Pārsūtīšanas ietekmes novērtējums
DATU PĀRSŪTĪŠANAS IETEKMES NOVĒRTĒJUMS
Pēdējo reizi atjaunināts: 2026. gada 19. marts
Šo Datu pārsūtīšanas ietekmes novērtējumu ("TIA") ir sagatavojusi Acira AI LLC ("Acira AI", "mēs") saskaņā ar Eiropas Savienības Tiesas sprieduma lietā Data Protection Commissioner pret Facebook Ireland Limited un Maximillian Schrems (lieta C-311/18, "Schrems II") prasībām un Eiropas Datu aizsardzības padomes ieteikumiem (EDPB ieteikumi 01/2020 par papildu pasākumiem).
Šis TIA novērtē aizsardzības pietiekamību personas datiem, kas tiek pārsūtīti no Eiropas Ekonomikas zonas ("EEZ"), Apvienotās Karalistes ("AK"), Šveices un Kanādas uz Amerikas Savienotajām Valstīm un citām trešām valstīm saistībā ar mūsu Pakalpojumu sniegšanu.
Šis TIA ērtības nolūkos var tikt tulkots citās valodās. Ja starp angļu valodas versiju un jebkuru tulkoto versiju ir kādas pretrunas vai nesakritības, noteicošā ir angļu valodas versija.
SATURS
- PĀRSŪTĪŠANAS PĀRSKATS
- PĀRSŪTĪTO DATU RAKSTURS
- PĀRSŪTĪŠANAS MEHĀNISMI
- GALAMĒRĶA VALSTS TIESĪBU AKTU NOVĒRTĒJUMS
- DATU PLŪSMU NOVĒRTĒJUMS PĒC PAKALPOJUMU SNIEDZĒJA
- PAPILDU PASĀKUMI
- RISKA NOVĒRTĒJUMS
- SECINĀJUMS
- PĀRSKATĪŠANAS GRAFIKS
- SAZINIETIES AR MUMS
1. PĀRSŪTĪŠANAS PĀRSKATS
1.1 Konteksts
Acira AI ir programmatūras kā pakalpojuma platforma, kas ļauj uzņēmumiem un privātpersonām izveidot, pārvaldīt un mitināt ar mākslīgo intelektu darbinātas vietnes. Kad lietotāji izveido vietnes, kurām piekļūst EEZ, AK, Šveicē vai Kanādā esošie apmeklētāji, šo apmeklētāju personas dati var tikt pārsūtīti uz Amerikas Savienotajām Valstīm un citām vietām, kur darbojas mūsu infrastruktūras nodrošinātāji.
1.2 Puses
- Datu eksportētājs: Vietnes operators (mūsu klients, kas rīkojas kā Pārzinis) un analītikas datiem — Acira AI kā kopīgais pārzinis.
- Datu importētājs: Acira AI LLC, reģistrēta Nevadas štatā, Amerikas Savienotajās Valstīs, kas rīkojas kā Apstrādātājs (un analītikas kopīgais pārzinis).
- Apakšapstrādātāji: Trešo pušu pakalpojumu sniedzēji, ko piesaistījusi Acira AI (uzskaitīti 5. sadaļā).
1.3 Pārsūtīšanas galamērķi
| Galamērķis | Nodrošinātāji | Pamats |
|---|---|---|
| Amerikas Savienotās Valstis un Eiropas Savienība (Stokholma) | AWS | SLC + Papildu pasākumi (ASV); EEZ iekšēji ES iedzīvotāju automatizētām apmeklētāju operācijām |
| Amerikas Savienotās Valstis | Stripe, Fireworks AI, xAI | SLC + Papildu pasākumi |
| Globāls (malas mezgli) | Cloudflare | SSD + papildu pasākumi |
| Izraēla | BrightData (tikai pēc lietotāja norādījuma) | SSD + papildu pasākumi |
| Eiropas Savienība | Black Forest Labs, ScreenshotOne, CloudConvert | EEZ iekšienē (nav nepieciešams pārsūtīšanas mehānisms) |
2. PĀRSŪTĪTO DATU RAKSTURS
2.1 Personas datu kategorijas
Pārsūtītie personas dati ir atkarīgi no vietnes operatora iespējotajiem funkcijām un vietnes apmeklētāju mijiedarbības. Var tikt pārsūtītas šādas kategorijas:
| Datu kategorija | Apraksts | Jutīgums | Apjoms |
|---|---|---|---|
| Analītikas identifikatori | Katru dienu mainīgs kriptogrāfiskais jaucējkods no IP + Lietotāja aģenta + datuma (pseidonimizēts) | Zems | Augsts (katra lappuses skatīšana) |
| Apmeklētāja metadati | Valsts, reģions, valoda, ierīces tips, pārlūkprogramma, OS, atsaucošā domēna, UTM parametri | Zems | Augsts (katra lappuses skatīšana) |
| IP adreses | Saglabāti kā metadati ar veidlapu iesniegumiem un tērzēšanas robota sarunām; jaukti analītikai; īslaicīgi izmantoti robotu izaicinājuma verifikācijai; īslaicīgi saglabāti ātruma ierobežošanai (līdz 7 dienām) | Vidējs | Vidējs |
