TILLEGG OM DATABEHANDLING

Sist oppdatert: 19. mars 2026

Dette Tillegget om Databehandling ("TDB") er en del av Vilkårene og Betingelsene ("Avtalen") mellom Acira AI LLC ("Databehandler," "vi," "oss") og brukeren av Tjenestene ("Behandlingsansvarlig," "du") og utfyller Avtalen med hensyn til behandling av personopplysninger.

Dette TDB gjelder når du bruker Tjenestene til å opprette, hoste og publisere nettsteder som samler inn eller behandler personopplysninger om enkeltpersoner som befinner seg i Det europeiske økonomiske samarbeidsområdet ("EØS"), Storbritannia ("UK") eller Sveits, eller der det ellers er påkrevd av gjeldende personvernlovgivning.

Denne Databehandlingsavtalen kan bli oversatt til andre språk for din bekvemmelighet. Ved motstrid eller uoverensstemmelse mellom den engelske versjonen og en oversatt versjon, skal den engelske versjonen gjelde.

INNHOLDSFORTEGNELSE

1. DEFINISJONER
2. OMFANG OG ROLLER
3. DETALJER OM DATABEHANDLING
4. FORPLIKTELSER FOR DATABEHANDLEREN
5. FORPLIKTELSER FOR DEN BEHANDLINGSANSVARLIGE
6. UNDERDATABEHANDLERE
7. INTERNASJONALE DATAOVERFØRINGER
8. REGISTRERTES RETTIGHETER
9. DATASIKKERHET
10. VARSLING OM DATABRUDD
11. REVISJONER OG SAMSVARSVERIFIKASJON
12. DATAOPPBEVARING OG SLETTING
13. VARIGHET OG OPPSIGELSE
14. ANSVARSBEGRENSNING
15. KONTAKT OSS

1. DEFINISJONER

"Gjeldende Personvernlovgivning" betyr alle lover og forskrifter som gjelder for behandling av personopplysninger under dette TDB, inkludert (der det er aktuelt) den generelle personvernforordningen (EU) 2016/679 ("GDPR"), UK GDPR, den sveitsiske føderale loven om personvern ("FADP") og California Consumer Privacy Act ("CCPA").

"Behandlingsansvarlig" betyr den fysiske eller juridiske personen som bestemmer formålene og midlene for behandling av personopplysninger — i denne sammenhengen du, brukeren av Tjenestene som driver et nettsted gjennom plattformen.

"Registrert" betyr en identifisert eller identifiserbar fysisk person hvis personopplysninger behandles.

"Personopplysninger" betyr enhver informasjon om en Registrert som behandles gjennom Tjenestene.

"Behandling" betyr enhver operasjon eller sett av operasjoner utført på personopplysninger, inkludert innsamling, registrering, organisering, strukturering, lagring, tilpasning, gjenfinning, konsultasjon, bruk, utlevering, spredning, begrensning, sletting eller destruksjon.

"Databehandler" betyr en fysisk eller juridisk person som behandler personopplysninger på vegne av den Behandlingsansvarlige — i denne sammenhengen Acira AI LLC.

"Underdatabehandler" betyr enhver tredjepart som er engasjert av Databehandleren for å behandle personopplysninger på vegne av den Behandlingsansvarlige.

"Standardkontraktsbestemmelser" eller "SKB-er" betyr standardkontraktsbestemmelsene for overføring av personopplysninger til databehandlere etablert i tredjeland, slik de er vedtatt av Europakommisjonen.

2. OMFANG OG ROLLER

2.1 Behandlingsforhold

Når du bruker Tjenestene til å opprette og drive et nettsted som samler inn personopplysninger fra dine nettstedsbesøkende (gjennom skjemaer, brukerkontoer, chatbotinteraksjoner, kommentarer, anmeldelser eller andre interaktive funksjoner), opptrer du som Behandlingsansvarlig og vi opptrer som Databehandler av disse besøkendes personopplysninger.

