ДОПОЛНЕНИЕ К СОГЛАШЕНИЮ ОБ ОБРАБОТКЕ ДАННЫХ

Последнее обновление: 19 марта 2026 г.

Настоящее Дополнение к соглашению об обработке данных («DPA») является частью Условий использования («Соглашение») между Acira AI LLC («Оператор», «мы», «нас») и пользователем Сервисов («Контролёр», «вы») и дополняет Соглашение в отношении обработки персональных данных.

Настоящий DPA применяется, когда вы используете Сервисы для создания, размещения и публикации веб-сайтов, которые собирают или обрабатывают персональные данные лиц, находящихся в Европейской экономической зоне («ЕЭЗ»), Великобритании («UK») или Швейцарии, или в иных случаях, предусмотренных применимым законодательством о защите данных.

Настоящее Дополнение по обработке данных может быть переведено на другие языки для вашего удобства. В случае любого конфликта или несоответствия между английской версией и любой переведённой версией, английская версия имеет преимущественную силу.

ОГЛАВЛЕНИЕ

1. ОПРЕДЕЛЕНИЯ
2. ОБЛАСТЬ ПРИМЕНЕНИЯ И РОЛИ
3. СВЕДЕНИЯ ОБ ОБРАБОТКЕ ДАННЫХ
4. ОБЯЗАТЕЛЬСТВА ОПЕРАТОРА
5. ОБЯЗАТЕЛЬСТВА КОНТРОЛЁРА
6. СУБОПЕРАТОРЫ
7. МЕЖДУНАРОДНЫЕ ПЕРЕДАЧИ ДАННЫХ
8. ПРАВА СУБЪЕКТОВ ДАННЫХ
9. БЕЗОПАСНОСТЬ ДАННЫХ
10. УВЕДОМЛЕНИЕ ОБ УТЕЧКЕ ДАННЫХ
11. АУДИТЫ И ПРОВЕРКА СООТВЕТСТВИЯ
12. ХРАНЕНИЕ И УДАЛЕНИЕ ДАННЫХ
13. СРОК ДЕЙСТВИЯ И РАСТОРЖЕНИЕ
14. ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ
15. СВЯЖИТЕСЬ С НАМИ

1. ОПРЕДЕЛЕНИЯ

«Применимое законодательство о защите данных» означает все законы и нормативные акты, применимые к обработке персональных данных в соответствии с настоящим DPA, включая (при необходимости) Общий регламент о защите данных (ЕС) 2016/679 («GDPR»), UK GDPR, Федеральный закон Швейцарии о защите данных («FADP») и Закон Калифорнии о защите конфиденциальности потребителей («CCPA»).

«Контролёр» означает физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных — в данном контексте вы, пользователь Сервисов, управляющий веб-сайтом через платформу.

«Субъект данных» означает идентифицированное или идентифицируемое физическое лицо, чьи персональные данные обрабатываются.

«Персональные данные» означают любую информацию, относящуюся к субъекту данных, которая обрабатывается через Сервисы.

«Обработка» означает любую операцию, выполняемую с персональными данными, включая сбор, запись, организацию, структурирование, хранение, адаптацию, извлечение, консультацию, использование, раскрытие, распространение, ограничение, стирание или уничтожение.

«Оператор» означает физическое или юридическое лицо, которое обрабатывает персональные данные от имени Контролёра — в данном контексте Acira AI LLC.

«Субоператор» означает любую третью сторону, привлечённую Оператором для обработки персональных данных от имени Контролёра.

«Стандартные договорные положения» или «SCC» означают стандартные договорные положения для передачи персональных данных операторам, учреждённым в третьих странах, принятые Европейской комиссией.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ И РОЛИ

2.1 Отношения по обработке данных

Когда вы используете Сервисы для создания и управления веб-сайтом, собирающим персональные данные посетителей (через формы, учётные записи пользователей, взаимодействие с чат-ботами, комментарии, отзывы или другие интерактивные функции), вы выступаете в роли Контролёра, а мы выступаем в роли Оператора персональных данных этих посетителей.

