ADDENDUM DE PRELUCRARE A DATELOR

Ultima actualizare: 19 martie 2026

Acest Addendum de Prelucrare a Datelor („DPA") face parte din Termenii și Condițiile („Acordul") dintre Acira AI LLC („Operator," „noi," „nouă") și utilizatorul Serviciilor („Controlor," „dumneavoastră") și completează Acordul în ceea ce privește prelucrarea datelor cu caracter personal.

Acest DPA se aplică atunci când utilizați Serviciile pentru a crea, găzdui și publica site-uri web care colectează sau prelucrează date cu caracter personal ale persoanelor situate în Spațiul Economic European („SEE"), Regatul Unit („UK") sau Elveția, sau când este impus de legislația aplicabilă privind protecția datelor.

Acest Addendum privind prelucrarea datelor poate fi tradus în alte limbi pentru comoditatea dumneavoastră. În cazul oricărui conflict sau neconcordanță între versiunea în limba engleză și orice versiune tradusă, versiunea în limba engleză prevalează.

CUPRINS

1. DEFINIȚII
2. DOMENIU DE APLICARE ȘI ROLURI
3. DETALII PRIVIND PRELUCRAREA DATELOR
4. OBLIGAȚIILE OPERATORULUI
5. OBLIGAȚIILE CONTROLORULUI
6. SUBOPERATORI
7. TRANSFERURI INTERNAȚIONALE DE DATE
8. DREPTURILE PERSOANELOR VIZATE
9. SECURITATEA DATELOR
10. NOTIFICAREA ÎNCĂLCĂRII DATELOR
11. AUDITURI ȘI VERIFICAREA CONFORMITĂȚII
12. RETENȚIA ȘI ȘTERGEREA DATELOR
13. DURATĂ ȘI REZILIERE
14. LIMITAREA RĂSPUNDERII
15. CONTACTAȚI-NE

1. DEFINIȚII

„Legislație aplicabilă privind protecția datelor" înseamnă toate legile și reglementările aplicabile prelucrării datelor cu caracter personal în temeiul acestui DPA, inclusiv (după caz) Regulamentul General privind Protecția Datelor (UE) 2016/679 („GDPR"), UK GDPR, Legea federală elvețiană privind protecția datelor („FADP") și California Consumer Privacy Act („CCPA").

„Controlor" înseamnă persoana fizică sau juridică care determină scopurile și mijloacele prelucrării datelor cu caracter personal — în acest context, dumneavoastră, utilizatorul Serviciilor care operează un site web prin intermediul platformei.

„Persoana vizată" înseamnă o persoană fizică identificată sau identificabilă ale cărei date cu caracter personal sunt prelucrate.

„Date cu caracter personal" înseamnă orice informație referitoare la o persoană vizată care este prelucrată prin intermediul Serviciilor.

„Prelucrare" înseamnă orice operațiune efectuată asupra datelor cu caracter personal, inclusiv colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea, recuperarea, consultarea, utilizarea, divulgarea, diseminarea, restricționarea, ștergerea sau distrugerea.

„Operator" înseamnă o persoană fizică sau juridică care prelucrează date cu caracter personal în numele Controlorului — în acest context, Acira AI LLC.

„Suboperator" înseamnă orice terță parte angajată de Operator pentru a prelucra date cu caracter personal în numele Controlorului.

„Clauze contractuale standard" sau „SCC" înseamnă clauzele contractuale standard pentru transferul datelor cu caracter personal către operatori stabiliți în țări terțe, adoptate de Comisia Europeană.

2. DOMENIU DE APLICARE ȘI ROLURI

2.1 Relația de prelucrare

Atunci când utilizați Serviciile pentru a crea și opera un site web care colectează date cu caracter personal de la vizitatorii site-ului dumneavoastră (prin formulare, conturi de utilizator, interacțiuni cu chatbot, comentarii, recenzii sau alte funcții interactive), acționați în calitate de Controlor, iar noi acționăm în calitate de Operator al datelor cu caracter personal ale vizitatorilor.

2.2 Rolul nostru de Controlor

Acționăm ca Operator independent pentru datele cu caracter personal pe care le colectăm în scopuri proprii, inclusiv: informațiile contului dumneavoastră, datele de facturare, analitica de utilizare, caracteristicile generale ale site-ului web derivate din conținutul site-ului dumneavoastră (cum ar fi industria sau tipul de afacere), și datele de operare a platformei. Prelucrarea acestor date este reglementată de Politica noastră de Confidențialitate și se află în afara domeniului de aplicare al acestui DPA.