2.2 Vår Rolle som Behandlingsansvarlig

Vi opptrer som uavhengig Behandlingsansvarlig for personopplysninger vi samler inn for våre egne formål, inkludert: kontoinformasjonen din, faktureringsdata, bruksanalyse, generelle nettstedsegenskaper utledet fra nettstedets innhold (som bransje eller virksomhetstype), og plattformens driftsdata. Behandlingen av disse dataene er underlagt vår Personvernpolicy og faller utenfor dette DPAs virkeområde.

2.3 Plattformanalyse

Vi samler inn grunnleggende, personvernvennlig analyse av nettstedsbesøkende (som beskrevet i Avtalen). For analysedata opptrer vi som felles behandlingsansvarlig med deg. Vi har utformet analysen vår for å minimere innsamling av personopplysninger — vi lagrer ikke rå IP-adresser, og besøksidentifikatorer roteres daglig. De respektive ansvarsområdene til hver felles behandlingsansvarlig er som følger:

• Acira AI (Databehandler/Felles Behandlingsansvarlig): Bestemmer de tekniske midlene for innsamling av analyser, inkludert hvilke datapunkter som samles inn, hvordan besøksidentifikatorer beregnes (daglig roterende hashes) og hvordan data aggregeres. Vi er ansvarlige for sikkerheten og integriteten til analyseinfrastrukturen og for å svare på generelle henvendelser om hvordan analyser fungerer på plattformen.
• Du (Behandlingsansvarlig/Felles Behandlingsansvarlig): Bestemmer om analyser skal brukes på nettstedet ditt (analyser er aktivert som standard som en del av Tjenestene). Du er ansvarlig for å opplyse om innsamling av analysedata i nettstedets personvernerklæring og for å svare på henvendelser fra Registrerte fra dine nettstedsbesøkende angående analysedata.
• Kontaktpunkt for Registrerte: Registrerte kan kontakte deg (nettstedseieren) angående analysedata som er samlet inn på nettstedet ditt. Hvis vi mottar en henvendelse fra en Registrert angående analysedata, vil vi henvise dem til deg med mindre du instruerer oss annerledes. For generelle plattformhenvendelser kan Registrerte kontakte oss på legal@acira.ai.

2.4 Kjernen i Ordningen med Felles Behandlingsansvarlig

I samsvar med artikkel 26(2) i GDPR er kjernen i denne ordningen med felles behandlingsansvarlig for analysedata som følger: Vi (Acira AI) bestemmer de tekniske midlene og datapunktene som samles inn; du (nettstedsoperatøren) bestemmer om analyser brukes på nettstedet ditt. Vi er hver for oss ansvarlige for våre respektive forpliktelser under Gjeldende Personvernlovgivning. Du er det primære kontaktpunktet for dine nettstedsbesøkende angående analysedata. Et sammendrag av denne ordningen gjøres tilgjengelig for Registrerte gjennom dette TDB og på https://www.acira.ai/dpa.

2.5 CCPA-betegnelse som Tjenesteleverandør

I den grad vi behandler personopplysninger underlagt California Consumer Privacy Act ("CCPA") på dine vegne, er vi din "tjenesteleverandør" som definert i Cal. Civ. Code § 1798.140(ag). Vi skal ikke:

• Selge eller dele (slik disse begrepene er definert under CCPA) personopplysninger du gir oss;
• Beholde, bruke eller utlevere personopplysninger for noe annet formål enn forretningsformålene spesifisert i dette TDB og Avtalen, eller som ellers tillatt av CCPA;
• Beholde, bruke eller utlevere personopplysninger utenfor det direkte forretningsforholdet mellom deg og oss;
• Kombinere personopplysninger mottatt fra deg med personopplysninger vi mottar fra eller på vegne av en annen person, eller som vi samler inn fra våre egne interaksjoner med forbrukere, unntatt som tillatt av CCPA.

Vi kan utlede generelle, ikke-identifiserende virksomhetsegenskaper (som bransjeklassifisering) fra nettstedets innhold for å gi relevante produktanbefalinger, som beskrevet i Avsnitt 2.2. Denne begrensede bruken utgjør ikke salg, deling eller kombinering av personopplysninger i CCPAs forstand.

Vi bekrefter at vi forstår og vil overholde disse begrensningene.