2.2 Наша роль как Контролёра

Мы выступаем в качестве независимого Контролёра в отношении персональных данных, которые мы собираем для собственных целей, включая: информацию о вашей учётной записи, данные о выставлении счетов, аналитику использования, общие характеристики веб-сайта, полученные из содержимого вашего веб-сайта (такие как отрасль или тип бизнеса), и данные о работе платформы. Обработка этих данных регулируется нашей Политикой конфиденциальности и выходит за рамки настоящего DPA.

2.3 Аналитика платформы

Мы собираем базовую аналитику посетителей сайта, ориентированную на конфиденциальность (как описано в Соглашении). В отношении аналитических данных мы действуем как совместные контролёры вместе с вами. Мы разработали нашу аналитику так, чтобы минимизировать сбор персональных данных — мы не храним необработанные IP-адреса, а идентификаторы посетителей обновляются ежедневно. Соответствующие обязанности каждого совместного контролёра таковы:

• Acira AI (Оператор/Совместный контролёр): Определяет технические средства сбора аналитики, включая собираемые точки данных, способ вычисления идентификаторов посетителей (ежедневно обновляемые хэши) и агрегирование данных. Мы несём ответственность за безопасность и целостность аналитической инфраструктуры и за ответы на общие вопросы о том, как работает аналитика на платформе.
• Вы (Контролёр/Совместный контролёр): Определяете, использовать ли аналитику на вашем сайте (аналитика включена по умолчанию в рамках Сервисов). Вы несёте ответственность за раскрытие информации о сборе аналитических данных в политике конфиденциальности вашего сайта и за ответы на запросы субъектов данных от посетителей вашего сайта относительно их аналитических данных.
• Точка контакта для субъектов данных: Субъекты данных могут обращаться к вам (владельцу сайта) по вопросам аналитических данных, собранных на вашем сайте. Если мы получаем запрос от субъекта данных относительно аналитических данных, мы направим его к вам, если вы не укажете нам иное. По общим вопросам платформы субъекты данных могут обратиться к нам по адресу legal@acira.ai.

2.4 Суть соглашения о совместном контроле

В соответствии со статьёй 26(2) GDPR суть настоящего соглашения о совместном контроле в отношении аналитических данных заключается в следующем: Мы (Acira AI) определяем технические средства и точки данных, которые собираются; вы (оператор сайта) определяете, используется ли аналитика на вашем сайте. Каждый из нас несёт ответственность за свои соответствующие обязательства в соответствии с Применимым законодательством о защите данных. Вы являетесь основной точкой контакта для посетителей вашего сайта по вопросам аналитических данных. Краткое изложение этого соглашения предоставляется субъектам данных через настоящий DPA и на https://www.acira.ai/dpa.

2.5 Назначение поставщика услуг в соответствии с CCPA

В той мере, в которой мы обрабатываем персональную информацию, подпадающую под действие Закона Калифорнии о защите конфиденциальности потребителей («CCPA»), от вашего имени, мы являемся вашим «поставщиком услуг» в значении Cal. Civ. Code § 1798.140(ag). Мы не будем:

• Продавать или передавать (в значении этих терминов в соответствии с CCPA) какую-либо персональную информацию, которую вы нам предоставляете;
• Хранить, использовать или раскрывать персональную информацию в каких-либо целях, кроме деловых целей, указанных в настоящем DPA и Соглашении, или иначе разрешённых CCPA;
• Хранить, использовать или раскрывать персональную информацию за пределами прямых деловых отношений между вами и нами;
• Объединять персональную информацию, полученную от вас, с персональной информацией, которую мы получаем от или от имени другого лица, или которую мы собираем в ходе собственного взаимодействия с потребителями, за исключением случаев, разрешённых CCPA.

Мы можем извлекать общие, не идентифицирующие деловые характеристики (такие как классификация отрасли) из содержимого вашего веб-сайта с целью предоставления соответствующих рекомендаций по продуктам, как описано в Разделе 2.2. Это ограниченное использование не является продажей, передачей или объединением персональной информации в значении CCPA.

Мы подтверждаем, что понимаем эти ограничения и будем их соблюдать.

