DUOMENŲ TVARKYMO PRIEDAS

Paskutinį kartą atnaujinta: 2026 m. kovo 19 d.

Šis Duomenų tvarkymo priedas („DTP") yra Naudojimo sąlygų („Sutartis") sudedamoji dalis, sudaroma tarp Acira AI LLC („Duomenų tvarkytojas", „mes") ir Paslaugų naudotojo („Duomenų valdytojas", „jūs"), ir papildo Sutartį asmens duomenų tvarkymo klausimais.

Šis DTP taikomas, kai naudojate Paslaugas kurdami, talpindami ir publikuodami svetaines, kurios renka ar tvarko asmenų, esančių Europos ekonominėje erdvėje („EEE"), Jungtinėje Karalystėje („JK") ar Šveicarijoje, asmens duomenis, arba kai to reikalauja taikomi duomenų apsaugos įstatymai.

Šis Duomenų tvarkymo priedas gali būti išverstas į kitas kalbas jūsų patogumui. Jei tarp angliškos versijos ir bet kurios verstinės versijos kiltų prieštaravimų ar neatitikimų, pirmenybė teikiama angliškai versijai.

TURINYS

1. SĄVOKŲ APIBRĖŽTYS
2. TAIKYMO SRITIS IR VAIDMENYS
3. DUOMENŲ TVARKYMO INFORMACIJA
4. DUOMENŲ TVARKYTOJO PAREIGOS
5. DUOMENŲ VALDYTOJO PAREIGOS
6. PAPILDOMI DUOMENŲ TVARKYTOJAI
7. TARPTAUTINIS DUOMENŲ PERDAVIMAS
8. DUOMENŲ SUBJEKTŲ TEISĖS
9. DUOMENŲ SAUGUMAS
10. PRANEŠIMAS APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ
11. AUDITAI IR ATITIKTIES TIKRINIMAS
12. DUOMENŲ SAUGOJIMAS IR IŠTRYNIMAS
13. TRUKMĖ IR NUTRAUKIMAS
14. ATSAKOMYBĖS RIBOJIMAS
15. SUSISIEKITE SU MUMIS

1. SĄVOKŲ APIBRĖŽTYS

„Taikomi duomenų apsaugos teisės aktai" – visi įstatymai ir taisyklės, taikomi asmens duomenų tvarkymui pagal šį DTP, įskaitant (jei taikoma) Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679 („BDAR"), JK BDAR, Šveicarijos federalinį duomenų apsaugos įstatymą („FDAI") ir Kalifornijos vartotojų privatumo įstatymą („CCPA").

„Duomenų valdytojas" – fizinis ar juridinis asmuo, kuris nustato asmens duomenų tvarkymo tikslus ir priemones; šiame kontekste – jūs, Paslaugų naudotojas, kuris platformoje valdo svetainę.

„Duomenų subjektas" – identifikuotas ar identifikuojamas fizinis asmuo, kurio asmens duomenys yra tvarkomi.

„Asmens duomenys" – bet kokia informacija, susijusi su Duomenų subjektu, kuri yra tvarkoma per Paslaugas.

„Tvarkymas" – bet kokia operacija, atliekama su asmens duomenimis, įskaitant rinkimą, įrašymą, organizavimą, struktūrizavimą, saugojimą, pritaikymą, atgavimą, konsultavimąsi, naudojimą, atskleidimą, skleidimą, apribojimą, ištrynimą ar sunaikinimą.

„Duomenų tvarkytojas" – fizinis ar juridinis asmuo, kuris tvarko asmens duomenis Duomenų valdytojo vardu; šiame kontekste – Acira AI LLC.

„Papildomas duomenų tvarkytojas" – bet kuri trečioji šalis, kurią Duomenų tvarkytojas pasitelkia asmens duomenims tvarkyti Duomenų valdytojo vardu.

„Standartinės sutarčių sąlygos" arba „SSS" – standartinės sutarčių sąlygos asmens duomenų perdavimui į trečiosiose šalyse įsisteigusius duomenų tvarkytojus, priimtos Europos Komisijos.

2. TAIKYMO SRITIS IR VAIDMENYS

2.1 Duomenų tvarkymo santykiai

Kai naudojate Paslaugas kurdami ir valdydami svetainę, kuri renka asmens duomenis iš jūsų svetainės lankytojų (per formas, vartotojų paskyras, pokalbių roboto sąveikas, komentarus, atsiliepimus ar kitas interaktyvias funkcijas), jūs veikiate kaip Duomenų valdytojas, o mes veikiame kaip tų lankytojų asmens duomenų Duomenų tvarkytojas.

2.2 Mūsų vaidmuo kaip Duomenų valdytojo

Mes veikiame kaip nepriklausomas Duomenų valdytojas asmens duomenims, kuriuos renkame savo tikslais, įskaitant: jūsų paskyros informaciją, atsiskaitymo duomenis, naudojimo analitiką, bendrąsias svetainės charakteristikas, gautas iš jūsų svetainės turinio (pvz., pramonės šaka ar verslo tipas), ir platformos veiklos duomenis. Šių duomenų tvarkymas reglamentuojamas mūsų Privatumo politika ir nepatenka į šios DPA taikymo sritį.

