ПРОЦЕНКА НА ВЛИЈАНИЕТО НА ПРЕНОСОТ НА ПОДАТОЦИ
Последно ажурирање: 19 март 2026 година
Оваа Проценка на влијанието на преносот ("TIA") е подготвена од страна на Acira AI LLC ("Acira AI", "ние", "нас") во согласност со барањата на одлуката на Судот на правдата на Европската унија во предметот Комесар за заштита на податоци против Facebook Ireland Limited и Maximillian Schrems (Предмет C-311/18, "Schrems II") и препораките на Европскиот одбор за заштита на податоци (Препораки на ЕДПБ 01/2020 за дополнителни мерки).
Оваа TIA ја оценува соодветноста на заштитата за лични податоци пренесени од Европскиот економски простор ("ЕЕП"), Обединетото Кралство ("ОК"), Швајцарија и Канада во Соединетите Американски Држави и други трети земји во врска со давањето на нашите Услуги.
Оваа TIA може да биде преведена на други јазици за ваша удобност. Во случај на какво било противречење или несогласување помеѓу англиската верзија и кој било преведен верзија, англиската верзија ќе преовладува.
СОДРЖИНА
- ПРЕГЛЕД НА ПРЕНОСИТЕ
- ПРИРОДАТА НА ПРЕНЕСЕНИТЕ ПОДАТОЦИ
- МЕХАНИЗМИ ЗА ПРЕНОС
- ПРОЦЕНКА НА ЗАКОНИТЕ НА ЗЕМЈАТА ДЕСТИНАЦИЈА
- ПРОЦЕНКА НА ТЕКОТ НА ПОДАТОЦИ ПО ДАВАТЕЛ НА УСЛУГИ
- ДОПОЛНИТЕЛНИ МЕРКИ
- ПРОЦЕНКА НА РИЗИК
- ЗАКЛУЧОК
- РАСПОРЕД ЗА ПРЕГЛЕД
- КОНТАКТИРАЈТЕ НÈ
1. ПРЕГЛЕД НА ПРЕНОСИТЕ
1.1 Контекст
Acira AI е платформа за софтвер-како-услуга која овозможува деловни субјекти и поединци да создаваат, управуваат и хостираат веб-страници напојувани со вештачка интелигенција. Кога корисниците создаваат веб-страници до кои пристапуваат посетители лоцирани во ЕЕП, ОК, Швајцарија или Канада, личните податоци на тие посетители може да бидат пренесени во Соединетите Американски Држави и на други локации каде што работат нашите провајдери на инфраструктура.
1.2 Странки
- Извозник на податоци: Операторот на веб-страницата (нашиот клиент, кој делува како Контролор) и, за аналитички податоци, Acira AI како Заеднички контролор.
- Увозник на податоци: Acira AI LLC, основана во Невада, Соединетите Американски Држави, кој делува како Процесор (и Заеднички контролор за аналитика).
- Под-процесори: Трети страни даватели на услуги ангажирани од Acira AI (наведени во Дел 5).
1.3 Дестинации за пренос
| Дестинација | Провајдери | Основа |
|---|---|---|
| Соединети Американски Држави и Европска унија (Стокхолм) | AWS | СДК + Дополнителни мерки (САД); Внатре-ЕЕА за автоматизирани операции насочени кон посетители за резиденти на ЕУ |
| Соединети Американски Држави | Stripe, Fireworks AI, xAI | СДК + Дополнителни мерки |
| Глобален (работ локации) | Cloudflare | СКЦ + Дополнителни мерки |
| Израел | BrightData (само со упатување на корисникот) | СКЦ + Дополнителни мерки |
| Европска унија | Black Forest Labs, ScreenshotOne, CloudConvert | Внатре-ЕЕП (не е потребен механизам за пренос) |
2. ПРИРОДАТА НА ПРЕНЕСЕНИТЕ ПОДАТОЦИ
2.1 Категории на лични податоци
Пренесените лични податоци зависат од карактеристиките овозможени од операторот на веб-страницата и интеракциите на посетителите на веб-страницата. Следните категории може да бидат пренесени:
| Категорија на податоци | Опис | Чувствителност | Волумен |
|---|---|---|---|
| Аналитички идентификатори | Дневно-ротирачки криптографски хаш на IP + Кориснички агент + датум (псевдонимизиран) | Ниска | Висок (секое прегледување на страница) |
| Метаподатоци за посетители | Земја, регион, јазик, тип на уред, прелистувач, ОС, домен на референтна страница, UTM параметри | Ниска | Висок (секое прегледување на страница) |
| IP адреси | Зачувани како метаподатоци со поднесувања на формулари и разговори со chatbot; хашувани за аналитика; привремено користени за верификација на предизвик за ботови; привремено зачувани за ограничување на брзина (до 7 дена) | Средна | Средна |