2.6 Оценка представителя по швейцарскому FADP

Статья 14 Федерального закона Швейцарии о защите данных («FADP») обязывает негосударственного контролёра, не являющегося швейцарским, назначить представителя в Швейцарии только при соблюдении всех четырёх следующих совокупных условий: (1) обработка связана с предложением товаров или услуг лицам в Швейцарии или с наблюдением за их поведением; (2) обработка осуществляется в больших масштабах; (3) обработка происходит на регулярной основе; и (4) обработка представляет высокий риск для прав личности или основных прав субъектов данных.

Мы оценили наши виды деятельности по обработке в соответствии с этими условиями и определили, что, хотя условия (1) и (3) выполнены, остальные условия не выполнены по следующим причинам:

• Не в больших масштабах: Мы являемся небольшой SaaS-платформой. Объём персональных данных жителей Швейцарии, обрабатываемых через наши Сервисы, ограничен и не составляет обработку в больших масштабах по смыслу статьи 14 FADP.
• Не высокий риск: Персональные данные, которые мы обрабатываем от имени операторов веб-сайтов, состоят преимущественно из псевдонимизированных аналитических идентификаторов (ежедневно обновляемых хэшей), базовых метаданных посетителей (страна, тип устройства, браузер), содержимого форм и сообщений чат-бота. Мы не обрабатываем особые категории персональных данных (статья 5(c) FADP) и не осуществляем профилирование с высоким риском для субъектов данных. Федеральный комиссар Швейцарии по защите данных и информации («FDPIC») указал, что это обязательство направлено прежде всего на крупные интернет-платформы и социальные сети, работающие из-за рубежа, что не соответствует описанию наших Сервисов.

На основании данной оценки мы пришли к выводу, что в настоящее время не обязаны назначать представителя в Швейцарии в соответствии со статьёй 14 FADP. Мы будем периодически пересматривать это определение, в том числе при существенных изменениях масштаба или характера наших видов деятельности по обработке, затрагивающих жителей Швейцарии.

3. СВЕДЕНИЯ ОБ ОБРАБОТКЕ ДАННЫХ

3.1 Предмет и срок

Обработка персональных данных в соответствии с настоящим DPA осуществляется в целях предоставления Сервисов, описанных в Соглашении, и будет продолжаться в течение срока действия Соглашения.

3.2 Характер и цель обработки

Мы обрабатываем персональные данные для:

• Размещения и обслуживания контента вашего сайта
• Хранения и управления данными, отправленными через формы и интерактивные функции вашего сайта
• Ведения учётных записей пользователей и сессий для защищённых разделов вашего сайта
• Доставки электронных писем от вашего имени
• Пересылки писем, полученных на адреса электронной почты вашего пользовательского домена
• Обеспечения работы AI-чат-ботов в разговорах с посетителями вашего сайта
• Создания AI-описаний и метаданных для загруженных файлов
• Конвертации загруженных файлов в форматы, оптимизированные для веба
• Предоставления аналитики посетителей
• Извлечение общих характеристик веб-сайта (таких как отрасль или тип бизнеса) для предоставления соответствующих рекомендаций платформы
• Обнаружения и предотвращения спама и злоупотреблений (включая задачи proof-of-work для защиты от ботов)
• Модерации контента загруженных файлов
• Проверки контента сайта при публикации на соответствие политике контента платформы
• Управление предпочтениями отказа от электронной почты для получателей электронной почты вашего веб-сайта
• Обеспечения коммуникации в режиме реального времени на вашем сайте через WebSocket-соединения (сообщения являются эфемерными и не сохраняются)
• Ведения журналов ошибок и диагностики для обеспечения надёжности платформы и устранения неполадок (могут включать IP-адреса и метаданные запросов; хранятся до тридцати (30) дней)

3.3 Типы персональных данных

Типы обрабатываемых персональных данных зависят от того, что вы собираете через ваш сайт, и могут включать:

• Имена и контактную информацию
• Адреса электронной почты
• Сообщения и данные форм
• Файлы, загруженные посетителями сайта (такие как изображения и документы)
• Содержимое разговоров с чат-ботом (сообщения посетителей и ответы AI)
• Учётные данные пользователей (хранятся в хэшированном виде)
• Данные сессий
• IP-адреса (не хранятся в аналитике — хранится только ежедневно обновляемый хэш; хранятся как метаданные вместе с отправками форм и разговорами чат-бота; временно используются и хэшируются для проверки задач защиты от ботов; временно хранятся для ограничения частоты запросов до семи (7) дней и автоматически удаляются)
• Информация о браузере и устройстве
• Данные о местоположении (на уровне страны и региона, полученные из IP)
• Записи об отказе от электронной почты (хранятся в виде криптографических хэшей адресов электронной почты получателей; не хранятся в необработанном виде)
• Результаты классификации спама (было ли отправленное сообщение определено как спам)
• Данные журналов ошибок и диагностики (IP-адреса, пути запросов и сведения об ошибках; хранятся до тридцати (30) дней и автоматически удаляются)

3.4 Категории субъектов данных

• Посетители вашего сайта
• Пользователи, создающие учётные записи на вашем сайте
• Пользователи, отправляющие формы или взаимодействующие с чат-ботами на вашем сайте
• Пользователи, оставляющие комментарии, отзывы или другие материалы на вашем сайте

4. ОБЯЗАТЕЛЬСТВА ОПЕРАТОРА

Мы обязуемся:

1. Обрабатывать персональные данные только в соответствии с вашими задокументированными инструкциями, если только мы не обязаны делать это в соответствии с применимым законодательством (в этом случае мы уведомим вас об этом правовом требовании до начала обработки, если это не запрещено законом);
2. Обеспечить, что лица, уполномоченные обрабатывать персональные данные, приняли на себя обязательства о конфиденциальности или связаны надлежащим законодательным обязательством о конфиденциальности;
3. Внедрить надлежащие технические и организационные меры безопасности, описанные в Разделе 9;
4. Соблюдать условия привлечения субоператоров, изложенные в Разделе 6;
5. Оказывать вам помощь с учётом характера обработки в ответе на запросы субъектов данных, осуществляющих свои права в соответствии с Применимым законодательством о защите данных;
6. Оказывать вам помощь в обеспечении соответствия вашим обязательствам по статьям 32–36 GDPR (безопасность, уведомление об утечках, оценки воздействия на защиту данных и предварительные консультации), принимая во внимание характер обработки и имеющуюся у нас информацию. Там, где ваше использование Сервисов предполагает обработку с высоким риском, которая может требовать Оценки воздействия на защиту данных (DPIA), мы предоставим вам информацию о наших видах деятельности по обработке, технических и организационных мерах и субоператорах для поддержки вашей оценки;
7. Оказывать вам помощь в выполнении ваших обязательств по статье 22 GDPR (автоматизированное принятие индивидуальных решений) путём предоставления информации о любой автоматизированной обработке, осуществляемой от вашего имени, включая модерацию контента, обнаружение спама и защиту от ботов, а также путём содействия проверке автоматизированных решений человеком по запросу;
8. Информировать вас, если, по нашему мнению, ваша инструкция нарушает Применимое законодательство о защите данных;
9. По вашему выбору, удалить или вернуть все персональные данные после окончания предоставления Сервисов и удалить существующие копии, если только хранение не требуется в соответствии с применимым законодательством;
10. Предоставлять вам всю информацию, необходимую для демонстрации соответствия обязательствам, изложенным в настоящем DPA, и содействовать проверке соответствия, как описано в Разделе 11.

5. ОБЯЗАТЕЛЬСТВА КОНТРОЛЁРА

Вы обязуетесь:

1. Обеспечить, что сбор и обработка персональных данных через ваш сайт соответствуют всем Применимым законодательствам о защите данных;
2. Предоставлять посетителям вашего сайта надлежащие уведомления о конфиденциальности, описывающие ваши практики сбора данных, включая раскрытие информации об аналитике на уровне платформы, взаимодействиях чат-ботов на базе AI, обнаружении спама и защите от ботов;
3. Получать все необходимые согласия или устанавливать иное законное основание для обработки персональных данных через ваш сайт;
4. Обеспечить, что ваши инструкции нам в отношении обработки персональных данных соответствуют Применимым законодательствам о защите данных;
5. Нести ответственность за точность, качество и законность персональных данных, предоставляемых нам через ваш сайт.

