DATA PROCESSING ADDENDUM

അവസാനം അപ്‌ഡേറ്റ് ചെയ്തത്: മാർച്ച് 19, 2026

ഈ Data Processing Addendum ("DPA") Acira AI LLC ("Processor," "ഞങ്ങൾ") നും സേവനങ്ങൾ ഉപയോഗിക്കുന്ന ഉപയോക്താവ് ("Controller," "നിങ്ങൾ") തമ്മിലുള്ള Terms and Conditions ("Agreement") ന്റെ ഭാഗമാണ്, കൂടാതെ വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യുന്നതുമായി ബന്ധപ്പെട്ട് Agreement നെ പൂരകമാക്കുന്നു.

European Economic Area ("EEA"), United Kingdom ("UK"), അല്ലെങ്കിൽ Switzerland ൽ സ്ഥിതിചെയ്യുന്ന വ്യക്തികളുടെ വ്യക്തിഗത ഡേറ്റ ശേഖരിക്കുകയോ പ്രോസസ്സ് ചെയ്യുകയോ ചെയ്യുന്ന വെബ്സൈറ്റുകൾ സൃഷ്ടിക്കാനും ഹോസ്റ്റ് ചെയ്യാനും പ്രസിദ്ധീകരിക്കാനും സേവനങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, അല്ലെങ്കിൽ ബാധകമായ ഡേറ്റ സംരക്ഷണ നിയമങ്ങൾ ആവശ്യപ്പെടുന്ന മറ്റ് സാഹചര്യങ്ങളിൽ ഈ DPA ബാധകമാണ്.

ഈ DPA നിങ്ങളുടെ സൗകര്യത്തിനായി മറ്റ് ഭാഷകളിലേക്ക് വിവർത്തനം ചെയ്യാവുന്നതാണ്. ഇംഗ്ലീഷ് പതിപ്പും ഏതെങ്കിലും വിവർത്തനം ചെയ്ത പതിപ്പും തമ്മിൽ വൈരുദ്ധ്യമോ പൊരുത്തക്കേടോ ഉണ്ടായാൽ, ഇംഗ്ലീഷ് പതിപ്പ് നിലനിൽക്കും.

TABLE OF CONTENTS

1. DEFINITIONS
2. SCOPE AND ROLES
3. DATA PROCESSING DETAILS
4. OBLIGATIONS OF THE PROCESSOR
5. OBLIGATIONS OF THE CONTROLLER
6. SUBPROCESSORS
7. INTERNATIONAL DATA TRANSFERS
8. DATA SUBJECT RIGHTS
9. DATA SECURITY
10. DATA BREACH NOTIFICATION
11. ഓഡിറ്റുകളും അനുസരണ പരിശോധനയും
12. DATA RETENTION AND DELETION
13. TERM AND TERMINATION
14. LIMITATION OF LIABILITY
15. CONTACT

1. DEFINITIONS

"Applicable Data Protection Law" എന്നതുകൊണ്ട് ഈ DPA യ്ക്ക് കീഴിൽ വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിന് ബാധകമായ എല്ലാ നിയമങ്ങളും ചട്ടങ്ങളും അർഥമാക്കുന്നു, ഇതിൽ (ബാധകമാകുന്ന പക്ഷം) General Data Protection Regulation (EU) 2016/679 ("GDPR"), UK GDPR, Swiss Federal Act on Data Protection ("FADP"), കൂടാതെ California Consumer Privacy Act ("CCPA") എന്നിവ ഉൾപ്പെടുന്നു.

"Controller" എന്നതുകൊണ്ട് വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിന്റെ ഉദ്ദേശ്യങ്ങളും മാർഗങ്ങളും നിർണ്ണയിക്കുന്ന സ്വാഭാവിക അല്ലെങ്കിൽ നിയമ വ്യക്തി അർഥമാക്കുന്നു — ഈ പ്രസംഗത്തിൽ, പ്ലാറ്റ്ഫോം വഴി ഒരു വെബ്സൈറ്റ് പ്രവർത്തിപ്പിക്കുന്ന സേവനങ്ങളുടെ ഉപയോക്താവ് ആയ നിങ്ങൾ.

"Data Subject" എന്നതുകൊണ്ട് വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യപ്പെടുന്ന തിരിച്ചറിഞ്ഞ അല്ലെങ്കിൽ തിരിച്ചറിയാൻ കഴിയുന്ന സ്വാഭാവിക വ്യക്തി അർഥമാക്കുന്നു.

"Personal Data" എന്നതുകൊണ്ട് സേവനങ്ങൾ വഴി പ്രോസസ്സ് ചെയ്യപ്പെടുന്ന ഒരു Data Subject നെ സംബന്ധിക്കുന്ന ഏതൊരു വിവരവും അർഥമാക്കുന്നു.

"Processing" എന്നതുകൊണ്ട് ശേഖരണം, രേഖപ്പെടുത്തൽ, സംഘടന, ഘടനയാക്കൽ, സംഭരണം, അഡാപ്റ്റേഷൻ, വീണ്ടെടുക്കൽ, കൺസൾട്ടേഷൻ, ഉപയോഗം, വെളിപ്പെടുത്തൽ, പ്രചരണം, നിയന്ത്രണം, മായ്ക്കൽ, അല്ലെങ്കിൽ നശിപ്പിക്കൽ ഉൾപ്പെടെ വ്യക്തിഗത ഡേറ്റയിൽ നടത്തുന്ന ഏതൊരു ക്രിയയും അർഥമാക്കുന്നു.

"Processor" എന്നതുകൊണ്ട് Controller ന്റെ പക്ഷത്ത് വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യുന്ന സ്വാഭാവിക അല്ലെങ്കിൽ നിയമ വ്യക്തി അർഥമാക്കുന്നു — ഈ പ്രസംഗത്തിൽ, Acira AI LLC.

"Subprocessor" എന്നതുകൊണ്ട് Controller ന്റെ പക്ഷത്ത് വ്യക്തിഗത ഡേറ്റ പ്രോസസ്സ് ചെയ്യാൻ Processor ഏർപ്പെടുത്തുന്ന ഏതൊരു മൂന്നാം കക്ഷിയും അർഥമാക്കുന്നു.

"Standard Contractual Clauses" അല്ലെങ്കിൽ "SCCs" എന്നതുകൊണ്ട് European Commission അംഗീകരിച്ചതുപോലെ, മൂന്നാം രാജ്യങ്ങളിൽ സ്ഥാപിതമായ processors ലേക്ക് വ്യക്തിഗത ഡേറ്റ കൈമാറ്റം ചെയ്യുന്നതിനുള്ള standard contractual clauses അർഥമാക്കുന്നു.

2. SCOPE AND ROLES

2.1 Processing Relationship

ഫോമുകൾ, ഉപയോക്തൃ അക്കൗണ്ടുകൾ, chatbot ഇടപെടലുകൾ, കമന്റുകൾ, അവലോകനങ്ങൾ, അല്ലെങ്കിൽ മറ്റ് ഇന്ററാക്ടീവ് ഫീച്ചറുകൾ വഴി നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകരിൽ നിന്ന് വ്യക്തിഗത ഡേറ്റ ശേഖരിക്കുന്ന ഒരു വെബ്സൈറ്റ് സൃഷ്ടിക്കാനും പ്രവർത്തിപ്പിക്കാനും സേവനങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, നിങ്ങൾ Controller ആയും ഞങ്ങൾ ആ സന്ദർശക വ്യക്തിഗത ഡേറ്റയുടെ Processor ആയും പ്രവർത്തിക്കുന്നു.