2.6 Vurdering av Sveitsisk FADP-representant

Artikkel 14 i den sveitsiske føderale loven om personvern ("FADP") krever at en ikke-sveitsisk privat behandlingsansvarlig utpeker en representant i Sveits kun når alle fire av de følgende kumulative betingelsene er oppfylt: (1) behandlingen er forbundet med tilbud om varer eller tjenester til, eller overvåking av atferden til, personer i Sveits; (2) behandlingen skjer i stor skala; (3) behandlingen skjer regelmessig; og (4) behandlingen utgjør en høy risiko for personlighetsrettighetene eller grunnleggende rettigheter til de registrerte.

Vi har vurdert våre behandlingsaktiviteter mot disse betingelsene og har fastslått at selv om betingelsene (1) og (3) er oppfylt, er de gjenværende betingelsene ikke tilfredsstilt av følgende årsaker:

• Ikke stor skala: Vi er en liten SaaS-plattform. Volumet av personopplysninger om sveitsiske innbyggere som behandles gjennom våre Tjenester er begrenset og utgjør ikke behandling i stor skala i henhold til artikkel 14 FADP.
• Ikke høy risiko: Personopplysningene vi behandler på vegne av nettstedsoperatører består primært av pseudonymiserte analyseidentifikatorer (daglig roterende hashes), grunnleggende besøksmetadata (land, enhetstype, nettleser), innhold i skjemainnsendinger og chatbotmeldinger. Vi behandler ikke spesielle kategorier av personopplysninger (artikkel 5(c) FADP), og vi driver ikke profilering med høy risiko for de registrerte. Den sveitsiske føderale datatilsyns- og informasjonskommissæren ("FDPIC") har indikert at denne forpliktelsen primært er rettet mot store internettplattformer og sosiale nettverk som opererer fra utlandet, noe som ikke beskriver våre Tjenester.

Basert på denne vurderingen har vi konkludert med at vi for øyeblikket ikke er pålagt å utpeke en representant i Sveits i henhold til artikkel 14 FADP. Vi vil periodisk revurdere denne beslutningen, inkludert ved vesentlige endringer i omfanget eller arten av våre behandlingsaktiviteter som berører sveitsiske innbyggere.

3. DETALJER OM DATABEHANDLING

3.1 Emne og Varighet

Behandlingen av personopplysninger under dette TDB utføres med det formål å levere Tjenestene som beskrevet i Avtalen og vil fortsette i avtalens løpetid.

3.2 Art og Formål med Behandling

Vi behandler personopplysninger for å:

• Hoste og levere nettstedsinnholdet ditt
• Lagre og administrere data som er sendt inn gjennom nettstedets skjemaer og interaktive funksjoner
• Vedlikeholde brukerkontoer og sesjoner for nettstedets beskyttede områder
• Levere e-postkommunikasjon på dine vegne
• Videresende e-poster mottatt på dine egendefinerte domene-e-postadresser
• Drive AI-chatbotsamtaler med nettstedsbesøkende
• Generere AI-drevne beskrivelser og metadata for opplastede filer
• Konvertere opplastede filer til nettoptimaliserte formater
• Tilby besøksanalyser
• Utlede generelle nettstedsegenskaper (som bransje eller virksomhetstype) for å gi relevante plattformanbefalinger
• Oppdage og forhindre spam og misbruk (inkludert proof-of-work bot-utfordringer)
• Utføre innholdsmoderering på opplastede filer
• Gjennomgå nettstedsinnhold under publisering for overholdelse av plattformens innholdspolicyer
• Administrere e-postavmeldingsinnstillinger for nettstedets e-postmottakere
• Tilrettelegge sanntids kanalkommunikasjon på nettstedet ditt via WebSocket-tilkoblinger (meldinger er kortvarige og lagres ikke)
• Vedlikeholde feil- og diagnoselogger for plattformens pålitelighet og feilsøking (kan inneholde IP-adresser og forespørselsmetadata; oppbevart i opptil tretti (30) dager)

3.3 Typer Personopplysninger

Typene personopplysninger som behandles avhenger av hva du samler inn gjennom nettstedet ditt, som kan inkludere:

• Navn og kontaktinformasjon
• E-postadresser
• Meldinger og skjemainnsendinger
• Filopplastinger sendt inn av nettstedsbesøkende (som bilder og dokumenter)
• Innhold i chatbotsamtaler (besøkendes meldinger og AI-svar)
• Brukerkonto-legitimasjon (lagret i hashet form)
• Sesjonsdata
• IP-adresser (lagres ikke i analyser — bare en daglig roterende hash lagres; lagret som metadata ved siden av skjemainnsendinger og chatbotsamtaler; midlertidig brukt og hashet for bot-utfordringbekreftelse; midlertidig lagret for hastighetsbegrensning i opptil syv (7) dager og automatisk slettet)
• Nettleser- og enhetsinformasjon
• Stedsdata (land- og regionnivå, avledet fra IP)
• E-postavmeldingsregistreringer (lagret som kryptografiske hasher av mottakernes e-postadresser; ikke lagret i råformat)
• Spamklassifiseringsresultater (om en innsending ble ansett som spam)
• Feil- og diagnoseloggdata (IP-adresser, forespørselsveier og feildetaljer; oppbevart i opptil tretti (30) dager og automatisk slettet)

3.4 Kategorier av Registrerte

• Dine nettstedsbesøkende
• Brukere som oppretter kontoer på nettstedet ditt
• Brukere som sender inn skjemaer eller interagerer med chatboter på nettstedet ditt
• Brukere som sender inn kommentarer, anmeldelser eller andre bidrag på nettstedet ditt

4. FORPLIKTELSER FOR DATABEHANDLEREN

Vi skal:

1. Behandle personopplysninger kun på grunnlag av dine dokumenterte instruksjoner, med mindre det er påkrevd av gjeldende lov (i så fall vil vi informere deg om det lovkravet før behandling, med mindre dette er forbudt ved lov);
2. Sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovpålagt taushetsplikt;
3. Implementere passende tekniske og organisatoriske sikkerhetstiltak som beskrevet i Seksjon 9;
4. Overholde betingelsene for å engasjere underdatabehandlere som fastsatt i Seksjon 6;
5. Bistå deg, under hensyntagen til behandlingens art, med å svare på henvendelser fra Registrerte som utøver sine rettigheter under Gjeldende Personvernlovgivning;
6. Bistå deg med å sikre overholdelse av dine forpliktelser under artiklene 32-36 i GDPR (sikkerhet, bruddvarsling, personvernkonsekvensutredninger og forhåndsrådgivning), under hensyntagen til behandlingens art og informasjonen tilgjengelig for oss. Der ditt bruk av Tjenestene involverer høyrisikobehandling som kan kreve en Personvernkonsekvensutredning (DPIA), vil vi gi deg informasjon om våre behandlingsaktiviteter, tekniske og organisatoriske tiltak og underdatabehandlere for å støtte din utredning;
7. Bistå deg med å oppfylle dine forpliktelser under artikkel 22 i GDPR (automatisert individuell beslutningstaking) ved å gi informasjon om automatisert behandling utført på dine vegne, inkludert innholdsmoderering, spamdeteksjon og botbeskyttelse, og ved å tilrettelegge for menneskelig gjennomgang av automatiserte beslutninger på forespørsel;
8. Informere deg dersom vi mener at en instruksjon fra deg bryter Gjeldende Personvernlovgivning;
9. Etter ditt valg, slette eller returnere alle personopplysninger etter slutten av tjenesteleveransen, og slette eksisterende kopier med mindre lagring er påkrevd av gjeldende lov;
10. Gjøre tilgjengelig for deg all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i dette TDB og bidra til samsvarsverifikasjon som beskrevet i Seksjon 11.

5. FORPLIKTELSER FOR DEN BEHANDLINGSANSVARLIGE

Du skal:

1. Sikre at din innsamling og behandling av personopplysninger gjennom nettstedet ditt overholder all Gjeldende Personvernlovgivning;
2. Gi passende personvernopplysninger til dine nettstedsbesøkende som beskriver din datainnsamlingspraksis, inkludert opplysning om plattformnivåanalyser, AI-drevne chatbotinteraksjoner, spamdeteksjon og botbeskyttelse;
3. Innhente alle nødvendige samtykker eller etablere et annet lovlig grunnlag for behandling av personopplysninger gjennom nettstedet ditt;
4. Sikre at dine instruksjoner til oss angående behandling av personopplysninger overholder Gjeldende Personvernlovgivning;
5. Være ansvarlig for nøyaktigheten, kvaliteten og lovligheten av personopplysninger gitt til oss gjennom nettstedet ditt.