2.3 Analiza platformei

Colectăm analize de bază, prietenoase cu confidențialitatea, despre vizitatorii site-ului (după cum este descris în Acord). Pentru datele analitice, acționăm ca operator asociat împreună cu dumneavoastră. Am proiectat analizele noastre pentru a minimiza colectarea datelor cu caracter personal — nu stocăm adrese IP brute, iar identificatorii vizitatorilor se rotesc zilnic. Responsabilitățile respective ale fiecărui operator asociat sunt după cum urmează:

• Acira AI (Operator/Operator asociat): Determină mijloacele tehnice de colectare a analizelor, inclusiv ce puncte de date sunt colectate, cum sunt calculați identificatorii vizitatorilor (hash-uri cu rotație zilnică) și cum sunt agregate datele. Suntem responsabili pentru securitatea și integritatea infrastructurii analitice și pentru răspunsul la întrebările generale despre modul în care funcționează analizele pe platformă.
• Dumneavoastră (Controlor/Operator asociat): Determinați dacă utilizați analize pe site-ul dumneavoastră (analizele sunt activate implicit ca parte a Serviciilor). Sunteți responsabili pentru dezvăluirea colectării datelor analitice în politica de confidențialitate a site-ului dumneavoastră și pentru răspunsul la solicitările persoanelor vizate din partea vizitatorilor site-ului dumneavoastră privind datele lor analitice.
• Punct de contact pentru persoanele vizate: Persoanele vizate pot contacta dumneavoastră (proprietarul site-ului) cu privire la datele analitice colectate pe site-ul dumneavoastră. Dacă primim o solicitare de la o persoană vizată cu privire la datele analitice, o vom direcționa către dumneavoastră, cu excepția cazului în care ne instruiți altfel. Pentru întrebări generale despre platformă, persoanele vizate ne pot contacta la legal@acira.ai.

2.4 Esența aranjamentului de operator asociat

În conformitate cu articolul 26 alineatul (2) din GDPR, esența acestui aranjament de operator asociat pentru datele analitice este după cum urmează: Noi (Acira AI) determinăm mijloacele tehnice și punctele de date colectate; dumneavoastră (operatorul site-ului) determinați dacă analizele sunt utilizate pe site-ul dumneavoastră. Fiecare dintre noi este responsabil pentru obligațiile respective în temeiul Legislației aplicabile privind protecția datelor. Dumneavoastră sunteți punctul principal de contact pentru vizitatorii site-ului dumneavoastră cu privire la datele analitice. Un rezumat al acestui aranjament este pus la dispoziția persoanelor vizate prin intermediul acestui DPA și la https://www.acira.ai/dpa.

2.5 Desemnarea furnizorului de servicii conform CCPA

În măsura în care prelucrăm informații cu caracter personal supuse California Consumer Privacy Act („CCPA") în numele dumneavoastră, suntem „furnizorul dumneavoastră de servicii" conform definiției din Cal. Civ. Code § 1798.140(ag). Nu vom:

• Vinde sau partaja (conform definiției acestor termeni în temeiul CCPA) nicio informație cu caracter personal pe care ne-o furnizați;
• Păstra, utiliza sau dezvălui informații cu caracter personal în alt scop decât scopurile de afaceri specificate în acest DPA și Acord, sau altfel permis de CCPA;
• Păstra, utiliza sau dezvălui informații cu caracter personal în afara relației directe de afaceri dintre dumneavoastră și noi;
• Combina informațiile cu caracter personal primite de la dumneavoastră cu informațiile cu caracter personal pe care le primim de la sau în numele altei persoane sau pe care le colectăm din propriile noastre interacțiuni cu consumatorii, cu excepția cazurilor permise de CCPA.

Putem deriva caracteristici comerciale generale și neidentificatoare (cum ar fi clasificarea industriei) din conținutul site-ului dumneavoastră web în scopul furnizării de recomandări de produse relevante, așa cum este descris în Secțiunea 2.2. Această utilizare limitată nu constituie vânzarea, partajarea sau combinarea informațiilor personale în sensul CCPA.

Certificăm că înțelegem și vom respecta aceste restricții.