| Содржина на поднесување на формулар | Полиња за слободен текст поднесени од посетители (имиња, е-пошта, пораки, итн.) | Променлива (зависи од формуларот) | Ниска до средна |
| Пораки на chatbot | Пораки на посетители и одговори генерирани од вештачката интелигенција (макс. 2.000 знаци по порака) | Ниска до средна | Ниска |
| Прикачувања на датотеки | Датотеки прикачени од посетители преку формулари на веб-страницата (слики, документи) | Променлива | Ниска |
| Идентификатори на сесија | ID-ови на сесија на страната на серверот и колачиња за сесија на страната на клиентот | Ниска | Висок |
| Автентикациски акредитиви | Лозинки за заштитени области на веб-страницата (зачувани само во хашувана форма) | Висока (но хашувана) | Ниска |
2.2 Категории на субјекти на податоци
- Посетители на веб-страници хостирани на платформата Acira AI
- Корисници кои создаваат сметки на веб-страници хостирани на платформата
- Корисници кои поднесуваат формулари, комуницираат со chatботи или прикачуваат датотеки на хостираните веб-страници
2.3 Непренесени податоци
- Геолокациски податоци: Пребарувањата на IP-во-локација се вршат на мрежниот работ од нашиот провајдер на инфраструктура. Ниту една IP адреса на посетителот не е пренесена на кој било надворешен геолокациски сервис.
- Сирови аналитички IP адреси: Се зачувува само дневно-ротирачки криптографски хаш; суровите IP адреси не се задржуваат во аналитичките системи.
- Лозинки во обичен текст: Само криптографски хашови се зачувуваат и пренесуваат.
3. МЕХАНИЗМИ ЗА ПРЕНОС
3.1 Примарен механизам: Стандардни договорни клаузули
Се потпираме на Стандардните договорни клаузули на Европската комисија (СДК), усвоени со Спроведбената одлука на Комисијата (ЕУ) 2021/914, конкретно:
- Модул еден (Контролор до контролор): За преноси на аналитички податоци каде Acira AI делува како заеднички контролор со операторот на веб-страницата (види Дел 2.3 на ДПА).
- Модул два (Контролор до процесор): За преноси на лични податоци на посетители од операторот на веб-страницата (Контролор) до Acira AI (Процесор).
- Модул три (Процесор до под-процесор): За понатамошни преноси од Acira AI до нашите под-процесори.
3.2 Преноси за ОК, Швајцарија и Канада
- ОК: Се применува Додатокот за меѓународен пренос на податоци на ОК на ЕУ СДК.
- Швајцарија: СДК се применуваат со измени бараните од швајцарскиот Сојузен закон за заштита на податоци (FADP).
- Канада: Преносите се засноваат на договорна заштита со секој под-процесор наметнувајќи обврски конзистентни со Канадскиот закон за заштита на лични информации и електронски документи (PIPEDA) и применливото законодавство за приватност на провинцијата, комбинирано со дополнителните технички и организациски мерки опишани во Дел 6. Видете Дел 7.4 на ДПА за детали.
3.3 Механизми за пренос на под-процесори
| Под-процесор | Механизам за пренос |
|---|---|
| Amazon Web Services | СДК (AWS DPA), сертифициран ISO 27001/27017/27018 |
| Cloudflare | СДК (Cloudflare DPA), сертифициран ISO 27001 |
| Stripe | СДК (Stripe DPA), сертифициран PCI DSS ниво 1 |
| Fireworks AI | СДК (Fireworks AI DPA), SOC 2 тип II, сертифициран ISO 27001/27701/42001 |
| xAI | СДК (xAI DPA со ЕУ СДК) |
| BrightData | СДК (BrightData DPA) |
4. ПРОЦЕНКА НА ЗАКОНИТЕ НА ЗЕМЈАТА ДЕСТИНАЦИЈА
4.1 Соединетите Американски Држави
Соединетите Американски Држави се примарна дестинација за пренесени податоци. Следните американски закони се релевантни за оваа проценка:
4.1.1 Закон за надзор на странска разузнавачка дејност (FISA), Дел 702
Делот 702 на FISA го овластува американската влада да ги принуди давателите на електронски комуникациски услуги да обезбедат пристап до комуникациите на не-американски лица лоцирани надвор од Соединетите Американски Држави за цели на странска разузнавачка дејност.