2.3 Platformos analizė

Mes renkame pagrindinę, privatumą tausojančią svetainių lankytojų analitiką (kaip aprašyta Sutartyje). Analizės duomenų atžvilgiu mes veikiame kaip bendri duomenų valdytojai kartu su jumis. Mes sukūrėme mūsų analitiką taip, kad ji kuo labiau sumažintų asmens duomenų rinkimą – mes nesaugome neapdorotų IP adresų, o lankytojų identifikatoriai keičiami kas dieną. Kiekvieno bendro duomenų valdytojo atsakomybė paskirstoma taip:

• Acira AI (Duomenų tvarkytojas / bendras Duomenų valdytojas): Nustato techninius analizės rinkimo metodus, įskaitant tai, kokie duomenų taškai renkami, kaip apskaičiuojami lankytojų identifikatoriai (kasdien keičiamos maišos reikšmės) ir kaip duomenys yra apibendrinami. Mes atsakome už analizės infrastruktūros saugumą ir vientisumą bei už atsakymą į bendrus klausimus apie tai, kaip analizė veikia platformoje.
• Jūs (Duomenų valdytojas / bendras Duomenų valdytojas): Nusprendžiate, ar naudoti analitiką savo svetainėje (analizė pagal numatytuosius nustatymus yra įjungta kaip Paslaugų dalis). Jūs atsakote už analizės duomenų rinkimo atskleidimą savo svetainės privatumo politikoje ir už atsakymą į Duomenų subjektų prašymus, susijusius su jūsų svetainės lankytojų analizės duomenimis.
• Duomenų subjektų kontaktinis asmuo: Duomenų subjektai gali kreiptis į jus (svetainės savininką) dėl jūsų svetainėje surinktų analizės duomenų. Jei gausime Duomenų subjekto prašymą dėl analizės duomenų, nukreipsime juos pas jus, nebent jūs nurodysite kitaip. Dėl bendrų platformos klausimų Duomenų subjektai gali susisiekti su mumis adresu legal@acira.ai.

2.4 Bendro Duomenų valdytojo susitarimo esmė

Vadovaujantis BDAR 26 straipsnio 2 dalimi, šio bendro duomenų valdytojo susitarimo dėl analizės duomenų esmė yra tokia: mes (Acira AI) nustatome techninius metodus ir renkamus duomenų taškus; jūs (svetainės operatorius) nusprendžiate, ar analizė naudojama jūsų svetainėje. Kiekvienas iš mūsų atsakome už savo atitinkamas pareigas pagal Taikomus duomenų apsaugos teisės aktus. Jūs esate pagrindinis kontaktinis asmuo jūsų svetainės lankytojams dėl analizės duomenų. Šio susitarimo santrauka pateikiama Duomenų subjektams per šį DTP ir adresu https://www.acira.ai/dpa.

2.5 CCPA paslaugų teikėjo paskyrimas

Tiek, kiek mes tvarkome jūsų vardu asmeninę informaciją, kuriai taikomas Kalifornijos vartotojų privatumo įstatymas („CCPA"), mes esame jūsų „paslaugų teikėjas", kaip apibrėžta Cal. Civ. Code § 1798.140(ag). Mes:

• neparduosime ir nesidalinsime (kaip šie terminai apibrėžiami pagal CCPA) jokia asmenine informacija, kurią mums pateiksite;
• nesaugosime, nenaudosime ir neatskleisinėsime asmeninės informacijos jokiam kitam tikslui, nei verslo tikslai, nurodyti šiame DTP ir Sutartyje, arba kaip leidžiama pagal CCPA;
• nesaugosime, nenaudosime ir neatskleisinėsime asmeninės informacijos už tiesioginio verslo santykio tarp jūsų ir mūsų ribų;
• nejungsime iš jūsų gautos asmeninės informacijos su asmenine informacija, kurią gauname iš kito asmens vardu ar jo vardu, arba renkame savo sąveikose su vartotojais, išskyrus CCPA leidžiamais atvejais.

Mes galime gauti bendras, neidentifikuojančias verslo charakteristikas (pvz., pramonės šakos klasifikaciją) iš jūsų svetainės turinio, siekdami teikti aktualias produktų rekomendacijas, kaip aprašyta 2.2 skirsnyje. Šis ribotas naudojimas nėra asmens informacijos pardavimas, dalijimasis ar derinimas CCPA prasme.

Mes patvirtinome, kad suprantame šiuos apribojimus ir jų laikysimės.