| Veidlapas iesnieguma saturs | Brīvas formas teksta lauki, ko iesnieguši apmeklētāji (vārdi, e-pasta adreses, ziņojumi u.c.) | Mainīgs (atkarīgs no veidlapas) | Zems līdz vidējs |
| Tērzēšanas robota ziņojumi | Apmeklētāju ziņojumi un MI ģenerētas atbildes (maks. 2000 rakstzīmes vienā ziņojumā) | Zems līdz vidējs | Zems |
| Failu augšupielādes | Faili, ko apmeklētāji augšupielādē caur vietnes veidlapām (attēli, dokumenti) | Mainīgs | Zems |
| Sesijas identifikatori | Servera puses sesijas ID un klienta puses sesijas sīkfaili | Zems | Augsts |
| Autentifikācijas akreditācijas dati | Paroles vietnes aizsargātajām zonām (saglabātas tikai jaucējkoda formā) | Augsts (bet jaukts) | Zems |
2.2 Datu subjektu kategorijas
- Acira AI platformā mitināto vietņu apmeklētāji
- Lietotāji, kas izveido kontus platformā mitinātajās vietnēs
- Lietotāji, kas iesniedz veidlapas, mijiedarbojas ar tērzēšanas robotiem vai augšupielādē failus mitinātajās vietnēs
2.3 Nepārsūtītie dati
- Ģeogrāfiskās atrašanās vietas dati: IP-uz-atrašanās vietu uzmeklēšana tiek veikta tīkla malā, ko veic mūsu infrastruktūras nodrošinātājs. Neviena apmeklētāja IP adrese netiek nosūtīta nevienam ārējam ģeogrāfiskās atrašanās vietas pakalpojumam.
- Neapstrādātas analītikas IP adreses: Tiek saglabāts tikai katru dienu mainīgais kriptogrāfiskais jaucējkods; neapstrādātas IP adreses analītikas sistēmās netiek saglabātas.
- Paroles atklātā tekstā: Tiek saglabāti un pārsūtīti tikai kriptogrāfiskie jaucējkodi.
3. PĀRSŪTĪŠANAS MEHĀNISMI
3.1 Galvenais mehānisms: Standarta līguma klauzulas
Mēs paļaujamies uz Eiropas Komisijas Standarta līguma klauzulām (SLK), kas pieņemtas ar Komisijas Īstenošanas lēmumu (ES) 2021/914, konkrēti:
- 1. modulis (Pārzinis pārzinim): Analītikas datu pārsūtīšanai, kur Acira AI rīkojas kā kopīgais pārzinis ar vietnes operatoru (skatīt DLA 2.3. sadaļu).
- 2. modulis (Pārzinis apstrādātājam): Apmeklētāju personas datu pārsūtīšanai no vietnes operatora (Pārziņa) Acira AI (Apstrādātājam).
- 3. modulis (Apstrādātājs apakšapstrādātājam): Turpmākai pārsūtīšanai no Acira AI mūsu apakšapstrādātājiem.
3.2 AK, Šveices un Kanādas pārsūtīšana
- AK: Piemēro AK Starptautiskās datu pārsūtīšanas pielikumu ES SLK.
- Šveice: SLK tiek piemērotas ar Šveices Federālā datu aizsardzības likuma (FADP) prasītajiem grozījumiem.
- Kanāda: Pārsūtīšana balstās uz līgumisko aizsardzību ar katru apakšapstrādātāju, uzliekot pienākumus, kas atbilst Kanādas Personas informācijas aizsardzības un elektronisko dokumentu likumam (PIPEDA) un piemērojamajiem provinču privātuma tiesību aktiem, apvienojumā ar 6. sadaļā aprakstītajiem papildu tehniskajiem un organizatoriskajiem pasākumiem. Skatīt DLA 7.4. sadaļu detaļām.
3.3 Apakšapstrādātāju pārsūtīšanas mehānismi
| Apakšapstrādātājs | Pārsūtīšanas mehānisms |
|---|---|
| Amazon Web Services | SLK (AWS DLA), ISO 27001/27017/27018 sertificēts |
| Cloudflare | SLK (Cloudflare DLA), ISO 27001 sertificēts |
| Stripe | SLK (Stripe DLA), PCI DSS 1. līmenis sertificēts |
| Fireworks AI | SLK (Fireworks AI DLA), SOC 2 II tips, ISO 27001/27701/42001 sertificēts |
| xAI | SLK (xAI DLA ar ES SLK) |
| BrightData | SLK (BrightData DLA) |
4. GALAMĒRĶA VALSTS TIESĪBU AKTU NOVĒRTĒJUMS
4.1 Amerikas Savienotās Valstis
Amerikas Savienotās Valstis ir galvenais pārsūtīto datu galamērķis. Šim novērtējumam ir nozīmīgi šādi ASV tiesību akti:
4.1.1 Ārvalstu izlūkošanas uzraudzības likuma (FISA) 702. pants
FISA 702. pants pilnvaro ASV valdību piespiest elektronisko sakaru pakalpojumu sniedzējus nodrošināt piekļuvi ārpus Amerikas Savienotajām Valstīm esošo ar ASV nesaistīto personu saziņai ārvalstu izlūkošanas nolūkos.