Проценка на ризикот:
- Применливост: Делот 702 на FISA се применува на "даватели на електронски комуникациски услуги" дефинирани во 50 U.S.C. § 1881(b)(4). Acira AI е SaaS платформа за хостирање на веб-страници, а не традиционален телекомуникациски провајдер. Нашите под-процесори (AWS, Cloudflare) поверојатно се предмет на директиви на Дел 702.
- Обем на изложени податоци: Личните податоци кои ги обработуваме се состојат примарно од аналитика на посетители на веб-страницата (псевдонимизирана), поднесувања на формулари и пораки на chatbot. Овие податоци веројатно не се од интерес за странска разузнавачка дејност.
- Практична веројатност: Никогаш не сме добиле директива на Делот 702 на FISA и ја оценуваме практичната веројатност за добивање на иста како многу ниска, со оглед на природата на нашите Услуги и податоците кои ги обработуваме.
4.1.2 Извршна наредба 12333
ИН 12333 ги овластува американските разузнавачки агенции да спроведуваат активности за надзор, вклучувајќи масовно собирање на разузнавачки информации за сигнали. Се применува на транзитни податоци и не ги принудува приватните компании да соработуваат.
Проценка на ризикот:
- Ублажување: Сите транзитни податоци се шифрирани со TLS. Масовно пресретнување на шифрирани транзитни податоци нема да даде лични податоци во обичен текст.
- Практична веројатност: Ниска. Податоците обработени преку нашите Услуги не се од природата која вообичаено се таргетира со разузнавање за сигнали.
4.1.3 Извршна наредба 14086 и Рамката за приватност на податоци ЕУ-САД
Извршната наредба 14086 (октомври 2022) воведе дополнителни заштитни мерки за активности на разузнавање за сигнали, вклучувајќи:
- Барања за нужност и пропорционалност за собирање разузнавачки информации
- Двостепен механизам за компензација (Службеник за заштита на граѓанските слободи + Суд за преглед на заштита на податоци) достапен за ЕУ/ОК/швајцарски поединци
- Ограничувања на масовното собирање
Европската комисија на 10 јули 2023 усвои одлука за соодветност за Рамката за приватност на податоци ЕУ-САД (DPF). Иако Acira AI моментално не е само-сертифицирана под DPF, заштитите под ИН 14086 широко се применуваат на сите преноси на податоци во Соединетите Американски Држави и имаат корист за сите субјекти на податоци без оглед на користениот механизам за пренос.
4.1.4 CLOUD закон
Законот CLOUD (Разјаснување на законската употреба на надворешни податоци) им дозволува на американските органи за спроведување на законот да принудат американски провајдери да произведат податоци без оглед на тоа каде се зачувани, предмет на важечка судска одлука или налог.
Проценка на ризикот:
- Заштитни мерки: Законот CLOUD бара валиден правен процес (налог, судско повикување или судска одредба). Не овластува масовен пристап без налог.
- Одредби за учтивост: Законот CLOUD вклучува рамка за учтивост која им дозволува на провајдерите да ги оспоруваат налозите кои се во конфликт со странски закони.
- Практична веројатност: Ниска за податоците на посетители на веб-страницата. Барањата за спроведување на законот поверојатно ќе ги таргетираат конкретни сметки со сомнеж за криминална активност, а не аналитиката на посетителите или поднесувањата на формулари.
4.2 Израел (BrightData)
BrightData е базирана во Израел. Израел има одлука за соодветност од Европската комисија (2011/61/EU), што значи дека преносите во Израел се третираат слично на внатре-ЕЕП преносите. Меѓутоа, BrightData исто така обработува податоци на други глобални локации. Забележуваме дека:
- Обработката на BrightData се врши само кога е насочена од корисникот (при создавање на веб-страницата за увоз на содржина) или за време на планирано SERP следење.
- Никакви лични податоци на посетителите на веб-страницата не се пренесуваат на BrightData.