2.6 Šveicarijos FDAI atstovo vertinimas

Šveicarijos federalinio duomenų apsaugos įstatymo („FDAI") 14 straipsnis reikalauja, kad ne Šveicarijos privatus valdytojas paskirtų atstovą Šveicarijoje tik tada, kai tenkinamos visos keturios šios kumuliacinės sąlygos: (1) tvarkymas susijęs su prekių ar paslaugų siūlymu arba Šveicarijoje esančių asmenų elgesio stebėjimu; (2) tvarkymas vykdomas dideliu mastu; (3) tvarkymas vykdomas reguliariai; ir (4) tvarkymas kelia didelę riziką duomenų subjektų asmenybės teisėms ar pagrindinėms teisėms.

Mes įvertinome savo tvarkymo veiklą pagal šias sąlygas ir nustatėme, kad nors sąlygos (1) ir (3) yra tenkinamos, likusios sąlygos nėra patenkintos dėl šių priežasčių:

• Ne didelis mastas: Mes esame maža SaaS platforma. Šveicarijos gyventojų asmens duomenų, tvarkomų per mūsų Paslaugas, apimtis yra ribota ir neatitinka didelio masto tvarkymo pagal FDAI 14 straipsnio prasmę.
• Ne didelė rizika: Asmens duomenys, kuriuos mes tvarkome svetainių operatorių vardu, daugiausia apima pseudoanonimizuotus analizės identifikatorius (kasdien keičiamas maišos reikšmes), pagrindinius lankytojų metaduomenis (šalis, įrenginio tipas, naršyklė), formų pateikimo turinį ir pokalbių roboto žinutes. Mes netvarkome specialių kategorijų asmens duomenų (FDAI 5 straipsnio c punktas) ir nevykdome profiliavimo, keliančio didelę riziką duomenų subjektams. Šveicarijos federalinis duomenų apsaugos ir informacijos komisaras („FDPIC") nurodė, kad ši pareiga pirmiausia skirta didelėms interneto platformoms ir socialiniams tinklams, veikiantiems iš užsienio, o tai neapibūdina mūsų Paslaugų.

Remdamiesi šiuo vertinimu, padarėme išvadą, kad šiuo metu neprivalome skirti atstovo Šveicarijoje pagal FDAI 14 straipsnį. Mes periodiškai peržiūrėsime šį sprendimą, taip pat atsižvelgdami į esminius mūsų tvarkymo veiklos, susijusios su Šveicarijos gyventojais, masto ar pobūdžio pokyčius.

3. DUOMENŲ TVARKYMO INFORMACIJA

3.1 Dalykas ir trukmė

Asmens duomenų tvarkymas pagal šį DTP vykdomas siekiant teikti Paslaugas, aprašytas Sutartyje, ir tęsiasi Sutarties galiojimo laikotarpiu.

3.2 Tvarkymo pobūdis ir tikslas

Mes tvarkome asmens duomenis siekdami:

• Talpinti ir pateikti jūsų svetainės turinį
• Saugoti ir valdyti duomenis, pateikiamus per jūsų svetainės formas ir interaktyvias funkcijas
• Palaikyti vartotojų paskyras ir sesijas jūsų svetainės apsaugotose srityse
• Siųsti el. pašto pranešimus jūsų vardu
• Persiųsti el. laiškus, gautus jūsų pasirinktinio domeno el. pašto adresais
• Palaikyti AI pokalbių roboto pokalbius su jūsų svetainės lankytojais
• Generuoti AI paremtus aprašymus ir metaduomenis įkeltiems failams
• Konvertuoti įkeltus failus į svetainei optimizuotus formatus
• Teikti lankytojų analitiką
• Bendrųjų svetainės charakteristikų (pvz., pramonės šaka ar verslo tipas) gavimas aktualių platformos rekomendacijų teikimui
• Aptikti ir užkirsti kelią šiukšlių siuntimui ir piktnaudžiavimui (įskaitant darbo įrodymo robotų iššūkius)
• Vykdyti turinio moderavimą įkeltiems failams
• Peržiūrėti svetainės turinį jo paskelbimo metu siekiant patikrinti atitiktį platformos turinio politikai
• Valdyti el. pašto atsisakymo nuostatas jūsų svetainės el. pašto gavėjams
• Palengvinti realaus laiko kanalų komunikacijas jūsų svetainėje per WebSocket ryšius (žinutės yra trumpalaikės ir nesaugomos)
• Saugoti klaidų ir diagnostikos žurnalus platformos patikimumui ir trikčių šalinimui (gali apimti IP adresus ir užklausų metaduomenis; saugomi iki trisdešimt (30) dienų)

3.3 Asmens duomenų tipai

Tvarkomų asmens duomenų tipai priklauso nuo to, ką renkate per savo svetainę, ir gali apimti:

• Vardus ir kontaktinę informaciją
• El. pašto adresus
• Žinutes ir formų pateikimus
• Failų įkėlimus, pateiktus svetainės lankytojų (pvz., vaizdus ir dokumentus)
• Pokalbių roboto pokalbių turinį (lankytojų žinutes ir AI atsakymus)
• Vartotojų paskyrų prisijungimo duomenis (saugomi maišos forma)
• Sesijos duomenis
• IP adresus (nesaugomi analizėje – saugoma tik kasdien keičiama maišos reikšmė; saugomi kaip metaduomenys kartu su formų pateikimais ir pokalbių roboto pokalbiais; laikinai naudojami ir maišomi robotų iššūkio patikrinimui; laikinai saugomi greičio ribojimui iki septynių (7) dienų ir automatiškai išvalomi)
• Naršyklės ir įrenginio informaciją
• Vietos duomenis (šalies ir regiono lygmens, gautus iš IP)
• El. pašto atsisakymo įrašai (saugomi kaip gavėjų el. pašto adresų kriptografinės maišos; nesaugomi neapdorota forma)
• Šiukšlių klasifikavimo rezultatus (ar pateikimas buvo nustatytas kaip šiukšlė)
• Klaidų ir diagnostikos žurnalų duomenis (IP adresai, užklausų keliai ir klaidų informacija; saugomi iki trisdešimt (30) dienų ir automatiškai išvalomi)

3.4 Duomenų subjektų kategorijos

• Jūsų svetainės lankytojai
• Vartotojai, kurie sukuria paskyras jūsų svetainėje
• Vartotojai, kurie pateikia formas arba sąveikauja su pokalbių robotais jūsų svetainėje
• Vartotojai, kurie pateikia komentarus, atsiliepimus ar kitus indėlius jūsų svetainėje

4. DUOMENŲ TVARKYTOJO PAREIGOS

Mes:

1. Tvarkysime asmens duomenis tik pagal jūsų dokumentuotus nurodymus, išskyrus atvejus, kai to reikalauja taikomi teisės aktai (tokiu atveju informuosime jus apie tą teisinį reikalavimą prieš tvarkymą, nebent tai draudžia įstatymas);
2. Užtikrinsime, kad asmenys, įgalioti tvarkyti asmens duomenis, prisiėmė konfidencialumo įsipareigojimus arba jiems taikoma atitinkama įstatyme nustatyta konfidencialumo pareiga;
3. Įdiegsime tinkamas technines ir organizacines saugumo priemones, aprašytas 9 skirsnyje;
4. Laikysimės papildomų duomenų tvarkytojų pasitelkimo sąlygų, nustatytų 6 skirsnyje;
5. Atsižvelgdami į tvarkymo pobūdį, padėsime jums atsakyti į Duomenų subjektų prašymus, siekiant pasinaudoti teisėmis pagal Taikomus duomenų apsaugos teisės aktus;
6. Padėsime jums užtikrinti atitiktį jūsų pareigoms pagal BDAR 32–36 straipsnius (saugumas, pranešimas apie pažeidimus, duomenų apsaugos poveikio vertinimai ir išankstinės konsultacijos), atsižvelgdami į tvarkymo pobūdį ir mums prieinamą informaciją. Kai jūsų Paslaugų naudojimas apima didelės rizikos tvarkymą, kuriam gali reikėti Duomenų apsaugos poveikio vertinimo (DAPV), mes pateiksime jums informaciją apie mūsų tvarkymo veiklą, technines ir organizacines priemones bei papildomus duomenų tvarkytojus, kad galėtumėte atlikti savo vertinimą;
7. Padėsime jums vykdyti pareigas pagal BDAR 22 straipsnį (automatizuotas individualus sprendimų priėmimas), pateikdami informaciją apie bet kokį automatizuotą tvarkymą, atliekamą jūsų vardu, įskaitant turinio moderavimą, šiukšlių aptikimą ir apsaugą nuo robotų, bei sudarydami sąlygas žmogaus peržiūrai automatizuotų sprendimų, kai to paprašoma;
8. Informuosime jus, jei mūsų nuomone, jūsų nurodymas pažeidžia Taikomus duomenų apsaugos teisės aktus;
9. Jūsų pasirinkimu, ištrinsime arba grąžinsime visus asmens duomenis pasibaigus Paslaugų teikimui ir ištrinsime esamas kopijas, nebent saugojimas reikalingas pagal taikomus teisės aktus;
10. Pateiksime jums visą informaciją, reikalingą įrodyti atitiktį šiame DTP nustatytoms pareigoms, ir prisidėsime prie atitikties tikrinimo, kaip aprašyta 11 skirsnyje.

5. DUOMENŲ VALDYTOJO PAREIGOS

Jūs:

1. Užtikrinsite, kad jūsų asmens duomenų rinkimas ir tvarkymas per jūsų svetainę atitinka visus Taikomus duomenų apsaugos teisės aktus;
2. Suteiksite tinkamus pranešimus apie privatumą jūsų svetainės lankytojams, aprašančius jūsų duomenų rinkimo praktiką, įskaitant atskleidimą apie platformos lygio analitiką, AI paremtą pokalbių roboto sąveiką, šiukšlių aptikimą ir apsaugą nuo robotų;
3. Gausite visus reikiamus sutikimus arba sukursite kitą teisėtą pagrindą asmens duomenų tvarkymui per jūsų svetainę;
4. Užtikrinsite, kad jūsų nurodymai mums dėl asmens duomenų tvarkymo atitinka Taikomus duomenų apsaugos teisės aktus;
5. Būsite atsakingi už mums per jūsų svetainę pateikiamų asmens duomenų tikslumą, kokybę ir teisėtumą.

