ANEKS DO PRZETWARZANIA DANYCH

Ostatnia aktualizacja: 19 marca 2026 r.

Niniejszy Aneks do Przetwarzania Danych („DPA") stanowi część Warunków korzystania z usług („Umowa") między Acira AI LLC („Podmiot przetwarzający", „my", „nas") a użytkownikiem Usług („Administrator", „Ty") i uzupełnia Umowę w zakresie przetwarzania danych osobowych.

Niniejszy DPA ma zastosowanie, gdy korzystasz z Usług w celu tworzenia, hostowania i publikowania stron internetowych, które gromadzą lub przetwarzają dane osobowe osób fizycznych zlokalizowanych w Europejskim Obszarze Gospodarczym („EOG"), Zjednoczonym Królestwie („UK") lub Szwajcarii, lub gdy wymagają tego obowiązujące przepisy o ochronie danych.

Niniejszy Dodatek dotyczący przetwarzania danych może być tłumaczony na inne języki dla Twojej wygody. W przypadku jakiegokolwiek konfliktu lub niezgodności między wersją angielską a jakąkolwiek wersją przetłumaczoną, obowiązuje wersja angielska.

SPIS TREŚCI

1. DEFINICJE
2. ZAKRES I ROLE
3. SZCZEGÓŁY PRZETWARZANIA DANYCH
4. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO
5. OBOWIĄZKI ADMINISTRATORA
6. PODMIOTY PRZETWARZAJĄCE NIŻSZEGO SZCZEBLA
7. MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH
8. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
9. BEZPIECZEŃSTWO DANYCH
10. POWIADAMIANIE O NARUSZENIU OCHRONY DANYCH
11. AUDYTY I WERYFIKACJA ZGODNOŚCI
12. PRZECHOWYWANIE I USUWANIE DANYCH
13. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE
14. OGRANICZENIE ODPOWIEDZIALNOŚCI
15. SKONTAKTUJ SIĘ Z NAMI

1. DEFINICJE

„Obowiązujące prawo ochrony danych" oznacza wszystkie przepisy prawa i regulacje mające zastosowanie do przetwarzania danych osobowych na podstawie niniejszego DPA, w tym (w stosownych przypadkach) Rozporządzenie ogólne o ochronie danych (UE) 2016/679 („RODO"), UK RODO, Szwajcarską federalną ustawę o ochronie danych („FADP") oraz Kalifornijską ustawę o ochronie prywatności konsumentów („CCPA").

„Administrator" oznacza osobę fizyczną lub prawną, która określa cele i sposoby przetwarzania danych osobowych — w tym kontekście Ty, użytkownik Usług prowadzący stronę internetową za pośrednictwem platformy.

„Osoba, której dane dotyczą" oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dane osobowe są przetwarzane.

„Dane osobowe" oznaczają wszelkie informacje dotyczące osoby, której dane dotyczą, przetwarzane za pośrednictwem Usług.

„Przetwarzanie" oznacza wszelkie operacje wykonywane na danych osobowych, w tym gromadzenie, rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptację, pobieranie, konsultowanie, wykorzystywanie, ujawnianie, rozpowszechnianie, ograniczanie, usuwanie lub niszczenie.

„Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, która przetwarza dane osobowe w imieniu Administratora — w tym kontekście Acira AI LLC.

„Podprzetwarzający" oznacza każdą stronę trzecią zaangażowaną przez Podmiot przetwarzający do przetwarzania danych osobowych w imieniu Administratora.

„Standardowe klauzule umowne" lub „SCC" oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych do podmiotów przetwarzających mających siedzibę w państwach trzecich, przyjęte przez Komisję Europejską.

2. ZAKRES I ROLE

2.1 Relacja przetwarzania

Gdy korzystasz z Usług w celu tworzenia i prowadzenia strony internetowej, która gromadzi dane osobowe od odwiedzających Twoją witrynę (za pośrednictwem formularzy, kont użytkowników, interakcji z chatbotem, komentarzy, recenzji lub innych interaktywnych funkcji), działasz jako Administrator, a my działamy jako Podmiot przetwarzający te dane osobowe odwiedzających.

2.2 Nasza rola jako Administrator

Działamy jako niezależny Administrator danych osobowych, które zbieramy do własnych celów, w tym: informacji o Twoim koncie, danych rozliczeniowych, analityki użytkowania, ogólnych cech strony internetowej wywiedzionych z treści Twojej strony internetowej (takich jak branża lub typ działalności) oraz danych operacyjnych platformy. Przetwarzanie tych danych jest regulowane przez naszą Politykę Prywatności i wykracza poza zakres niniejszego DPA.