4.3 Канада (Преноси од Канада во Соединетите Американски Држави)
Личните податоци на посетителите на веб-страницата лоцирани во Канада може да бидат пренесени во Соединетите Американски Држави за обработка. Следните канадски закони се релевантни за оваа проценка:
4.3.1 Закон за заштита на лични информации и електронски документи (PIPEDA)
PIPEDA го регулира собирањето, употребата и откривањето на лични информации од страна на организации на приватниот сектор во текот на комерцијалните активности. Принципот 4.1.3 на PIPEDA бара организациите да користат договорни или други средства за обезбедување на споредливо ниво на заштита кога личните информации се пренесуваат на трети страни за обработка, вклучително преноси надвор од Канада.
Проценка на ризикот:
- Споредлива заштита: Дополнителните мерки опишани во Дел 6 (шифрирање, псевдонимизација, контроли за пристап, минимизација на податоци) обезбедуваат ниво на заштита споредливо со она бараното под PIPEDA. Писмени договори за обработка на податоци се склучени со сите под-процесори.
- Без барање за соодветност: За разлика од GDPR, PIPEDA не ги забранува преносите во земји кои немаат "соодветност". Организациите мора да обезбедат споредлива заштита преку договорни и други средства, кои ги имаме имплементирано.
4.3.2 Провинциско законодавство за приватност
Законот за заштита на лични информации на Алберта (PIPA), Законот за заштита на лични информации на Британска Колумбија (PIPA) и Законот на Квебек за заштита на лични информации во приватниот сектор наметнуваат дополнителни барања за одредени провинции:
Проценка на ризикот:
- Закон 25 на Квебек: Модернизираниот закон за приватност на Квебек (на сила од септември 2023) бара проценка на влијанието на приватноста пред пренесување на лични информации надвор од Квебек, и организацијата која врши пренос мора да биде задоволна дека информациите ќе добијат соодветна заштита. Нашата договорна заштита, дополнителни технички мерки и природата на податоците (примарно псевдонимизирана аналитика и интеракции на веб-страницата на мали бизниси) поддржуваат наод за соодветна заштита.
- Алберта и BC: PIPA-ите на Алберта и BC бараат организациите да обезбедат споредлива заштита за пренесени податоци. Нашите договорни и технички заштитни мерки го задоволуваат ова барање.
4.3.3 Пристап на американската влада од канадска перспектива
Истите ризици за пристап на американската влада оценети во Дел 4.1 се применуваат на канадските преноси на податоци. Ниската веројатност за пристап на влада (со оглед на природата на податоците и нашиот профил на компанија), комбинирана со дополнителните мерки во Дел 6, осигурува дека личните податоци пренесени од Канада во Соединетите Американски Држави добиваат споредливо ниво на заштита со она бараното под канадскиот закон за приватност.
4.4 Глобални работ локации (Cloudflare)
Cloudflare управува со глобална мрежа на работ локации. Барањата на ЕУ посетители обично се обработуваат на најблиската точка на присуство на Cloudflare, која за посетители на ЕУ обично ќе биде локација во ЕУ.
- Рутирањето на барањата, прекинувањето на TLS и заштитата на ботови се случуваат на најблиската работ локација.
- За оператори на веб-страницата идентификувани како резиденти на ЕУ, трајното складирање (кое содржи поднесувања на формулари, разговори со chatbot и сесиски податоци) е јурисдикциски ограничено на Европската унија со помош на API за јурисдикција на Cloudflare. За оператори на веб-страницата кои не се резиденти на ЕУ, трајното складирање е лоцирано блиску до географскиот регион на операторот, но може да биде лоцирано надвор од ЕУ.
- Аналитичките податоци се обработуваат на инфраструктурата управувана со Cloudflare.