Используя Сервисы, вы инструктируете нас выполнять следующие виды деятельности по обработке от вашего имени в рамках стандартных операций платформы: модерация контента загруженных файлов, проверка политики контента опубликованного сайта, обнаружение спама в отправках форм, защита от ботов с помощью задач proof-of-work и взаимодействия чат-ботов на базе AI с посетителями вашего сайта. Эти виды деятельности являются задокументированными инструкциями в соответствии со статьёй 28(3)(a) GDPR.

6. СУБОПЕРАТОРЫ

6.1 Авторизованные субоператоры

Вы предоставляете общее разрешение на привлечение нами субоператоров для помощи в предоставлении Сервисов. Наши текущие субоператоры перечислены ниже и на https://www.acira.ai/dpa.

6.2 Текущий список субоператоров

6.3 Изменения субоператоров

Мы уведомим вас о любых планируемых изменениях в списке субоператоров для Сервисов, которыми вы пользуетесь в настоящее время, путём обновления списка субоператоров на https://www.acira.ai/dpa не менее чем за четырнадцать (14) дней до начала обработки персональных данных новым субоператором. При введении новых функций или сервисов, предполагающих дополнительных субоператоров, эти субоператоры будут раскрыты в момент появления соответствующей функции или сервиса; использование новой функции или сервиса означает принятие раскрытых субоператоров. Вы несёте ответственность за периодическую проверку списка субоператоров на предмет изменений. Если у вас есть обоснованное возражение против нового субоператора, обрабатывающего данные в рамках существующих Сервисов, вы можете уведомить нас в письменной форме в течение четырнадцати (14) дней с момента публикации изменений. Мы будем добросовестно работать с вами, чтобы решить ваши опасения. Если мы не сможем урегулировать возражение к вашему разумному удовлетворению, вы можете расторгнуть Соглашение, направив письменное уведомление.

6.4 Обязательства субоператоров

Мы будем заключать письменные соглашения с каждым субоператором, которые возлагают обязательства по защите данных, не менее защитные, чем изложенные в настоящем DPA. Мы несём ответственность за действия и упущения наших субоператоров в той же мере, в которой несли бы ответственность, если бы оказывали услуги непосредственно.

7. МЕЖДУНАРОДНЫЕ ПЕРЕДАЧИ ДАННЫХ

7.1 Механизмы передачи

Сервисы размещаются преимущественно в США. Персональные данные, обрабатываемые через Сервисы, могут передаваться и обрабатываться в США и других странах, где работают наши субоператоры. Провайдеры AI-инференции (Fireworks AI и xAI) обрабатывают данные в США. BrightData может обрабатывать данные в Израиле и других странах мира. Cloudflare обрабатывает данные в edge-узлах по всему миру.

Резиденция данных ЕС: Для операторов сайтов, идентифицированных как резиденты ЕС, мы применяем следующие меры резиденции данных для минимизации передачи персональных данных посетителей за пределы Европейского Союза:

• Хранение: Данные посетителей в постоянном edge-хранилище — включая отправки форм, разговоры чат-бота, данные сессий и данные таблиц пользователей — юрисдикционно ограничены Европейским Союзом. Эти данные хранятся исключительно в центрах обработки данных ЕС.
• Автоматизированная обработка, ориентированная на посетителей: Операции, автоматически запускаемые активностью посетителей — включая уведомления об отправке контента и транзакционную доставку электронной почты — обрабатываются в пределах Европейского Союза и не проходят через инфраструктуру США.
• Доступ к управлению платформой: Когда вы получаете доступ к данным посетителей вашего сайта через панель управления платформой или разговорный интерфейс (например, просматриваете отправки форм или управляете записями пользователей), эти данные могут обрабатываться через нашу инфраструктуру в США для выполнения вашего запроса. Эти передачи осуществляются по запросу, инициируются вами (Контролёром) и защищены механизмами передачи и дополнительными мерами, описанными ниже.
• Прочая обработка в США: Аналитические данные и данные, обрабатываемые нашей облачной инфраструктурой в США для модерации контента и AI-инференции, всё ещё могут передаваться в Соединённые Штаты в соответствии с механизмами передачи, описанными ниже.

