempontjából:
4.3.1 A személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA)
A PIPEDA a magánszektorbeli szervezetek által kereskedelmi tevékenységek során végzett személyes adatgyűjtést, -felhasználást és -közzétételt szabályozza. A PIPEDA 4.1.3. elve megköveteli, hogy a szervezetek szerződéses vagy egyéb eszközökkel biztosítsanak hasonló szintű védelmet, amikor személyes adatokat adnak át harmadik félnek feldolgozás céljából, beleértve a Kanadán kívüli adattovábbítást is.
Kockázatértékelés:
- Hasonló védelem: A 6. szakaszban leírt kiegészítő intézkedések (titkosítás, álnevesítés, hozzáférési kontrollok, adatminimalizálás) a PIPEDA által megkövetelthez hasonló szintű védelmet biztosítanak. Írott adatfeldolgozási megállapodások állnak rendelkezésre valamennyi alfeldolgozóval.
- Nincs megfelelőségi követelmény: A GDPR-ral ellentétben a PIPEDA nem tiltja a "megfelelőségi" megállapítás nélküli országokba irányuló adattovábbítást. A szervezeteknek szerződéses és egyéb eszközökkel kell biztosítaniuk a hasonló szintű védelmet, amit mi meg is valósítottunk.
4.3.2 Tartományi adatvédelmi jogszabályok
Az Alberta-i Személyes Információ Védelmi Törvény (PIPA), a Brit Columbia-i Személyes Információ Védelmi Törvény (PIPA) és a Quebec-i törvény a magánszektorban kezelt személyes adatok védelméről egyes tartományokra vonatkozóan további követelményeket írnak elő:
Kockázatértékelés:
- Quebec 25. törvény: A Quebec-i modernizált adatvédelmi törvény (2023 szeptembere óta hatályos) megköveteli az adatvédelmi hatásvizsgálatot a személyes adatok Quebec-en kívülre történő továbbítása előtt, és az adattovábbító szervezetnek meg kell győződnie arról, hogy az adatok megfelelő védelmet kapnak. Szerződéses védelmeink, kiegészítő műszaki intézkedéseink és az adatok természete (elsősorban álnevesített analitika és kisvállalkozási weboldal-interakciók) alátámasztják a megfelelő védelem megállapítását.
- Alberta és BC: Alberta és BC PIPA-ja megköveteli, hogy a szervezetek biztosítsák a továbbított adatok hasonló szintű védelmét. Szerződéses és műszaki biztosítékaink kielégítik ezt a követelményt.
4.3.3 Az USA kormányzati hozzáférése kanadai perspektívából
A 4.1. szakaszban értékelt azonos USA-beli kormányzati hozzáférési kockázatok vonatkoznak a kanadai adattovábbításokra is. A kormányzati hozzáférés alacsony valószínűsége (az adatok természetét és vállalatunk profilját figyelembe véve), a 6. szakaszban foglalt kiegészítő intézkedésekkel kombinálva, biztosítja, hogy a Kanadából az Egyesült Államokba továbbított személyes adatok a kanadai adatvédelmi jogszabályok által megkövetelthez hasonló szintű védelmet kapjanak.
4.4 Globális peremhálózati helyszínek (Cloudflare)
A Cloudflare globális peremhálózati helyszíneket üzemeltet. Az EU látogatók kéréseit jellemzően a legközelebbi Cloudflare jelenléti ponton dolgozzák fel, amely EU látogatók esetén általában EU helyszín lesz.
- A kérések irányítása, a TLS lezárása és a bot-védelem a legközelebbi peremhálózati helyszínen történik.
- Az EU-lakosként azonosított weboldal-üzemeltetők esetében a tartós tárhely (amely tartalmazza az űrlapbeküldéseket, chatbot-beszélgetéseket és munkamenet-adatokat) a Cloudflare jurisdikciós API-jának használatával joghatóságilag az Európai Unióra van korlátozva. Nem EU-s weboldal-üzemeltetők esetében a tartós tárhely az üzemeltető földrajzi régiójához közel helyezkedik el, de az EU-n kívül is lehet.
- Az analitikai adatok feldolgozása Cloudflare által kezelt infrastruktúrán történik.