5. ПРОЦЕНКА НА ТЕКОТ НА ПОДАТОЦИ ПО ДАВАТЕЛ НА УСЛУГИ
5.1 Amazon Web Services (САД)
| Тек на податоци | Вклучени лични податоци | Цел |
|---|---|---|
| Складирање на база на податоци | Метаподатоци за поднесување на формулар (IP, земја, регион), записи за разговори со chatbot, метаподатоци на датотека, записи на сесија | Трајно складирање на податоци за посетителите на веб-страницата |
| Складирање на датотеки | Прикачени датотеки (слики, документи), снимки на распоредување | Складирање на датотеки |
| AI инференца | Содржина на датотека (за AI описи), содржина на е-пошта (за откривање на спам) | Описи напојувани со вештачка интелигенција и класификација на спам |
| Модерирање на содржина | Прикачени слики | Модерирање на содржина (откривање на голотија/експлицитна содржина) |
| Испорака на е-пошта | Адреси на е-пошта, содржина на пораки | Транзакциска испорака на е-пошта и известувања за поднесување содржина. За оператори на веб-страници резиденти на ЕУ, овие операции се обработуваат во Европската унија (Стокхолм). |
| Откривање на јазик | Текст на е-пошта пораки | Откривање на јазик |
AWS заштитни мерки:
- Сертифициран ISO 27001, 27017, 27018
- Достапни извештаи SOC 1/2/3
- Податоците шифрирани во мирување со шифрирање во согласност со индустриски стандарди
- Податоците шифрирани во транзит (TLS)
- Контроли за пристап со минимални права по компонента на системот
- Примарните услуги се хостирани во Соединетите Американски Држави; автоматизирани операции насочени кон посетители (известувања за поднесување содржина и транзакциска испорака на е-пошта) за оператори на веб-страници резиденти на ЕУ се обработуваат во Европската унија (Стокхолм)
5.2 Cloudflare (Глобален)
| Тек на податоци | Вклучени лични податоци | Цел |
|---|---|---|
| Работ рутирање | IP адреси, HTTP заглавија, URL-ови на барањата | Рутирање на барањата, DDoS заштита, прекинување на TLS |
| Хостирање на веб-страницата | Содржина на страницата, метаподатоци на посетителите | Хостирање и испорака на веб-страницата |
| Трајно складирање | Поднесувања на формулари, разговори со chatbot, сесиски податоци, податоци за табели на корисници | Статусно складирање по веб-страница |
| Аналитика | Псевдонимизиран хаш на посетителот, земја, уред, прелистувач, референтна страница, UTM | Аналитика на посетители пријателска кон приватноста |
| AI инференца | Пораки на chatbot, резимеа на полиња на формулар | AI chatbot одговори, откривање на спам |
| Складирање на средства | Средства на веб-страницата (слики, датотеки) | Складирање на статични средства и испорака преку CDN |
Cloudflare заштитни мерки:
- Сертифициран ISO 27001, SOC 2 тип II
- TLS 1.2+ за сите врски
- Cloudflare DPA со СДК достапни
- Обработката на работ значи дека податоците на посетителите на ЕУ обично се обработуваат на работ локациите во ЕУ за обработка на барањата
- За оператори на веб-страници идентификувани како резиденти на ЕУ, постојаното складирање (кое содржи поднесени формулари, разговори со четбот, податоци за сесии и податоци од кориснички табели) е јурисдикциски ограничено на Европската унија со користење на API за јурисдикција на Cloudflare, обезбедувајќи дека овие податоци се складираат и обработуваат исклучиво во податочни центри на ЕУ. Позадински API повици од работ (за известувања за поднесување содржина и транзакциска испорака на е-пошта) се насочуваат кон AWS инфраструктурата лоцирана во ЕУ.
- AI инференцата не ги задржува влезните податоци за обука
5.3 Stripe (САД)
| Тек на податоци | Вклучени лични податоци | Цел |
|---|---|---|
| Обработка на плаќања | Податоци за наплата на операторот на веб-страницата (име, е-пошта, начин на плаќање) | Обработка на претплата и домен плаќања |
Забелешка: Stripe не прима лични податоци на посетители на веб-страницата. Само информациите за наплата на операторот на веб-страницата (нашиот клиент) се обработуваат од страна на Stripe.
Stripe заштитни мерки:
- Сертифициран PCI DSS ниво 1
- Сертифициран ISO 27001
- Stripe DPA со СДК достапни
5.4 Провајдери на AI инференца (САД)
Fireworks AI и xAI обезбедуваат услуги за инференца на AI модел.
| Тек на податоци | Вклучени лични податоци | Цел |
|---|---|---|
| Генерирање текст (содржина на веб-страницата) | Содржина на веб-страницата (не податоци на посетители) | Создавање и уредување на содржина на веб-страницата |
| Генерирање слики | Текстуални упатства (не податоци на посетители) | Создавање на слики за веб-страници |
| Разговорен AI (чет агент) | Корисничко име, е-пошта, јазична преференца и историја на разговор на платформата | AI помошник напојуван за корисниците на платформата (оператори на веб-страницата) |
Забелешка: Овие AI провајдери не примаат лични податоци на посетители на веб-страницата. Карактеристиката chatbot (служи на посетителите на веб-страницата) го користи Cloudflare Workers AI (оценет во Дел 5.2), а не овие провајдери. Меѓутоа, разговорниот AI помошник на платформата — користен од операторите на веб-страницата за управување со нивните веб-страници — испраќа лични податоци на корисниците на платформата (ime, адреса на е-пошта и историја на разговор) до овие провајдери како дел од генерирањето одговори. За оваа обработка, Acira AI делува како контролор (а не процесор), а субјектите на податоци се нашите корисници на платформата (оператори на веб-страницата), а не нивните посетители на веб-страницата. Овој тек на податоци е регулиран со нашата Политика за приватност и нашите договори со овие провајдери, наместо со рамката контролор-процесор на ДПА за податоци на посетители.