Ved å bruke Tjenestene instruerer du oss til å utføre følgende behandlingsaktiviteter på dine vegne som en del av standard plattformoperasjoner: innholdsmoderering av opplastede filer, innholdspolicygjennomgang av publisert nettstedsinnhold, spamdeteksjon på skjemainnsendinger, botbeskyttelse via proof-of-work utfordringer og AI-drevne chatbotinteraksjoner med dine nettstedsbesøkende. Disse aktivitetene er dokumenterte instruksjoner under artikkel 28(3)(a) i GDPR.

6. UNDERDATABEHANDLERE

6.1 Autoriserte Underdatabehandlere

Du gir generell autorisasjon til at vi kan engasjere underdatabehandlere for å bistå med å tilby Tjenestene. Våre nåværende underdatabehandlere er listet nedenfor og på https://www.acira.ai/dpa.

6.2 Nåværende Liste over Underdatabehandlere

6.3 Endringer i Underdatabehandlere

Vi vil varsle deg om eventuelle tiltenkte endringer i listen over underdatabehandlere for Tjenester du for øyeblikket bruker, ved å oppdatere listen over underdatabehandlere på https://www.acira.ai/dpa minst fjorten (14) dager før den nye underdatabehandleren begynner å behandle personopplysninger. Når vi introduserer nye funksjoner eller tjenester som involverer ytterligere underdatabehandlere, vil disse underdatabehandlerne bli opplyst om på det tidspunktet funksjonen eller tjenesten blir tilgjengelig; din bruk av den nye funksjonen eller tjenesten utgjør aksept av dens opplyste underdatabehandlere. Det er ditt ansvar å regelmessig gjennomgå listen over underdatabehandlere for endringer. Hvis du har en rimelig innvending mot en ny underdatabehandler som behandler data for eksisterende Tjenester, kan du varsle oss skriftlig innen fjorten (14) dager etter at endringen er publisert. Vi vil samarbeide med deg i god tro for å adressere dine bekymringer. Hvis vi ikke kan løse innvendingen til din rimelige tilfredshet, kan du si opp Avtalen ved skriftlig varsel.

6.4 Forpliktelser for Underdatabehandlere

Vi vil inngå skriftlige avtaler med hver underdatabehandler som pålegger personvernforpliktelser som ikke er mindre beskyttende enn de som er fastsatt i dette TDB. Vi forblir ansvarlige for handlinger og unnlatelser fra våre underdatabehandlere i samme grad som vi ville vært ansvarlige dersom vi leverte tjenestene direkte.

7. INTERNASJONALE DATAOVERFØRINGER

7.1 Overføringsmekanismer

Tjenestene er primært hostet i USA. Personopplysninger behandlet gjennom Tjenestene kan overføres til og behandles i USA og andre land der våre underdatabehandlere opererer. AI-inferensleverandører (Fireworks AI og xAI) behandler data i USA. BrightData kan behandle data i Israel og andre steder globalt. Cloudflare behandler data på edge-lokasjoner over hele verden.

EU-dataresidency: For nettstedsoperatører identifisert som EU-bosatte, anvender vi følgende tiltak for dataresidency for å minimere overføringer av besøkendes personopplysninger utenfor Den europeiske union:

• Lagring: Besøksdata i vedvarende edge-lagring — inkludert skjemainnsendinger, chatbot-samtaler, øktdata og brukertabelldata — er jurisdiksjonelt begrenset til Den europeiske union. Disse dataene lagres utelukkende i EU-datasentre.
• Automatisert besøksrettet behandling: Operasjoner som automatisk utløses av besøksaktivitet — inkludert varsler om innholdsinnsending og transaksjonell e-postlevering — behandles innenfor Den europeiske union og passerer ikke gjennom amerikansk infrastruktur.
• Plattformadministrasjonstilgang: Når du får tilgang til nettstedets besøksdata via plattformdashbordet eller samtalebasert grensesnitt (for eksempel å se skjemainnsendinger eller administrere brukeroppføringer), kan disse dataene bli behandlet gjennom vår USA-baserte infrastruktur for å oppfylle forespørselen din. Disse overføringene er på forespørsel, initiert av deg (Behandlingsansvarlig), og beskyttet av overføringsmekanismene og de supplerende tiltakene beskrevet nedenfor.
• Annen USA-basert behandling: Analysedata og data behandlet av vår USA-baserte skyinfrastruktur for innholdsmoderering og AI-inferens kan fortsatt overføres til USA underlagt overføringsmekanismene nedenfor.

For overføringer av personopplysninger fra EØS, UK eller Sveits til land som ikke er anerkjent som land med et tilstrekkelig nivå av databeskyttelse, stoler vi på:

1. Standardkontraktsbestemmelser (SKB-er): Vi inkorporerer Europakommisjonens Standardkontraktsbestemmelser i dette TDB ved referanse: Modul En (Behandlingsansvarlig til Behandlingsansvarlig) for analysedata der vi opptrer som felles behandlingsansvarlig (se Seksjon 2.3), og Modul To (Behandlingsansvarlig til Databehandler) for alle andre personopplysninger behandlet på dine vegne. SKB-ene er tilgjengelige på https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK Internasjonalt Dataoverføringstillegg: For overføringer fra UK gjelder UK-tillegget til EU SKB-ene.
3. Sveitsiske Dataoverføringsmekanismer: For overføringer fra Sveits gjelder SKB-ene med de modifikasjonene som kreves av sveitsisk FADP.

7.2 Supplerende Tiltak

Vi implementerer følgende supplerende tiltak for å beskytte overførte personopplysninger:

• Kryptering av data under overføring (TLS/SSL) og i hvile
• Tilgangskontroller og autentiseringsmekanismer
• Regelmessige sikkerhetsvurderinger
• Dataminimeringspraksis (f.eks. daglig roterende besøkerhashes i stedet for rå IP-lagring)
• Jurisdiksjonell dataresidency for EU-bosatte nettstedsoperatører (vedvarende lagring og automatisert besøkerrettet behandling begrenset til EU)
• EU-basert beregnings- og e-postinfrastruktur for automatiserte besøksrettede operasjoner (varsler om innholdsinnsending og transaksjonell e-postlevering behandlet i Den europeiske union for nettstedsoperatører bosatt i EU)

7.3 Overføringskonsekvensutredning

Disse supplerende tiltakene er basert på vår vurdering av lovene og praksisene i destinasjonslandene, under hensyntagen til arten av dataene som overføres, overføringsmekanismen som benyttes, og de tekniske og organisatoriske sikkerhetstiltakene som er på plass. Vi har vurdert at de supplerende tiltakene beskrevet ovenfor, sammen med forpliktelsene i SKB-ene, gir et tilstrekkelig beskyttelsesnivå for de overførte personopplysningene. Vår Overføringskonsekvensutredning er tilgjengelig på https://www.acira.ai/tia.

7.4 Kanadiske Dataoverføringer

For overføringer av personopplysninger fra Canada stoler vi på følgende sikkerhetstiltak for å sikre at personopplysninger overført utenfor Canada mottar et sammenlignbart beskyttelsesnivå som påkrevd under Personal Information Protection and Electronic Documents Act (PIPEDA) og gjeldende provinsielle personvernlovgivning (inkludert Albertas PIPA, British Columbias PIPA og Quebecs lov om beskyttelse av personopplysninger i privat sektor):

1. Kontraktuelle beskyttelser: Skriftlige databehandlingsavtaler med hver underdatabehandler som pålegger forpliktelser til å beskytte personopplysninger til en standard som er konsistent med kanadisk personvernlovgivning, inkludert krav om passende sikkerhetstiltak, bruksbegrensninger, bruddinformasjon og tilgang for registrerte.
2. Tekniske sikkerhetstiltak: De samme kryptering-, pseudonymisering-, tilgangskontroll- og dataminimeringtiltakene beskrevet i Seksjon 7.2 gjelder for kanadiske dataoverføringer.
3. Organisatoriske sikkerhetstiltak: Aktsomhetsvurdering av underdatabehandlere, konfidensialitetsforpliktelser for personell og dokumenterte prosedyrer for hendelsesrespons som beskrevet i dette TDB.