5. AZ ADATFOLYAMOK ÉRTÉKELÉSE SZOLGÁLTATÓNKÉNT
5.1 Amazon Web Services (USA)
| Adatfolyam | Érintett személyes adatok | Cél |
|---|---|---|
| Adatbázis-tárolás | Űrlapbeküldési metaadatok (IP, ország, régió), chatbot-beszélgetési rekordok, fájl-metaadatok, munkamenet-rekordok | Weboldal-látogatói adatok tartós tárolása |
| Fájltárolás | Feltöltött fájlok (képek, dokumentumok), telepítési pillanatképek | Fájltárolás |
| AI-következtetés | Fájltartalom (AI-leírásokhoz), e-mail-tartalom (spam-észleléshez) | AI-alapú leírások és spam-osztályozás |
| Tartalommoderálás | Feltöltött képek | Tartalommoderálás (meztelen/explicit tartalom észlelése) |
| E-mail kézbesítés | E-mail címek, üzenetek tartalma | Tranzakciós e-mail kézbesítés és tartalombeküldési értesítések. Az EU-ban lakó weboldal-üzemeltetők esetében ezeket a műveleteket az Európai Unióban (Stockholm) dolgozzák fel. |
| Nyelvfelismerés | E-mail-üzenet szövege | Nyelvfelismerés |
AWS biztosítékok:
- ISO 27001, 27017, 27018 tanúsítvánnyal
- SOC 1/2/3 jelentések elérhetők
- Az adatok iparági szabványos titkosítással titkosítva nyugalmi állapotban
- Átvitelben lévő adatok titkosítva (TLS)
- Minimális jogosultságon alapuló hozzáférési vezérlők rendszerkomponensenkénti bontásban
- Az elsődleges szolgáltatások az Egyesült Államokban vannak tárolva; az EU-ban lakó weboldal-üzemeltetők automatizált látogató-orientált műveleteit (tartalombeküldési értesítések és tranzakciós e-mail kézbesítés) az Európai Unióban (Stockholm) dolgozzák fel
5.2 Cloudflare (Globális)
| Adatfolyam | Érintett személyes adatok | Cél |
|---|---|---|
| Peremhálózati útválasztás | IP-címek, HTTP fejlécek, kérés URL-ek | Kérések irányítása, DDoS-védelem, TLS lezárás |
| Weboldalak hosztolása | Oldalak tartalma, látogatói metaadatok | Weboldal-hosztolás és -kézbesítés |
| Tartós tárhely | Űrlapbeküldések, chatbot-beszélgetések, munkamenet-adatok, felhasználói táblaadatok | Weboldalonkénti állapotalapú tárhely |
| Analitika | Álnevesített látogatói hash, ország, eszköz, böngésző, hivatkozó, UTM | Adatvédelmi szempontból barátságos látogatói analitika |
| AI-következtetés | Chatbot-üzenetek, űrlapmező-összefoglalók | AI chatbot-válaszok, spam-észlelés |
| Eszköztárolás | Weboldal-eszközök (képek, fájlok) | Statikus eszközök tárolása és CDN-kézbesítés |
Cloudflare biztosítékok:
- ISO 27001 tanúsítvánnyal, SOC 2 Type II
- TLS 1.2+ minden kapcsolathoz
- Cloudflare DPA SCC-kkel elérhető
- A peremhálózati feldolgozás azt jelenti, hogy az EU-s látogatói adatokat általában EU-s peremhálózati helyszíneken dolgozzák fel a kérések kezelésekor
- Az EU-ban lakóként azonosított weboldal-üzemeltetők számára az állandó tárolás (amely tartalmaz űrlapbeküldéseket, chatbot-beszélgetéseket, munkamenet-adatokat és felhasználói tábla adatokat) joghatóságilag az Európai Unióra korlátozódik a Cloudflare joghatósági API-jának használatával, biztosítva, hogy ezeket az adatokat kizárólag EU adatközpontokban tárolják és dolgozzák fel. A peremhálózatról érkező háttér API-hívások (tartalombeküldési értesítések és tranzakciós e-mail kézbesítés céljából) EU-ban elhelyezett AWS infrastruktúrára irányítódnak.
- Az AI-következtetés nem tartja meg a bemeneti adatokat betanítás céljára
5.3 Stripe (USA)
| Adatfolyam | Érintett személyes adatok | Cél |
|---|---|---|
| Fizetésfeldolgozás | Weboldal-üzemeltető számlázási adatai (név, e-mail, fizetési mód) | Előfizetési és domain-fizetések feldolgozása |
Megjegyzés: A Stripe nem kapja meg a weboldal-látogatók személyes adatait. Csak a weboldal-üzemeltető (ügyfelünk) számlázási adatait dolgozza fel a Stripe.