Riska novērtējums:
- Piemērojamība: FISA 702. pants attiecas uz "elektronisko sakaru pakalpojumu sniedzējiem", kā definēts 50 U.S.C. § 1881(b)(4). Acira AI ir SaaS vietņu mitināšanas platforma, nevis tradicionāls telekomunikāciju pakalpojumu sniedzējs. Mūsu apakšapstrādātāji (AWS, Cloudflare) visticamāk ir pakļauti 702. panta direktīvām.
- Apdraudēto datu apjoms: Mūsu apstrādātie personas dati galvenokārt sastāv no vietnes apmeklētāju analītikas (pseidonimizētas), veidlapu iesniegumiem un tērzēšanas robota ziņojumiem. Maz ticams, ka šie dati būtu ārvalstu izlūkošanas intereses.
- Praktiskā iespējamība: Mēs nekad neesam saņēmuši FISA 702. panta direktīvu un uzskatām, ka praktiskā iespējamība to saņemt ir ļoti zema, ņemot vērā mūsu Pakalpojumu raksturu un mūsu apstrādātos datus.
4.1.2 Izpildrīkojums 12333
IĪ 12333 pilnvaro ASV izlūkošanas aģentūras veikt uzraudzības darbības, tostarp signālu izlūkošanas masveida vākšanu. Tas attiecas uz tranzītā esošajiem datiem un nepiespiež privātuzņēmumus sadarboties.
Riska novērtējums:
- Mazināšana: Visi tranzītā esošie dati ir šifrēti, izmantojot TLS. Šifrētu tranzītā esošu datu masveida pārtveršana nesniegtu atklāta teksta personas datus.
- Praktiskā iespējamība: Zema. Mūsu Pakalpojumos apstrādātie dati nav tāda rakstura, kas parasti tiktu mērķēts signālu izlūkošanā.
4.1.3 Izpildrīkojums 14086 un ES–ASV Datu privātuma sistēma
Izpildrīkojums 14086 (2022. gada oktobris) ieviesa papildu aizsargpasākumus signālu izlūkošanas darbībām, tostarp:
- Nepieciešamības un proporcionalitātes prasības izlūkošanas vākšanai
- Divu līmeņu tiesiskās aizsardzības mehānismu (Pilsoņu brīvību aizsardzības amatpersona + Datu aizsardzības pārskatīšanas tiesa) ES/AK/Šveices personām
- Masveida vākšanas ierobežojumus
Eiropas Komisija 2023. gada 10. jūlijā pieņēma atbilstības lēmumu attiecībā uz ES–ASV Datu privātuma sistēmu (DPS). Lai gan Acira AI šobrīd nav pašsertificēta saskaņā ar DPS, IĪ 14086 noteiktā aizsardzība plaši attiecas uz visiem datu pārsūtījumiem uz Amerikas Savienotajām Valstīm un dod labumu visiem datu subjektiem neatkarīgi no izmantotā pārsūtīšanas mehānisma.
4.1.4 CLOUD likums
CLOUD likums (Datu likumīgas izmantošanas aiz robežas skaidrojums) ļauj ASV tiesībaizsardzībai piespiest ASV bāzētus pakalpojumu sniedzējus uzrādīt datus neatkarīgi no tā, kur tie tiek glabāti, ievērojot spēkā esošu orderi vai tiesas rīkojumu.
Riska novērtējums:
- Aizsargpasākumi: CLOUD likums prasa spēkā esošu juridisko procesu (orderi, izsaukumu vai tiesas rīkojumu). Tas neļauj masveida piekļuvi bez orderiem.
- Starptautiskās pieklājības noteikumi: CLOUD likumā iekļauts starptautiskās pieklājības regulējums, kas ļauj pakalpojumu sniedzējiem apstrīdēt rīkojumus, kas ir pretrunā ārvalstu tiesību aktiem.
- Praktiskā iespējamība: Zema vietnes apmeklētāju datiem. Tiesībaizsardzības pieprasījumi, visticamāk, mērķētu uz konkrētiem kontiem, par kuriem ir aizdomas par noziedzīgu darbību, nevis apmeklētāju analītiku vai veidlapu iesniegumiem.
4.2 Izraēla (BrightData)
BrightData atrodas Izraēlā. Izraēlai ir Eiropas Komisijas atbilstības lēmums (2011/61/ES), kas nozīmē, ka pārsūtīšana uz Izraēlu tiek uzskatīta līdzīgi kā pārsūtīšana EEZ iekšienē. Tomēr BrightData arī apstrādā datus citās pasaules lokācijās. Mēs atzīmējam, ka:
- BrightData apstrāde notiek tikai pēc lietotāja norādījuma (vietnes izveides laikā satura importam) vai plānotās SERP izsekošanas laikā.
- Nekādi vietnes apmeklētāju personas dati netiek nosūtīti BrightData.