Фамилии на модели: Овие провајдери на инфраструктура хостираат и извршуваат AI модели развиени од разни трети страни. Специфичните модели и фамилии на модели кои се користат може да се менуваат со текот на времето. Развивачите на модели не примаат или имаат пристап до никакви кориснички податоци — сета обработка на податоци се врши исклучиво во инфраструктурата на наведените под-процесори, без оглед на тоа каде е оригинално развиен моделот. Сета обработка на AI инференца останува на инфраструктурата на нашите наведени под-процесори. Никакви кориснички податоци не се пренесуваат до развивачите на модели или до инфраструктурата надвор од под-процесорите наведени во оваа проценка. Тековна листа на фамилии на модели кои се во употреба е достапна на барање со контактирање на legal@acira.ai.
5.5 BrightData (Израел / Глобален)
| Тек на податоци | Вклучени лични податоци | Цел |
|---|---|---|
| Собирање веб-податоци | Јавно достапна веб-содржина (не податоци на посетители) | Увоз на содржина за време на создавање на веб-страницата (со упатување на корисникот) |
| SERP следење | Клучни зборови за пребарување (не податоци на посетители) | Следење на рангирањето на клучни зборови |
Забелешка: BrightData не обработува лични податоци на посетители на веб-страницата. Обработува јавно достапна веб-содржина кога е насочена од корисникот и ги следи рангирањата на пребарувачите за клучни зборови дефинирани од корисникот.
5.6 Провајдери базирани во ЕУ (без пренос)
| Провајдер | Локација | Цел |
|---|---|---|
| Black Forest Labs | Германија (ЕУ) | Генерирање на слики со AI (Flux модели) |
| ScreenshotOne | Европска унија | Снимање на екрани на веб-страницата |
| CloudConvert | Германија (ЕУ) | Конвертирање на формати на датотеки |
Овие провајдери ги обработуваат податоците во ЕУ и не претставуваат меѓународен пренос. Black Forest Labs прима само текстуални упатства за генерирање слики; не се вклучени лични податоци.
6. ДОПОЛНИТЕЛНИ МЕРКИ
Покрај СДК, ние имплементираме следниве дополнителни мерки за да обезбедиме суштински еквивалентно ниво на заштита за пренесените лични податоци:
6.1 Технички мерки
| Мерка | Опис |
|---|---|
| Шифрирање во транзит | Сите податоци пренесени помеѓу посетителите, работ мрежата и задни услуги се шифрирани со TLS (минимум TLS 1.2). Внатрешната комуникација помеѓу услугите користи шифрирани канали. |
| Шифрирање во мирување | Сите записи на базата на податоци, складирањето на датотеки и работ-хостираното трајно складирање се шифрирани во мирување со шифрирање во согласност со индустриски стандарди управувано од соодветниот провајдер на инфраструктура. |
| Псевдонимизација | Аналитиката на посетителите користи дневно-ротирачки криптографски хаш (IP + Кориснички агент + датум) наместо зачувување на сирови IP адреси. Овој хаш не може да се врати и ротира на секои 24 часа, спречувајќи следење преку денови. |
| Минимизација на податоци | Аналитиката собира само метаподатоци на ниво на агрегат (земја, тип на уред, прелистувач). Сирови IP адреси не се зачувуваат во аналитиката. Пораките на chatbot се ограничени на 2.000 знаци. |
| Хашување на лозинки | Сите лозинки на посетители (за заштитени области на веб-страницата) се хашувани со силни криптографски алгоритми со случајна сол по корисник пред зачувување. Лозинките во обичен текст никогаш не се зачувуваат или пренесуваат. |
| Контроли за пристап | Политиките за пристап со минимални права ја ограничуваат секоја компонента на системот само на ресурсите кои и се потребни. API токените по веб-страница го ограничуваат пристапот на поединечни веб-страници. |
| Мрежна изолација | Задните услуги комуницираат преку внатрешни мрежи. Хостирањето на веб-страницата работи во изолирани извршни sandbox-и. Извршувањето на прилагодениот код користи sandbox заснован на WebAssembly. |