Stripe biztosítékok:
- PCI DSS Level 1 tanúsítvánnyal
- ISO 27001 tanúsítvánnyal
- Stripe DPA SCC-kkel elérhető
5.4 AI következtetési szolgáltatók (USA)
A Fireworks AI és az xAI AI-modell következtetési szolgáltatásokat nyújt.
| Adatfolyam | Érintett személyes adatok | Cél |
|---|---|---|
| Szöveggenerálás (weboldal-tartalom) | Weboldal-tartalom (nem látogatói adatok) | Weboldal-tartalom létrehozása és szerkesztése |
| Képgenerálás | Szöveges promptok (nem látogatói adatok) | Képek létrehozása weboldalakhoz |
| Társalgási AI (chat ügynök) | Platformhasználói név, e-mail, nyelvpreferencia és beszélgetési előzmények | AI-alapú asszisztens platform-felhasználóknak (weboldal-üzemeltetőknek) |
Megjegyzés: Ezek az AI-szolgáltatók nem kapják meg a weboldal-látogatók személyes adatait. A chatbot-funkció (weboldal-látogatókat kiszolgáló) a Cloudflare Workers AI-t (a 5.2. szakaszban értékelt) használja, nem ezeket a szolgáltatókat. Ugyanakkor a platform társalgási AI asszisztense — amelyet weboldal-üzemeltetők használnak weboldalaik kezelésére — platformhasználói személyes adatokat (nevet, e-mail-címet és beszélgetési előzményeket) küld ezeknek a szolgáltatóknak a válaszok generálásának részeként. Ennél a feldolgozásnál az Acira AI adatkezelőként (nem adatfeldolgozóként) jár el, és az érintett személyek a mi platform-felhasználóink (weboldal-üzemeltetők), nem pedig weboldalaik látogatói. Ezt az adatfolyamot az Adatvédelmi szabályzatunk és ezekkel a szolgáltatókkal kötött megállapodásaink szabályozzák, nem pedig a látogatói adatokra vonatkozó DPA adatkezelő-adatfeldolgozó kerete.
Modellcsaládok: Ezek az infrastruktúra-szolgáltatók különböző harmadik felek által fejlesztett AI-modelleket hosztolnak és hajtanak végre. A használt specifikus modellek és modellcsaládok idővel változhatnak. A modellfejlesztők nem kapnak és nem férnek hozzá felhasználói adatokhoz — az összes adatfeldolgozás kizárólag a felsorolt aladatfeldolgozók infrastruktúrájában történik, függetlenül attól, hogy a modellt eredetileg hol fejlesztették. Minden AI-következtetési feldolgozás a felsorolt aladatfeldolgozóink infrastruktúráján marad. Semmilyen felhasználói adatot nem továbbítanak a modellfejlesztőknek vagy az ebben az értékelésben felsorolt aladatfeldolgozókon kívüli infrastruktúrának. A jelenleg használt modellcsaládok aktuális listája kérésre elérhető a legal@acira.ai elérhetőségen.
5.5 BrightData (Izrael / Globális)
| Adatfolyam | Érintett személyes adatok | Cél |
|---|---|---|
| Webes adatgyűjtés | Nyilvánosan elérhető webes tartalom (nem látogatói adatok) | Tartalomimport weboldal-létrehozáskor (felhasználói utasításra) |
| SERP-nyomon követés | Keresési kulcsszavak (nem látogatói adatok) | Kulcsszó-rangsor nyomon követése |
Megjegyzés: A BrightData nem dolgozza fel a weboldal-látogatók személyes adatait. Felhasználói utasításra nyilvánosan elérhető webes tartalmat dolgoz fel, és a felhasználó által meghatározott kulcsszavak keresőmotor-rangsorát követi nyomon.