4.3 Kanāda (Pārsūtīšana no Kanādas uz Amerikas Savienotajām Valstīm)
Kanādā esošo vietnes apmeklētāju personas dati var tikt pārsūtīti uz Amerikas Savienotajām Valstīm apstrādei. Šim novērtējumam ir nozīmīgi šādi Kanādas tiesību akti:
4.3.1 Personas informācijas aizsardzības un elektronisko dokumentu likums (PIPEDA)
PIPEDA regulē personas informācijas vākšanu, izmantošanu un izpaušanu privātā sektora organizācijās komercdarbības gaitā. PIPEDA 4.1.3. princips prasa, lai organizācijas ar līgumiskiem vai citiem līdzekļiem nodrošinātu salīdzināmu aizsardzības līmeni, kad personas informācija tiek nodota trešajām pusēm apstrādei, tostarp pārsūtīšana ārpus Kanādas.
Riska novērtējums:
- Salīdzināma aizsardzība: 6. sadaļā aprakstītie papildu pasākumi (šifrēšana, pseidonimizācija, piekļuves kontrole, datu minimizēšana) nodrošina PIPEDA prasītajam līmenim salīdzināmu aizsardzības līmeni. Rakstiskas datu apstrādes vienošanās ir noslēgtas ar visiem apakšapstrādātājiem.
- Nav atbilstības prasības: Atšķirībā no VDAR, PIPEDA neatļauj pārsūtīšanu uz valstīm bez "atbilstības" atzinuma. Organizācijām ar līgumiskiem un citiem līdzekļiem ir jānodrošina salīdzināma aizsardzība, ko mēs esam ieviesuši.
4.3.2 Provinču privātuma tiesību akti
Albertas Personas informācijas aizsardzības likums (PIPA), Britu Kolumbijas Personas informācijas aizsardzības likums (PIPA) un Kvebekas Likums par personas informācijas aizsardzību privātajā sektorā uzliek papildu prasības noteiktām provincēm:
Riska novērtējums:
- Kvebekas 25. likums: Kvebekas modernizētais privātuma likums (spēkā kopš 2023. gada septembra) pirms personas informācijas nosūtīšanas ārpus Kvebekas prasa privātuma ietekmes novērtējumu, un nosūtošajai organizācijai ir jābūt pārliecinātai, ka informācija saņems atbilstošu aizsardzību. Mūsu līgumiskā aizsardzība, papildu tehniskie pasākumi un datu raksturs (galvenokārt pseidonimizēta analītika un mazo uzņēmumu vietņu mijiedarbība) pamato secinājumu par atbilstošu aizsardzību.
- Alberta un BC: Albertas un BC PIPA prasa, lai organizācijas nodrošinātu salīdzināmu pārsūtīto datu aizsardzību. Mūsu līgumiskās un tehniskās aizsargpasākumi atbilst šai prasībai.
4.3.3 ASV valdības piekļuve no Kanādas perspektīvas
Tie paši ASV valdības piekļuves riski, kas novērtēti 4.1. sadaļā, attiecas uz Kanādas datu pārsūtīšanu. Zemā valdības piekļuves iespējamība (ņemot vērā datu raksturu un mūsu uzņēmuma profilu), apvienojumā ar 6. sadaļas papildu pasākumiem, nodrošina, ka no Kanādas uz Amerikas Savienotajām Valstīm pārsūtītie personas dati saņem salīdzināmu aizsardzības līmeni ar Kanādas privātuma tiesībās prasīto.
4.4 Globālie malas mezgli (Cloudflare)
Cloudflare pārvalda globālu malas mezglu tīklu. ES apmeklētāju pieprasījumi parasti tiek apstrādāti tuvākajā Cloudflare klātbūtnes punktā, kas ES apmeklētājiem parasti būs ES atrašanās vieta.
- Pieprasījumu maršrutizēšana, TLS pārtraukšana un robotu aizsardzība notiek tuvākajā malas mezglā.
- Vietņu operatoriem, kas identificēti kā ES rezidenti, pastāvīgā krātuve (saturot veidlapu iesniegumus, tērzēšanas robota sarunas un sesijas datus) ir jurisdikcionāli ierobežota Eiropas Savienībā, izmantojot Cloudflare jurisdikcijas API. Vietņu operatoriem, kas nav ES rezidenti, pastāvīgā krātuve atrodas operatora ģeogrāfiskajam reģionam tuvumā, bet var atrasties ārpus ES.
- Analītikas dati tiek apstrādāti Cloudflare pārvaldītā infrastruktūrā.