2.3 Analityka platformy

Zbieramy podstawową, przyjazną prywatności analitykę dotyczącą odwiedzających stronę (jak opisano w Umowie). W zakresie danych analitycznych działamy jako współadministratorzy razem z Tobą. Zaprojektowaliśmy nasze rozwiązania analityczne tak, aby minimalizować gromadzenie danych osobowych — nie przechowujemy surowych adresów IP, a identyfikatory odwiedzających są odnawiane codziennie. Odpowiednie obowiązki każdego współadministratora są następujące:

• Acira AI (Podmiot przetwarzający/Współadministrator): Określa techniczne środki gromadzenia danych analitycznych, w tym jakie punkty danych są zbierane, jak obliczane są identyfikatory odwiedzających (codziennie rotujące skróty) oraz jak dane są agregowane. Odpowiadamy za bezpieczeństwo i integralność infrastruktury analitycznej oraz za odpowiadanie na ogólne zapytania dotyczące działania analityki na platformie.
• Ty (Administrator/Współadministrator): Decydujesz, czy korzystać z analityki na swojej stronie internetowej (analityka jest domyślnie włączona jako część Usług). Odpowiadasz za ujawnienie gromadzenia danych analitycznych w polityce prywatności swojej strony internetowej oraz za odpowiadanie na żądania osób, których dane dotyczą, ze strony odwiedzających Twoją witrynę dotyczące ich danych analitycznych.
• Punkt kontaktowy dla osób, których dane dotyczą: Osoby, których dane dotyczą, mogą kontaktować się z Tobą (właścicielem strony internetowej) w sprawach danych analitycznych zbieranych na Twojej stronie. Jeśli otrzymamy żądanie od osoby, której dane dotyczą, dotyczące danych analitycznych, skierujemy ją do Ciebie, chyba że poinstruujesz nas inaczej. W przypadku ogólnych zapytań dotyczących platformy osoby, których dane dotyczą, mogą kontaktować się z nami pod adresem legal@acira.ai.

2.4 Istota ustaleń dotyczących współadministrowania

Zgodnie z art. 26 ust. 2 RODO, istota niniejszych ustaleń dotyczących współadministrowania danymi analitycznymi jest następująca: My (Acira AI) określamy techniczne środki i punkty danych zbieranych; Ty (operator strony internetowej) decydujesz, czy na Twojej stronie jest używana analityka. Każda ze stron ponosi odpowiedzialność za swoje obowiązki wynikające z Obowiązującego prawa ochrony danych. Jesteś głównym punktem kontaktowym dla odwiedzających Twoją stronę w zakresie danych analitycznych. Podsumowanie tych ustaleń jest udostępniane osobom, których dane dotyczą, za pośrednictwem niniejszego DPA oraz pod adresem https://www.acira.ai/dpa.

2.5 Oznaczenie jako dostawca usług zgodnie z CCPA

W zakresie, w jakim przetwarzamy informacje osobiste podlegające Kalifornijskiej ustawie o ochronie prywatności konsumentów („CCPA") w Twoim imieniu, jesteśmy Twoim „dostawcą usług" w rozumieniu Cal. Civ. Code § 1798.140(ag). Nie będziemy:

• Sprzedawać ani udostępniać (w rozumieniu CCPA) żadnych informacji osobistych, które nam przekazujesz;
• Przechowywać, wykorzystywać ani ujawniać informacji osobistych w żadnym celu innym niż cele biznesowe określone w niniejszym DPA i Umowie lub w inny sposób dozwolony przez CCPA;
• Przechowywać, wykorzystywać ani ujawniać informacji osobistych poza bezpośrednią relacją biznesową między Tobą a nami;
• Łączyć informacji osobistych otrzymanych od Ciebie z informacjami osobistymi, które otrzymujemy od innej osoby lub w jej imieniu, lub które gromadzimy z własnych interakcji z konsumentami, z wyjątkiem przypadków dozwolonych przez CCPA.

Możemy wyciągać ogólne, nieidentyfikujące cechy biznesowe (takie jak klasyfikacja branży) z treści Twojej strony internetowej w celu dostarczania odpowiednich rekomendacji produktów, jak opisano w Sekcji 2.2. To ograniczone wykorzystanie nie stanowi sprzedaży, udostępniania ani łączenia danych osobowych w rozumieniu CCPA.

Potwierdzamy, że rozumiemy i będziemy przestrzegać tych ograniczeń.

