DATU APSTRĀDES PAPILDINĀJUMS

Pēdējo reizi atjaunināts: 2026. gada 19. marts

Šis Datu apstrādes papildinājums ("DPA") ir daļa no Noteikumiem un nosacījumiem ("Līgums") starp Acira AI LLC ("Apstrādātājs", "mēs", "mums") un Pakalpojumu lietotāju ("Pārzinis", "jūs") un papildina Līgumu attiecībā uz personas datu apstrādi.

Šis DPA ir piemērojams, kad jūs izmantojat Pakalpojumus, lai izveidotu, mitinātu un publicētu tīmekļa vietnes, kas apkopo vai apstrādā personu personas datus, kuras atrodas Eiropas Ekonomikas zonā ("EEZ"), Apvienotajā Karalistē ("AK") vai Šveicē, vai gadījumos, kad to prasa piemērojamie datu aizsardzības tiesību akti.

Šis Datu apstrādes papildinājums var tikt tulkots citās valodās jūsu ērtībai. Ja rodas pretrunas vai neatbilstības starp angļu valodas versiju un jebkuru tulkoto versiju, noteicošā ir angļu valodas versija.

SATURA RĀDĪTĀJS

1. DEFINĪCIJAS
2. DARBĪBAS JOMA UN LOMAS
3. DATU APSTRĀDES INFORMĀCIJA
4. APSTRĀDĀTĀJA PIENĀKUMI
5. PĀRZIŅA PIENĀKUMI
6. APAKŠAPSTRĀDĀTĀJI
7. STARPTAUTISKIE DATU NOSŪTĪJUMI
8. DATU SUBJEKTU TIESĪBAS
9. DATU DROŠĪBA
10. PAZIŅOŠANA PAR DATU PĀRKĀPUMIEM
11. REVĪZIJAS UN ATBILSTĪBAS PĀRBAUDE
12. DATU GLABĀŠANA UN DZĒŠANA
13. TERMIŅŠ UN IZBEIGŠANA
14. ATBILDĪBAS IEROBEŽOJUMS
15. SAZINIETIES AR MUMSNFORMĀCIJA

1. DEFINĪCIJAS

"Piemērojamie datu aizsardzības tiesību akti" nozīmē visus tiesību aktus un noteikumus, kas piemērojami personas datu apstrādei saskaņā ar šo DPA, tostarp (attiecīgā gadījumā) Vispārīgo datu aizsardzības regulu (ES) 2016/679 ("GDPR"), AK GDPR, Šveices Federālo datu aizsardzības likumu ("FADP") un Kalifornijas Patērētāju privātuma likumu ("CCPA").

"Pārzinis" nozīmē fizisko vai juridisko personu, kas nosaka personas datu apstrādes nolūkus un līdzekļus — šajā kontekstā jūs, Pakalpojumu lietotājs, kurš ekspluatē tīmekļa vietni caur platformu.

"Datu subjekts" nozīmē identificētu vai identificējamu fizisku personu, kuras personas dati tiek apstrādāti.

"Personas dati" nozīmē jebkuru informāciju, kas attiecas uz Datu subjektu un tiek apstrādāta caur Pakalpojumiem.

"Apstrāde" nozīmē jebkuru ar personas datiem veiktu darbību, tostarp vākšanu, reģistrēšanu, organizēšanu, strukturēšanu, uzglabāšanu, pielāgošanu, izgūšanu, konsultēšanu, izmantošanu, izpaušanu, izplatīšanu, ierobežošanu, dzēšanu vai iznīcināšanu.

"Apstrādātājs" nozīmē fizisko vai juridisko personu, kas apstrādā personas datus Pārziņa vārdā — šajā kontekstā, Acira AI LLC.

"Apakšapstrādātājs" nozīmē jebkuru trešo pusi, ko Apstrādātājs piesaistījis, lai apstrādātu personas datus Pārziņa vārdā.

"Standarta līguma klauzulas" jeb "SCC" nozīmē standarta līguma klauzulas personas datu nodošanai apstrādātājiem, kas reģistrēti trešajās valstīs, kā pieņēmusi Eiropas Komisija.

2. DARBĪBAS JOMA UN LOMAS

2.1 Apstrādes attiecības

Kad jūs izmantojat Pakalpojumus, lai izveidotu un ekspluatētu tīmekļa vietni, kas apkopo personas datus no jūsu vietnes apmeklētājiem (caur veidlapām, lietotāju kontiem, tērzēšanas robotu mijiedarbībām, komentāriem, atsauksmēm vai citām interaktīvām funkcijām), jūs rīkojaties kā Pārzinis, bet mēs rīkojamies kā minēto apmeklētāju personas datu Apstrādātājs.

2.2 Mūsu loma kā Pārzinim

Mēs darbojamies kā neatkarīgs Pārzinis attiecībā uz personas datiem, ko vācam saviem mērķiem, tostarp: jūsu konta informācija, norēķinu dati, lietošanas analītika, vispārīgas tīmekļa vietnes īpašības, kas iegūtas no jūsu tīmekļa vietnes satura (piemēram, nozare vai uzņēmējdarbības veids), un platformas darbības dati. Šo datu apstrādi regulē mūsu Privātuma politika, un tā ir ārpus šī DPA darbības jomas.