| Јурисдикциска резиденција на податоци | За оператори на веб-страници идентификувани како резиденти на ЕУ, постојаното складирање кое содржи податоци за посетители (поднесени формулари, разговори со четбот, податоци за сесии и податоци од кориснички табели) е јурисдикциски ограничено на Европската унија, обезбедувајќи дека овие податоци се складираат и обработуваат исклучиво во податочни центри на ЕУ. Автоматизирани операции насочени кон посетители (известувања за поднесување содржина и транзакциска испорака на е-пошта) исто така се обработуваат во инфраструктурата лоцирана во ЕУ. |
| Автоматско бришење | Сесиските податоци истекуваат по 30 дена неактивност. Привремените датотеки се бришат во рок од 24 часа. Податоците за предизвик за ботови се ефемерни и не се зачувуваат. |
6.2 Организациски мерки
| Мерка | Опис |
|---|---|
| Доверливост на персоналот | Целиот персонал со пристап до лични податоци е обврзан со обврски за доверливост. |
| Внимателна проверка на под-процесори | Под-процесорите се оценуваат за нивните безбедносни практики и усогласеност со заштитата на податоци пред ангажирање. Писмени ДПА се склучени со сите под-процесори. |
| Одговор на инциденти | Процедурите за известување за прекршувања осигуруваат дека Контролорите се известени во рок од 72 часа по потврдувањето на прекршување на лични податоци. |
| Политики за задржување на податоци | Документирани периоди на задржување со автоматско спроведување (бришење засновано на TTL, политики за животен циклус). |
| Безбедносен мониторинг | Структурирано логирање, автоматизиран безбедносен мониторинг и откривање на упад. Дневниците за грешки и дијагностика задржани до 30 дена. |
6.3 Договорни мерки
| Мерка | Опис |
|---|---|
| Стандардни договорни клаузули | СДК (Модул еден, Модул два и Модул три) се вклучени во нашиот ДПА со референца. |
| СДК на под-процесори | Писмените договори со секој под-процесор наметнуваат обврски за заштита на податоци не помалку заштитни од оние во нашиот ДПА. |
| Известување за пристап на влада | Се обврзуваме да ги известуваме Контролорите за барањата за пристап на влада каде е законски дозволено, опишано во нашите Услови и одредби. |
| Обврска за оспорување | Се обврзуваме да ги оспориме барањата за пристап на влада кои ги сметаме за прешироки или незаконити. |
7. ПРОЦЕНКА НА РИЗИК
7.1 Веројатност за пристап на влада
| Фактор | Проценка |
|---|---|
| Природа на податоците | Примарно псевдонимизирана аналитика, поднесувања на формулари и пораки на chatbot од веб-страници на мали бизниси. Овие податоци се со ниска разузнавачка вредност. |
| Волумен на податоци | Ниска до средна. Секоја веб-страница служи на сопствената база на посетители; податоците не се агрегираат низ веб-страниците за цели на надзор. |
| Профил на компанија | Acira AI е мала SaaS компанија која хостира веб-страници на мали бизниси. Ние не сме телекомуникациски провајдер или мета со висок профил за надзор. |
| Историски барања | Од датумот на оваа проценка, Acira AI никогаш не добила директива на Делот 702 на FISA, Писмо за национална безбедност или кое било владино барање за масовен пристап до податоците на клиентите. |
| Профил на под-процесори | AWS и Cloudflare се голем провајдери на инфраструктура кои објавуваат извештаи за транспарентност. Нивните извештаи за транспарентност покажуваат дека барањата на владата се насочени кон конкретни сметки, а не масовен пристап до хостирана содржина. |
Вкупна веројатност: НИСКА
7.2 Влијание ако пристапот се случи
| Фактор | Проценка |
|---|---|
| Чувствителност на податоците | Поголемиот дел од пренесените податоци се со ниска чувствителност (псевдонимизирана аналитика, метаподатоци за посетители на веб-страницата). Поднесувањата на формулари може да содржат податоци со средна чувствителност (имиња, адреси на е-пошта, пораки) во зависност од веб-страницата. |
| Ефикасност на псевдонимизацијата | Аналитичките податоци не можат да се поврзат со поединци без пристап до компонентите на дневно-ротирачкиот хаш (IP + Кориснички агент + датум), кои не се зачувуваат. |