5. DATU PLŪSMU NOVĒRTĒJUMS PĒC PAKALPOJUMU SNIEDZĒJA
5.1 Amazon Web Services (ASV)
| Datu plūsma | Iesaistītie personas dati | Mērķis |
|---|---|---|
| Datubāzes krātuve | Veidlapas iesnieguma metadati (IP, valsts, reģions), tērzēšanas robota sarunu ieraksti, failu metadati, sesiju ieraksti | Pastāvīga vietnes apmeklētāju datu krātuve |
| Failu krātuve | Augšupielādētie faili (attēli, dokumenti), izvietošanas momentuzņēmumi | Failu krātuve |
| MI secinājumi | Failu saturs (MI aprakstiem), e-pasta saturs (surogātpasta noteikšanai) | MI darbināti apraksti un surogātpasta klasifikācija |
| Satura moderēšana | Augšupielādētie attēli | Satura moderēšana (kailuma/eksplicīta satura noteikšana) |
| E-pasta piegāde | E-pasta adreses, ziņojumu saturs | Darījumu e-pasta piegāde un satura iesniegšanas paziņojumi. ES rezidentu tīmekļa vietņu operatoriem šīs darbības tiek apstrādātas Eiropas Savienībā (Stokholmā). |
| Valodas noteikšana | E-pasta ziņojuma teksts | Valodas noteikšana |
AWS aizsargpasākumi:
- ISO 27001, 27017, 27018 sertificēts
- SOC 1/2/3 pārskati pieejami
- Dati šifrēti miera stāvoklī, izmantojot nozares standarta šifrēšanu
- Dati šifrēti tranzītā (TLS)
- Mazākās tiesību piekļuves kontrole katram sistēmas komponentam
- Galvenie pakalpojumi tiek mitināti Amerikas Savienotajās Valstīs; automatizētas apmeklētāju operācijas (satura iesniegšanas paziņojumi un darījumu e-pasta piegāde) ES rezidentu tīmekļa vietņu operatoriem tiek apstrādātas Eiropas Savienībā (Stokholmā)
5.2 Cloudflare (Globāls)
| Datu plūsma | Iesaistītie personas dati | Mērķis |
|---|---|---|
| Malas maršrutizēšana | IP adreses, HTTP galvenes, pieprasījuma URL | Pieprasījumu maršrutizēšana, DDoS aizsardzība, TLS pārtraukšana |
| Vietņu mitināšana | Lappuses saturs, apmeklētāja metadati | Vietņu mitināšana un piegāde |
| Pastāvīgā krātuve | Veidlapu iesniegumai, tērzēšanas robota sarunas, sesijas dati, lietotāju tabulas dati | Stāvokļa krātuve katrai vietnei |
| Analītika | Pseidonimizēts apmeklētāja jaucējkods, valsts, ierīce, pārlūkprogramma, atsaucošais, UTM | Privātumam draudzīga apmeklētāju analītika |
| MI secinājumi | Tērzēšanas robota ziņojumi, veidlapas lauku kopsavilkumi | MI tērzēšanas robota atbildes, surogātpasta noteikšana |
| Aktīvu krātuve | Vietnes aktīvi (attēli, faili) | Statisko aktīvu krātuve un CDN piegāde |
Cloudflare aizsargpasākumi:
- ISO 27001 sertificēts, SOC 2 II tips
- TLS 1.2+ visiem savienojumiem
- Cloudflare DLA ar SLK pieejams
- Malas apstrāde nozīmē, ka ES apmeklētāju dati parasti tiek apstrādāti ES malas mezglos pieprasījumu apstrādei
- Tīmekļa vietņu operatoriem, kas identificēti kā ES iedzīvotāji, pastāvīgā glabātuve (kas satur veidlapu iesniegtos datus, tērzēšanas robota sarunas, sesiju datus un lietotāju tabulu datus) ir jurisdikcionāli ierobežota Eiropas Savienībā, izmantojot Cloudflare jurisdikcijas API, nodrošinot, ka šie dati tiek glabāti un apstrādāti tikai ES datu centros. Aizmugursistēmas API izsaukumi no malas (satura iesniegšanas paziņojumiem un darījumu e-pasta piegādei) tiek novirzīti uz ES bāzēto AWS infrastruktūru.
- MI secinājumi nesaglabā ievades datus apmācībai
5.3 Stripe (ASV)
| Datu plūsma | Iesaistītie personas dati | Mērķis |
|---|---|---|
| Maksājumu apstrāde | Vietnes operatora norēķinu dati (vārds, e-pasts, maksājuma metode) | Abonēšanas un domēna maksājumu apstrāde |
Piezīme: Stripe nesaņem vietnes apmeklētāju personas datus. Stripe apstrādā tikai vietnes operatora (mūsu klienta) norēķinu informāciju.
Stripe aizsargpasākumi:
- PCI DSS 1. līmenis sertificēts
- ISO 27001 sertificēts
- Stripe DLA ar SLK pieejams
5.4 MI secinājumu sniedzēji (ASV)
Fireworks AI un xAI sniedz MI modeļu secinājumu pakalpojumus.
| Datu plūsma | Iesaistītie personas dati | Mērķis |
|---|---|---|
| Teksta ģenerēšana (vietnes saturs) | Vietnes saturs (nevis apmeklētāju dati) | Vietnes satura izveide un rediģēšana |
| Attēlu ģenerēšana | Teksta uzvednes (nevis apmeklētāju dati) | Attēlu izveide vietnēm |
| Sarunu MI (tērzēšanas aģents) | Platformas lietotāja vārds, e-pasts, valodas preferences un sarunu vēsture | MI darbināts asistents platformas lietotājiem (vietņu operatoriem) |
Piezīme: Šie MI sniedzēji nesaņem vietnes apmeklētāju personas datus. Tērzēšanas robota funkcija (kas apkalpo vietnes apmeklētājus) izmanto Cloudflare Workers AI (novērtēts 5.2. sadaļā), nevis šos sniedzējus. Tomēr platformas sarunu MI asistents — ko izmanto vietņu operatori savas vietnes pārvaldīšanai — sūta platformas lietotāju personas datus (vārdu, e-pasta adresi un sarunu vēsturi) šiem sniedzējiem kā atbilžu ģenerēšanas daļu. Šai apstrādei Acira AI darbojas kā pārzinis (nevis apstrādātājs), un datu subjekti ir mūsu platformas lietotāji (vietņu operatori), nevis viņu vietņu apmeklētāji. Šo datu plūsmu regulē mūsų Privātuma politika un mūsū vienošanās ar šiem sniedzējiem, nevis DLA pārziņa-apstrādātāja regulējums apmeklētāju datiem.