2.2 Our Role as Controller

ഞങ്ങളുടെ സ്വന്തം ആവശ്യങ്ങൾക്കായി ശേഖരിക്കുന്ന വ്യക്തിഗത ഡാറ്റയുടെ സ്വതന്ത്ര നിയന്ത്രകൻ ആയി ഞങ്ങൾ പ്രവർത്തിക്കുന്നു, ഇതിൽ ഉൾപ്പെടുന്നു: നിങ്ങളുടെ അക്കൗണ്ട് വിവരങ്ങൾ, ബില്ലിംഗ് ഡാറ്റ, ഉപയോഗ വിശകലനം, നിങ്ങളുടെ വെബ്‌സൈറ്റ് ഉള്ളടക്കത്തിൽ നിന്ന് ലഭിച്ച പൊതു വെബ്‌സൈറ്റ് സവിശേഷതകൾ (വ്യവസായം അല്ലെങ്കിൽ ബിസിനസ് തരം പോലുള്ളവ), കൂടാതെ പ്ലാറ്റ്‌ഫോം പ്രവർത്തന ഡാറ്റയും. ഈ ഡാറ്റയുടെ പ്രോസസ്സിംഗ് ഞങ്ങളുടെ സ്വകാര്യതാ നയത്താൽ നിയന്ത്രിക്കപ്പെടുന്നു, ഈ DPA യുടെ പരിധിക്ക് പുറത്താണ്.

2.3 Platform Analytics

Agreement ൽ വിവരിച്ചിരിക്കുന്നതുപോലെ, ഞങ്ങൾ വെബ്സൈറ്റ് സന്ദർശകരെ കുറിച്ച് അടിസ്ഥാനപരവും privacy-friendly ആയ analytics ശേഖരിക്കുന്നു. Analytics ഡേറ്റയ്ക്കായി ഞങ്ങൾ നിങ്ങളുടെ joint controller ആയി പ്രവർത്തിക്കുന്നു. വ്യക്തിഗത ഡേറ്റ ശേഖരണം കുറയ്ക്കുന്ന തരത്തിലാണ് ഞങ്ങൾ analytics രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത് — ഞങ്ങൾ raw IP addresses സംഭരിക്കുന്നില്ല, സന്ദർശക തിരിച്ചറിയൽ ഐഡന്റിഫയറുകൾ ദൈനിക അടിസ്ഥാനത്തിൽ മാറുന്നു. ഓരോ joint controller ന്റെ അതത് ഉത്തരവാദിത്തങ്ങൾ ഇപ്രകാരമാണ്:

• Acira AI (Processor/Joint Controller): Analytics ശേഖരണത്തിന്റെ സാങ്കേതിക മാർഗങ്ങൾ നിർണ്ണയിക്കുന്നു, ഏതൊക്കെ ഡേറ്റ പോയിന്റുകൾ ശേഖരിക്കുന്നു, സന്ദർശക ഐഡന്റിഫയറുകൾ എങ്ങനെ കണക്കാക്കുന്നു (ദൈനിക-റൊട്ടേറ്റിംഗ് hashes), ഡേറ്റ എങ്ങനെ ശേഖരിക്കുന്നു എന്നിവ ഉൾപ്പെടെ. Analytics infrastructure ന്റെ സുരക്ഷയ്ക്കും സമഗ്രതയ്ക്കും, പ്ലാറ്റ്ഫോമിൽ analytics എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള പൊതു അന്വേഷണങ്ങൾക്ക് ഉത്തരം നൽകുന്നതിനും ഞങ്ങൾ ഉത്തരവാദിത്തമുണ്ട്.
• നിങ്ങൾ (Controller/Joint Controller): നിങ്ങളുടെ വെബ്സൈറ്റിൽ analytics ഉപയോഗിക്കണോ എന്ന് തീരുമാനിക്കുന്നു (സേവനങ്ങളുടെ ഭാഗമായി analytics ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാണ്). നിങ്ങളുടെ വെബ്സൈറ്റിന്റെ privacy policy ൽ analytics ഡേറ്റ ശേഖരണം വെളിപ്പെടുത്തുന്നതിനും analytics ഡേറ്റയുമായി ബന്ധപ്പെട്ട Data Subject അഭ്യർഥനകൾക്ക് ഉത്തരം നൽകുന്നതിനും നിങ്ങൾ ഉത്തരവാദിത്തമുണ്ട്.
• Data Subjects നുള്ള ബന്ധപ്പെടൽ പോയിന്റ്: Data Subjects നിങ്ങളുടെ വെബ്സൈറ്റിൽ ശേഖരിച്ച analytics ഡേറ്റയുമായി ബന്ധപ്പെട്ട് നിങ്ങളെ (വെബ്സൈറ്റ് ഉടമ) ബന്ധപ്പെടാം. Analytics ഡേറ്റയുമായി ബന്ധപ്പെട്ട് ഒരു Data Subject ൽ നിന്ന് ഞങ്ങൾക്ക് ഒരു അഭ്യർഥന ലഭിക്കുകയാണെങ്കിൽ, നിങ്ങൾ മറ്റ് നിർദ്ദേശം നൽകുന്നില്ലെങ്കിൽ ഞങ്ങൾ അവരെ നിങ്ങളിലേക്ക് നയിക്കും. പൊതു പ്ലാറ്റ്ഫോം അന്വേഷണങ്ങൾക്ക്, Data Subjects legal@acira.ai ൽ ഞങ്ങളെ ബന്ധപ്പെടാം.

2.4 Essence of the Joint Controller Arrangement

GDPR ന്റെ Article 26(2) അനുസരിച്ച്, analytics ഡേറ്റയ്ക്കായുള്ള ഈ joint controller ക്രമീകരണത്തിന്റെ സാരം ഇപ്രകാരമാണ്: ഞങ്ങൾ (Acira AI) ശേഖരിക്കുന്ന സാങ്കേതിക മാർഗങ്ങളും ഡേറ്റ പോയിന്റുകളും നിർണ്ണയിക്കുന്നു; നിങ്ങൾ (വെബ്സൈറ്റ് ഓപ്പറേറ്റർ) നിങ്ങളുടെ വെബ്സൈറ്റിൽ analytics ഉപയോഗിക്കുമോ എന്ന് നിർണ്ണയിക്കുന്നു. Applicable Data Protection Law ന് കീഴിലുള്ള ഞങ്ങളുടെ അതത് ബാധ്യതകൾക്ക് ഞങ്ങൾ ഓരോരുത്തരും ഉത്തരവാദിത്തമുണ്ട്. Analytics ഡേറ്റയുമായി ബന്ധപ്പെട്ട് നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകർക്കുള്ള പ്രാഥമിക ബന്ധപ്പെടൽ പോയിന്റ് നിങ്ങളാണ്. ഈ ക്രമീകരണത്തിന്റെ ഒരു സംഗ്രഹം ഈ DPA വഴിയും https://www.acira.ai/dpa ൽ Data Subjects ന് ലഭ്യമാക്കിയിരിക്കുന്നു.

2.5 CCPA Service Provider Designation

California Consumer Privacy Act ("CCPA") ന് വിധേയമായ personal information നിങ്ങളുടെ പക്ഷത്ത് ഞങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്ന പരിധി വരെ, Cal. Civ. Code § 1798.140(ag) ൽ നിർവ്വചിച്ചിരിക്കുന്നതുപോലെ ഞങ്ങൾ നിങ്ങളുടെ "service provider" ആണ്. ഞങ്ങൾ ചെയ്യില്ല:

• നിങ്ങൾ ഞങ്ങൾക്ക് നൽകുന്ന ഏതൊരു personal information ഉം Sell അല്ലെങ്കിൽ share (CCPA ൽ നിർവ്വചിച്ചിരിക്കുന്ന ആ പദങ്ങൾ ഉപയോഗിച്ച്) ചെയ്യില്ല;
• ഈ DPA, Agreement ൽ വ്യക്തമാക്കിയ business purposes ൽ നിന്ന് വ്യത്യസ്തമായ ഏതൊരു ആവശ്യത്തിനും, അല്ലെങ്കിൽ CCPA അനുവദിക്കുന്ന മറ്റ് ആവശ്യങ്ങൾക്കായി personal information Retain, use, അല്ലെങ്കിൽ disclose ചെയ്യില്ല;
• നിങ്ങളും ഞങ്ങളും തമ്മിലുള്ള നേരിട്ടുള്ള ബിസിനസ് ബന്ധത്തിന് പുറത്ത് personal information Retain, use, അല്ലെങ്കിൽ disclose ചെയ്യില്ല;
• നിങ്ങളിൽ നിന്ന് ലഭിക്കുന്ന personal information, മറ്റൊരു വ്യക്തിയിൽ നിന്നോ അല്ലെങ്കിൽ ഞങ്ങൾ consumers ഉമായി ഇടപഴകുന്നതിൽ നിന്നോ ലഭിക്കുന്ന personal information ൽ combine ചെയ്യില്ല, CCPA അനുവദിക്കുന്ന പക്ഷം ഒഴിച്ച്.