5.6 EU-ban székhellyel rendelkező szolgáltatók (nincs adattovábbítás)
| Szolgáltató | Helyszín | Cél |
|---|---|---|
| Black Forest Labs | Németország (EU) | AI képgenerálás (Flux modellek) |
| ScreenshotOne | Európai Unió | Weboldal-képernyőkép készítése |
| CloudConvert | Németország (EU) | Fájlformátum-konverzió |
Ezek a szolgáltatók az EU-n belül dolgozzák fel az adatokat, és nem minősülnek nemzetközi adattovábbításnak. A Black Forest Labs csak szöveges promptokat kap képgenerálás céljából; nem érintett személyes adat.
6. KIEGÉSZÍTŐ INTÉZKEDÉSEK
Az SCC-ken felül a következő kiegészítő intézkedéseket valósítjuk meg, hogy biztosítsuk a továbbított személyes adatok lényegében egyenértékű szintű védelmét:
6.1 Műszaki intézkedések
| Intézkedés | Leírás |
|---|---|
| Titkosítás átvitel közben | A látogatók, a peremhálózat és a háttérszolgáltatások között továbbított összes adat TLS-sel titkosítva van (legalább TLS 1.2). A belső szolgáltatások közötti kommunikáció titkosított csatornákat használ. |
| Titkosítás nyugalmi állapotban | Az összes adatbázis-rekord, fájltároló és peremhálózaton hosztolt tartós tárhely az adott infrastruktúra-szolgáltató által kezelt iparági szabványos titkosítással van titkosítva nyugalmi állapotban. |
| Álnevesítés | A látogatói analitika naponta rotáló kriptográfiai hasht (IP + User-Agent + dátum) használ a nyers IP-címek tárolása helyett. Ez a hash nem fordítható vissza, és 24 óránként rotál, megakadályozva a napok közötti nyomon követést. |
| Adatminimalizálás | Az analitika csak összesített szintű metaadatokat gyűjt (ország, eszköztípus, böngésző). Az analitikában nem tárolnak nyers IP-címeket. A chatbot-üzenetek legfeljebb 2 000 karakterre korlátozódnak. |
| Jelszó-hashelés | A látogatók összes jelszavát (weboldal-védett területekhez) erős kriptográfiai algoritmusokkal, felhasználónként véletlenszerű sókkal hashelik tárolás előtt. Az egyszerű szöveges jelszavak soha nem kerülnek tárolásra vagy átvitelre. |
| Hozzáférési vezérlők | A minimális jogosultságon alapuló hozzáférési szabályzatok minden rendszerkomponenst csak a szükséges erőforrásokra korlátozzák. A weboldalonkénti API-tokenek az egyes weboldalakra korlátozzák a hozzáférést. |
| Hálózati izoláció | A háttérszolgáltatások belső hálózatokon kommunikálnak. A weboldal-hosztolás izolált végrehajtási sandboxokban fut. Az egyéni kód végrehajtása WebAssembly-alapú sandboxingot használ. |
| Joghatósági adatrezidencia | Az EU-ban lakóként azonosított weboldal-üzemeltetők számára a látogatói adatokat (űrlapbeküldések, chatbot-beszélgetések, munkamenet-adatok és felhasználói tábla adatok) tartalmazó állandó tárolás joghatóságilag az Európai Unióra korlátozódik, biztosítva, hogy ezeket az adatokat kizárólag EU adatközpontokban tárolják és dolgozzák fel. Az automatizált látogató-orientált műveletek (tartalombeküldési értesítések és tranzakciós e-mail kézbesítés) szintén EU-alapú infrastruktúrán belül kerülnek feldolgozásra. |
| Automatikus törlés | A munkamenet-adatok 30 napnyi inaktivitás után lejárnak. Az ideiglenes fájlok 24 órán belül törlődnek. A bot-kihívási adatok efemer jellegűek és nem maradnak meg. |
6.2 Szervezési intézkedések
| Intézkedés | Leírás |
|---|---|
| Személyzeti titoktartás | A személyes adatokhoz hozzáféréssel rendelkező összes személy titoktartási kötelezettségekhez van kötve. |
| Alfeldolgozói átvilágítás | Az alfeldolgozókat megbízás előtt értékelik biztonsági gyakorlataik és adatvédelmi megfelelőségük alapján. Írásos adatfeldolgozási megállapodások állnak rendelkezésre valamennyi alfeldolgozóval. |
| Incidenskezelés | A jogsértési értesítési eljárások biztosítják, hogy az adatkezelőket 72 órán belül értesítsék a személyes adatok megsértésének megerősítésekor. |
| Adatmegőrzési irányelvek | Dokumentált megőrzési időszakok automatizált érvényesítéssel (TTL-alapú törlés, életciklus-irányelvek). |