Vi overvåker utviklingen i kanadisk personvernlovgivning, inkludert den foreslåtte Consumer Privacy Protection Act (CPPA), og vil oppdatere våre overføringsmekanismer etter behov.

8. REGISTRERTES RETTIGHETER

8.1 Bistand med Henvendelser

Vi vil bistå deg med å svare på henvendelser fra Registrerte som utøver sine rettigheter under Gjeldende Personvernlovgivning, inkludert rettigheter til innsyn, retting, sletting, begrensning, portabilitet og innsigelse.

8.2 Varsling

Hvis vi mottar en henvendelse direkte fra en Registrert angående personopplysninger behandlet på dine vegne, vil vi umiddelbart varsle deg og ikke svare på henvendelsen uten dine instruksjoner, med mindre påkrevd av gjeldende lov.

8.3 Plattformverktøy

Vi tilbyr verktøy innenfor Tjenestene for å hjelpe deg med å oppfylle henvendelser fra Registrerte, inkludert:

• Tilgang til og administrasjon av data lagret i nettstedets databaser
• Sletting av individuelle poster fra nettstedets databaser
• På forespørsel kan vi tilby dataeksporter i ZIP-format for å bistå med forpliktelser knyttet til dataporterbarhet

9. DATASIKKERHET

9.1 Sikkerhetstiltak

Vi implementerer og vedlikeholder passende tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade. Disse tiltakene inkluderer:

• Kryptering: Data kryptert under overføring via TLS/SSL og i hvile ved bruk av bransjestandardkryptering
• Tilgangskontroll: Rollebaserte tilgangskontroller, multifaktorautentisering for plattformadministrasjon, tilgangspolicyer med minste privilegium
• Infrastruktursikkerhet: Administrert skyinfrastruktur med automatisert sikkerhetsoppdatering, DDoS-beskyttelse og Web Application Firewall (WAF)
• Dataisolasjon: Per-nettsted dataisolasjon gjennom dedikerte lagringsinstanser
• Overvåking: Automatisert sikkerhetsovervåking, inntrengingsdeteksjon og strukturert logging
• Legitimasjonssikkerhet: Alle API-nøkler og hemmeligheter lagret i dedikerte tjenester for hemmelighetshåndtering; brukerpassord hashet med sterke kryptografiske algoritmer med per-bruker salter
• Botbeskyttelse: Proof-of-work utfordringssystemer for å forhindre automatisert misbruk

9.2 Konfidensialitet

Vi sikrer at alt personell som er autorisert til å behandle personopplysninger er bundet av konfidensialitetsforpliktelser.

10. VARSLING OM DATABRUDD

10.1 Varsling til Behandlingsansvarlig

Vi vil varsle deg uten unødig forsinkelse etter bekreftelse av et personopplysningsbrudd som berører personopplysninger behandlet på dine vegne. Varsel vil bli sendt til kontaktinformasjonen knyttet til kontoen din.

10.2 Varselinnhold

Vår bruddvarsling vil inneholde, i den grad det er tilgjengelig:

1. En beskrivelse av bruddets art, inkludert kategorier og omtrentlig antall berørte Registrerte og poster;
2. Navn og kontaktopplysninger for vårt personvernkontaktpunkt;
3. En beskrivelse av de sannsynlige konsekvensene av bruddet;
4. En beskrivelse av tiltakene som er tatt eller foreslått for å håndtere bruddet og begrense dets virkninger.

10.3 Dine Forpliktelser

Du er ansvarlig for å varsle relevant tilsynsmyndighet og berørte Registrerte om et personopplysningsbrudd som påkrevd av Gjeldende Personvernlovgivning. Vi vil samarbeide med deg og gi rimelig bistand for å hjelpe deg med å overholde dine varslingsplikter ved brudd.