വിഭാഗം 2.2-ൽ വിവരിച്ചിരിക്കുന്നതുപോലെ, പ്രസക്തമായ ഉൽപ്പന്ന ശുപാർശകൾ നൽകുന്നതിനായി നിങ്ങളുടെ വെബ്‌സൈറ്റ് ഉള്ളടക്കത്തിൽ നിന്ന് പൊതുവായ, തിരിച്ചറിയാനാകാത്ത ബിസിനസ് സവിശേഷതകൾ (വ്യവസായ വർഗ്ഗീകരണം പോലുള്ളവ) ഞങ്ങൾ ഡെറൈവ് ചെയ്തേക്കാം. ഈ പരിമിതമായ ഉപയോഗം CCPA യുടെ അർത്ഥത്തിൽ വ്യക്തിഗത വിവരങ്ങളുടെ വിൽപ്പന, പങ്കിടൽ അല്ലെങ്കിൽ സംയോജനം ആയി കണക്കാക്കില്ല.

ഈ നിയന്ത്രണങ്ങൾ ഞങ്ങൾ മനസ്സിലാക്കുകയും പാലിക്കുകയും ചെയ്യും എന്ന് ഞങ്ങൾ സാക്ഷ്യപ്പെടുത്തുന്നു.

2.6 Swiss FADP Representative Assessment

Swiss Federal Act on Data Protection ("FADP") ന്റെ Article 14 ൽ, Switzerland ൽ ഇല്ലാത്ത ഒരു private controller ൽ Switzerland ൽ ഒരു representative നെ നിയമിക്കണമെന്ന് ആവശ്യപ്പെടുന്നത്, ഇനിപ്പറയുന്ന നാലും ചേർത്തുള്ള വ്യവസ്ഥകൾ ഒരേ സമയം നിറവേറ്റുമ്പോൾ മാത്രമാണ്: (1) Switzerland ലെ വ്യക്തികൾക്ക് ചരക്കുകളോ സേവനങ്ങളോ വാഗ്ദാനം ചെയ്യുന്നതുമായോ, അല്ലെങ്കിൽ അവരുടെ പെരുമാറ്റം നിരീക്ഷിക്കുന്നതുമായോ ബന്ധപ്പെട്ടതാണ് പ്രോസസ്സിംഗ്; (2) പ്രോസസ്സിംഗ് വലിയ തോതിലാണ്; (3) പ്രോസസ്സിംഗ് പതിവായി നടക്കുന്നു; (4) പ്രോസസ്സിംഗ് data subjects ന്റെ personality rights അല്ലെങ്കിൽ fundamental rights ന് ഉയർന്ന അപകടം ഉണ്ടാക്കുന്നു.

ഈ വ്യവസ്ഥകൾക്കെതിരെ ഞങ്ങൾ ഞങ്ങളുടെ processing activities വിലയിരുത്തി, (1), (3) വ്യവസ്ഥകൾ നിറവേറ്റുമ്പോൾ, ബാക്കി വ്യവസ്ഥകൾ ഇനിപ്പറയുന്ന കാരണങ്ങളാൽ നിറവേറ്റില്ലെന്ന് നിർണ്ണയിച്ചു:

• വലിയ തോതിലല്ല: ഞങ്ങൾ ഒരു ചെറിയ SaaS പ്ലാറ്റ്ഫോമാണ്. ഞങ്ങളുടെ സേവനങ്ങൾ വഴി പ്രോസസ്സ് ചെയ്യുന്ന Swiss residents ന്റെ personal data ന്റെ അളവ് പരിമിതമാണ്, Article 14 FADP ന്റെ അർഥത്തിൽ വലിയ തോതിലുള്ള പ്രോസസ്സിംഗ് ആകുന്നില്ല.
• ഉയർന്ന അപകടമില്ല: Website operators ന്റെ പക്ഷത്ത് ഞങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്ന personal data ൽ പ്രധാനമായും pseudonymized analytics identifiers (ദൈനിക-റൊട്ടേറ്റിംഗ് hashes), അടിസ്ഥാന visitor metadata (country, device type, browser), form submission content, chatbot messages എന്നിവ ഉൾപ്പെടുന്നു. ഞങ്ങൾ special categories of personal data (Article 5(c) FADP) പ്രോസസ്സ് ചെയ്യുന്നില്ല, data subjects ന് ഉയർന്ന അപകടം ഉള്ള profiling ൽ ഏർപ്പെടുന്നില്ല. Swiss Federal Data Protection and Information Commissioner ("FDPIC") ഈ ബാധ്യത പ്രധാനമായും വിദേശത്ത് നിന്ന് പ്രവർത്തിക്കുന്ന വലിയ internet platforms, social networks ൽ ആണ് ലക്ഷ്യമിടുന്നത് എന്ന് സൂചിപ്പിച്ചിട്ടുണ്ട്, ഇത് ഞങ്ങളുടെ സേവനങ്ങളെ വിവരിക്കുന്നില്ല.

ഈ വിലയിരുത്തലിന്റെ അടിസ്ഥാനത്തിൽ, ഇപ്പോൾ Article 14 FADP ന് കീഴിൽ Switzerland ൽ ഒരു representative നെ നിയമിക്കേണ്ടതില്ലെന്ന് ഞങ്ങൾ നിർണ്ണയിച്ചു. Swiss residents നെ ബാധിക്കുന്ന ഞങ്ങളുടെ processing activities ന്റെ തോതിലോ സ്വഭാവത്തിലോ ഭൗതിക മാറ്റങ്ങൾ ഉൾപ്പെടെ, ഈ നിർണ്ണയം ഞങ്ങൾ ആനുകാലികമായി പുനർ-വിലയിരുത്തും.

3. DATA PROCESSING DETAILS

3.1 Subject Matter and Duration

ഈ DPA ന് കീഴിലുള്ള personal data പ്രോസസ്സ് ചെയ്യൽ Agreement ൽ വിവരിച്ചിരിക്കുന്ന സേവനങ്ങൾ നൽകുന്ന ആവശ്യത്തിനായി നടക്കുന്നു, Agreement ന്റെ ദൈർഘ്യം നിലനിൽക്കും.