2.6 Evaluarea reprezentantului elvețian FADP

Articolul 14 din Legea federală elvețiană privind protecția datelor („FADP") impune unui controlor privat non-elvețian să desemneze un reprezentant în Elveția numai atunci când toate cele patru condiții cumulative de mai jos sunt îndeplinite: (1) prelucrarea este legată de oferirea de bunuri sau servicii sau de monitorizarea comportamentului persoanelor din Elveția; (2) prelucrarea se efectuează la scară largă; (3) prelucrarea are loc în mod regulat; și (4) prelucrarea prezintă un risc ridicat pentru drepturile de personalitate sau drepturile fundamentale ale persoanelor vizate.

Am evaluat activitățile noastre de prelucrare față de aceste condiții și am determinat că, deși condițiile (1) și (3) sunt îndeplinite, condițiile rămase nu sunt satisfăcute din următoarele motive:

• Nu la scară largă: Suntem o platformă SaaS mică. Volumul de date cu caracter personal ale rezidenților elvețieni prelucrate prin Serviciile noastre este limitat și nu constituie prelucrare la scară largă în sensul articolului 14 FADP.
• Nu risc ridicat: Datele cu caracter personal pe care le prelucrăm în numele operatorilor de site-uri constau în principal din identificatori analitici pseudonimizați (hash-uri cu rotație zilnică), metadate de bază ale vizitatorilor (țară, tip de dispozitiv, browser), conținut al trimiterilor de formulare și mesaje chatbot. Nu prelucrăm categorii speciale de date cu caracter personal (articolul 5 litera (c) FADP), nici nu ne angajăm în profilare cu risc ridicat pentru persoanele vizate. Comisarul Federal Elvețian pentru Protecția Datelor și Informații („FDPIC") a indicat că această obligație vizează în primul rând platformele mari de internet și rețelele sociale care operează din străinătate, ceea ce nu descrie Serviciile noastre.

Pe baza acestei evaluări, am concluzionat că nu suntem obligați să desemnăm un reprezentant în Elveția în temeiul articolului 14 FADP în acest moment. Vom reevalua periodic această determinare, inclusiv la modificări materiale ale scalei sau naturii activităților noastre de prelucrare care afectează rezidenții elvețieni.

3. DETALII PRIVIND PRELUCRAREA DATELOR

3.1 Obiect și durată

Prelucrarea datelor cu caracter personal în temeiul acestui DPA se efectuează în scopul furnizării Serviciilor descrise în Acord și va continua pe durata Acordului.

3.2 Natura și scopul prelucrării

Prelucrăm date cu caracter personal pentru:

• Găzduirea și servirea conținutului site-ului dumneavoastră
• Stocarea și gestionarea datelor trimise prin formularele și funcțiile interactive ale site-ului dumneavoastră
• Menținerea conturilor de utilizator și a sesiunilor pentru zonele protejate ale site-ului dumneavoastră
• Livrarea comunicărilor prin e-mail în numele dumneavoastră
• Redirecționarea e-mailurilor primite la adresele de e-mail ale domeniului personalizat al dumneavoastră
• Alimentarea conversațiilor chatbot AI cu vizitatorii site-ului dumneavoastră
• Generarea de descrieri și metadate bazate pe AI pentru fișierele încărcate
• Conversia fișierelor încărcate în formate optimizate pentru web
• Furnizarea de analize ale vizitatorilor
• Derivarea caracteristicilor generale ale site-ului web (cum ar fi industria sau tipul de afacere) pentru furnizarea de recomandări relevante ale platformei
• Detectarea și prevenirea spam-ului și a abuzurilor (inclusiv provocări bot proof-of-work)
• Efectuarea moderării conținutului pe fișierele încărcate
• Revizuirea conținutului site-ului în timpul publicării pentru conformitatea cu politicile de conținut ale platformei
• Gestionarea preferințelor de dezabonare prin e-mail pentru destinatarii e-mailurilor site-ului dvs.
• Facilitarea comunicărilor în timp real pe site-ul dumneavoastră prin conexiuni WebSocket (mesajele sunt efemere și nu sunt persistate)
• Menținerea jurnalelor de erori și diagnosticare pentru fiabilitatea platformei și depanare (pot include adrese IP și metadate ale solicitărilor; păstrate până la treizeci (30) de zile)

3.3 Tipuri de date cu caracter personal

Tipurile de date cu caracter personal prelucrate depind de ceea ce colectați prin site-ul dumneavoastră, care poate include:

• Nume și informații de contact
• Adrese de e-mail
• Mesaje și trimiteri de formulare
• Fișiere încărcate trimise de vizitatorii site-ului (cum ar fi imagini și documente)
• Conținut de conversație chatbot (mesajele vizitatorilor și răspunsurile AI)
• Credențialele contului de utilizator (stocate în formă hash)
• Date de sesiune
• Adrese IP (nestocate în analize — se stochează doar un hash cu rotație zilnică; stocate ca metadate alături de trimiterile de formulare și conversațiile chatbot; utilizate temporar și hash-uite pentru verificarea provocărilor bot; stocate temporar pentru limitarea ratei până la șapte (7) zile și șterse automat)
• Informații despre browser și dispozitiv
• Date de locație (la nivel de țară și regiune, derivate din IP)
• Înregistrări de dezabonare prin e-mail (stocate ca hash-uri criptografice ale adreselor de e-mail ale destinatarilor; nu sunt stocate în formă brută)
• Rezultate de clasificare a spam-ului (dacă o trimitere a fost determinată ca spam)
• Date de jurnal de erori și diagnosticare (adrese IP, căi de solicitare și detalii de erori; păstrate până la treizeci (30) de zile și șterse automat)

3.4 Categorii de persoane vizate

• Vizitatorii site-ului dumneavoastră
• Utilizatorii care creează conturi pe site-ul dumneavoastră
• Utilizatorii care trimit formulare sau interacționează cu chatbot-uri pe site-ul dumneavoastră
• Utilizatorii care trimit comentarii, recenzii sau alte contribuții pe site-ul dumneavoastră

4. OBLIGAȚIILE OPERATORULUI

Vom:

1. Prelucra datele cu caracter personal numai conform instrucțiunilor dumneavoastră documentate, cu excepția cazului în care suntem obligați să o facem de legislația aplicabilă (caz în care vă vom informa cu privire la cerința legală respectivă înainte de prelucrare, cu excepția cazului în care legea interzice acest lucru);
2. Asigura că persoanele autorizate să prelucreze date cu caracter personal și-au asumat obligații de confidențialitate sau se află sub o obligație statutară adecvată de confidențialitate;
3. Implementa măsuri tehnice și organizatorice de securitate adecvate, după cum este descris în Secțiunea 9;
4. Respecta condițiile pentru angajarea suboperatorilor, astfel cum sunt prevăzute în Secțiunea 6;
5. Vă asista, ținând cont de natura prelucrării, în răspunsul la solicitările persoanelor vizate care își exercită drepturile în temeiul Legislației aplicabile privind protecția datelor;
6. Vă asista pentru a asigura respectarea obligațiilor dumneavoastră în temeiul articolelor 32-36 din GDPR (securitate, notificarea încălcărilor, evaluările impactului asupra protecției datelor și consultarea prealabilă), ținând cont de natura prelucrării și de informațiile disponibile pentru noi. Acolo unde utilizarea Serviciilor de către dumneavoastră implică prelucrare cu risc ridicat care poate necesita o Evaluare a Impactului asupra Protecției Datelor (DPIA), vă vom furniza informații despre activitățile noastre de prelucrare, măsurile tehnice și organizatorice și suboperatorii pentru a sprijini evaluarea dumneavoastră;
7. Vă asista în îndeplinirea obligațiilor dumneavoastră în temeiul articolului 22 din GDPR (luarea automată a deciziilor individuale) prin furnizarea de informații despre orice prelucrare automată efectuată în numele dumneavoastră, inclusiv moderarea conținutului, detectarea spam-ului și protecția bot, și prin facilitarea revizuirii umane a deciziilor automate la cerere;
8. Vă informa dacă, în opinia noastră, o instrucțiune din partea dumneavoastră încalcă Legislația aplicabilă privind protecția datelor;
9. La alegerea dumneavoastră, șterge sau returna toate datele cu caracter personal după sfârșitul furnizării Serviciilor și șterge copiile existente, cu excepția cazului în care stocarea este impusă de legislația aplicabilă;
10. Vă pune la dispoziție toate informațiile necesare pentru a demonstra conformitatea cu obligațiile prevăzute în acest DPA și a contribui la verificarea conformității astfel cum este descris în Secțiunea 11.