2.3 Platformas analītika

Mēs apkopojam pamata, privātumam draudzīgu analīzi par tīmekļa vietnes apmeklētājiem (kā aprakstīts Līgumā). Attiecībā uz analītikas datiem mēs rīkojamies kā kopīgi pārziņi kopā ar jums. Mēs esam izstrādājuši mūsu analītiku tā, lai minimizētu personas datu vākšanu — mēs neglabājam neapstrādātas IP adreses, un apmeklētāju identifikatori mainās katru dienu. Katra kopīgā pārziņa attiecīgās atbildības ir šādas:

• Acira AI (Apstrādātājs/Kopīgais pārzinis): Nosaka analītikas vākšanas tehniskos līdzekļus, tostarp to, kādi datu punkti tiek apkopoti, kā tiek aprēķināti apmeklētāju identifikatori (katru dienu mainīgas jaucējfunkcijas), un kā dati tiek apkopoti. Mēs atbildam par analītikas infrastruktūras drošību un integritāti un par atbildēšanu uz vispārīgiem jautājumiem par to, kā analītika darbojas platformā.
• Jūs (Pārzinis/Kopīgais pārzinis): Nosakiet, vai izmantot analītiku savā tīmekļa vietnē (analītika pēc noklusējuma ir iespējota kā daļa no Pakalpojumiem). Jūs atbildat par analītikas datu vākšanas atklāšanu savas tīmekļa vietnes privātuma politikā un par atbildēšanu uz Datu subjektu pieprasījumiem no jūsu tīmekļa vietnes apmeklētājiem attiecībā uz viņu analītikas datiem.
• Kontaktpunkts Datu subjektiem: Datu subjekti var sazināties ar jums (tīmekļa vietnes īpašnieku) attiecībā uz analītikas datiem, kas apkopoti jūsu tīmekļa vietnē. Ja mēs saņemam pieprasījumu no Datu subjekta attiecībā uz analītikas datiem, mēs virzīsim tos pie jums, ja vien jūs neinstruēsiet mūs citādi. Attiecībā uz vispārīgiem platformas jautājumiem Datu subjekti var sazināties ar mums pa e-pastu legal@acira.ai.

2.4 Kopīgā pārziņa regulējuma būtība

Saskaņā ar GDPR 26. panta 2. punktu, šī kopīgā pārziņa regulējuma analītikas datiem būtība ir šāda: Mēs (Acira AI) nosakām tehniskos līdzekļus un apkopojamos datu punktus; jūs (tīmekļa vietnes operators) nosakiet, vai jūsu tīmekļa vietnē tiek izmantota analītika. Mēs katrs atbildam par saviem attiecīgajiem pienākumiem saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem. Jūs esat galvenais kontaktpunkts jūsu tīmekļa vietnes apmeklētājiem attiecībā uz analītikas datiem. Šī regulējuma kopsavilkums ir darīts pieejams Datu subjektiem caur šo DPA un vietnē https://www.acira.ai/dpa.

2.5 CCPA pakalpojumu sniedzēja apzīmējums

Ciktāl mēs apstrādājam personisko informāciju, uz ko attiecas Kalifornijas Patērētāju privātuma likums ("CCPA") jūsu vārdā, mēs esam jūsu "pakalpojumu sniedzējs", kā definēts Cal. Civ. Code § 1798.140(ag). Mēs nedrīkstam:

• Pārdot vai koplietot (kā šie termini ir definēti CCPA ietvaros) jebkuru personisko informāciju, ko jūs mums sniedzat;
• Saglabāt, izmantot vai izpaust personisko informāciju jebkādam nolūkam, kas nav uzņēmējdarbības nolūki, kas norādīti šajā DPA un Līgumā, vai kā citādi atļauts CCPA;
• Saglabāt, izmantot vai izpaust personisko informāciju ārpus tiešajām uzņēmējdarbības attiecībām starp jums un mums;
• Apvienot personisko informāciju, kas saņemta no jums, ar personisko informāciju, ko mēs saņemam no vai citas personas vārdā, vai ko mēs apkopojam no savām mijiedarbībām ar patērētājiem, izņemot gadījumus, kad CCPA to atļauj.

Mēs varam iegūt vispārīgas, neidentificējošas uzņēmējdarbības īpašības (piemēram, nozares klasifikāciju) no jūsu tīmekļa vietnes satura, lai sniegtu atbilstošus produktu ieteikumus, kā aprakstīts 2.2. sadaļā. Šī ierobežotā izmantošana nav uzskatāma par personas informācijas pārdošanu, kopīgošanu vai apvienošanu CCPA izpratnē.

Mēs apliecinām, ka saprotam šos ierobežojumus un tos ievērosim.