3.2 Nature and Purpose of Processing

ഞങ്ങൾ personal data പ്രോസസ്സ് ചെയ്യുന്നത്:

• നിങ്ങളുടെ വെബ്സൈറ്റ് content ഹോസ്റ്റ് ചെയ്യാനും serve ചെയ്യാനും
• നിങ്ങളുടെ വെബ്സൈറ്റ് forms, interactive features വഴി സമർപ്പിക്കുന്ന ഡേറ്റ സ്റ്റോർ ചെയ്യാനും മാനേജ് ചെയ്യാനും
• നിങ്ങളുടെ വെബ്സൈറ്റ് protected areas ൽ user accounts, sessions നിലനിർത്താൻ
• നിങ്ങളുടെ പക്ഷത്ത് email communications അയക്കാൻ
• നിങ്ങളുടെ custom domain email addresses ൽ ലഭിക്കുന്ന emails forward ചെയ്യാൻ
• നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകരുമായി AI chatbot conversations നടത്താൻ
• upload ചെയ്ത files ന് AI-powered descriptions, metadata ഉണ്ടാക്കാൻ
• upload ചെയ്ത files web-optimized formats ൽ convert ചെയ്യാൻ
• visitor analytics നൽകാൻ
• പ്രസക്തമായ പ്ലാറ്റ്‌ഫോം ശുപാർശകൾ നൽകുന്നതിന് പൊതു വെബ്‌സൈറ്റ് സവിശേഷതകൾ (വ്യവസായം അല്ലെങ്കിൽ ബിസിനസ് തരം പോലുള്ളവ) ഡെറൈവ് ചെയ്യുക
• spam, abuse കണ്ടെത്താനും തടയാനും (proof-of-work bot challenges ഉൾപ്പെടെ)
• upload ചെയ്ത files ൽ content moderation നടത്താൻ
• platform content policies ൻ്റെ compliance ൽ publication സമയത്ത് website content review ചെയ്യാൻ
• നിങ്ങളുടെ വെബ്‌സൈറ്റിന്റെ ഇമെയിൽ സ്വീകർത്താക്കൾക്കുള്ള ഇമെയിൽ ഒഴിവാക്കൽ മുൻഗണനകൾ നിയന്ത്രിക്കുക
• WebSocket connections വഴി നിങ്ങളുടെ വെബ്സൈറ്റിൽ real-time channel communications സുഗമമാക്കാൻ (messages ephemeral ആണ്, persist ആകില്ല)
• platform reliability, troubleshooting നൽകുന്നതിന് error, diagnostic logs നിലനിർത്താൻ (IP addresses, request metadata ഉൾപ്പെടാം; മുപ്പത് (30) ദിവസം വരെ retain ചെയ്യുന്നു)

3.3 Types of Personal Data

പ്രോസസ്സ് ചെയ്യുന്ന personal data ന്റെ തരങ്ങൾ നിങ്ങൾ നിങ്ങളുടെ വെബ്സൈറ്റ് വഴി ശേഖരിക്കുന്നതിനെ ആശ്രയിക്കുന്നു, ഇതിൽ ഉൾപ്പെടാം:

• പേരുകൾ, ബന്ധപ്പെടൽ വിവരങ്ങൾ
• Email addresses
• Messages, form submissions
• വെബ്സൈറ്റ് സന്ദർശകർ സമർപ്പിക്കുന്ന file uploads (images, documents പോലുള്ളവ)
• Chatbot conversation content (visitor messages, AI responses)
• User account credentials (hashed form ൽ സ്റ്റോർ ചെയ്യുന്നു)
• Session data
• IP addresses (analytics ൽ സ്റ്റോർ ചെയ്യില്ല — ദൈനിക-rotating hash മാത്രം സ്റ്റോർ ചെയ്യുന്നു; form submissions, chatbot conversations ൽ metadata ആയി സ്റ്റോർ ചെയ്യുന്നു; bot challenge verification ന് താൽക്കാലികമായി ഉപയോഗിക്കുകയും hash ചെയ്യുകയും ചെയ്യുന്നു; rate limiting ൽ ഏഴ് (7) ദിവസം വരെ temporarily store ചെയ്ത് auto-purge ചെയ്യുന്നു)
• Browser, device information
• Location data (IP ൽ നിന്ന് derive ചെയ്ത country, region-level)
• ഇമെയിൽ ഒഴിവാക്കൽ രേഖകൾ (സ്വീകർത്താവിന്റെ ഇമെയിൽ വിലാസങ്ങളുടെ ക്രിപ്റ്റോഗ്രാഫിക് ഹാഷുകളായി സംഭരിച്ചിരിക്കുന്നു; അസംസ്‌കൃത രൂപത്തിൽ സംഭരിച്ചിട്ടില്ല)
• Spam classification results (ഒരു submission spam ആണോ എന്ന് നിർണ്ണയിക്കൽ)
• Error, diagnostic log data (IP addresses, request paths, error details; മുപ്പത് (30) ദിവസം വരെ retain ചെയ്ത് auto-purge ചെയ്യുന്നു)

3.4 Categories of Data Subjects

• നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകർ
• നിങ്ങളുടെ വെബ്സൈറ്റിൽ accounts create ചെയ്യുന്ന users
• നിങ്ങളുടെ വെബ്സൈറ്റിൽ forms submit ചെയ്യുകയോ chatbots ഉമായി ഇടപഴകുകയോ ചെയ്യുന്ന users
• നിങ്ങളുടെ വെബ്സൈറ്റിൽ comments, reviews, അല്ലെങ്കിൽ മറ്റ് contributions submit ചെയ്യുന്ന users

4. OBLIGATIONS OF THE PROCESSOR

ഞങ്ങൾ ചെയ്യേണ്ടത്:

1. ബാധകമായ നിയമം ആവശ്യപ്പെടുന്ന ഒഴിവ് ഒഴികെ, നിങ്ങളുടെ documented instructions ൽ മാത്രം personal data പ്രോസസ്സ് ചെയ്യുക (ആ കാരണം ഞങ്ങൾ processing ന് മുൻപ് ആ നിയമ ആവശ്യകത നിങ്ങളെ അറിയിക്കും, നിയമം നിരോധിക്കാത്ത പക്ഷം);
2. Personal data പ്രോസസ്സ് ചെയ്യാൻ അധികാരപ്പെടുത്തിയ വ്യക്തികൾ confidentiality ന് ബദ്ധർ ആണെന്നോ ഉചിതമായ statutory confidentiality obligation ന് കീഴിലാണെന്നോ ഉറപ്പ് വരുത്തുക;
3. Section 9 ൽ വിവരിച്ചിരിക്കുന്ന ഉചിതമായ technical, organizational security measures നടപ്പിലാക്കുക;
4. Section 6 ൽ ഉൾക്കൊള്ളിച്ചിരിക്കുന്ന subprocessors ഏർപ്പെടുത്തുന്നതിന്റെ conditions പാലിക്കുക;
5. Processing ന്റെ സ്വഭാവം കണക്കിലെടുത്ത്, Applicable Data Protection Law ന് കീഴിലുള്ള അവകാശങ്ങൾ വിനിയോഗിക്കുന്ന Data Subjects ൽ നിന്നുള്ള അഭ്യർഥനകൾക്ക് ഉത്തരം നൽകുന്നതിൽ നിങ്ങളെ സഹായിക്കുക;
6. Processing ന്റെ സ്വഭാവവും ഞങ്ങൾക്ക് ലഭ്യമായ വിവരങ്ങളും കണക്കിലെടുത്ത്, GDPR ന്റെ Articles 32-36 (security, breach notification, data protection impact assessments, prior consultation) ന് കീഴിലുള്ള നിങ്ങളുടെ ബാധ്യതകൾ നിറവേറ്റുന്നതിൽ നിങ്ങളെ സഹായിക്കുക. Data Protection Impact Assessment (DPIA) ആവശ്യമായേക്കാവുന്ന ഉയർന്ന-risk processing ഉൾക്കൊള്ളുന്ന സേവനങ്ങൾ ഉപയോഗിക്കുമ്പോൾ, നിങ്ങളുടെ assessment സഹായിക്കുന്നതിന് ഞങ്ങളുടെ processing activities, technical, organizational measures, subprocessors ഇവ കുറിച്ചുള്ള വിവരങ്ങൾ ഞങ്ങൾ നൽകും;
7. Content moderation, spam detection, bot protection ഉൾപ്പെടെ നിങ്ങളുടെ പക്ഷത്ത് നടക്കുന്ന ഏതൊരു automated processing ഉം കുറിച്ചുള്ള വിവരങ്ങൾ നൽകുന്നതിലൂടെ, അഭ്യർഥന പ്രകാരം automated decisions ന്റെ human review സുഗമമാക്കുന്നതിലൂടെ, GDPR ന്റെ Article 22 (automated individual decision-making) ന് കീഴിലുള്ള നിങ്ങളുടെ ബാധ്യതകൾ നിറവേറ്റുന്നതിൽ നിങ്ങളെ സഹായിക്കുക;
8. നിങ്ങളുടെ ഒരു നിർദ്ദേശം Applicable Data Protection Law ലംഘിക്കുന്നുവെന്ന് ഞങ്ങൾ കരുതിയാൽ നിങ്ങളെ അറിയിക്കുക;
9. നിങ്ങളുടെ ഇഷ്ടം അനുസരിച്ച്, സേവനങ്ങൾ നൽകൽ അവസാനിച്ചതിന് ശേഷം എല്ലാ personal data ഉം delete ചെയ്യുകയോ return ചെയ്യുകയോ ചെയ്യുക, ബാധകമായ നിയമം storage ആവശ്യപ്പെടാത്ത പക്ഷം existing copies ഉം delete ചെയ്യുക;
10. ഈ DPA ൽ ഉൾക്കൊള്ളിച്ചിരിക്കുന്ന ബാധ്യതകൾ പാലിക്കുന്നുവെന്ന് demonstrate ചെയ്യുന്നതിന് ആവശ്യമായ എല്ലാ വിവരങ്ങളും നിങ്ങൾക്ക് ലഭ്യമാക്കുക, Section 11 ൽ വിവരിച്ചിരിക്കുന്നതുപോലെ അനുസരണ പരിശോധനയിൽ സഹകരിക്കുകയും ചെയ്യുക.