5. OBLIGAȚIILE CONTROLORULUI

Veți:

1. Asigura că colectarea și prelucrarea datelor cu caracter personal prin intermediul site-ului dumneavoastră respectă toate Legislațiile aplicabile privind protecția datelor;
2. Furniza informații adecvate privind confidențialitatea vizitatorilor site-ului dumneavoastră care descriu practicile dumneavoastră de colectare a datelor, inclusiv dezvăluirea analizelor la nivel de platformă, interacțiunilor chatbot bazate pe AI, detectării spam-ului și protecției bot;
3. Obține toate consimțămintele necesare sau stabili o altă bază legală pentru prelucrarea datelor cu caracter personal prin intermediul site-ului dumneavoastră;
4. Asigura că instrucțiunile dumneavoastră adresate nouă privind prelucrarea datelor cu caracter personal respectă Legislațiile aplicabile privind protecția datelor;
5. Fi responsabili pentru acuratețea, calitatea și legalitatea datelor cu caracter personal furnizate nouă prin intermediul site-ului dumneavoastră.

Prin utilizarea Serviciilor, ne instruiți să efectuăm următoarele activități de prelucrare în numele dumneavoastră ca parte a operațiunilor standard ale platformei: moderarea conținutului fișierelor încărcate, revizuirea politicii de conținut al site-ului publicat, detectarea spam-ului în trimiterile de formulare, protecția bot prin provocări proof-of-work și interacțiunile chatbot bazate pe AI cu vizitatorii site-ului dumneavoastră. Aceste activități sunt instrucțiuni documentate în temeiul articolului 28 alineatul (3) litera (a) din GDPR.

6. SUBOPERATORI

6.1 Suboperatori autorizați

Acordați autorizație generală pentru ca noi să angajăm suboperatori pentru a asista la furnizarea Serviciilor. Suboperatorii noștri actuali sunt enumerați mai jos și la https://www.acira.ai/dpa.

6.2 Lista actuală a suboperatorilor

6.3 Modificări ale suboperatorilor

Vă vom notifica cu privire la orice modificări intenționate ale listei de suboperatori pentru Serviciile pe care le utilizați în prezent prin actualizarea listei de suboperatori la https://www.acira.ai/dpa cu cel puțin paisprezece (14) zile înainte ca noul suboperator să înceapă să prelucreze date cu caracter personal. Când introducem funcționalități sau servicii noi care implică suboperatori suplimentari, acești suboperatori vor fi dezvăluiți în momentul în care funcționalitatea sau serviciul devine disponibil; utilizarea noii funcționalități sau serviciu constituie acceptarea suboperatorilor dezvăluiți. Este responsabilitatea dumneavoastră să revizuiți periodic lista de suboperatori pentru modificări. Dacă aveți o obiecție rezonabilă față de un nou suboperator care prelucrează date pentru Serviciile existente, ne puteți notifica în scris în termen de paisprezece (14) zile de la publicarea modificării. Vom lucra cu dumneavoastră cu bună credință pentru a aborda preocupările dumneavoastră. Dacă nu putem rezolva obiecția la o satisfacție rezonabilă, puteți rezilia Acordul prin notificare scrisă.

6.4 Obligațiile suboperatorilor

Vom încheia acorduri scrise cu fiecare suboperator care impun obligații de protecție a datelor cel puțin la fel de protectoare ca cele prevăzute în acest DPA. Rămânem răspunzători pentru actele și omisiunile suboperatorilor noștri în aceeași măsură în care am fi răspunzători dacă am presta serviciile direct.

7. TRANSFERURI INTERNAȚIONALE DE DATE

7.1 Mecanisme de transfer

Serviciile sunt găzduite în principal în Statele Unite. Datele cu caracter personal prelucrate prin intermediul Serviciilor pot fi transferate și prelucrate în Statele Unite și în alte țări unde operează suboperatorii noștri. Furnizorii de inferență AI (Fireworks AI și xAI) prelucrează date în Statele Unite. BrightData poate prelucra date în Israel și în alte locații la nivel global. Cloudflare prelucrează date la locații edge din întreaga lume.