2.6 Ocena dotycząca przedstawiciela zgodnie ze szwajcarską FADP

Art. 14 Szwajcarskiej federalnej ustawy o ochronie danych („FADP") wymaga od nieszwajcarskiego prywatnego administratora wyznaczenia przedstawiciela w Szwajcarii tylko wtedy, gdy spełnione są wszystkie cztery następujące warunki kumulatywne: (1) przetwarzanie jest związane z oferowaniem towarów lub usług osobom w Szwajcarii lub monitorowaniem ich zachowania; (2) przetwarzanie odbywa się na dużą skalę; (3) przetwarzanie odbywa się regularnie; oraz (4) przetwarzanie stwarza wysokie ryzyko dla praw osobistych lub podstawowych praw podmiotów danych.

Oceniliśmy nasze działania przetwarzania pod kątem tych warunków i stwierdziliśmy, że choć warunki (1) i (3) są spełnione, pozostałe warunki nie są spełnione z następujących powodów:

• Nie na dużą skalę: Jesteśmy małą platformą SaaS. Wolumen danych osobowych szwajcarskich rezydentów przetwarzanych za pośrednictwem naszych Usług jest ograniczony i nie stanowi przetwarzania na dużą skalę w rozumieniu art. 14 FADP.
• Brak wysokiego ryzyka: Dane osobowe, które przetwarzamy w imieniu operatorów stron internetowych, składają się przede wszystkim z pseudonimizowanych identyfikatorów analitycznych (codziennie rotujące skróty), podstawowych metadanych odwiedzających (kraj, typ urządzenia, przeglądarka), treści przesłanych formularzy oraz wiadomości chatbota. Nie przetwarzamy szczególnych kategorii danych osobowych (art. 5 lit. c FADP) ani nie prowadzimy profilowania wysokiego ryzyka dla podmiotów danych. Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji („FDPIC") wskazał, że ten obowiązek jest skierowany przede wszystkim do dużych platform internetowych i sieci społecznościowych działających z zagranicy, co nie opisuje naszych Usług.

Na podstawie tej oceny stwierdziliśmy, że nie jesteśmy zobowiązani do wyznaczenia przedstawiciela w Szwajcarii na mocy art. 14 FADP w chwili obecnej. Będziemy okresowo ponownie oceniać to ustalenie, w tym przy istotnych zmianach skali lub charakteru naszych działań przetwarzania dotyczących rezydentów Szwajcarii.

3. SZCZEGÓŁY PRZETWARZANIA DANYCH

3.1 Przedmiot i czas trwania

Przetwarzanie danych osobowych na podstawie niniejszego DPA jest wykonywane w celu świadczenia Usług opisanych w Umowie i będzie kontynuowane przez czas trwania Umowy.

3.2 Charakter i cel przetwarzania

Przetwarzamy dane osobowe w celu:

• Hostowania i dostarczania treści Twojej strony internetowej
• Przechowywania i zarządzania danymi przesłanymi za pośrednictwem formularzy i interaktywnych funkcji Twojej strony
• Utrzymywania kont użytkowników i sesji dla chronionych obszarów Twojej strony
• Dostarczania komunikacji e-mail w Twoim imieniu
• Przekazywania wiadomości e-mail otrzymanych na niestandardowe adresy e-mail w Twojej domenie
• Zasilania rozmów z chatbotem AI z odwiedzającymi Twoją stronę
• Generowania opisów AI i metadanych dla przesłanych plików
• Konwertowania przesłanych plików do formatów zoptymalizowanych dla sieci
• Zapewniania analityki odwiedzających
• Wyciąganie ogólnych cech strony internetowej (takich jak branża lub typ działalności) w celu dostarczania odpowiednich rekomendacji platformy
• Wykrywania i zapobiegania spamowi i nadużyciom (w tym wyzwaniom botów opartym na proof-of-work)
• Przeprowadzania moderacji treści na przesłanych plikach
• Przeglądania treści strony internetowej podczas publikacji pod kątem zgodności z politykami treści platformy
• Zarządzać preferencjami rezygnacji z e-maili dla odbiorców e-maili Twojej witryny
• Ułatwiania komunikacji w kanałach czasu rzeczywistego na Twojej stronie za pośrednictwem połączeń WebSocket (wiadomości są efemeryczne i nie są utrwalane)
• Utrzymywania dzienników błędów i diagnostycznych dla niezawodności platformy i rozwiązywania problemów (mogą zawierać adresy IP i metadane żądań; przechowywane przez maksymalnie trzydzieści (30) dni)

3.3 Rodzaje danych osobowych

Rodzaje przetwarzanych danych osobowych zależą od tego, co gromadzisz za pośrednictwem swojej strony internetowej, co może obejmować:

• Imiona i nazwiska oraz dane kontaktowe
• Adresy e-mail
• Wiadomości i przesłane formularze
• Pliki przesłane przez odwiedzających stronę (takie jak obrazy i dokumenty)
• Treść rozmów z chatbotem (wiadomości odwiedzających i odpowiedzi AI)
• Dane uwierzytelniające konta użytkowników (przechowywane w formie zaszyfrowanej)
• Dane sesji
• Adresy IP (nieprzechowywane w analityce — przechowywany jest tylko codzienny rotujący skrót; przechowywane jako metadane wraz z przesłanymi formularzami i rozmowami z chatbotem; tymczasowo używane i szyfrowane do weryfikacji wyzwań botów; tymczasowo przechowywane do ograniczania liczby żądań przez maksymalnie siedem (7) dni i automatycznie usuwane)
• Informacje o przeglądarce i urządzeniu
• Dane lokalizacyjne (na poziomie kraju i regionu, pochodne od IP)
• Rekordy rezygnacji z e-maili (przechowywane jako kryptograficzne skróty adresów e-mail odbiorców; nie przechowywane w formie surowej)
• Wyniki klasyfikacji spamu (czy zgłoszenie zostało uznane za spam)
• Dane dzienników błędów i diagnostycznych (adresy IP, ścieżki żądań i szczegóły błędów; przechowywane przez maksymalnie trzydzieści (30) dni i automatycznie usuwane)

3.4 Kategorie osób, których dane dotyczą

• Odwiedzający Twoją stronę internetową
• Użytkownicy, którzy tworzą konta na Twojej stronie
• Użytkownicy, którzy przesyłają formularze lub korzystają z chatbotów na Twojej stronie
• Użytkownicy, którzy przesyłają komentarze, recenzje lub inne treści na Twojej stronie

4. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

My będziemy:

1. Przetwarzać dane osobowe wyłącznie na podstawie Twoich udokumentowanych instrukcji, chyba że jesteśmy do tego zobowiązani przez obowiązujące prawo (w takim przypadku poinformujemy Cię o tym wymagu prawnym przed przetwarzaniem, chyba że jest to zabronione przez prawo);
2. Zapewnić, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności;
3. Wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa opisane w Sekcji 9;
4. Przestrzegać warunków angażowania podprzetwarzających określonych w Sekcji 6;
5. Pomagać Ci, biorąc pod uwagę charakter przetwarzania, w odpowiadaniu na żądania osób, których dane dotyczą, wykonujących swoje prawa na podstawie Obowiązującego prawa ochrony danych;
6. Pomagać Ci w zapewnieniu zgodności z Twoimi obowiązkami wynikającymi z art. 32–36 RODO (bezpieczeństwo, powiadamianie o naruszeniach, oceny skutków dla ochrony danych i uprzednie konsultacje), biorąc pod uwagę charakter przetwarzania i informacje dostępne dla nas. W przypadkach, gdy korzystanie z Usług wiąże się z przetwarzaniem wysokiego ryzyka, które może wymagać Oceny Skutków dla Ochrony Danych (DPIA), dostarczymy Ci informacji o naszych działaniach przetwarzania, środkach technicznych i organizacyjnych oraz podprzetwarzających w celu wsparcia Twojej oceny;
7. Pomagać Ci w wypełnianiu Twoich obowiązków wynikających z art. 22 RODO (zautomatyzowane podejmowanie decyzji wobec osób) poprzez dostarczanie informacji o wszelkim zautomatyzowanym przetwarzaniu przeprowadzanym w Twoim imieniu, w tym moderacji treści, wykrywaniu spamu i ochronie przed botami, oraz poprzez ułatwianie ludzkiej weryfikacji zautomatyzowanych decyzji na żądanie;
8. Informować Cię, jeśli naszym zdaniem Twoja instrukcja narusza Obowiązujące prawo ochrony danych;
9. Według Twojego wyboru, usunąć lub zwrócić wszystkie dane osobowe po zakończeniu świadczenia Usług oraz usunąć istniejące kopie, chyba że przechowywanie jest wymagane przez obowiązujące prawo;
10. Udostępnić Ci wszystkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w niniejszym DPA oraz przyczynić się do weryfikacji zgodności opisanej w Sekcji 11.

5. OBOWIĄZKI ADMINISTRATORA

Ty będziesz:

1. Zapewniać, że Twoje gromadzenie i przetwarzanie danych osobowych za pośrednictwem Twojej strony internetowej jest zgodne ze wszystkimi Obowiązującymi przepisami o ochronie danych;
2. Zapewniać odwiedzającym Twoją stronę odpowiednie informacje o ochronie prywatności opisujące Twoje praktyki gromadzenia danych, w tym ujawnienie analityki na poziomie platformy, interakcji z chatbotem AI, wykrywania spamu i ochrony przed botami;
3. Uzyskiwać wszystkie niezbędne zgody lub ustanawiać inną zgodną z prawem podstawę przetwarzania danych osobowych za pośrednictwem Twojej strony;
4. Zapewniać, że Twoje instrukcje dla nas dotyczące przetwarzania danych osobowych są zgodne z Obowiązującymi przepisami o ochronie danych;
5. Ponosić odpowiedzialność za dokładność, jakość i legalność danych osobowych dostarczanych nam za pośrednictwem Twojej strony.