5. OBLIGATIONS OF THE CONTROLLER

നിങ്ങൾ ചെയ്യേണ്ടത്:

1. നിങ്ങളുടെ വെബ്സൈറ്റ് വഴി personal data ശേഖരിക്കലും processing ഉം Applicable Data Protection Laws എല്ലാം പാലിക്കുന്നുവെന്ന് ഉറപ്പ് വരുത്തുക;
2. Platform-level analytics, AI-powered chatbot interactions, spam detection, bot protection ന്റെ വെളിപ്പെടുത്തൽ ഉൾപ്പെടെ നിങ്ങളുടെ ഡേറ്റ ശേഖരണ രീതികൾ വിവരിക്കുന്ന ഉചിതമായ privacy notices നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകർക്ക് നൽകുക;
3. നിങ്ങളുടെ വെബ്സൈറ്റ് വഴി personal data processing ന് ആവശ്യമായ consents നേടുക അല്ലെങ്കിൽ മറ്റൊരു lawful basis സ്ഥാപിക്കുക;
4. Personal data processing സംബന്ധിച്ച ഞങ്ങൾക്കുള്ള നിങ്ങളുടെ instructions Applicable Data Protection Laws പാലിക്കുന്നുവെന്ന് ഉറപ്പ് വരുത്തുക;
5. നിങ്ങളുടെ വെബ്സൈറ്റ് വഴി ഞങ്ങൾക്ക് നൽകുന്ന personal data ന്റെ accuracy, quality, legality ന് ഉത്തരവാദിത്തമുണ്ടായിരിക്കുക.

സേവനങ്ങൾ ഉപയോഗിക്കുന്നതിലൂടെ, standard platform operations ന്റെ ഭാഗമായി നിങ്ങളുടെ പക്ഷത്ത് ഇനിപ്പറയുന്ന processing activities നടത്താൻ നിങ്ങൾ ഞങ്ങൾക്ക് നിർദ്ദേശം നൽകുന്നു: upload ചെയ്ത files ന്റെ content moderation, published website content ന്റെ content policy review, form submissions ൽ spam detection, proof-of-work challenges വഴി bot protection, നിങ്ങളുടെ വെബ്സൈറ്റ് സന്ദർശകരുമായി AI-powered chatbot interactions. ഈ activities GDPR ന്റെ Article 28(3)(a) ന് കീഴിലുള്ള documented instructions ആണ്.

6. SUBPROCESSORS

6.1 Authorized Subprocessors

സേവനങ്ങൾ നൽകുന്നതിൽ സഹായിക്കാൻ subprocessors ഏർപ്പെടുത്തുന്നതിന് നിങ്ങൾ general authorization നൽകുന്നു. ഞങ്ങളുടെ നിലവിലെ subprocessors ചുവടെ, https://www.acira.ai/dpa ൽ Listed ആണ്.

6.2 Current Subprocessor List

6.3 Changes to Subprocessors

നിങ്ങൾ നിലവിൽ ഉപയോഗിക്കുന്ന സേവനങ്ങൾക്കായുള്ള subprocessor list ൽ ഉദ്ദേശിക്കുന്ന മാറ്റങ്ങൾ, പുതിയ subprocessor personal data process ചെയ്യാൻ ആരംഭിക്കുന്നതിന് കുറഞ്ഞത് പതിനാല് (14) ദിവസം മുൻപ് https://www.acira.ai/dpa ൽ subprocessor list update ചെയ്ത് ഞങ്ങൾ നിങ്ങളെ അറിയിക്കും. അധിക subprocessors ഉൾപ്പെടുന്ന പുതിയ ഫീച്ചറുകളോ സേവനങ്ങളോ ഞങ്ങൾ അവതരിപ്പിക്കുമ്പോൾ, ആ subprocessors ഫീച്ചർ അല്ലെങ്കിൽ സേവനം ലഭ്യമാകുന്ന സമയത്ത് വെളിപ്പെടുത്തും; പുതിയ ഫീച്ചർ അല്ലെങ്കിൽ സേവനം ഉപയോഗിക്കുന്നത് അതിന്റെ വെളിപ്പെടുത്തിയ subprocessors സ്വീകരിക്കുന്നതിന് തുല്യമാണ്. Subprocessor list ൽ മാറ്റങ്ങൾ ആനുകാലികമായി review ചെയ്യുന്നത് നിങ്ങളുടെ ഉത്തരവാദിത്തമാണ്. നിലവിലുള്ള സേവനങ്ങൾക്കായി data process ചെയ്യുന്ന ഒരു പുതിയ subprocessor ൽ നിങ്ങൾക്ക് ന്യായമായ എതിർപ്പ് ഉണ്ടെങ്കിൽ, മാറ്റം publish ചെയ്ത് പതിനാല് (14) ദിവസത്തിനുള്ളിൽ writing ൽ ഞങ്ങളെ അറിയിക്കാം. നിങ്ങളുടെ ആശങ്കകൾ പരിഹരിക്കാൻ ഞങ്ങൾ good faith ൽ നിങ്ങളുമായി പ്രവർത്തിക്കും. നിങ്ങളുടെ ന്യായമായ satisfaction ൽ എതിർപ്പ് പരിഹരിക്കാൻ കഴിയുന്നില്ലെങ്കിൽ, written notice നൽകി Agreement terminate ചെയ്യാം.

6.4 Subprocessor Obligations

ഈ DPA ൽ ഉൾക്കൊള്ളിച്ചതിനേക്കാൾ കുറഞ്ഞ data protection obligations ഇല്ലാത്ത written agreements ഓരോ subprocessor ഉമായും ഞങ്ങൾ ഉണ്ടാക്കും. Services നേരിട്ട് നൽകിയിരുന്നുവെങ്കിൽ ഞങ്ങൾ ഉത്തരവാദിത്തമുള്ളതിന് തുല്യ അളവിൽ ഞങ്ങളുടെ subprocessors ന്റെ acts, omissions ന് ഞങ്ങൾ ഉത്തരവാദിത്തം നിലനിർത്തുന്നു.

7. INTERNATIONAL DATA TRANSFERS

7.1 Transfer Mechanisms

Services പ്രധാനമായും United States ൽ ഹോസ്റ്റ് ചെയ്യുന്നു. Services വഴി പ്രോസസ്സ് ചെയ്യുന്ന Personal data United States ലേക്കും ഞങ്ങളുടെ subprocessors പ്രവർത്തിക്കുന്ന മറ്റ് രാജ്യങ്ങളിലേക്കും transfer ചെയ്യുകയും process ചെയ്യുകയും ചെയ്യാം. AI inference providers (Fireworks AI, xAI) United States ൽ data process ചെയ്യുന്നു. BrightData Israel ലും globally മറ്റ് locations ലും data process ചെയ്യാം. Cloudflare ലോകമൊട്ടിലുമുള്ള edge locations ൽ data process ചെയ്യുന്നു.