Rezidența datelor în UE: Pentru operatorii de site-uri web identificați ca rezidenți UE, aplicăm următoarele măsuri de rezidență a datelor pentru a minimiza transferurile de date personale ale vizitatorilor în afara Uniunii Europene:

• Stocare: Datele vizitatorilor din stocarea persistentă de margine — inclusiv trimiteri de formulare, conversații chatbot, date de sesiune și date din tabelele utilizatorilor — sunt restricționate jurisdicțional la Uniunea Europeană. Aceste date sunt stocate exclusiv în centrele de date din UE.
• Procesare automatizată orientată spre vizitatori: Operațiunile declanșate automat de activitatea vizitatorilor — inclusiv notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale — sunt procesate în cadrul Uniunii Europene și nu tranzitează prin infrastructura SUA.
• Acces la gestionarea platformei: Când accesați datele vizitatorilor site-ului dvs. prin intermediul tabloului de bord al platformei sau al interfeței conversaționale (de exemplu, vizualizarea trimiterilor de formulare sau gestionarea înregistrărilor utilizatorilor), aceste date pot fi procesate prin infrastructura noastră din SUA pentru a răspunde solicitării dvs. Aceste transferuri sunt la cerere, inițiate de dvs. (Operatorul), și protejate de mecanismele de transfer și măsurile suplimentare descrise mai jos.
• Altă procesare din SUA: Datele analitice și datele procesate de infrastructura noastră cloud din SUA pentru moderarea conținutului și inferența AI pot fi în continuare transferate în Statele Unite în conformitate cu mecanismele de transfer de mai jos.

Pentru transferurile de date cu caracter personal din SEE, UK sau Elveția către țări care nu sunt recunoscute ca oferind un nivel adecvat de protecție a datelor, ne bazăm pe:

1. Clauze contractuale standard (SCC): Incorporăm Clauzele contractuale standard ale Comisiei Europene în acest DPA prin referință: Modulul Unu (Controlor la Controlor) pentru datele analitice în cazul în care acționăm ca operator asociat (a se vedea Secțiunea 2.3) și Modulul Doi (Controlor la Operator) pentru toate celelalte date cu caracter personal prelucrate în numele dumneavoastră. SCC-urile sunt disponibile la https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Addendum UK privind transferul internațional de date: Pentru transferurile din UK, se aplică UK Addendum la SCC-urile UE.
3. Mecanisme elvețiene de transfer de date: Pentru transferurile din Elveția, se aplică SCC-urile cu modificările impuse de FADP elvețian.

7.2 Măsuri suplimentare

Implementăm următoarele măsuri suplimentare pentru a proteja datele cu caracter personal transferate:

• Criptarea datelor în tranzit (TLS/SSL) și în repaus
• Controale de acces și mecanisme de autentificare
• Evaluări periodice de securitate
• Practici de minimizare a datelor (de exemplu, hash-uri ale vizitatorilor cu rotație zilnică în loc de stocarea IP brut)
• Rezidența jurisdicțională a datelor pentru operatorii de site-uri web rezidenți în UE (stocarea persistentă și procesarea automatizată orientată spre vizitatori restricționate la UE)
• Infrastructură de calcul și e-mail situată în UE pentru operațiuni automatizate orientate spre vizitatori (notificări de trimitere a conținutului și livrarea e-mailurilor tranzacționale procesate în Uniunea Europeană pentru operatorii de site-uri web rezidenți în UE)

7.3 Evaluarea impactului transferului

Aceste măsuri suplimentare sunt informate de evaluarea noastră a legilor și practicilor din țările de destinație, ținând cont de natura datelor transferate, mecanismul de transfer utilizat și măsurile tehnice și organizatorice în vigoare. Am evaluat că măsurile suplimentare descrise mai sus, împreună cu angajamentele din SCC-uri, oferă un nivel adecvat de protecție pentru datele cu caracter personal transferate. Evaluarea noastră a impactului transferului este disponibilă la https://www.acira.ai/tia.

7.4 Transferuri de date canadiene

Pentru transferurile de date cu caracter personal din Canada, ne bazăm pe următoarele garanții pentru a asigura că datele cu caracter personal transferate în afara Canadei primesc un nivel comparabil de protecție conform cerințelor Legii privind protecția informațiilor personale și documentele electronice (PIPEDA) și legislației provinciale aplicabile privind confidențialitatea (inclusiv PIPA din Alberta, PIPA din Columbia Britanică și Legea Quebec privind protecția informațiilor personale în sectorul privat):

1. Protecții contractuale: Acorduri scrise de prelucrare a datelor cu fiecare suboperator care impun obligații de protejare a datelor cu caracter personal la un standard consistent cu legea canadiană privind confidențialitatea, inclusiv cerințe pentru garanții de securitate adecvate, limitări de utilizare, notificarea încălcărilor și accesul persoanei vizate.
2. Garanții tehnice: Aceleași măsuri de criptare, pseudonimizare, control al accesului și minimizare a datelor descrise în Secțiunea 7.2 se aplică transferurilor de date canadiene.
3. Garanții organizatorice: Diligența suboperatorilor, obligații de confidențialitate pentru personal și proceduri documentate de răspuns la incidente, astfel cum sunt descrise în acest DPA.