Naudodamiesi Paslaugomis, jūs nurodote mums vykdyti šią tvarkymo veiklą jūsų vardu kaip standartines platformos operacijas: įkeltų failų turinio moderavimą, paskelbto svetainės turinio atitikties politikos peržiūrą, šiukšlių aptikimą formų pateikimuose, apsaugą nuo robotų per darbo įrodymo iššūkius ir AI paremtą pokalbių roboto sąveiką su jūsų svetainės lankytojais. Ši veikla yra dokumentuoti nurodymai pagal BDAR 28 straipsnio 3 dalies a punktą.

6. PAPILDOMI DUOMENŲ TVARKYTOJAI

6.1 Įgalioti papildomi duomenų tvarkytojai

Jūs suteikiate bendrąjį įgaliojimą mums pasitelkti papildomus duomenų tvarkytojus, padedančius teikti Paslaugas. Mūsų dabartiniai papildomi duomenų tvarkytojai yra išvardyti žemiau ir adresu https://www.acira.ai/dpa.

6.2 Dabartinis papildomų duomenų tvarkytojų sąrašas

6.3 Pakeitimai papildomų duomenų tvarkytojų sąraše

Pranešime jums apie bet kokius planuojamus pakeitimus subduomenų tvarkytojų sąraše, susijusiame su šiuo metu naudojamomis Paslaugomis, atnaujindami subduomenų tvarkytojų sąrašą adresu https://www.acira.ai/dpa ne vėliau kaip keturiolika (14) dienų prieš tai, kai naujasis subduomenų tvarkytojas pradės tvarkyti asmens duomenis. Kai pristatome naujas funkcijas ar paslaugas, kuriose dalyvauja papildomi subduomenų tvarkytojai, tie subduomenų tvarkytojai bus atskleisti tuo metu, kai funkcija ar paslauga taps prieinama; naudodamiesi nauja funkcija ar paslauga, jūs sutinkate su atskleistais subduomenų tvarkytojais. Jūsų atsakomybė yra periodiškai peržiūrėti subduomenų tvarkytojų sąrašą dėl pakeitimų. Jei turite pagrįstų prieštaravimų dėl naujo subduomenų tvarkytojo, tvarkančio duomenis esamoms Paslaugoms, galite raštu pranešti mums per keturiolika (14) dienų nuo pakeitimo paskelbimo. Sąžiningai dirbsime su jumis, kad išspręstume jūsų susirūpinimą. Jei negalime išspręsti prieštaravimo jūsų pagrįstam pasitenkinimui, galite nutraukti Sutartį pateikdami rašytinį pranešimą.

6.4 Papildomų duomenų tvarkytojų pareigos

Mes sudarysime rašytines sutartis su kiekvienu papildomu duomenų tvarkytoju, kurios nustato duomenų apsaugos pareigas, ne mažiau apsaugančias nei nustatytos šiame DTP. Mes liekame atsakingi už mūsų papildomų duomenų tvarkytojų veiksmus ir neveikimą tokiu pačiu mastu, kaip ir jei patys teiktume paslaugas.

7. TARPTAUTINIS DUOMENŲ PERDAVIMAS

7.1 Perdavimo mechanizmai

Paslaugos daugiausia talpinamos Jungtinėse Valstijose. Asmens duomenys, tvarkomi per Paslaugas, gali būti perduodami ir tvarkomi Jungtinėse Valstijose ir kitose šalyse, kuriose veikia mūsų papildomi duomenų tvarkytojai. AI išvadų teikėjai (Fireworks AI ir xAI) tvarko duomenis Jungtinėse Valstijose. BrightData gali tvarkyti duomenis Izraelyje ir kitose pasaulio vietose. Cloudflare tvarko duomenis krašto taškuose visame pasaulyje.