EU ഡാറ്റ റെസിഡൻസി: EU റെസിഡന്റുകളായി തിരിച്ചറിഞ്ഞ വെബ്‌സൈറ്റ് ഓപ്പറേറ്റർമാർക്ക്, യൂറോപ്യൻ യൂണിയന് പുറത്ത് വിസിറ്റർ വ്യക്തിഗത ഡാറ്റയുടെ കൈമാറ്റം കുറയ്ക്കുന്നതിന് ഞങ്ങൾ ഇനിപ്പറയുന്ന ഡാറ്റ റെസിഡൻസി നടപടികൾ പ്രയോഗിക്കുന്നു:

• സ്റ്റോറേജ്: പെർസിസ്റ്റന്റ് എഡ്ജ് സ്റ്റോറേജിലെ വിസിറ്റർ ഡാറ്റ — ഫോം സബ്മിഷനുകൾ, ചാറ്റ്ബോട്ട് സംഭാഷണങ്ങൾ, സെഷൻ ഡാറ്റ, യൂസർ ടേബിൾ ഡാറ്റ എന്നിവ ഉൾപ്പെടെ — ജൂറിസ്ഡിക്ഷണലായി യൂറോപ്യൻ യൂണിയനിലേക്ക് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. ഈ ഡാറ്റ EU ഡാറ്റ സെന്ററുകളിൽ മാത്രം സംഭരിക്കുന്നു.
• ഓട്ടോമേറ്റഡ് സന്ദർശക-അധിഷ്ഠിത പ്രോസസിംഗ്: സന്ദർശക പ്രവർത്തനത്താൽ സ്വയമേവ ട്രിഗർ ചെയ്യപ്പെടുന്ന പ്രവർത്തനങ്ങൾ — ഉള്ളടക്ക സമർപ്പണ അറിയിപ്പുകളും ഇടപാട് ഇമെയിൽ ഡെലിവറിയും ഉൾപ്പെടെ — യൂറോപ്യൻ യൂണിയനിൽ പ്രോസസ്സ് ചെയ്യപ്പെടുന്നു, US ഇൻഫ്രാസ്ട്രക്ചറിലൂടെ കടന്നുപോകുന്നില്ല.
• പ്ലാറ്റ്ഫോം മാനേജ്മെന്റ് ആക്സസ്: നിങ്ങളുടെ വെബ്‌സൈറ്റിന്റെ വിസിറ്റർ ഡാറ്റ പ്ലാറ്റ്ഫോം ഡാഷ്ബോർഡ് അല്ലെങ്കിൽ സംഭാഷണ ഇന്റർഫേസ് വഴി ആക്സസ് ചെയ്യുമ്പോൾ (ഉദാഹരണത്തിന്, ഫോം സബ്മിഷനുകൾ കാണുക അല്ലെങ്കിൽ യൂസർ റെക്കോർഡുകൾ മാനേജ് ചെയ്യുക), നിങ്ങളുടെ അഭ്യർത്ഥന നിറവേറ്റുന്നതിന് ഈ ഡാറ്റ ഞങ്ങളുടെ US-ആസ്ഥാനമായ ഇൻഫ്രാസ്ട്രക്ചറിലൂടെ പ്രോസസ്സ് ചെയ്തേക്കാം. ഈ കൈമാറ്റങ്ങൾ ഓൺ-ഡിമാൻഡ് ആണ്, നിങ്ങൾ (കൺട്രോളർ) ആരംഭിച്ചതാണ്, താഴെ വിവരിച്ചിരിക്കുന്ന കൈമാറ്റ സംവിധാനങ്ങളും അനുബന്ധ നടപടികളും വഴി സംരക്ഷിക്കപ്പെടുന്നു.
• മറ്റ് US-ആസ്ഥാന പ്രോസസ്സിംഗ്: അനലിറ്റിക്സ് ഡാറ്റയും കണ്ടെന്റ് മോഡറേഷനും AI ഇൻഫറൻസിനും വേണ്ടി ഞങ്ങളുടെ US-ആസ്ഥാന ക്ലൗഡ് ഇൻഫ്രാസ്ട്രക്ചർ പ്രോസസ്സ് ചെയ്യുന്ന ഡാറ്റയും താഴെയുള്ള കൈമാറ്റ സംവിധാനങ്ങൾക്ക് വിധേയമായി യുണൈറ്റഡ് സ്റ്റേറ്റ്സിലേക്ക് കൈമാറ്റം ചെയ്യപ്പെട്ടേക്കാം.

EEA, UK, Switzerland ൽ നിന്ന് ഉചിതമായ ഡേറ്റ സംരക്ഷണ നിലവാരം ഉള്ള രാജ്യങ്ങൾ ആണെന്ന് അംഗീകരിക്കപ്പെടാത്ത രാജ്യങ്ങളിലേക്ക് personal data transfer ന്, ഞങ്ങൾ ആശ്രയിക്കുന്നത്:

1. Standard Contractual Clauses (SCCs): ഈ DPA ൽ reference ആയി European Commission ന്റെ Standard Contractual Clauses ഞങ്ങൾ incorporate ചെയ്യുന്നു: Section 2.3 ൽ ഞങ്ങൾ joint controller ആയി പ്രവർത്തിക്കുന്ന analytics data ന് Module One (Controller to Controller), നിങ്ങളുടെ പക്ഷത്ത് process ചെയ്യുന്ന മറ്റ് personal data ൾക്ക് Module Two (Controller to Processor). SCCs https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ൽ ലഭ്യമാണ്.
2. UK International Data Transfer Addendum: UK ൽ നിന്നുള്ള transfers ന്, EU SCCs ലേക്കുള്ള UK Addendum ബാധകമാണ്.
3. Swiss Data Transfer Mechanisms: Switzerland ൽ നിന്നുള്ള transfers ന്, Swiss FADP ആവശ്യപ്പെടുന്ന modifications ഉള്ള SCCs ബാധകമാണ്.

7.2 Supplementary Measures

Transfer ചെയ്ത personal data സംരക്ഷിക്കാൻ ഞങ്ങൾ ഇനിപ്പറയുന്ന supplementary measures നടപ്പിലാക്കുന്നു:

• Transit ൽ (TLS/SSL) data encryption, rest ൽ
• Access controls, authentication mechanisms
• Regular security assessments
• Data minimization practices (ഉദാ., raw IP storage ന് പകരം ദൈനിക-rotating visitor hashes)
• EU-റെസിഡന്റ് വെബ്‌സൈറ്റ് ഓപ്പറേറ്റർമാർക്ക് ജൂറിസ്ഡിക്ഷണൽ ഡാറ്റ റെസിഡൻസി (പെർസിസ്റ്റന്റ് സ്റ്റോറേജും ഓട്ടോമേറ്റഡ് വിസിറ്റർ-ഫേസിംഗ് പ്രോസസ്സിംഗും EU-യിലേക്ക് പരിമിതപ്പെടുത്തിയിരിക്കുന്നു)
• EU താമസക്കാരായ വെബ്‌സൈറ്റ് ഓപ്പറേറ്റർമാർക്ക് ഓട്ടോമേറ്റഡ് സന്ദർശക-അധിഷ്ഠിത പ്രവർത്തനങ്ങൾക്കായി EU-അധിഷ്ഠിത കമ്പ്യൂട്ട്, ഇമെയിൽ ഇൻഫ്രാസ്ട്രക്ചർ (ഉള്ളടക്ക സമർപ്പണ അറിയിപ്പുകളും ഇടപാട് ഇമെയിൽ ഡെലിവറിയും യൂറോപ്യൻ യൂണിയനിൽ പ്രോസസ്സ് ചെയ്യപ്പെടുന്നു)

7.3 Transfer Impact Assessment

ഈ supplementary measures, transfer ചെയ്ത data ന്റെ സ്വഭാവം, ആശ്രയിക്കുന്ന transfer mechanism, നടപ്പിലാക്കിയ technical, organizational safeguards ഇവ കണക്കിലെടുത്ത് destination countries ൽ നിലവിലുള്ള നിയമങ്ങളും practices ഉം കുറിച്ചുള്ള ഞങ്ങളുടെ assessment ൽ നിന്ന് informed ആണ്. SCCs ലെ commitments ൊന്നിച്ച്, മേൽ വിവരിച്ച supplementary measures transfer ചെയ്ത personal data ന് ഉചിതമായ സംരക്ഷണ നിലവാരം നൽകുന്നുണ്ടെന്ന് ഞങ്ങൾ assess ചെയ്തിട്ടുണ്ട്. ഞങ്ങളുടെ Transfer Impact Assessment https://www.acira.ai/tia ൽ ലഭ്യമാണ്.