Korzystając z Usług, instruujesz nas do wykonywania następujących działań przetwarzania w Twoim imieniu jako część standardowych operacji platformy: moderacja treści przesłanych plików, przegląd polityki treści opublikowanych treści strony, wykrywanie spamu w przesłanych formularzach, ochrona przed botami za pośrednictwem wyzwań proof-of-work oraz interakcje chatbota AI z odwiedzającymi Twoją stronę. Działania te stanowią udokumentowane instrukcje zgodnie z art. 28 ust. 3 lit. a RODO.

6. PODMIOTY PRZETWARZAJĄCE NIŻSZEGO SZCZEBLA

6.1 Uprawnieni podprzetwarzający

Udzielasz ogólnego upoważnienia do angażowania przez nas podprzetwarzających w celu pomocy w świadczeniu Usług. Nasi obecni podprzetwarzający są wymienieni poniżej oraz pod adresem https://www.acira.ai/dpa.

6.2 Aktualna lista podprzetwarzających

6.3 Zmiany dotyczące podprzetwarzających

Poinformujemy Cię o wszelkich zamierzonych zmianach na liście podprzetwarzających dla Usług, z których aktualnie korzystasz, aktualizując listę podprzetwarzających pod adresem https://www.acira.ai/dpa co najmniej czternaście (14) dni przed rozpoczęciem przetwarzania danych osobowych przez nowego podprzetwarzającego. Gdy wprowadzamy nowe funkcje lub usługi angażujące dodatkowych podprzetwarzających, ci podprzetwarzający zostaną ujawnieni w momencie udostępnienia danej funkcji lub usługi; korzystanie przez Ciebie z nowej funkcji lub usługi stanowi akceptację ujawnionych podprzetwarzających. Do Ciebie należy obowiązek okresowego przeglądania listy podprzetwarzających pod kątem zmian. Jeśli masz uzasadniony sprzeciw wobec nowego podprzetwarzającego przetwarzającego dane w ramach istniejących Usług, możesz powiadomić nas na piśmie w ciągu czternastu (14) dni od opublikowania zmiany. Będziemy z Tobą współpracować w dobrej wierze, aby rozwiązać Twoje wątpliwości. Jeśli nie możemy rozwiązać sprzeciwu w sposób dla Ciebie zadowalający, możesz rozwiązać Umowę poprzez pisemne powiadomienie.

6.4 Obowiązki podprzetwarzających

Zawrzemy pisemne umowy z każdym podprzetwarzającym, które nakładają obowiązki w zakresie ochrony danych nie mniej rygorystyczne niż te określone w niniejszym DPA. Pozostajemy odpowiedzialni za działania i zaniechania naszych podprzetwarzających w takim samym zakresie, w jakim bylibyśmy odpowiedzialni, gdybyśmy sami świadczyli usługi.

7. MIĘDZYNARODOWE PRZEKAZYWANIE DANYCH

7.1 Mechanizmy przekazywania

Usługi są hostowane głównie w Stanach Zjednoczonych. Dane osobowe przetwarzane za pośrednictwem Usług mogą być przekazywane do i przetwarzane w Stanach Zjednoczonych i innych krajach, w których działają nasi podprzetwarzający. Dostawcy usług wnioskowania AI (Fireworks AI i xAI) przetwarzają dane w Stanach Zjednoczonych. BrightData może przetwarzać dane w Izraelu i innych lokalizacjach na całym świecie. Cloudflare przetwarza dane w lokalizacjach brzegowych na całym świecie.

Rezydencja danych w UE: W przypadku operatorów stron internetowych zidentyfikowanych jako rezydenci UE stosujemy następujące środki rezydencji danych w celu zminimalizowania transferów danych osobowych odwiedzających poza Unię Europejską:

• Przechowywanie: Dane odwiedzających w trwałym przechowywaniu na brzegu sieci — w tym przesłane formularze, rozmowy z chatbotem, dane sesji i dane tabel użytkowników — są jurysdykcyjnie ograniczone do Unii Europejskiej. Dane te są przechowywane wyłącznie w centrach danych UE.
• Automatyzowane przetwarzanie skierowane do odwiedzających: Operacje automatycznie wyzwalane przez aktywność odwiedzających — w tym powiadomienia o przesłaniu treści i dostarczanie e-maili transakcyjnych — są przetwarzane w ramach Unii Europejskiej i nie przechodzą przez infrastrukturę USA.
• Dostęp do zarządzania platformą: Gdy uzyskujesz dostęp do danych odwiedzających Twoją stronę internetową za pośrednictwem panelu platformy lub interfejsu konwersacyjnego (na przykład przeglądanie przesłanych formularzy lub zarządzanie rekordami użytkowników), dane te mogą być przetwarzane przez naszą infrastrukturę zlokalizowaną w USA w celu realizacji Twojego żądania. Transfery te odbywają się na żądanie, są inicjowane przez Ciebie (Administratora) i chronione mechanizmami transferu oraz środkami uzupełniającymi opisanymi poniżej.
• Inne przetwarzanie w USA: Dane analityczne oraz dane przetwarzane przez naszą infrastrukturę chmurową zlokalizowaną w USA na potrzeby moderacji treści i wnioskowania AI mogą nadal być przekazywane do Stanów Zjednoczonych zgodnie z poniższymi mechanizmami transferu.

W przypadku przekazywania danych osobowych z EOG, UK lub Szwajcarii do krajów nieuzznanych za zapewniające odpowiedni poziom ochrony danych, opieramy się na:

1. Standardowych klauzulach umownych (SCC): Włączamy do niniejszego DPA przez odniesienie Standardowe klauzule umowne Komisji Europejskiej: Moduł pierwszy (Administrator do Administratora) dla danych analitycznych, gdzie działamy jako współadministratorzy (patrz Sekcja 2.3), oraz Moduł drugi (Administrator do Podmiotu przetwarzającego) dla wszystkich innych danych osobowych przetwarzanych w Twoim imieniu. Klauzule SCC są dostępne pod adresem https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Aneks do przekazywania danych międzynarodowych UK: W przypadku przekazywania z UK, stosuje się Aneks UK do unijnych SCC.
3. Szwajcarskie mechanizmy przekazywania danych: W przypadku przekazywania ze Szwajcarii, stosuje się SCC z modyfikacjami wymaganymi przez szwajcarską FADP.

7.2 Środki uzupełniające

Wdrażamy następujące środki uzupełniające w celu ochrony przekazywanych danych osobowych:

• Szyfrowanie danych w tranzycie (TLS/SSL) i w spoczynku
• Kontrole dostępu i mechanizmy uwierzytelniania
• Regularne oceny bezpieczeństwa
• Praktyki minimalizacji danych (np. codziennie rotujące skróty odwiedzających zamiast przechowywania surowych adresów IP)
• Jurysdykcyjna rezydencja danych dla operatorów stron internetowych będących rezydentami UE (trwałe przechowywanie i zautomatyzowane przetwarzanie skierowane do odwiedzających ograniczone do UE)
• Infrastruktura obliczeniowa i e-mailowa w UE dla automatyzowanych operacji skierowanych do odwiedzających (powiadomienia o przesłaniu treści i dostarczanie e-maili transakcyjnych przetwarzane w Unii Europejskiej dla operatorów stron internetowych zamieszkałych w UE)

7.3 Ocena wpływu przekazywania

Te środki uzupełniające są oparte na naszej ocenie przepisów prawa i praktyk krajów docelowych, z uwzględnieniem charakteru przekazywanych danych, stosowanego mechanizmu przekazywania oraz wdrożonych technicznych i organizacyjnych zabezpieczeń. Oceniliśmy, że opisane powyżej środki uzupełniające, wraz ze zobowiązaniami wynikającymi z SCC, zapewniają odpowiedni poziom ochrony przekazywanych danych osobowych. Nasza Ocena wpływu przekazywania jest dostępna pod adresem https://www.acira.ai/tia.

7.4 Kanadyjskie przekazywanie danych

W przypadku przekazywania danych osobowych z Kanady, opieramy się na następujących zabezpieczeniach, aby zapewnić, że dane osobowe przekazywane poza Kanadę otrzymują porównywalny poziom ochrony, wymagany na podstawie Ustawy o ochronie informacji osobistych i dokumentów elektronicznych (PIPEDA) oraz obowiązujących prowincjonalnych przepisów o prywatności (w tym Alberta PIPA, British Columbia PIPA oraz Quebec Act respecting the protection of personal information in the private sector):

1. Ochrona umowna: Pisemne umowy o przetwarzaniu danych z każdym podprzetwarzającym, które nakładają obowiązki ochrony danych osobowych zgodne ze standardem kanadyjskiego prawa o prywatności, w tym wymogi dotyczące odpowiednich zabezpieczeń bezpieczeństwa, ograniczeń użytkowania, powiadamiania o naruszeniach i dostępu podmiotów danych.
2. Zabezpieczenia techniczne: Te same środki szyfrowania, pseudonimizacji, kontroli dostępu i minimalizacji danych opisane w Sekcji 7.2 mają zastosowanie do kanadyjskich przekazywań danych.
3. Zabezpieczenia organizacyjne: Należyta staranność w zakresie podprzetwarzających, obowiązki zachowania poufności dla personelu oraz udokumentowane procedury reagowania na incydenty opisane w niniejszym DPA.