2.6 Šveices FADP pārstāvja novērtējums

Šveices Federālā datu aizsardzības likuma ("FADP") 14. pants prasa, lai ne-Šveices privātais pārzinis ieceltu pārstāvi Šveicē tikai tad, kad ir izpildīti visi četri šādi kumulatīvie nosacījumi: (1) apstrāde ir saistīta ar preču vai pakalpojumu piedāvāšanu personām Šveicē vai to uzvedības uzraudzību; (2) apstrāde ir liela mēroga; (3) apstrāde notiek regulāri; un (4) apstrāde rada augstu risku datu subjektu personības tiesībām vai pamattiesībām.

Mēs esam novērtējuši mūsu apstrādes darbības attiecībā pret šiem nosacījumiem un esam noteikuši, ka, lai gan nosacījumi (1) un (3) ir izpildīti, pārējie nosacījumi nav izpildīti šādu iemeslu dēļ:

• Nav liela mēroga: Mēs esam neliela SaaS platforma. Šveices iedzīvotāju personas datu apjoms, kas apstrādāts caur mūsu Pakalpojumiem, ir ierobežots un nav uzskatāms par liela mēroga apstrādi FADP 14. panta nozīmē.
• Nav augsta riska: Personas dati, ko mēs apstrādājam tīmekļa vietnes operatoru vārdā, galvenokārt sastāv no pseidonimizētiem analītikas identifikatoriem (katru dienu mainīgas jaucējfunkcijas), pamata apmeklētāju metadatiem (valsts, ierīces veids, pārlūkprogramma), veidlapu iesniegumu saturu un tērzēšanas robotu ziņojumiem. Mēs neapstrādājam īpašas personas datu kategorijas (FADP 5. panta c) punkts), kā arī neveicam profilēšanu ar augstu risku datu subjektiem. Šveices Federālais datu aizsardzības un informācijas komisārs ("FDPIC") ir norādījis, ka šis pienākums galvenokārt ir paredzēts lielām interneta platformām un sociālajiem tīkliem, kas darbojas no ārvalstīm, kas neatbilst mūsu Pakalpojumu raksturojumam.

Pamatojoties uz šo novērtējumu, mēs esam secinājuši, ka pašlaik neesam obligāti jāieceļ pārstāvis Šveicē saskaņā ar FADP 14. pantu. Mēs periodiski pārskatīsim šo secinājumu, tostarp gadījumos, kad būtiski mainās mūsu apstrādes darbību apjoms vai raksturs, kas ietekmē Šveices iedzīvotājus.

3. DATU APSTRĀDES INFORMĀCIJA

3.1 Priekšmets un ilgums

Personas datu apstrāde saskaņā ar šo DPA tiek veikta nolūkā sniegt Pakalpojumus, kā aprakstīts Līgumā, un turpinās Līguma darbības laikā.

3.2 Apstrādes raksturs un nolūks

Mēs apstrādājam personas datus, lai:

• Mitinātu un apkalpotu jūsu tīmekļa vietnes saturu
• Uzglabātu un pārvaldītu datus, kas iesniegti caur jūsu tīmekļa vietnes veidlapām un interaktīvajām funkcijām
• Uzturētu lietotāju kontus un sesijas jūsu tīmekļa vietnes aizsargātajām zonām
• Nosūtītu e-pasta saziņu jūsu vārdā
• Pārsūtītu e-pastus, kas saņemti jūsu pielāgotās domēna e-pasta adresēs
• Nodrošinātu MI tērzēšanas robotu sarunas ar jūsu tīmekļa vietnes apmeklētājiem
• Ģenerētu MI nodrošinātus aprakstus un metadatus augšupielādētajiem failiem
• Konvertētu augšupielādētos failus tīmeklim optimizētos formātos
• Nodrošinātu apmeklētāju analītiku
• Vispārīgu tīmekļa vietnes īpašību (piemēram, nozare vai uzņēmējdarbības veids) iegūšana atbilstošu platformas ieteikumu sniegšanai
• Atklātu un novērstu surogātpastu un ļaunprātīgu izmantošanu (tostarp pierādījumu par darbu botu pārbaudēs)
• Veiktu satura moderāciju augšupielādētajiem failiem
• Pārskatītu tīmekļa vietnes saturu publicēšanas laikā atbilstīgai platformas satura politikai
• Pārvaldīt e-pasta atteikšanās preferences jūsu vietnes e-pasta saņēmējiem
• Nodrošinātu reāllaika kanālu saziņu jūsu tīmekļa vietnē caur WebSocket savienojumiem (ziņojumi ir īslaicīgi un netiek saglabāti)
• Uzturētu kļūdu un diagnostikas žurnālus platformas uzticamībai un problēmu novēršanai (var ietvert IP adreses un pieprasījumu metadatus; glabāti līdz trīsdesmit (30) dienām)

3.3 Personas datu veidi

Apstrādāto personas datu veidi ir atkarīgi no tā, ko jūs apkopojat caur savu tīmekļa vietni, un var ietvert:

• Vārdus un kontaktinformāciju
• E-pasta adreses
• Ziņojumus un veidlapu iesniegšanu
• Tīmekļa vietnes apmeklētāju augšupielādētos failus (piemēram, attēlus un dokumentus)
• Tērzēšanas robotu sarunu saturu (apmeklētāju ziņojumus un MI atbildes)
• Lietotāju konta akreditācijas datus (glabāti jauktas vērtības formā)
• Sesijas datus
• IP adreses (netiek glabātas analītikā — tiek glabāta tikai katru dienu mainīga jaucējfunkcija; glabātas kā metadati kopā ar veidlapu iesniegumiem un tērzēšanas robotu sarunām; īslaicīgi izmantotas un jauktas botu pārbaudes verificēšanai; īslaicīgi glabātas ātruma ierobežošanai līdz septiņām (7) dienām un automātiski dzēstas)
• Pārlūkprogrammas un ierīces informāciju
• Atrašanās vietas datus (valsts un reģiona līmenis, iegūts no IP)
• E-pasta atteikšanās ieraksti (saglabāti kā saņēmēju e-pasta adrešu kriptogrāfiskie jaucējkodi; netiek glabāti neapstrādātā formā)
• Surogātpasta klasifikācijas rezultātus (vai iesniegums tika noteikts kā surogātpasts)
• Kļūdu un diagnostikas žurnālu datus (IP adreses, pieprasījumu ceļi un kļūdu detaļas; glabāti līdz trīsdesmit (30) dienām un automātiski dzēsti)

3.4 Datu subjektu kategorijas

• Jūsu tīmekļa vietnes apmeklētāji
• Lietotāji, kas izveido kontus jūsu tīmekļa vietnē
• Lietotāji, kas iesniedz veidlapas vai mijiedarbojas ar tērzēšanas robotiem jūsu tīmekļa vietnē
• Lietotāji, kas iesniedz komentārus, atsauksmes vai citus ieguldījumus jūsu tīmekļa vietnē

4. APSTRĀDĀTĀJA PIENĀKUMI

Mēs:

1. Apstrādāsim personas datus tikai saskaņā ar jūsu dokumentētajām instrukcijām, ja vien piemērojamais tiesību akts to nepieprasa (šādā gadījumā mēs informēsim jūs par šo juridisko prasību pirms apstrādes, ja vien to neaizliedz tiesību akts);
2. Nodrošināsim, ka personas, kas pilnvarotas apstrādāt personas datus, ir uzņēmušās konfidencialitātes saistības vai atrodas atbilstošā likumiskā konfidencialitātes saistību ietvaros;
3. Ieviesīsim atbilstošus tehniskos un organizatoriskos drošības pasākumus, kā aprakstīts 9. sadaļā;
4. Ievērosim apakšapstrādātāju piesaistīšanas nosacījumus, kas izklāstīti 6. sadaļā;
5. Ņemot vērā apstrādes raksturu, palīdzēsim jums atbildēt uz Datu subjektu pieprasījumiem, kas izmanto savas tiesības saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem;
6. Palīdzēsim jums nodrošināt atbilstību jūsu pienākumiem saskaņā ar GDPR 32.–36. pantu (drošība, paziņošana par pārkāpumiem, datu aizsardzības ietekmes novērtējumi un iepriekšēja apspriešanās), ņemot vērā apstrādes raksturu un mums pieejamo informāciju. Ja jūsu Pakalpojumu izmantošana ietver augsta riska apstrādi, kas var prasīt Datu aizsardzības ietekmes novērtējumu (DPIA), mēs sniegsim jums informāciju par mūsu apstrādes darbībām, tehniskajiem un organizatoriskajiem pasākumiem un apakšapstrādātājiem, lai atbalstītu jūsu novērtējumu;
7. Palīdzēsim jums izpildīt jūsu pienākumus saskaņā ar GDPR 22. pantu (automatizēta individuāla lēmumu pieņemšana), sniedzot informāciju par jebkuru automatizētu apstrādi, kas veikta jūsu vārdā, tostarp satura moderāciju, surogātpasta atklāšanu un botu aizsardzību, un atvieglojot cilvēka pārskatu par automatizētajiem lēmumiem pēc pieprasījuma;
8. Informēsim jūs, ja mūsuprāt kāda jūsu instrukcija pārkāpj Piemērojamos datu aizsardzības tiesību aktus;
9. Pēc jūsu izvēles dzēsīsim vai atgriezīsim visus personas datus pēc Pakalpojumu sniegšanas beigām, un dzēsīsim esošās kopijas, ja vien uzglabāšanu neprasa piemērojamais tiesību akts;
10. Darīsim jums pieejamu visu informāciju, kas nepieciešama, lai apliecinātu atbilstību šajā DPA noteiktajiem pienākumiem, un palīdzēsim atbilstības pārbaudē, kā aprakstīts 11. sadaļā.