ES duomenų rezidencija: Svetainių operatoriams, identifikuotiems kaip ES rezidentams, taikome šias duomenų rezidencijos priemones, siekdami sumažinti lankytojų asmens duomenų perdavimą už Europos Sąjungos ribų:

• Saugykla: Lankytojų duomenys nuolatinėje edge saugykloje – įskaitant formų pateikimus, pokalbių roboto pokalbius, sesijos duomenis ir naudotojų lentelių duomenis – yra jurisdikciškai apriboti Europos Sąjunga. Šie duomenys saugomi išimtinai ES duomenų centruose.
• Automatizuotas lankytojams skirtas apdorojimas: Operacijos, automatiškai suaktyvinamos lankytojų veikla — įskaitant turinio pateikimo pranešimus ir sandorių el. pašto pristatymą — apdorojamos Europos Sąjungoje ir nekeliauja per JAV infrastruktūrą.
• Platformos valdymo prieiga: Kai pasiekiate savo svetainės lankytojų duomenis per platformos prietaisų skydelį arba pokalbių sąsają (pvz., peržiūrite formų pateikimus ar valdote naudotojų įrašus), šie duomenys gali būti apdorojami per mūsų JAV infrastruktūrą jūsų užklausai įvykdyti. Šie perdavimai vykdomi pagal pareikalavimą, inicijuoti jūsų (Valdytojo), ir apsaugoti toliau aprašytais perdavimo mechanizmais ir papildomomis priemonėmis.
• Kitas JAV apdorojimas: Analitikos duomenys ir duomenys, apdorojami mūsų JAV debesų infrastruktūroje turinio moderavimui ir AI inferencijai, vis dar gali būti perduodami į Jungtines Amerikos Valstijas pagal toliau nurodytus perdavimo mechanizmus.

Asmens duomenų perdavimui iš EEE, JK ar Šveicarijos į šalis, nepripažįstamas kaip užtikrinančias tinkamą duomenų apsaugos lygį, mes remiamės:

1. Standartinėmis sutarčių sąlygomis (SSS): Mes įtraukiame Europos Komisijos Standartines sutarčių sąlygas į šį DTP pagal nuorodą: Pirmas modulis (Valdytojas su valdytoju) analizės duomenims, kai mes veikiame kaip bendras valdytojas (žr. 2.3 skirsnį), ir Antras modulis (Valdytojas su tvarkytoju) visiems kitiems asmens duomenims, tvarkymiems jūsų vardu. SSS yra prieinamos adresu https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. JK tarptautinio duomenų perdavimo priedas: Duomenų perdavimui iš JK taikomas JK ES SSS priedas.
3. Šveicarijos duomenų perdavimo mechanizmai: Duomenų perdavimui iš Šveicarijos taikomos SSS su pakeitimais, reikalaujamais Šveicarijos FDAI.

7.2 Papildomos priemonės

Mes įgyvendiname šias papildomas priemones perduodamų asmens duomenų apsaugai:

• Duomenų šifravimas perdavimo metu (TLS/SSL) ir ramybės būsenoje
• Prieigos kontrolės ir autentifikavimo mechanizmai
• Reguliarūs saugumo vertinimai
• Duomenų minimizavimo praktikos (pvz., kasdien keičiamos lankytojų maišos reikšmės vietoj neapdorotų IP adresų saugojimo)
• Jurisdikcinė duomenų rezidencija ES rezidentams – svetainių operatoriams (nuolatinė saugykla ir automatizuotas lankytojams skirtas apdorojimas apriboti ES)
• ES esanti skaičiavimo ir el. pašto infrastruktūra automatizuotoms lankytojams skirtoms operacijoms (turinio pateikimo pranešimai ir sandorių el. pašto pristatymas apdorojami Europos Sąjungoje ES gyvenantiems svetainių operatoriams)

7.3 Perdavimo poveikio vertinimas

Šios papildomos priemonės grindžiamos mūsų vertinimu paskirties šalių įstatymų ir praktikų, atsižvelgiant į perduodamų duomenų pobūdį, naudojamą perdavimo mechanizmą ir taikomas technines bei organizacines apsaugos priemones. Mes įvertinome, kad aukščiau aprašytos papildomos priemonės kartu su SSS įsipareigojimais suteikia tinkamą apsaugos lygį perduodamiems asmens duomenims. Mūsų Perdavimo poveikio vertinimas yra prieinamas adresu https://www.acira.ai/tia.

7.4 Kanados duomenų perdavimai

Asmens duomenų perdavimui iš Kanados mes remiamės šiomis apsaugos priemonėmis, siekdami užtikrinti, kad Kanadoje perduoti asmens duomenys gauna palyginamą apsaugos lygį, kaip reikalaujama pagal Asmeninės informacijos apsaugos ir elektroninių dokumentų įstatymą (PIPEDA) ir taikomus provincijų privatumo teisės aktus (įskaitant Albertos PIPA, Britanijos Kolumbijos PIPA ir Kvebeko Įstatymą dėl asmeninės informacijos apsaugos privačiame sektoriuje):

1. Sutartinė apsauga: Rašytinės duomenų tvarkymo sutartys su kiekvienu papildomu duomenų tvarkytoju, nustatančios pareigas saugoti asmens duomenis pagal Kanados privatumo teisės standartą, įskaitant reikalavimus dėl tinkamų saugumo apsaugos priemonių, naudojimo apribojimų, pranešimo apie pažeidimus ir duomenų subjektų prieigos.
2. Techninės apsaugos priemonės: Tos pačios šifravimo, pseudoanonimizavimo, prieigos kontrolės ir duomenų minimizavimo priemonės, aprašytos 7.2 skirsnyje, taikomos Kanados duomenų perdavimams.
3. Organizacinės apsaugos priemonės: Papildomų duomenų tvarkytojų kruopštumas, konfidencialumo pareigos personalui ir dokumentuotos incidentų valdymo procedūros, aprašytos šiame DTP.