7.4 Canadian Data Transfers

Canada ൽ നിന്ന് personal data transfers ന്, Personal Information Protection and Electronic Documents Act (PIPEDA), ബാധകമായ provincial privacy legislation (Alberta ന്റെ PIPA, British Columbia ന്റെ PIPA, Quebec ന്റെ Act respecting the protection of personal information in the private sector ഉൾപ്പെടെ) ന് കീഴിൽ ആവശ്യമായ comparable level of protection Canada ക്ക് പുറത്ത് transfer ചെയ്ത personal data ന് ലഭ്യമാകുന്നുണ്ടെന്ന് ഉറപ്പ് വരുത്തുന്ന ഇനിപ്പറയുന്ന safeguards ഞങ്ങൾ ആശ്രയിക്കുന്നു:

1. Contractual protections: ഓരോ subprocessor ഉമായും ഉചിതമായ security safeguards, use limitations, breach notification, data subject access ൻ്റെ requirements ഉൾപ്പെടെ Canadian privacy law ൻ്റെ standard ൽ personal data സംരക്ഷിക്കാൻ obligations ചുമത്തുന്ന written data processing agreements.
2. Technical safeguards: Section 7.2 ൽ വിവരിച്ച encryption, pseudonymization, access control, data minimization measures Canadian data transfers ൽ ബാധകമാണ്.
3. Organizational safeguards: ഈ DPA ൽ വിവരിച്ചിരിക്കുന്ന subprocessor due diligence, personnel ൻ്റെ confidentiality obligations, documented incident response procedures.

Consumer Privacy Protection Act (CPPA) proposed ഉൾപ്പെടെ Canadian privacy law ൽ developments monitor ചെയ്ത്, ആവശ്യം വരുന്ന transfer mechanisms update ചെയ്യും.

8. DATA SUBJECT RIGHTS

8.1 Assistance with Requests

Access, rectification, erasure, restriction, portability, objection ൻ്റെ rights ഉൾപ്പെടെ Applicable Data Protection Law ന് കീഴിലുള്ള അവകാശങ്ങൾ വിനിയോഗിക്കുന്ന Data Subjects ൽ നിന്നുള്ള അഭ്യർഥനകൾക്ക് ഉത്തരം നൽകുന്നതിൽ ഞങ്ങൾ നിങ്ങളെ സഹായിക്കും.

8.2 Notification

നിങ്ങളുടെ പക്ഷത്ത് process ചെയ്ത personal data സംബന്ധിച്ച് ഒരു Data Subject ൽ നിന്ന് നേരിട്ട് ഞങ്ങൾക്ക് ഒരു അഭ്യർഥന ലഭിക്കുകയാണെങ്കിൽ, ഞങ്ങൾ ഉടൻ നിങ്ങളെ അറിയിക്കും, ബാധകമായ നിയമം ആവശ്യപ്പെടാത്ത പക്ഷം നിങ്ങളുടെ instructions ഇല്ലാതെ അഭ്യർഥനയ്ക്ക് ഉത്തരം നൽകില്ല.

8.3 Platform Tools

Data Subject അഭ്യർഥനകൾ നിറവേറ്റാൻ Services ൽ ഞങ്ങൾ tools നൽകുന്നു, ഇതിൽ ഉൾപ്പെടുന്നു:

• നിങ്ങളുടെ വെബ്സൈറ്റ് databases ൽ store ചെയ്ത data ലേക്ക് access, management
• നിങ്ങളുടെ വെബ്സൈറ്റ് databases ൽ നിന്ന് individual records deletion
• Request പ്രകാരം, data portability obligations ൽ സഹായിക്കാൻ ZIP format ൽ data exports നൽകാം

9. DATA SECURITY

9.1 Security Measures

Unauthorized, unlawful processing ൽ നിന്നും accidental loss, destruction, damage ൽ നിന്നും personal data സംരക്ഷിക്കാൻ ഉചിതമായ technical, organizational measures implement, maintain ചെയ്യുന്നു. ഈ measures ൽ ഉൾപ്പെടുന്നു:

• Encryption: TLS/SSL വഴി transit ൽ data encrypt ചെയ്യുകയും industry-standard encryption ഉപയോഗിച്ച് rest ൽ encrypt ചെയ്യുകയും ചെയ്യുന്നു
• Access Control: Role-based access controls, platform administration ന് multi-factor authentication, least-privilege access policies
• Infrastructure Security: Automated security patching, DDoS protection, Web Application Firewall (WAF) ഉള്ള managed cloud infrastructure
• Data Isolation: Dedicated storage instances വഴി per-website data isolation
• Monitoring: Automated security monitoring, intrusion detection, structured logging
• Credential Security: Dedicated secrets management services ൽ store ചെയ്ത API keys, secrets; per-user salts ഉള്ള strong cryptographic algorithms ഉപയോഗിച്ച് hashed user passwords
• Bot Protection: Automated abuse തടയാൻ proof-of-work challenge systems

9.2 Confidentiality

Personal data process ചെയ്യാൻ authorized ആയ personnel confidentiality obligations ൽ bound ആണെന്ന് ഞങ്ങൾ ഉറപ്പ് വരുത്തുന്നു.

10. DATA BREACH NOTIFICATION

10.1 Notification to Controller

നിങ്ങളുടെ പക്ഷത്ത് process ചെയ്ത personal data ബാധിക്കുന്ന ഒരു personal data breach confirm ചെയ്ത ശേഷം undue delay ഇല്ലാതെ നിങ്ങളെ ഞങ്ങൾ അറിയിക്കും. Notification നിങ്ങളുടെ account ഉമായി ബന്ധിപ്പിച്ച contact information ലേക്ക് അയക്കും.

10.2 Notification Content

ഞങ്ങളുടെ breach notification ൽ, ലഭ്യമായ അളവ് വരെ, ഉൾപ്പെടും:

1. Breach ന്റെ സ്വഭാവത്തിന്റെ description, ബാധിത Data Subjects, records ൻ്റെ categories, approximate number ഉൾപ്പെടെ;
2. ഞങ്ങളുടെ data protection contact ൻ്റെ പേര്, contact details;
3. Breach ൻ്റെ probable consequences ൻ്റെ description;
4. Breach address ചെയ്യുന്നതിനും effects കുറയ്ക്കുന്നതിനും എടുത്ത അല്ലെങ്കിൽ proposed measures ൻ്റെ description.

10.3 Your Obligations

Applicable Data Protection Law ആവശ്യപ്പെടുന്ന personal data breach, relevant supervisory authority, affected Data Subjects ൽ notify ചെയ്യുന്നതിന് നിങ്ങൾ ഉത്തരവാദിത്തമുണ്ട്. Breach notification obligations പാലിക്കാൻ നിങ്ങളെ സഹായിക്കാൻ ഞങ്ങൾ നിങ്ങളുമായി സഹകരിക്കുകയും reasonable assistance നൽകുകയും ചെയ്യും.