5. PĀRZIŅA PIENĀKUMI

Jūs:

1. Nodrošināsiet, ka jūsu personas datu vākšana un apstrāde caur jūsu tīmekļa vietni atbilst visiem Piemērojamajiem datu aizsardzības tiesību aktiem;
2. Sniegsiet atbilstošus privātuma paziņojumus jūsu tīmekļa vietnes apmeklētājiem, aprakstot jūsu datu vākšanas praksi, tostarp atklājot platformas līmeņa analītiku, MI nodrošinātas tērzēšanas robotu mijiedarbības, surogātpasta atklāšanu un botu aizsardzību;
3. Iegūsiet visas nepieciešamās piekrišanas vai noteiksite citu likumīgu pamatu personas datu apstrādei caur jūsu tīmekļa vietni;
4. Nodrošināsiet, ka jūsu instrukcijas mums attiecībā uz personas datu apstrādi atbilst Piemērojamajiem datu aizsardzības tiesību aktiem;
5. Atbildēsiet par mums caur jūsu tīmekļa vietni sniegto personas datu precizitāti, kvalitāti un likumību.

Izmantojot Pakalpojumus, jūs instruējat mūs veikt šādas apstrādes darbības jūsu vārdā kā daļu no standarta platformas darbībām: augšupielādēto failu satura moderācija, publicētā tīmekļa vietnes satura satura politikas pārskats, veidlapu iesniegumu surogātpasta atklāšana, botu aizsardzība caur pierādījumu par darbu pārbaudēm, un MI nodrošinātas tērzēšanas robotu mijiedarbības ar jūsu tīmekļa vietnes apmeklētājiem. Šīs darbības ir dokumentētas instrukcijas saskaņā ar GDPR 28. panta 3. punkta a) apakšpunktu.

6. APAKŠAPSTRĀDĀTĀJI

6.1 Pilnvarotie apakšapstrādātāji

Jūs sniedzat vispārēju atļauju mums piesaistīt apakšapstrādātājus, lai palīdzētu sniegt Pakalpojumus. Mūsu pašreizējie apakšapstrādātāji ir uzskaitīti zemāk un vietnē https://www.acira.ai/dpa.

6.2 Pašreizējo apakšapstrādātāju saraksts

6.3 Izmaiņas apakšapstrādātājos

Mēs informēsim jūs par jebkādām plānotajām izmaiņām apakšapstrādātāju sarakstā attiecībā uz Pakalpojumiem, kurus jūs pašlaik izmantojat, atjauninot apakšapstrādātāju sarakstu https://www.acira.ai/dpa vismaz četrpadsmit (14) dienas pirms jaunais apakšapstrādātājs sāk apstrādāt personas datus. Ieviešot jaunas funkcijas vai pakalpojumus, kas ietver papildu apakšapstrādātājus, šie apakšapstrādātāji tiks atklāti brīdī, kad funkcija vai pakalpojums kļūs pieejams; jaunu funkciju vai pakalpojumu izmantošana nozīmē atklāto apakšapstrādātāju pieņemšanu. Jūsu pienākums ir periodiski pārskatīt apakšapstrādātāju sarakstu attiecībā uz izmaiņām. Ja jums ir pamatoti iebildumi pret jaunu apakšapstrādātāju, kas apstrādā datus esošajiem Pakalpojumiem, jūs varat rakstiski paziņot mums četrpadsmit (14) dienu laikā pēc izmaiņu publicēšanas. Mēs labticīgi sadarbosimies ar jums, lai risinātu jūsų bažas. Ja mēs nevaram atrisināt iebildumus jūsu saprātīgā apmierināšanā, jūs varat izbeigt Līgumu, iesniedzot rakstisku paziņojumu.

6.4 Apakšapstrādātāju pienākumi

Mēs noslēgsim rakstiskus līgumus ar katru apakšapstrādātāju, kas paredz datu aizsardzības pienākumus ne mazāk aizsargājošus kā šajā DPA noteiktie. Mēs paliekam atbildīgi par mūsu apakšapstrādātāju darbībām un bezdarbību tādā pašā mērā, kā mēs būtu atbildīgi, ja pakalpojumus sniegtu tieši.

7. STARPTAUTISKIE DATU NOSŪTĪJUMI

7.1 Nosūtīšanas mehānismi

Pakalpojumi galvenokārt tiek mitināti Amerikas Savienotajās Valstīs. Personas dati, kas apstrādāti caur Pakalpojumiem, var tikt nosūtīti uz Amerikas Savienotajām Valstīm un citām valstīm, kur darbojas mūsu apakšapstrādātāji, un tur apstrādāti. MI secinājumu sniedzēji (Fireworks AI un xAI) apstrādā datus Amerikas Savienotajās Valstīs. BrightData var apstrādāt datus Izraēlā un citās vietās globāli. Cloudflare apstrādā datus malas atrašanās vietās visā pasaulē.