Mes stebime pokyčius Kanados privatumo teisėje, įskaitant siūlomą Vartotojų privatumo apsaugos įstatymą (CPPA), ir atnaujinsime mūsų perdavimo mechanizmus pagal reikalavimus.

8. DUOMENŲ SUBJEKTŲ TEISĖS

8.1 Pagalba tvarkant prašymus

Mes padėsime jums atsakyti į Duomenų subjektų prašymus, siekiant pasinaudoti teisėmis pagal Taikomus duomenų apsaugos teisės aktus, įskaitant teises į prieigą, ištaisymą, ištrynimą, apribojimą, perkeliamumą ir prieštaravimą.

8.2 Pranešimas

Jei tiesiogiai gausime Duomenų subjekto prašymą dėl jūsų vardu tvarkomų asmens duomenų, nedelsdami jus informuosime ir neatsakysime į prašymą be jūsų nurodymų, nebent to reikalauja taikomi teisės aktai.

8.3 Platformos įrankiai

Mes teikiame įrankius Paslaugų sistemoje, padedančius jums vykdyti Duomenų subjektų prašymus, įskaitant:

• Prieigą prie jūsų svetainės duomenų bazėse saugomų duomenų ir jų valdymą
• Atskirų įrašų ištrynimą iš jūsų svetainės duomenų bazių
• Paprašius, galime pateikti duomenų eksportą ZIP formatu, padedantį vykdyti duomenų perkeliamumo pareigas

9. DUOMENŲ SAUGUMAS

9.1 Saugumo priemonės

Mes įgyvendiname ir palaikome tinkamas technines ir organizacines priemones asmens duomenų apsaugai nuo neteisėto ar neteisingo tvarkymo bei nuo atsitiktinio praradimo, sunaikinimo ar sugadinimo. Šios priemonės apima:

• Šifravimas: Duomenys šifruojami perdavimo metu per TLS/SSL ir ramybės būsenoje naudojant pramonės standartinį šifravimą
• Prieigos kontrolė: Vaidmenimis pagrįsta prieigos kontrolė, daugiafaktorinis autentifikavimas platformos administravimui, minimalių privilegijų prieigos politikos
• Infrastruktūros saugumas: Valdoma debesų infrastruktūra su automatizuotu saugumo atnaujinimu, DDoS apsauga ir Žiniatinklio programų užkarda (WAF)
• Duomenų izoliavimas: Svetainėms skirtas duomenų izoliavimas per dedikuotus saugyklos egzempliorius
• Stebėjimas: Automatizuotas saugumo stebėjimas, įsibrovimų aptikimas ir struktūrizuotas registravimas
• Kredencialų saugumas: Visi API raktai ir paslaptys saugomi specialiose paslapčių valdymo tarnybose; vartotojų slaptažodžiai maišomi naudojant stiprius kriptografinius algoritmus su kiekvienam vartotojui skirtomis atsitiktinėmis priedais
• Apsauga nuo robotų: Darbo įrodymo iššūkių sistemos automatizuotam piktnaudžiavimui išvengti

9.2 Konfidencialumas

Mes užtikriname, kad visi asmenys, įgalioti tvarkyti asmens duomenis, yra saistomi konfidencialumo įsipareigojimų.

10. PRANEŠIMAS APIE DUOMENŲ SAUGUMO PAŽEIDIMĄ

10.1 Pranešimas Duomenų valdytojui

Mes pranešime jums be nepagrįsto delsimo po to, kai patvirtinsime asmens duomenų pažeidimą, paveikusį jūsų vardu tvarkomus asmens duomenis. Pranešimas bus išsiųstas su jūsų paskyra susietais kontaktiniais duomenimis.

10.2 Pranešimo turinys

Mūsų pranešimas apie pažeidimą apims, kiek įmanoma:

1. Pažeidimo pobūdžio aprašymą, įskaitant paveiktų Duomenų subjektų ir įrašų kategorijas ir apytikslį skaičių;
2. Mūsų duomenų apsaugos kontaktinio asmens vardą ir kontaktinius duomenis;
3. Tikėtinų pažeidimo pasekmių aprašymą;
4. Priemonių, kurių imtasi ar planuojama imtis pažeidimui šalinti ir jo poveikiui mažinti, aprašymą.

10.3 Jūsų pareigos

Jūs atsakote už pranešimą atitinkamai priežiūros institucijai ir paveiktiems Duomenų subjektams apie asmens duomenų pažeidimą, kaip reikalaujama pagal Taikomus duomenų apsaugos teisės aktus. Mes bendradarbiausime su jumis ir teiksimsime pagrįstą pagalbą, padedančią jums vykdyti savo pranešimo apie pažeidimus pareigas.