Monitorujemy zmiany w kanadyjskim prawie o prywatności, w tym proponowaną Ustawę o ochronie prywatności konsumentów (CPPA), i będziemy aktualizować nasze mechanizmy przekazywania stosownie do potrzeb.

8. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

8.1 Pomoc w realizacji żądań

Będziemy Ci pomagać w odpowiadaniu na żądania osób, których dane dotyczą, wykonujących swoje prawa na podstawie Obowiązującego prawa ochrony danych, w tym prawa dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu.

8.2 Powiadomienie

Jeśli otrzymamy żądanie bezpośrednio od osoby, której dane dotyczą, dotyczące danych osobowych przetwarzanych w Twoim imieniu, niezwłocznie Cię powiadomimy i nie odpowiemy na żądanie bez Twoich instrukcji, chyba że jest to wymagane przez obowiązujące prawo.

8.3 Narzędzia platformy

Udostępniamy narzędzia w ramach Usług, które pomogą Ci spełnić żądania osób, których dane dotyczą, w tym:

• Dostęp do danych przechowywanych w bazach danych Twojej strony i zarządzanie nimi
• Usuwanie poszczególnych rekordów z baz danych Twojej strony
• Na żądanie możemy dostarczyć eksporty danych w formacie ZIP w celu pomocy w realizacji obowiązków dotyczących przenoszenia danych

9. BEZPIECZEŃSTWO DANYCH

9.1 Środki bezpieczeństwa

Wdrażamy i utrzymujemy odpowiednie techniczne i organizacyjne środki ochrony danych osobowych przed nieuprawnionym lub bezprawnym przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem. Środki te obejmują:

• Szyfrowanie: Dane szyfrowane podczas przesyłania za pośrednictwem TLS/SSL oraz w spoczynku przy użyciu standardowego branżowego szyfrowania
• Kontrola dostępu: Kontrole dostępu oparte na rolach, uwierzytelnianie wieloskładnikowe dla administracji platformą, zasady dostępu z minimalnym poziomem uprawnień
• Bezpieczeństwo infrastruktury: Zarządzana infrastruktura chmurowa z automatycznym łataniem zabezpieczeń, ochroną przed DDoS i Zaporą aplikacji webowych (WAF)
• Izolacja danych: Izolacja danych dla każdej strony poprzez dedykowane instancje przechowywania
• Monitorowanie: Automatyczne monitorowanie bezpieczeństwa, wykrywanie włamań i ustrukturyzowane rejestrowanie
• Bezpieczeństwo poświadczeń: Wszystkie klucze API i sekrety przechowywane w dedykowanych usługach zarządzania sekretami; hasła użytkowników skróte przy użyciu silnych algorytmów kryptograficznych z solą dla każdego użytkownika
• Ochrona przed botami: Systemy wyzwań proof-of-work zapobiegające zautomatyzowanym nadużyciom

9.2 Poufność

Zapewniamy, że cały personel upoważniony do przetwarzania danych osobowych jest związany obowiązkami zachowania poufności.

10. POWIADAMIANIE O NARUSZENIU OCHRONY DANYCH

10.1 Powiadomienie Administratora

Powiadomimy Cię bez zbędnej zwłoki po potwierdzeniu naruszenia ochrony danych osobowych dotyczącego danych osobowych przetwarzanych w Twoim imieniu. Powiadomienie zostanie wysłane na dane kontaktowe powiązane z Twoim kontem.

10.2 Treść powiadomienia

Nasze powiadomienie o naruszeniu będzie zawierać, w zakresie dostępnych informacji:

1. Opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów, których dotyczy naruszenie;
2. Imię, nazwisko i dane kontaktowe naszego kontaktu ds. ochrony danych;
3. Opis prawdopodobnych konsekwencji naruszenia;
4. Opis środków podjętych lub proponowanych w celu usunięcia naruszenia i złagodzenia jego skutków.

10.3 Twoje obowiązki

Jesteś odpowiedzialny za powiadamianie właściwego organu nadzorczego i poszkodowanych osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z wymogami Obowiązującego prawa ochrony danych. Będziemy z Tobą współpracować i zapewnimy rozsądną pomoc, aby pomóc Ci spełnić Twoje obowiązki dotyczące powiadamiania o naruszeniach.