ES datu rezidence: Vietņu operatoriem, kas identificēti kā ES rezidenti, mēs piemērojam šādus datu rezidences pasākumus, lai samazinātu apmeklētāju personas datu pārsūtīšanu ārpus Eiropas Savienības:

• Glabātuve: Apmeklētāju dati pastāvīgajā edge glabātuvē – ieskaitot veidlapu iesniegumus, tērzēšanas robota sarunas, sesijas datus un lietotāju tabulu datus – ir jurisdikcionāli ierobežoti Eiropas Savienībā. Šie dati tiek glabāti tikai ES datu centros.
• Automatizēta apmeklētāju apstrāde: Operācijas, kas automātiski tiek aktivizētas ar apmeklētāju darbību — tostarp satura iesniegšanas paziņojumi un darījumu e-pasta piegāde — tiek apstrādātas Eiropas Savienībā un nepārvietojas caur ASV infrastruktūru.
• Platformas pārvaldības piekļuve: Kad jūs piekļūstat savas vietnes apmeklētāju datiem, izmantojot platformas vadības paneli vai sarunu saskarni (piemēram, apskatot veidlapu iesniegumus vai pārvaldot lietotāju ierakstus), šie dati var tikt apstrādāti caur mūsu ASV infrastruktūru, lai izpildītu jūsu pieprasījumu. Šīs pārsūtīšanas notiek pēc pieprasījuma, ko iniciējat jūs (Pārzinis), un tās ir aizsargātas ar turpmāk aprakstītajiem pārsūtīšanas mehānismiem un papildpasākumiem.
• Cita ASV apstrāde: Analītikas dati un dati, ko apstrādā mūsu ASV mākoņinfrastruktūra satura moderēšanai un AI inference, joprojām var tikt pārsūtīti uz Amerikas Savienotajām Valstīm saskaņā ar turpmāk norādītajiem pārsūtīšanas mehānismiem.

Par personas datu nosūtīšanu no EEZ, AK vai Šveices uz valstīm, kas nav atzītas kā nodrošinošas pietiekamu datu aizsardzības līmeni, mēs paļaujamies uz:

1. Standarta līguma klauzulām (SCC): Mēs ar atsauci iekļaujam Eiropas Komisijas Standarta līguma klauzulas šajā DPA: 1. modulis (Pārzinis ar Pārzini) analītikas datiem, kur mēs rīkojamies kā kopīgi pārziņi (skatīt 2.3. sadaļu), un 2. modulis (Pārzinis ar Apstrādātāju) visiem pārējiem personas datiem, kas apstrādāti jūsu vārdā. SCC ir pieejamas vietnē https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. AK Starptautiskā datu nosūtīšanas papildinājums: Nosūtīšanai no AK piemērojams AK papildinājums ES SCC.
3. Šveices datu nosūtīšanas mehānismi: Nosūtīšanai no Šveices piemērojamas SCC ar modifikācijām, ko prasa Šveices FADP.

7.2 Papildu pasākumi

Mēs ievieojam šādus papildu pasākumus, lai aizsargātu nosūtītos personas datus:

• Datu šifrēšana tranzītā (TLS/SSL) un miera stāvoklī
• Piekļuves kontroles un autentifikācijas mehānismi
• Regulāri drošības novērtējumi
• Datu minimizācijas prakse (piemēram, katru dienu mainīgas apmeklētāju jaucējfunkcijas nevis neapstrādātas IP glabāšanas vietā)
• Jurisdikcionālā datu rezidence ES rezidentiem – vietņu operatoriem (pastāvīgā glabātuve un automatizēta apmeklētāju apkalpošanas apstrāde ierobežota ES)
• ES bāzēta skaitļošanas un e-pasta infrastruktūra automatizētām apmeklētāju operācijām (satura iesniegšanas paziņojumi un darījumu e-pasta piegāde, kas tiek apstrādāti Eiropas Savienībā ES rezidentu tīmekļa vietņu operatoriem)

7.3 Nosūtīšanas ietekmes novērtējums

Šie papildu pasākumi ir balstīti uz mūsu novērtējumu par galamērķa valstu tiesību aktiem un praksi, ņemot vērā nosūtīto datu raksturu, izmantoto nosūtīšanas mehānismu un ieviestās tehniskās un organizatoriskās drošības garantijas. Mēs esam novērtējuši, ka iepriekš aprakstītie papildu pasākumi kopā ar SCC saistībām nodrošina atbilstošu aizsardzības līmeni nosūtītajiem personas datiem. Mūsu Nosūtīšanas ietekmes novērtējums ir pieejams vietnē https://www.acira.ai/tia.

7.4 Kanādas datu nosūtīšana

Personas datu nosūtīšanai no Kanādas mēs paļaujamies uz šādām garantijām, lai nodrošinātu, ka ārpus Kanādas nosūtītie personas dati saņem salīdzināmu aizsardzības līmeni, kā to prasa Likums par personiskās informācijas aizsardzību un elektroniskajiem dokumentiem (PIPEDA) un piemērojamie provinciālie privātuma tiesību akti (tostarp Albertas PIPA, Britu Kolumbijas PIPA un Kvebekas Likums par personas informācijas aizsardzību privātajā sektorā):

1. Līgumiskā aizsardzība: Rakstiski datu apstrādes līgumi ar katru apakšapstrādātāju, kas uzliek pienākumus aizsargāt personas datus saskaņā ar Kanādas privātuma tiesību aktiem atbilstošu standartu, tostarp prasības par atbilstošiem drošības aizsargpasākumiem, izmantošanas ierobežojumiem, paziņošanu par pārkāpumiem un datu subjektu piekļuvi.
2. Tehniskie aizsargpasākumi: Tie paši šifrēšanas, pseidonimizācijas, piekļuves kontroles un datu minimizācijas pasākumi, kas aprakstīti 7.2. sadaļā, attiecas uz Kanādas datu nosūtīšanu.
3. Organizatoriskie aizsargpasākumi: Apakšapstrādātāju pienācīga pārbaude, konfidencialitātes pienākumi personālam un dokumentētas incidentu reaģēšanas procedūras, kā aprakstīts šajā DPA.