Modeļu saimes: Šie infrastruktūras sniedzēji mitina un izpilda MI modeļus, ko izstrādājušas dažādas trešās puses. Konkrētie izmantotie modeļi un modeļu saimes laika gaitā var mainīties. Modeļu izstrādātāji nesaņem un tiem nav piekļuves lietotāju datiem — visa datu apstrāde notiek tikai uzskaitīto apakšapstrādātāju infrastruktūrā, neatkarīgi no tā, kur modelis tika sākotnēji izstrādāts. Visi MI secinājumi paliek mūsu uzskaitīto apakšapstrādātāju infrastruktūrā. Nekādi lietotāju dati netiek nosūtīti modeļu izstrādātājiem vai infrastruktūrai ārpus šajā novērtējumā uzskaitītajiem apakšapstrādātājiem. Pašreizēji izmantojamo modeļu saimes saraksts ir pieejams pēc pieprasījuma, sazinoties ar legal@acira.ai.
5.5 BrightData (Izraēla / Globāls)
| Datu plūsma | Iesaistītie personas dati | Mērķis |
|---|---|---|
| Tīmekļa datu vākšana | Publiski pieejams tīmekļa saturs (nevis apmeklētāju dati) | Satura imports vietnes izveides laikā (pēc lietotāja norādījuma) |
| SERP izsekošana | Meklēšanas atslēgvārdi (nevis apmeklētāju dati) | Atslēgvārdu rangu uzraudzība |
Piezīme: BrightData neapstrādā vietnes apmeklētāju personas datus. Tā apstrādā publiski pieejamu tīmekļa saturu pēc lietotāja norādījuma un izseko meklētājprogrammu rangu lietotāja definētiem atslēgvārdiem.
5.6 ES bāzēti sniedzēji (bez pārsūtīšanas)
| Sniedzējs | Atrašanās vieta | Mērķis |
|---|---|---|
| Black Forest Labs | Vācija (ES) | MI attēlu ģenerēšana (Flux modeļi) |
| ScreenshotOne | Eiropas Savienība | Vietnes ekrānuzņēmumu tveršana |
| CloudConvert | Vācija (ES) | Failu formātu konvertēšana |
Šie sniedzēji apstrādā datus ES ietvaros un neveido starptautisku pārsūtīšanu. Black Forest Labs saņem tikai teksta uzvednes attēlu ģenerēšanai; personas dati netiek iesaistīti.
6. PAPILDU PASĀKUMI
Papildus SLK mēs ieviešam šādus papildu pasākumus, lai nodrošinātu būtībā līdzvērtīgu pārsūtīto personas datu aizsardzības līmeni:
6.1 Tehniskie pasākumi
| Pasākums | Apraksts |
|---|---|
| Šifrēšana tranzītā | Visi dati, kas tiek pārsūtīti starp apmeklētājiem, malas tīklu un aizmugursistēmu pakalpojumiem, tiek šifrēti, izmantojot TLS (minimālais TLS 1.2). Iekšējā pakalpojumu savstarpējā komunikācija izmanto šifrētus kanālus. |
| Šifrēšana miera stāvoklī | Visi datubāzes ieraksti, failu krātuve un malas vidē mitinātā pastāvīgā krātuve tiek šifrēti miera stāvoklī, izmantojot nozares standarta šifrēšanu, ko pārvalda attiecīgais infrastruktūras nodrošinātājs. |
| Pseidonimizācija | Apmeklētāju analītika izmanto katru dienu mainīgu kriptogrāfisko jaucējkodu (IP + Lietotāja aģents + datums) nevis saglabā neapstrādātas IP adreses. Šis jaucējkods nevar tikt atgriezts un mainās ik pēc 24 stundām, novēršot izsekošanu vairākās dienās. |
| Datu minimizēšana | Analītika vāc tikai kopsavilkuma līmeņa metadatus (valsts, ierīces tips, pārlūkprogramma). Neapstrādātas IP adreses analītikā netiek saglabātas. Tērzēšanas robota ziņojumi ir ierobežoti līdz 2000 rakstzīmēm. |
| Paroļu jaukšana | Visas apmeklētāju paroles (vietnes aizsargātajām zonām) tiek jauktas, izmantojot spēcīgus kriptogrāfiskus algoritmus ar katram lietotājam nejaušu sāli, pirms saglabāšanas. Atklāta teksta paroles nekad netiek saglabātas vai pārsūtītas. |
| Piekļuves kontrole | Mazākās tiesību piekļuves politikas ierobežo katru sistēmas komponentu tikai ar tiem resursiem, kas tam nepieciešami. Vietnes API marķieri ierobežo piekļuvi atsevišķām vietnēm. |
| Tīkla izolācija | Aizmugursistēmu pakalpojumi komunicē caur iekšējiem tīkliem. Vietņu mitināšana darbojas izolētās izpildes smilškastu vidēs. Pielāgota koda izpilde izmanto WebAssembly bāzētu smilškaštošanu. |
| Jurisdikcionālā datu rezidence | Tīmekļa vietņu operatoriem, kas identificēti kā ES iedzīvotāji, pastāvīgā glabātuve, kas satur apmeklētāju datus (veidlapu iesniegtos datus, tērzēšanas robota sarunas, sesiju datus un lietotāju tabulu datus), ir jurisdikcionāli ierobežota Eiropas Savienībā, nodrošinot, ka šie dati tiek glabāti un apstrādāti tikai ES datu centros. Automatizētas apmeklētāju operācijas (satura iesniegšanas paziņojumi un darījumu e-pasta piegāde) tiek apstrādātas arī ES bāzētajā infrastruktūrā. |
| Automātiska dzēšana | Sesijas dati beidzas pēc 30 dienu neaktivitātes. Pagaidu faili tiek dzēsti 24 stundu laikā. Robotu izaicinājuma dati ir īslaicīgi un netiek saglabāti. |