Monitorizăm evoluțiile din legislația canadiană privind confidențialitatea, inclusiv propusa Lege privind protecția confidențialității consumatorilor (CPPA), și vom actualiza mecanismele noastre de transfer după cum este necesar.

8. DREPTURILE PERSOANELOR VIZATE

8.1 Asistență la solicitări

Vă vom asista în răspunsul la solicitările persoanelor vizate care își exercită drepturile în temeiul Legislației aplicabile privind protecția datelor, inclusiv drepturile de acces, rectificare, ștergere, restricționare, portabilitate și opoziție.

8.2 Notificare

Dacă primim o solicitare direct de la o persoană vizată cu privire la datele cu caracter personal prelucrate în numele dumneavoastră, vă vom notifica prompt și nu vom răspunde la solicitare fără instrucțiunile dumneavoastră, cu excepția cazului în care este impus de legislația aplicabilă.

8.3 Instrumente ale platformei

Oferim instrumente în cadrul Serviciilor pentru a vă ajuta să îndepliniți solicitările persoanelor vizate, inclusiv:

• Accesul la și gestionarea datelor stocate în bazele de date ale site-ului dumneavoastră
• Ștergerea înregistrărilor individuale din bazele de date ale site-ului dumneavoastră
• La cerere, putem furniza exporturi de date în format ZIP pentru a asista cu obligațiile de portabilitate a datelor

9. SECURITATEA DATELOR

9.1 Măsuri de securitate

Implementăm și menținem măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale. Aceste măsuri includ:

• Criptare: Date criptate în tranzit prin TLS/SSL și în repaus folosind criptare standard industrială
• Control al accesului: Controale de acces bazate pe roluri, autentificare multi-factor pentru administrarea platformei, politici de acces cu privilegii minime
• Securitatea infrastructurii: Infrastructură cloud gestionată cu aplicarea automată a patch-urilor de securitate, protecție DDoS și Web Application Firewall (WAF)
• Izolarea datelor: Izolarea datelor per site prin instanțe de stocare dedicate
• Monitorizare: Monitorizare automată a securității, detectare a intruziunilor și logare structurată
• Securitatea credențialelor: Toate cheile API și secretele stocate în servicii dedicate de gestionare a secretelor; parolele utilizatorilor hash-uite folosind algoritmi criptografici puternici cu salturi per utilizator
• Protecție bot: Sisteme de provocare proof-of-work pentru a preveni abuzul automatizat

9.2 Confidențialitate

Asigurăm că tot personalul autorizat să prelucreze date cu caracter personal este obligat prin obligații de confidențialitate.

10. NOTIFICAREA ÎNCĂLCĂRII DATELOR

10.1 Notificarea Controlorului

Vă vom notifica fără întârziere nejustificată după confirmarea unei încălcări a datelor cu caracter personal care afectează datele cu caracter personal prelucrate în numele dumneavoastră. Notificarea va fi trimisă la informațiile de contact asociate contului dumneavoastră.

10.2 Conținutul notificării

Notificarea noastră privind încălcarea va include, în măsura în care sunt disponibile:

1. O descriere a naturii încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate și înregistrări în cauză;
2. Numele și datele de contact ale contactului nostru pentru protecția datelor;
3. O descriere a consecințelor probabile ale încălcării;
4. O descriere a măsurilor luate sau propuse pentru a aborda încălcarea și a-i atenua efectele.

10.3 Obligațiile dumneavoastră

Sunteți responsabili pentru notificarea autorității de supraveghere relevante și a persoanelor vizate afectate cu privire la o încălcare a datelor cu caracter personal, după cum este impus de Legislația aplicabilă privind protecția datelor. Vom coopera cu dumneavoastră și vom oferi asistență rezonabilă pentru a vă ajuta să respectați obligațiile dumneavoastră de notificare a încălcărilor.