Mēs uzraugām norises Kanādas privātuma tiesību aktos, tostarp ierosināto Patērētāju privātuma aizsardzības likumu (CPPA), un pēc vajadzības atjaunosim savus nosūtīšanas mehānismus.

8. DATU SUBJEKTU TIESĪBAS

8.1 Palīdzība ar pieprasījumiem

Mēs palīdzēsim jums atbildēt uz Datu subjektu pieprasījumiem, kas izmanto savas tiesības saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem, tostarp piekļuves, labošanas, dzēšanas, ierobežošanas, pārnesamības un iebilduma tiesības.

8.2 Paziņošana

Ja mēs tieši saņemam pieprasījumu no Datu subjekta attiecībā uz personas datiem, kas apstrādāti jūsu vārdā, mēs nekavējoties informēsim jūs un neatbildēsim uz pieprasījumu bez jūsu instrukcijām, ja vien to neprasa piemērojamais tiesību akts.

8.3 Platformas rīki

Mēs nodrošinām Pakalpojumu iekšējos rīkus, lai palīdzētu jums izpildīt Datu subjektu pieprasījumus, tostarp:

• Piekļuve jūsu tīmekļa vietnes datu bāzēs glabātajiem datiem un to pārvaldīšana
• Atsevišķu ierakstu dzēšana no jūsu tīmekļa vietnes datu bāzēm
• Pēc pieprasījuma mēs varam sniegt datu eksportu ZIP formātā, lai palīdzētu ar datu pārnesamības pienākumiem

9. DATU DROŠĪBA

9.1 Drošības pasākumi

Mēs ievieojam un uzturojam atbilstošus tehniskos un organizatoriskos pasākumus, lai aizsargātu personas datus no neatļautas vai nelikumīgas apstrādes un no nejaušas zaudēšanas, iznīcināšanas vai bojājumiem. Šie pasākumi ietver:

• Šifrēšana: Dati šifrēti tranzītā caur TLS/SSL un miera stāvoklī, izmantojot nozares standarta šifrēšanu
• Piekļuves kontrole: Uz lomām balstītas piekļuves kontroles, daudzfaktoru autentifikācija platformas administrēšanai, minimālo privilēģiju piekļuves politikas
• Infrastruktūras drošība: Pārvaldīta mākoņa infrastruktūra ar automatizētu drošības ielāpošanu, DDoS aizsardzību un tīmekļa lietojumprogrammu ugunsmūri (WAF)
• Datu izolācija: Katrā vietnē individuāla datu izolācija caur atvēlētām glabāšanas instancem
• Uzraudzība: Automatizēta drošības uzraudzība, ielaušanās atklāšana un strukturēta žurnalēšana
• Akreditācijas datu drošība: Visi API atslēgas un noslēpumi glabāti atvēlētos noslēpumu pārvaldības pakalpojumos; lietotāju paroles jauktas, izmantojot spēcīgus kriptogrāfiskos algoritmus ar katram lietotājam individuāliem sāļiem
• Botu aizsardzība: Pierādījumu par darbu pārbaudes sistēmas, lai novērstu automatizētu ļaunprātīgu izmantošanu

9.2 Konfidencialitāte

Mēs nodrošinām, ka visiem personāla locekļiem, kas pilnvaroti apstrādāt personas datus, ir saistoši konfidencialitātes pienākumi.

10. PAZIŅOŠANA PAR DATU PĀRKĀPUMIEM

10.1 Paziņošana Pārzinim

Mēs informēsim jūs bez nepamatotas kavēšanās pēc personas datu pārkāpuma apstiprināšanas, kas ietekmē jūsu vārdā apstrādātos personas datus. Paziņojums tiks nosūtīts uz kontaktinformāciju, kas saistīta ar jūsu kontu.

10.2 Paziņojuma saturs

Mūsu pārkāpuma paziņojums ietvers, ciktāl tas ir pieejams:

1. Pārkāpuma rakstura aprakstu, tostarp kategorijas un aptuveno skarto Datu subjektu un ierakstu skaitu;
2. Mūsu datu aizsardzības kontaktpersonas vārdu un kontaktinformāciju;
3. Pārkāpuma iespējamo seku aprakstu;
4. Pasākumu aprakstu, kas veikti vai ierosināti, lai novērstu pārkāpumu un mazinātu tā ietekmi.

10.3 Jūsu pienākumi

Jūs atbildat par paziņošanu attiecīgajai uzraudzības iestādei un skartajiem Datu subjektiem par personas datu pārkāpumu, kā to prasa Piemērojamie datu aizsardzības tiesību akti. Mēs sadarbosimies ar jums un sniegsim pamatotu palīdzību, lai palīdzētu jums izpildīt jūsu pārkāpuma paziņošanas pienākumus.