11. REVISJONER OG SAMSVARSVERIFIKASJON

11.1 Samsvarsdokumentasjon

For å demonstrere vårt samsvar med denne DPA, vil vi gjøre følgende tilgjengelig for deg etter rimelig skriftlig forespørsel (opptil én gang årlig):

1. Relevante tredjepartsrevisjonsrapporter, sertifiseringer eller sammendrag av sikkerhetsvurderinger;
2. Et sammendrag av våre nåværende tekniske og organisatoriske sikkerhetstiltak;
3. Informasjon om våre behandlingsaktiviteter, underdatabehandlere og personvernpraksis.

Der vi er avhengige av tredjeparts infrastrukturleverandører (som AWS og Cloudflare), er deres sikkerhetssertifiseringer og samsvarsdokumentasjon tilgjengelig gjennom deres respektive tillits- og samsvarsprogrammer.

11.2 Ytterligere henvendelser

Dersom dokumentasjonen gitt i henhold til seksjon 11.1 ikke rimelig adresserer dine samsvarshensyn, kan du sende inn spesifikke skriftlige spørsmål angående vår personvernpraksis, som vi vil besvare innen en rimelig tidsramme.

12. DATAOPPBEVARING OG SLETTING

12.1 I Løpet av Avtalen

Vi vil beholde personopplysninger behandlet på dine vegne i avtalens løpetid og i samsvar med dine instruksjoner gjennom Tjenestene. Spesifikke oppbevaringsperioder for besøksdata inkluderer:

• Chatbotsamtaler på nettstedet ditt: Oppbevart i tretti (30) dager fra siste interaksjon i hver samtale. Samtaler er lagret innenfor besøkssesjoner på nettstedets edge-infrastruktur og slettes automatisk når sesjonen utløper på grunn av inaktivitet.
• Skjemainnsendinger og brukergenerert innhold på nettstedet ditt: Oppbevart for varigheten av det tilknyttede nettstedet, med mindre du sletter dem tidligere gjennom plattformverktøyene.
• Sesjonsdata for dine nettstedsbesøkende: Automatisk slettet etter 30 dagers inaktivitet.
• Slettet besøksinnhold (skjemainnsendinger, kommentarer og annet brukergenerert innhold på nettstedet ditt): Når du sletter besøksinnhold gjennom plattformverktøyene, flyttes det til en myk-slettet tilstand og beholdes i opptil tretti (30) dager for å støtte gjenoppretting. Etter denne perioden fjernes myk-slettet innhold permanent. Du kan slette innhold permanent umiddelbart ved å fjerne det fra gjenopprettingskøen.
• E-postavmeldingsregistreringer på nettstedet ditt: Beholdes for varigheten av det tilknyttede nettstedet, med mindre mottakeren abonnerer på nytt. Avmeldingsregistreringer slettes når nettstedet ødelegges.
• Analysedata: Oppbevart for varigheten av det tilknyttede nettstedet (underlagt planbaserte oppbevaringsbegrensninger; gratis plan analysedata beholdes i nitti (90) dager).

12.2 Ved Oppsigelse

Ved oppsigelse av Avtalen, eller på din forespørsel, vil vi slette personopplysninger behandlet på dine vegne i samsvar med dataoppbevaringspraksisen beskrevet i Avtalen (inkludert sju (7) dagers respittperiode for sletting av kontoer og nettsteder). Etter respittperioden er sletting permanent og ugjenkallelig.

12.3 Unntak

Vi kan beholde personopplysninger i den grad det er påkrevd av gjeldende lov, eller der data er anonymisert og ikke lenger kan knyttes til en Registrert.

13. VARIGHET OG OPPSIGELSE

Dette TDB trer i kraft på datoen du aksepterer Avtalen og forblir i kraft så lenge vi behandler personopplysninger på dine vegne. Konfidensialitets- og personvernforpliktelsene fastsatt i dette TDB overlever oppsigelsen av Avtalen.

14. ANSVARSBEGRENSNING

Ansvaret til hver part under dette TDB er underlagt ansvarsbegrensningene fastsatt i Avtalen.

15. KONTAKT OSS

For spørsmål om dette TDB eller for å utøve dine rettigheter, kontakt oss på:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-post: legal@acira.ai