| Обем на изложеност | Секој владин пристап би бил насочен кон конкретни сметки или веб-страници, а не кон целата платформа. Изолацијата на податоци по веб-страница преку посветени складишни инстанции го ограничува обемот на секое потенцијално компромитирање. За оператори на веб-страници резиденти на ЕУ, постојаното складирање и автоматизираната обработка насочена кон посетители (известувања за поднесување содржина и транзакциска испорака на е-пошта) се ограничени на ЕУ, дополнително ограничувајќи ја изложеноста на пристап на владата на САД за овие податоци. |
Вкупно влијание: НИСКА до СРЕДНА (во зависност од чувствителноста на податоците собрани од поединечните оператори на веб-страниците)
7.3 Проценка на остатокот на ризик
Земајќи ги предвид ниската веројатност за пристап на влада, дополнителните технички мерки (шифрирање, псевдонимизација, минимизација на податоци) и дополнителните заштити воведени со ИН 14086, оценуваме дека остатокот на ризик за субјектите на податоци е низок и дека дополнителните мерки, заедно со СДК (за преноси на ЕЕП/ОК/Швајцарија) и договорната заштита (за канадски преноси), обезбедуваат ниво на заштита суштински еквивалентно со она гарантирано во рамките на ЕЕП и споредливо со она бараното под канадскиот закон за приватност.
8. ЗАКЛУЧОК
Врз основа на оваа проценка, заклучуваме дека:
Личните податоци пренесени од ЕЕП/ОК/Швајцарија/Канада во Соединетите Американски Држави во врска со давањето на нашите Услуги имаат корист од суштински еквивалентно ниво на заштита со она гарантирано под законот за заштита на податоци на ЕУ и споредливо ниво на заштита со она бараното под канадскиот закон за приватност.
Стандардните договорни клаузули, комбинирани со дополнителните технички, организациски и договорни мерки опишани во Дел 6, соодветно ги адресираат ризиците идентификувани во оваа проценка.
Природата на податоците (примарно псевдонимизирана аналитика и интеракции на посетители на веб-страницата на мал бизнис) и профилот на увозникот на податоци (мала SaaS компанија, а не телекомуникациски провајдер) значително го намалуваат практичниот ризик од владин надзор.
Заштитите воведени со Извршна наредба 14086 и поврзаниот механизам за компензација обезбедуваат дополнителни заштитни мерки кои имаат корист за сите субјекти на податоци, без оглед на конкретниот механизам за пренос.
За канадски преноси, договорната заштита и дополнителните мерки опишани тука осигуруваат споредливо ниво на заштита со она бараното под PIPEDA и применливото провинциско законодавство за приватност, вклучувајќи го и модернизираниот закон за приватност на Квебек.
Ќе продолжиме да ги следиме развојните настани во американскиот закон и практика за надзор, како и развојните настани во канадскиот закон за приватност (вклучувајќи го предложениот Закон за заштита на приватноста на потрошувачите) и ќе ја прегледаме оваа TIA доколку околностите суштински се променат.
Преносите може да продолжат предмет на продолжена примена на СДК и дополнителните мерки опишани тука.
9. РАСПОРЕД ЗА ПРЕГЛЕД
Оваа TIA ќе биде прегледана и ажурирана:
- Годишно, минимум, или
- При суштинските промени на применливите закони или регулативи (вклучувајќи промени на FISA, Законот CLOUD, ИН 14086, PIPEDA или провинциско законодавство за приватност на Канада),
- При промените на нашите под-процесори или природата на пренесените податоци,
- При секоја судска одлука која суштински го засега валидноста на СДК или соодветноста на заштитата на податоци во САД.
10. КОНТАКТИРАЈТЕ НÈ
Доколку имате прашања за оваа Проценка на влијанието на преносот на податоци, ве молиме контактирајте нè на:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Соединетите Американски Држави
Телефон: 888-389-1189
Е-пошта: legal@acira.ai
Вашата приватност, наш приоритет
Не ги продаваме вашите податоци, не користиме колачиња за следење — затоа нема да видите банер за колачиња овде. Го почитуваме Global Privacy Control, а за клиентите од ЕУ, податоците на посетителите се чуваат и обработуваат исклучиво во Европската унија.
Acira AI
Градете прекрасни веб-страници со AI. Не е потребно кодирање.
Со гордост изградено во Соединетите Американски Држави
© 2026 Acira AI LLC. Сите права задржани.