| Biztonsági monitoring | Strukturált naplózás, automatizált biztonsági monitoring és behatolásérzékelés. A hiba- és diagnosztikai naplók legfeljebb 30 napig tárolódnak. |
6.3 Szerződéses intézkedések
| Intézkedés | Leírás |
|---|---|
| Standard szerződési kikötések | Az SCC-k (1., 2. és 3. modul) hivatkozással be vannak építve DPA-nkba. |
| Alfeldolgozói SCC-k | Az egyes alfeldolgozókkal kötött írásos megállapodások olyan adatvédelmi kötelezettségeket írnak elő, amelyek nem kevésbé védelmezők, mint a DPA-ban foglaltak. |
| Kormányzati hozzáférési értesítés | Kötelezettséget vállalunk arra, hogy az adatkezelőket értesítjük a kormányzati hozzáférési kérelmekről, ahol ez jogilag megengedett, ahogyan azt Általános Szerződési Feltételeink tartalmazzák. |
| Megkifogásolási kötelezettség | Kötelezettséget vállalunk arra, hogy megtámadunk olyan kormányzati hozzáférési kérelmeket, amelyeket túlságosan tágnak vagy jogszerűtlennek tartunk. |
7. KOCKÁZATÉRTÉKELÉS
7.1 A kormányzati hozzáférés valószínűsége
| Tényező | Értékelés |
|---|---|
| Adatok jellege | Elsősorban kisvállalatoknak szóló weboldalak álnevesített analitikája, űrlapbeküldései és chatbot-üzenetei. Ezeknek az adatoknak alacsony a hírszerzési értékük. |
| Adatok mennyisége | Alacsony és közepes között. Minden weboldal saját látogatói bázisát szolgálja ki; az adatokat nem aggregálják weboldalak között megfigyelési célokból. |
| Vállalati profil | Az Acira AI egy kis SaaS vállalat, amely kisvállalkozások weboldalait üzemelteti. Nem vagyunk telekommunikációs szolgáltató vagy magas profilú megfigyelési célpont. |
| Korábbi kérelmek | A jelen értékelés dátumától kezdve az Acira AI soha nem kapott FISA 702. szakasz szerinti utasítást, Nemzeti Biztonsági Levelet vagy bármilyen kormányzati kérelmet ügyféladatok tömeges hozzáférésére. |
| Alfeldolgozói profil | Az AWS és a Cloudflare nagy infrastruktúra-szolgáltatók, amelyek átláthatósági jelentéseket tesznek közzé. Átláthatósági jelentéseik azt mutatják, hogy a kormányzati kérelmek konkrét számlákra irányulnak, nem az üzemeltetett tartalom tömeges elérésére. |
Összesített valószínűség: ALACSONY
7.2 A hozzáférés esetén fennálló hatás
| Tényező | Értékelés |
|---|---|
| Adatok érzékenysége | A továbbított adatok többsége alacsony érzékenységű (álnevesített analitika, weboldal-látogatói metaadatok). Az űrlapbeküldések közepesen érzékeny adatokat (nevek, e-mail-címek, üzenetek) is tartalmazhatnak a weboldaltól függően. |
| Az álnevesítés hatékonysága | Az analitikai adatok nem köthetők személyekhez anélkül, hogy hozzáférnénk a naponta rotáló hash komponensekhez (IP + User-Agent + dátum), amelyeket nem tárolnak. |
| Az expozíció hatóköre | Bármilyen kormányzati hozzáférés az egész platform helyett csak meghatározott fiókokra vagy weboldalakra terjedne ki. A dedikált tárolási példányokon keresztüli weboldalonkénti adatizoláció korlátozza a potenciális kompromittálás hatókörét. Az EU-ban lakó weboldal-üzemeltetők számára az állandó tárolás és az automatizált látogató-orientált feldolgozás (tartalombeküldési értesítések és tranzakciós e-mail kézbesítés) az EU-ra korlátozódik, tovább korlátozva ezeknek az adatoknak az USA kormányzati hozzáférésnek való kitettségét. |
Összesített hatás: ALACSONYTÓL KÖZEPESIG (az egyes webhelyüzemeltetők által gyűjtött adatok érzékenységétől függően)
7.3 Maradványkockázat értékelése
Figyelembe véve a kormányzati hozzáférés alacsony valószínűségét, a kiegészítő műszaki intézkedéseket (titkosítás, álnevesítés, adatminimalizálás) és a 14086. sz. Elnöki Rendelet által bevezetett további biztosítékokat, értékelésünk szerint az érintett személyeket érintő maradványkockázat alacsony, és a kiegészítő intézkedések, az SCC-kkel (az EGT-ből/UK-ból/Svájcból érkező továbbítások esetén) és a szerződéses védelemmel (a kanadai továbbítások esetén) együttesen, lényegében egyenértékű szintű védelmet biztosítanak az EGT-n belül garantáltakhoz, és hasonló szintű védelmet a kanadai adatvédelmi jogszabályok által megkövetelthez.