11. ഓഡിറ്റുകളും അനുസരണ പരിശോധനയും

11.1 അനുസരണ രേഖകൾ

ഈ DPA-യുമായുള്ള ഞങ്ങളുടെ അനുസരണം തെളിയിക്കുന്നതിന്, ന്യായമായ രേഖാമൂലമുള്ള അഭ്യർത്ഥനയിൽ (പ്രതിവർഷം ഒരു തവണ വരെ) ഞങ്ങൾ നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ലഭ്യമാക്കും:

1. പ്രസക്തമായ മൂന്നാം കക്ഷി ഓഡിറ്റ് റിപ്പോർട്ടുകൾ, സർട്ടിഫിക്കേഷനുകൾ അല്ലെങ്കിൽ സുരക്ഷാ വിലയിരുത്തൽ സംഗ്രഹങ്ങൾ;
2. ഞങ്ങളുടെ നിലവിലുള്ള സാങ്കേതിക, സംഘടനാ സുരക്ഷാ നടപടികളുടെ സംഗ്രഹം;
3. ഞങ്ങളുടെ പ്രോസസ്സിംഗ് പ്രവർത്തനങ്ങൾ, ഉപ-പ്രോസസ്സർമാർ, ഡാറ്റ സംരക്ഷണ സമ്പ്രദായങ്ങൾ എന്നിവ സംബന്ധിച്ച വിവരങ്ങൾ.

മൂന്നാം കക്ഷി ഇൻഫ്രാസ്ട്രക്ചർ ദാതാക്കളെ (AWS, Cloudflare തുടങ്ങിയവ) ഞങ്ങൾ ആശ്രയിക്കുന്നിടത്ത്, അവരുടെ സുരക്ഷാ സർട്ടിഫിക്കേഷനുകളും അനുസരണ രേഖകളും അവരുടെ ബന്ധപ്പെട്ട ട്രസ്റ്റ് ആൻഡ് കംപ്ലയൻസ് പ്രോഗ്രാമുകളിലൂടെ ലഭ്യമാണ്.

11.2 അധിക ചോദ്യങ്ങൾ

വിഭാഗം 11.1 പ്രകാരം നൽകിയ രേഖകൾ നിങ്ങളുടെ അനുസരണ ആശങ്കകൾ ന്യായമായി പരിഹരിക്കുന്നില്ലെങ്കിൽ, ഞങ്ങളുടെ ഡാറ്റ സംരക്ഷണ സമ്പ്രദായങ്ങളെ സംബന്ധിച്ച പ്രത്യേക രേഖാമൂലമുള്ള ചോദ്യങ്ങൾ നിങ്ങൾക്ക് സമർപ്പിക്കാം, അവയ്ക്ക് ന്യായമായ സമയപരിധിക്കുള്ളിൽ ഞങ്ങൾ മറുപടി നൽകും.

12. DATA RETENTION AND DELETION

12.1 During the Agreement

Agreement ൻ്റെ ദൈർഘ്യം, Services വഴി നിങ്ങളുടെ instructions അനുസരിച്ച്, നിങ്ങളുടെ പക്ഷത്ത് process ചെയ്ത personal data retain ചെയ്യും. Visitor data ൻ്റെ specific retention periods:

• നിങ്ങളുടെ വെബ്സൈറ്റിലെ Chatbot conversations: ഓരോ conversation ലെ അവസാന interaction ൽ നിന്ന് മുപ്പത് (30) ദിവസം retain ചെയ്യുന്നു. Conversations website ൻ്റെ edge infrastructure ൽ visitor sessions ൽ stored ആണ്, inactivity കാരണം session expire ആകുമ്പോൾ auto-delete ചെയ്യുന്നു.
• നിങ്ങളുടെ വെബ്സൈറ്റിലെ Form submissions, user-generated content: platform tools വഴി നേരത്തെ delete ചെയ്യുന്നില്ലെങ്കിൽ, associated website ൻ്റെ ദൈർഘ്യം retain ചെയ്യുന്നു.
• നിങ്ങളുടെ website visitors ൻ്റെ Session data: 30 ദിവസം inactivity ക്ക് ശേഷം auto-delete ചെയ്യുന്നു.
• Deleted visitor content (form submissions, comments, നിങ്ങളുടെ വെബ്സൈറ്റിലെ മറ്റ് user-generated content): platform tools വഴി visitor content delete ചെയ്യുമ്പോൾ, soft-delete state ൽ move ചെയ്ത് recovery support ൽ മുപ്പത് (30) ദിവസം വരെ retain ചെയ്യുന്നു. ഈ കാലയളവിന് ശേഷം, soft-deleted content permanently remove ചെയ്യുന്നു. Recovery queue ൽ നിന്ന് purge ചെയ്ത് ഉടൻ permanently delete ചെയ്യാം.
• നിങ്ങളുടെ വെബ്‌സൈറ്റിലെ ഇമെയിൽ ഒഴിവാക്കൽ രേഖകൾ: സ്വീകർത്താവ് വീണ്ടും സബ്‌സ്‌ക്രൈബ് ചെയ്യാത്തിടത്തോളം ബന്ധപ്പെട്ട വെബ്‌സൈറ്റിന്റെ കാലയളവിൽ നിലനിർത്തുന്നു. വെബ്‌സൈറ്റ് നശിപ്പിക്കുമ്പോൾ ഒഴിവാക്കൽ രേഖകൾ ഇല്ലാതാക്കുന്നു.
• Analytics data: Plan-based retention limits ന് വിധേയമായി associated website ൻ്റെ ദൈർഘ്യം retain ചെയ്യുന്നു (free plan analytics data തൊണ്ണൂറ് (90) ദിവസം retain ചെയ്യുന്നു).

12.2 Upon Termination

Agreement terminate ചെയ്യുമ്പോൾ, അല്ലെങ്കിൽ നിങ്ങളുടെ request പ്രകാരം, Agreement ൽ വിവരിച്ചിരിക്കുന്ന data retention practices (account, website deletions ന് ഏഴ് (7) ദിവസം grace period ഉൾപ്പെടെ) അനുസരിച്ച് നിങ്ങളുടെ പക്ഷത്ത് process ചെയ്ത personal data ഞങ്ങൾ delete ചെയ്യും. Grace period ൻ്റെ ശേഷം, deletion permanent, irreversible ആണ്.

12.3 Exceptions

Applicable law ആവശ്യപ്പെടുന്ന അളവ് വരെ, അല്ലെങ്കിൽ data anonymized ആയി ഒരു Data Subject ഉമായി link ചെയ്യാൻ കഴിയാത്ത സ്ഥിതിയിൽ, personal data retain ചെയ്യാം.

13. TERM AND TERMINATION

ഈ DPA, Agreement accept ചെയ്ത തീയതിൽ നിലവിൽ വരുന്നു, നിങ്ങളുടെ പക്ഷത്ത് ഞങ്ങൾ personal data process ചെയ്യുന്ന കാലത്തോളം effective ആണ്. ഈ DPA ൽ ഉൾക്കൊള്ളിച്ച confidentiality, data protection ൻ്റെ obligations, Agreement terminate ചെയ്ത ശേഷവും നിലനിൽക്കും.

14. LIMITATION OF LIABILITY

ഈ DPA ന് കീഴിൽ ഓരോ party ഉടെ liability, Agreement ൽ ഉൾക്കൊള്ളിച്ച liability limitations ന് വിധേയമാണ്.

15. CONTACT

ഈ DPA കുറിച്ചുള്ള ചോദ്യങ്ങൾക്കോ നിങ്ങളുടെ അവകാശങ്ങൾ വിനിയോഗിക്കാനോ, ഇവിടെ ബന്ധപ്പെടുക:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

ഫോൺ: 888-389-1189
ഇ-മെയിൽ: legal@acira.ai