11. AUDITURI ȘI VERIFICAREA CONFORMITĂȚII

11.1 Documentația de conformitate

Pentru a demonstra conformitatea noastră cu acest DPA, vă vom pune la dispoziție, la cerere scrisă rezonabilă (cel mult o dată pe an), următoarele:

1. Rapoarte de audit relevante de la terți, certificări sau rezumate ale evaluărilor de securitate;
2. Un rezumat al măsurilor noastre tehnice și organizaționale de securitate actuale;
3. Informații despre activitățile noastre de prelucrare, subîmputerniciți și practicile de protecție a datelor.

Atunci când ne bazăm pe furnizori de infrastructură terți (cum ar fi AWS și Cloudflare), certificările lor de securitate și documentația de conformitate sunt disponibile prin programele lor respective de încredere și conformitate.

11.2 Solicitări suplimentare

Dacă documentația furnizată în temeiul Secțiunii 11.1 nu abordează în mod rezonabil preocupările dumneavoastră privind conformitatea, puteți trimite întrebări scrise specifice cu privire la practicile noastre de protecție a datelor, la care vom răspunde într-un termen rezonabil.

12. RETENȚIA ȘI ȘTERGEREA DATELOR

12.1 Pe durata Acordului

Vom păstra datele cu caracter personal prelucrate în numele dumneavoastră pe durata Acordului și în conformitate cu instrucțiunile dumneavoastră prin intermediul Serviciilor. Perioadele specifice de retenție pentru datele vizitatorilor includ:

• Conversații chatbot pe site-ul dumneavoastră: Păstrate timp de treizeci (30) de zile de la ultima interacțiune din fiecare conversație. Conversațiile sunt stocate în sesiunile vizitatorilor pe infrastructura edge a site-ului și sunt șterse automat când sesiunea expiră din cauza inactivității.
• Trimiteri de formulare și conținut generat de utilizatori pe site-ul dumneavoastră: Păstrate pe durata site-ului asociat, cu excepția cazului în care le ștergeți mai devreme prin instrumentele platformei.
• Date de sesiune pentru vizitatorii site-ului dumneavoastră: Șterse automat după 30 de zile de inactivitate.
• Conținut vizitator șters (trimiteri de formulare, comentarii și alt conținut generat de utilizatori pe site-ul dumneavoastră): Când ștergeți conținut vizitator prin instrumentele platformei, acesta este mutat într-o stare de ștergere soft și păstrat până la treizeci (30) de zile pentru a sprijini recuperarea. După această perioadă, conținutul șters soft este eliminat permanent. Puteți șterge conținut permanent imediat prin eliminarea lui din coada de recuperare.
• Înregistrări de dezabonare prin e-mail pe site-ul dvs.: Păstrate pe durata site-ului asociat, cu excepția cazului în care destinatarul se reabonează. Înregistrările de dezabonare sunt șterse când site-ul este distrus.
• Date analitice: Păstrate pe durata site-ului asociat (supuse limitelor de retenție bazate pe plan; datele analitice ale planului gratuit sunt păstrate timp de nouăzeci (90) de zile).

12.2 La reziliere

La rezilierea Acordului sau la cererea dumneavoastră, vom șterge datele cu caracter personal prelucrate în numele dumneavoastră în conformitate cu practicile de retenție a datelor descrise în Acord (inclusiv perioada de grație de șapte (7) zile pentru ștergerea contului și a site-ului). După perioada de grație, ștergerea este permanentă și ireversibilă.

12.3 Excepții

Putem păstra datele cu caracter personal în măsura impusă de legislația aplicabilă sau acolo unde datele au fost anonimizate și nu mai pot fi legate de o persoană vizată.

13. DURATĂ ȘI REZILIERE

Acest DPA intră în vigoare la data la care acceptați Acordul și rămâne în vigoare atât timp cât prelucrăm date cu caracter personal în numele dumneavoastră. Obligațiile de confidențialitate și protecție a datelor prevăzute în acest DPA supraviețuiesc rezilierii Acordului.

14. LIMITAREA RĂSPUNDERII

Răspunderea fiecărei părți în temeiul acestui DPA este supusă limitărilor de răspundere prevăzute în Acord.

15. CONTACTAȚI-NE

Pentru întrebări despre acest DPA sau pentru a vă exercita drepturile, contactați-ne la:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-mail: legal@acira.ai