6.2 Organizatoriskie pasākumi
| Pasākums | Apraksts |
|---|---|
| Personāla konfidencialitāte | Viss personāls, kas piekļūst personas datiem, ir saistīts ar konfidencialitātes pienākumiem. |
| Apakšapstrādātāju pienācīga pārbaude | Apakšapstrādātāji tiek novērtēti par viņu drošības praksi un datu aizsardzības atbilstību pirms piesaistīšanas. Rakstiskas DLA ir noslēgtas ar visiem apakšapstrādātājiem. |
| Reaģēšana uz incidentiem | Pārkāpumu paziņošanas procedūras nodrošina, ka Pārziņi tiek informēti 72 stundu laikā pēc personas datu pārkāpuma apstiprināšanas. |
| Datu glabāšanas politikas | Dokumentēti glabāšanas periodi ar automātisku izpildi (TTL bāzēta dzēšana, dzīves cikla politikas). |
| Drošības uzraudzība | Strukturizēta reģistrēšana, automatizēta drošības uzraudzība un ielaušanās noteikšana. Kļūdu un diagnostikas žurnāli saglabāti līdz 30 dienām. |
6.3 Līgumiskās pasākumi
| Pasākums | Apraksts |
|---|---|
| Standarta līguma klauzulas | SLK (1., 2. un 3. modulis) ir iekļautas mūsu DLA ar atsauci. |
| Apakšapstrādātāju SLK | Rakstiskie līgumi ar katru apakšapstrādātāju uzliek datu aizsardzības pienākumus, kas nav mazāk aizsargojoši nekā mūsu DLA. |
| Paziņošana par valdības piekļuvi | Mēs apņemamies paziņot Pārziņiem par valdības piekļuves pieprasījumiem, kur to atļauj tiesību akti, kā aprakstīts mūsū Noteikumos un nosacījumos. |
| Apstrīdēšanas apņemšanās | Mēs apņemamies apstrīdēt valdības piekļuves pieprasījumus, kas, mūsuprāt, ir pārmērīgi vai nelikumīgi. |
7. RISKA NOVĒRTĒJUMS
7.1 Valdības piekļuves iespējamība
| Faktors | Novērtējums |
|---|---|
| Datu raksturs | Galvenokārt pseidonimizēta analītika, veidlapu iesniegumai un tērzēšanas robota ziņojumi no mazo uzņēmumu vietnēm. Šiem datiem ir zema izlūkošanas vērtība. |
| Datu apjoms | Zems līdz vidējs. Katra vietne apkalpo savu apmeklētāju bāzi; dati netiek apkopoti vietnēs uzraudzības nolūkos. |
| Uzņēmuma profils | Acira AI ir mazs SaaS uzņēmums, kas mitina mazo uzņēmumu vietnes. Mēs neesam telekomunikāciju pakalpojumu sniedzējs vai augsta profila uzraudzības mērķis. |
| Vēsturiskie pieprasījumi | Šī novērtējuma datumā Acira AI nekad nav saņēmusi FISA 702. panta direktīvu, nacionālās drošības vēstuli vai jebkādu valdības pieprasījumu par masveida piekļuvi klientu datiem. |
| Apakšapstrādātāju profils | AWS un Cloudflare ir lieli infrastruktūras sniedzēji, kas publicē pārskatāmības pārskatus. Viņu pārskatāmības pārskati norāda, ka valdības pieprasījumi ir vērsti uz konkrētiem kontiem, nevis masveida piekļuvi mitinātam saturam. |
Kopējā iespējamība: ZEMA
7.2 Ietekme piekļuves gadījumā
| Faktors | Novērtējums |
|---|---|
| Datu jutīgums | Lielākā daļa pārsūtīto datu ir zema jutīguma (pseidonimizēta analītika, vietnes apmeklētāja metadati). Veidlapu iesniegumai var ietvert vidēja jutīguma datus (vārdi, e-pasta adreses, ziņojumi) atkarībā no vietnes. |
| Pseidonimizācijas efektivitāte | Analītikas datus nevar saistīt ar personām bez piekļuves ikdienas maiņas jaucējkoda komponentiem (IP + Lietotāja aģents + datums), kas netiek saglabāti. |
| Iedarbības apjoms | Jebkura valdības piekļuve būtu vērsta uz konkrētiem kontiem vai tīmekļa vietnēm, nevis visu platformu. Datu izolācija katrā tīmekļa vietnē, izmantojot īpašas glabātuves instances, ierobežo jebkura iespējama kompromitējuma apjomu. ES rezidentu tīmekļa vietņu operatoriem pastāvīgā glabātuve un automatizēta apmeklētāju apstrāde (satura iesniegšanas paziņojumi un darījumu e-pasta piegāde) ir ierobežota ES, vēl vairāk ierobežojot šo datu pakļautību ASV valdības piekļuvei. |
Kopējā ietekme: ZEMA līdz VIDĒJA (atkarībā no atsevišķu vietņu operatoru vākto datu jutīguma)
7.3 Atlikušā riska novērtējums
Ņemot vērā zemo valdības piekļuves iespējamību, papildu tehniskos pasākumus (šifrēšanu, pseidonimizāciju, datu minimizēšanu) un EO 14086 ieviestās papildu aizsardzības, mēs novērtējam, ka atlikušais risks datu subjektiem ir zems un ka papildu pasākumi kopā ar SLK (EEZ/AK/Šveices pārsūtīšanai) un līgumisko aizsardzību (Kanādas pārsūtīšanai) nodrošina aizsardzības līmeni, kas ir būtībā līdzvērtīgs EEZ garantētajam un salīdzināms ar Kanādas privātuma tiesībās prasīto.