8. KÖVETKEZTETÉS
A jelen értékelés alapján a következőket állapítjuk meg:
Az EGT-ből/UK-ból/Svájcból/Kanadából az Egyesült Államokba Szolgáltatásaink nyújtásával összefüggésben továbbított személyes adatok részesülnek az EU adatvédelmi jog által garantált védelemmel lényegében egyenértékű szintű védelemben és a kanadai adatvédelmi jog által megkövetelt hasonló szintű védelemben.
A Standard szerződési kikötések, a 6. szakaszban leírt kiegészítő műszaki, szervezési és szerződéses intézkedésekkel kombinálva, megfelelően kezelik a jelen értékelésben azonosított kockázatokat.
Az adatok jellege (elsősorban álnevesített analitika és kisvállalkozások weboldal-látogatóinak interakciói) és az adatimportáló profilja (kis SaaS vállalat, nem telekommunikációs szolgáltató) jelentősen csökkentik a kormányzati megfigyelés gyakorlati kockázatát.
A 14086. sz. Elnöki Rendelet és a kapcsolódó jogorvoslati mechanizmus által bevezetett védelmek további biztosítékokat nyújtanak valamennyi érintett személynek, az alkalmazott konkrét továbbítási mechanizmustól függetlenül.
A kanadai továbbítások esetén az itt leírt szerződéses védelmek és kiegészítő intézkedések biztosítják a PIPEDA és az alkalmazható tartományi adatvédelmi jogszabályok, köztük a modernizált Quebec-i adatvédelmi törvény által megkövetelt hasonló szintű védelmet.
Folyamatosan nyomon fogjuk követni az USA megfigyelési jogának és gyakorlatának fejleményeit, valamint a kanadai adatvédelmi jog fejleményeit (beleértve a javasolt Fogyasztói Adatvédelmi Védelmi Törvényt), és felülvizsgáljuk ezt a TIA-t, ha a körülmények lényegesen megváltoznak.
Az adattovábbítások folytatódhatnak az SCC-k és az itt leírt kiegészítő intézkedések folyamatos alkalmazásának függvényében.
9. FELÜLVIZSGÁLATI ÜTEMTERV
Ezt a TIA-t felülvizsgálják és frissítik:
- Évenként, minimum, vagy
- Az alkalmazható jogszabályok vagy rendelkezések lényeges változásai esetén (beleértve a FISA, CLOUD törvény, 14086. sz. Elnöki Rendelet, PIPEDA vagy a kanadai tartományi adatvédelmi jogszabályok változásait),
- Az alfeldolgozók vagy a továbbított adatok természetének megváltozása esetén,
- Bármely olyan bírósági döntés esetén, amely lényegesen befolyásolja az SCC-k érvényességét vagy az USA adatvédelmének megfelelőségét.
10. KAPCSOLAT
Ha kérdése van ezzel az Adattovábbítási Hatásvizsgálattal kapcsolatban, kérjük, vegye fel velünk a kapcsolatot:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
E-mail: legal@acira.ai
Az Ön adatvédelme, a mi prioritásunk
Nem adjuk el az adatait, nem használunk nyomkövető sütiket — ezért nem lát itt süti-bannert. Tiszteletben tartjuk a Global Privacy Control-t, és az EU-s ügyfelek esetében a látogatói adatokat kizárólag az Európai Unión belül tároljuk és dolgozzuk fel.
Acira AI
Építsen gyönyörű weboldalakat AI-val. Programozás nem szükséges.
Büszkén készült az Egyesült Államokban
© 2026 Acira AI LLC. Minden jog fenntartva.