11. AUDITAI IR ATITIKTIES TIKRINIMAS

11.1 Atitikties dokumentacija

Siekdami įrodyti savo atitiktį šiam DPA, pagrįstu rašytiniu prašymu (iki kartą per metus) pateiksime jums šią informaciją:

1. Atitinkamas trečiųjų šalių audito ataskaitas, sertifikatus ar saugumo vertinimų santraukas;
2. Dabartinių techninių ir organizacinių saugumo priemonių santrauką;
3. Informaciją apie mūsų duomenų tvarkymo veiklą, duomenų tvarkytojus ir duomenų apsaugos praktiką.

Kai pasikliaujame trečiųjų šalių infrastruktūros teikėjais (tokiais kaip AWS ir Cloudflare), jų saugumo sertifikatai ir atitikties dokumentacija yra prieinami per atitinkamas pasitikėjimo ir atitikties programas.

11.2 Papildomi užklausimai

Jei pagal 11.1 skyrių pateikta dokumentacija pagrįstai neišsprendžia jūsų atitikties klausimų, galite pateikti konkrečius rašytinius klausimus dėl mūsų duomenų apsaugos praktikos, į kuriuos atsakysime per pagrįstą laikotarpį.

12. DUOMENŲ SAUGOJIMAS IR IŠTRYNIMAS

12.1 Sutarties galiojimo laikotarpiu

Jūsų vardu tvarkomus asmens duomenis saugosime Sutarties galiojimo laikotarpiu ir pagal jūsų nurodymus per Paslaugas. Konkretūs lankytojų duomenų saugojimo laikotarpiai apima:

• Pokalbių roboto pokalbiai jūsų svetainėje: Saugomi trisdešimt (30) dienų nuo paskutinės sąveikos kiekviename pokalbyje. Pokalbiai saugomi lankytojų sesijose svetainės krašto infrastruktūroje ir automatiškai ištrinami pasibaigus sesijai dėl neaktyvumo.
• Formų pateikimai ir vartotojų sukurtas turinys jūsų svetainėje: Saugomi susijusios svetainės galiojimo laikotarpiu, nebent jūs juos anksčiau ištrinsite per platformos įrankius.
• Sesijos duomenys jūsų svetainės lankytojams: Automatiškai ištrinami po 30 neaktyvumo dienų.
• Ištryntas lankytojų turinys (formų pateikimai, komentarai ir kitas vartotojų sukurtas turinys jūsų svetainėje): Kai per platformos įrankius ištrinsite lankytojų turinį, jis perkeliamas į švelnaus ištrynimo būseną ir saugomas iki trisdešimt (30) dienų, kad būtų galima atkurti. Po šio laikotarpio švelniai ištryntas turinys yra visam laikui pašalinamas. Turinį galite nedelsiant visam laikui ištrinti jį išvalydami iš atkūrimo eilės.
• El. pašto atsisakymo įrašai jūsų svetainėje: Saugomi susijusios svetainės galiojimo laikotarpiu, nebent gavėjas vėl užsiprenumeruoja. Atsisakymo įrašai ištrinami, kai svetainė sunaikinama.
• Analizės duomenys: Saugomi susijusios svetainės galiojimo laikotarpiu (atsižvelgiant į planu pagrįstus saugojimo apribojimus; nemokamo plano analizės duomenys saugomi devyniasdešimt (90) dienų).

12.2 Nutraukus Sutartį

Nutraukus Sutartį arba jūsų prašymu, ištrinsime jūsų vardu tvarkomus asmens duomenis pagal Sutartyje aprašytą duomenų saugojimo praktiką (įskaitant septynių (7) dienų lengvatos laikotarpį paskyrų ir svetainių ištrynimui). Po lengvatos laikotarpio ištrynimas yra galutinis ir negrįžtamas.

12.3 Išimtys

Mes galime saugoti asmens duomenis tiek, kiek reikalaujama pagal taikomus teisės aktus, arba kai duomenys buvo anonimizuoti ir nebegali būti susieti su Duomenų subjektu.

13. TRUKMĖ IR NUTRAUKIMAS

Šis DTP įsigalioja nuo tos dienos, kai jūs priimate Sutartį, ir galioja tiek, kiek mes tvarkome asmens duomenis jūsų vardu. Šiame DTP nustatytos konfidencialumo ir duomenų apsaugos pareigos išlieka galioti ir po Sutarties nutraukimo.

14. ATSAKOMYBĖS RIBOJIMAS

Kiekvienos šalies atsakomybė pagal šį DTP yra ribojama Sutartyje nustatytais atsakomybės apribojimais.

15. SUSISIEKITE SU MUMIS

Dėl klausimų apie šį DTP arba siekdami pasinaudoti savo teisėmis, susisiekite su mumis:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefonas: 888-389-1189
El. paštas: legal@acira.ai