11. AUDYTY I WERYFIKACJA ZGODNOŚCI

11.1 Dokumentacja zgodności

W celu wykazania naszej zgodności z niniejszym DPA, na uzasadniony pisemny wniosek (do raz w roku) udostępnimy Państwu:

1. Odpowiednie raporty z audytów stron trzecich, certyfikaty lub podsumowania ocen bezpieczeństwa;
2. Podsumowanie naszych obecnych technicznych i organizacyjnych środków bezpieczeństwa;
3. Informacje o naszych działaniach przetwarzania, podwykonawcach przetwarzania i praktykach ochrony danych.

W przypadku gdy polegamy na zewnętrznych dostawcach infrastruktury (takich jak AWS i Cloudflare), ich certyfikaty bezpieczeństwa i dokumentacja zgodności są dostępne za pośrednictwem ich odpowiednich programów zaufania i zgodności.

11.2 Dodatkowe zapytania

Jeśli dokumentacja dostarczona na podstawie sekcji 11.1 nie odpowiada w sposób rozsądny na Państwa obawy dotyczące zgodności, mogą Państwo przesłać konkretne pisemne pytania dotyczące naszych praktyk ochrony danych, na które odpowiemy w rozsądnym terminie.

12. PRZECHOWYWANIE I USUWANIE DANYCH

12.1 W trakcie trwania Umowy

Będziemy przechowywać dane osobowe przetwarzane w Twoim imieniu przez czas trwania Umowy i zgodnie z Twoimi instrukcjami za pośrednictwem Usług. Szczegółowe okresy przechowywania danych odwiedzających obejmują:

• Rozmowy z chatbotem na Twojej stronie: Przechowywane przez trzydzieści (30) dni od ostatniej interakcji w każdej rozmowie. Rozmowy są przechowywane w sesjach odwiedzających na brzegowej infrastrukturze strony i są automatycznie usuwane po wygaśnięciu sesji w wyniku braku aktywności.
• Zgłoszenia formularzy i treści generowane przez użytkowników na Twojej stronie: Przechowywane przez czas istnienia powiązanej strony, chyba że wcześniej usuniesz je za pomocą narzędzi platformy.
• Dane sesji odwiedzających Twoją stronę: Automatycznie usuwane po 30 dniach braku aktywności.
• Usunięte treści odwiedzających (zgłoszenia formularzy, komentarze i inne treści generowane przez użytkowników na Twojej stronie): Gdy usuwasz treści odwiedzających za pomocą narzędzi platformy, są one przenoszone do stanu miękkiego usunięcia i przechowywane przez maksymalnie trzydzieści (30) dni w celu wsparcia odzyskiwania. Po tym czasie miękko usunięte treści są trwale usuwane. Możesz trwale usunąć treści natychmiast, oczyszczając je z kolejki odzyskiwania.
• Rekordy rezygnacji z e-maili na Twojej witrynie: Przechowywane przez czas trwania powiązanej witryny, chyba że odbiorca ponownie się zapisze. Rekordy rezygnacji są usuwane po zniszczeniu witryny.
• Dane analityczne: Przechowywane przez czas istnienia powiązanej strony (z zastrzeżeniem limitów przechowywania opartych na planie; dane analityczne planu bezpłatnego są przechowywane przez dziewięćdziesiąt (90) dni).

12.2 Po rozwiązaniu

Po rozwiązaniu Umowy lub na Twoje żądanie usuniemy dane osobowe przetwarzane w Twoim imieniu zgodnie z praktykami przechowywania danych opisanymi w Umowie (w tym siedmiodniowym (7) okresem karencji dla usunięcia kont i stron). Po upływie okresu karencji usunięcie jest trwałe i nieodwracalne.

12.3 Wyjątki

Możemy przechowywać dane osobowe w zakresie wymaganym przez obowiązujące prawo lub gdy dane zostały zanonimizowane i nie mogą być już powiązane z osobą, której dane dotyczą.

13. OKRES OBOWIĄZYWANIA I ROZWIĄZANIE

Niniejszy DPA wchodzi w życie z dniem akceptacji Umowy i pozostaje w mocy przez cały czas, gdy przetwarzamy dane osobowe w Twoim imieniu. Obowiązki dotyczące poufności i ochrony danych określone w niniejszym DPA pozostają w mocy po rozwiązaniu Umowy.

14. OGRANICZENIE ODPOWIEDZIALNOŚCI

Odpowiedzialność każdej ze stron na podstawie niniejszego DPA podlega ograniczeniom odpowiedzialności określonym w Umowie.

15. SKONTAKTUJ SIĘ Z NAMI

W przypadku pytań dotyczących niniejszego DPA lub w celu skorzystania ze swoich praw, prosimy o kontakt:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-mail: legal@acira.ai