11. REVĪZIJAS UN ATBILSTĪBAS PĀRBAUDE

11.1 Atbilstības dokumentācija

Lai apliecinātu mūsu atbilstību šim DPA, pēc pamatota rakstiska pieprasījuma (līdz reizei gadā) mēs jums nodrošināsim šādu informāciju:

1. Attiecīgos trešo pušu audita ziņojumus, sertifikātus vai drošības novērtējumu kopsavilkumus;
2. Mūsu pašreizējo tehnisko un organizatorisko drošības pasākumu kopsavilkumu;
3. Informāciju par mūsu apstrādes darbībām, apakšapstrādātājiem un datu aizsardzības praksi.

Gadījumos, kad mēs paļaujamies uz trešo pušu infrastruktūras nodrošinātājiem (piemēram, AWS un Cloudflare), to drošības sertifikāti un atbilstības dokumentācija ir pieejama caur to attiecīgajām uzticamības un atbilstības programmām.

11.2 Papildu pieprasījumi

Ja saskaņā ar 11.1. sadaļu sniegtā dokumentācija pamatoti neatrisina jūsu atbilstības bažas, jūs varat iesniegt konkrētus rakstiskus jautājumus par mūsu datu aizsardzības praksi, uz kuriem mēs atbildēsim saprātīgā termiņā.

12. DATU GLABĀŠANA UN DZĒŠANA

12.1 Līguma darbības laikā

Mēs glabāsim personas datus, kas apstrādāti jūsu vārdā, Līguma darbības laikā un saskaņā ar jūsu instrukcijām caur Pakalpojumiem. Konkrēti apmeklētāju datu glabāšanas periodi ietver:

• Tērzēšanas robotu sarunas jūsu tīmekļa vietnē: Glabātas trīsdesmit (30) dienas no pēdējās mijiedarbības katrā sarunā. Sarunas tiek glabātas apmeklētāju sesijās tīmekļa vietnes malas infrastruktūrā un tiek automātiski dzēstas, kad sesija beidzas neaktivitātes dēļ.
• Veidlapu iesniegumi un lietotāja ģenerēts saturs jūsu tīmekļa vietnē: Glabāts saistītās tīmekļa vietnes darbības laikā, ja vien jūs tos nedzēšat agrāk caur platformas rīkiem.
• Sesijas dati jūsu tīmekļa vietnes apmeklētājiem: Automātiski dzēsti pēc 30 dienām neaktivitātes.
• Dzēstais apmeklētāju saturs (veidlapu iesniegumi, komentāri un cits lietotāja ģenerēts saturs jūsu tīmekļa vietnē): Kad jūs dzēšat apmeklētāju saturu caur platformas rīkiem, tas tiek pārvietots uz mīkstās dzēšanas stāvokli un glabāts līdz trīsdesmit (30) dienām, lai atbalstītu atgūšanu. Pēc šī perioda mīksti dzēstais saturs tiek neatgriezeniski noņemts. Jūs varat neatgriezeniski dzēst saturu nekavējoties, iztīrot to no atgūšanas rindas.
• E-pasta atteikšanās ieraksti jūsu vietnē: Tiek saglabāti saistītās vietnes darbības laikā, ja vien saņēmējs atkārtoti neabonē. Atteikšanās ieraksti tiek dzēsti, kad vietne tiek iznīcināta.
• Analītikas dati: Glabāti saistītās tīmekļa vietnes darbības laikā (ievērojot plānā balstītus glabāšanas ierobežojumus; bezmaksas plāna analītikas dati tiek glabāti deviņdesmit (90) dienas).

12.2 Pēc izbeigšanas

Pēc Līguma izbeigšanas vai pēc jūsu pieprasījuma mēs dzēsīsim personas datus, kas apstrādāti jūsu vārdā, saskaņā ar Līgumā aprakstīto datu glabāšanas praksi (tostarp septiņu (7) dienu labvēlības periodu konta un tīmekļa vietnes dzēšanai). Pēc labvēlības perioda dzēšana ir neatgriezeniska un galīga.

12.3 Izņēmumi

Mēs varam glabāt personas datus tādā mērā, kā to prasa piemērojamais tiesību akts, vai gadījumos, kad dati ir anonimizēti un vairs nevar tikt saistīti ar Datu subjektu.

13. TERMIŅŠ UN IZBEIGŠANA

Šis DPA stājas spēkā dienā, kad jūs pieņemat Līgumu, un paliek spēkā tik ilgi, kamēr mēs apstrādājam personas datus jūsu vārdā. Konfidencialitātes un datu aizsardzības pienākumi, kas noteikti šajā DPA, saglabājas pēc Līguma izbeigšanas.

14. ATBILDĪBAS IEROBEŽOJUMS

Katras puses atbildība saskaņā ar šo DPA ir pakļauta Līgumā noteiktajiem atbildības ierobežojumiem.

15. SAZINIETIES AR MUMSNFORMĀCIJA

Jautājumiem par šo DPA vai savu tiesību īstenošanai sazinieties ar mums:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Tālrunis: 888-389-1189
E-pasts: legal@acira.ai