8. SECINĀJUMS
Pamatojoties uz šo novērtējumu, mēs secinām, ka:
Personas dati, kas pārsūtīti no EEZ/AK/Šveices/Kanādas uz Amerikas Savienotajām Valstīm saistībā ar mūsu Pakalpojumu sniegšanu, saņem būtībā līdzvērtīgu aizsardzības līmeni ar ES datu aizsardzības tiesībās garantēto un salīdzināmu aizsardzības līmeni ar Kanādas privātuma tiesībās prasīto.
Standarta līguma klauzulas, apvienojumā ar papildu tehniskajiem, organizatoriskajiem un līgumiskajiem pasākumiem, kas aprakstīti 6. sadaļā, pienācīgi risina šajā novērtējumā identificētos riskus.
Datu raksturs (galvenokārt pseidonimizēta analītika un mazā uzņēmuma vietnes apmeklētāju mijiedarbība) un datu importētāja profils (mazs SaaS uzņēmums, nevis telekomunikāciju sniedzējs) ievērojami samazina praktisko valdības uzraudzības risku.
Izpildrīkojuma 14086 un saistītā tiesiskās aizsardzības mehānisma ieviestā aizsardzība nodrošina papildu aizsargpasākumus, kas dod labumu visiem datu subjektiem neatkarīgi no izmantotā konkrētā pārsūtīšanas mehānisma.
Kanādas pārsūtīšanai, šeit aprakstītā līgumiskā aizsardzība un papildu pasākumi nodrošina salīdzināmu aizsardzības līmeni ar PIPEDA un piemērojamiem provinču privātuma tiesību aktiem, tostarp Kvebekas modernizēto privātuma tiesību aktiem, prasīto.
Mēs turpināsim uzraudzīt izmaiņas ASV uzraudzības tiesībās un praksē, kā arī Kanādas privātuma tiesībās (tostarp ierosināto Patērētāju privātuma aizsardzības likumu), un pārskatīsim šo TIA, ja apstākļi būtiski mainīsies.
Pārsūtīšanu var turpināt ar nosacījumu, ka tiek turpināta šeit aprakstīto SLK un papildu pasākumu piemērošana.
9. PĀRSKATĪŠANAS GRAFIKS
Šis TIA tiks pārskatīts un atjaunināts:
- Katru gadu, vismaz, vai
- Pēc būtiskām izmaiņām piemērojamajos tiesību aktos vai noteikumos (tostarp izmaiņām FISA, CLOUD likumā, EO 14086, PIPEDA vai Kanādas provinču privātuma tiesību aktos),
- Pēc izmaiņām mūsu apakšapstrādātājos vai pārsūtīto datu raksturam,
- Pēc jebkura tiesas sprieduma, kas būtiski ietekmē SLK derīgumu vai ASV datu aizsardzības atbilstību.
10. SAZINIETIES AR MUMS
Ja jums ir jautājumi par šo Datu pārsūtīšanas ietekmes novērtējumu, lūdzu, sazinieties ar mums:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Amerikas Savienotās Valstis
Tālrunis: 888-389-1189
E-pasts: legal@acira.ai
Jūsu privātums, mūsu prioritāte
Mēs nepārdodam jūsu datus, neizmantojam izsekošanas sīkdatnes — tāpēc šeit neredzēsiet sīkdatņu banneri. Mēs ievērojam Global Privacy Control, un ES klientiem apmeklētāju dati tiek glabāti un apstrādāti tikai Eiropas Savienībā.
Acira AI
Veidojiet skaistas tīmekļa vietnes ar AI. Programmēšana nav nepieciešama.
Ar lepnumu veidots Amerikas Savienotajās Valstīs
© 2026 Acira AI LLC. Visas tiesības aizsargātas.