Для передачи персональных данных из ЕЭЗ, UK или Швейцарии в страны, не признанные обеспечивающими надлежащий уровень защиты данных, мы полагаемся на:

1. Стандартные договорные положения (SCC): Мы включаем в настоящий DPA путём отсылки Стандартные договорные положения Европейской комиссии: Модуль Один (Контролёр к Контролёру) для аналитических данных, где мы действуем как совместные контролёры (см. Раздел 2.3), и Модуль Два (Контролёр к Оператору) для всех других персональных данных, обрабатываемых от вашего имени. SCC доступны по адресу https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK Addendum по международной передаче данных: Для передачи из UK применяется UK Addendum к SCC ЕС.
3. Швейцарские механизмы передачи данных: Для передачи из Швейцарии применяются SCC с изменениями, требуемыми швейцарским FADP.

7.2 Дополнительные меры

Мы внедряем следующие дополнительные меры для защиты передаваемых персональных данных:

• Шифрование данных при передаче (TLS/SSL) и при хранении
• Контроль доступа и механизмы аутентификации
• Регулярные оценки безопасности
• Практики минимизации данных (например, ежедневно обновляемые хэши посетителей вместо хранения необработанных IP)
• Юрисдикционная резиденция данных для операторов сайтов, являющихся резидентами ЕС (постоянное хранилище и автоматизированная обработка для посетителей ограничены ЕС)
• Расположенная в ЕС вычислительная и почтовая инфраструктура для автоматизированных операций, ориентированных на посетителей (уведомления об отправке контента и транзакционная доставка электронной почты, обрабатываемые в Европейском Союзе для операторов веб-сайтов, проживающих в ЕС)

7.3 Оценка воздействия передачи

Эти дополнительные меры основаны на нашей оценке законодательства и практик стран назначения с учётом характера передаваемых данных, используемого механизма передачи и действующих технических и организационных мер защиты. Мы оценили, что дополнительные меры, описанные выше, вместе с обязательствами в SCC, обеспечивают надлежащий уровень защиты передаваемых персональных данных. Наша Оценка воздействия передачи доступна по адресу https://www.acira.ai/tia.

7.4 Канадские передачи данных

Для передачи персональных данных из Канады мы полагаемся на следующие меры защиты, чтобы гарантировать, что персональные данные, передаваемые за пределы Канады, получают сопоставимый уровень защиты, требуемый в соответствии с Законом о защите личной информации и электронных документах (PIPEDA) и применимым провинциальным законодательством о конфиденциальности (включая PIPA Альберты, PIPA Британской Колумбии и Закон Квебека о защите личной информации в частном секторе):

1. Договорные меры защиты: Письменные соглашения об обработке данных с каждым субоператором, которые возлагают обязательства по защите персональных данных в соответствии со стандартом канадского законодательства о конфиденциальности, включая требования к надлежащим мерам безопасности, ограничениям использования, уведомлению об утечках и доступу субъекта данных.
2. Технические меры защиты: Те же меры шифрования, псевдонимизации, контроля доступа и минимизации данных, описанные в Разделе 7.2, применяются к канадским передачам данных.
3. Организационные меры защиты: Проверка субоператоров, обязательства о конфиденциальности для персонала и задокументированные процедуры реагирования на инциденты, как описано в настоящем DPA.

Мы отслеживаем изменения в канадском законодательстве о конфиденциальности, включая предлагаемый Закон о защите конфиденциальности потребителей (CPPA), и будем обновлять наши механизмы передачи по мере необходимости.

8. ПРАВА СУБЪЕКТОВ ДАННЫХ

8.1 Помощь с запросами

Мы будем оказывать вам помощь в ответе на запросы субъектов данных, осуществляющих свои права в соответствии с Применимым законодательством о защите данных, включая права на доступ, исправление, удаление, ограничение, переносимость и возражение.

8.2 Уведомление

Если мы получаем запрос непосредственно от субъекта данных относительно персональных данных, обрабатываемых от вашего имени, мы незамедлительно уведомим вас и не будем отвечать на запрос без ваших инструкций, если только это не требуется применимым законодательством.

8.3 Инструменты платформы

Мы предоставляем инструменты в рамках Сервисов для помощи в выполнении запросов субъектов данных, включая:

• Доступ к данным, хранящимся в базах данных вашего сайта, и управление ими
• Удаление отдельных записей из баз данных вашего сайта
• По запросу мы можем предоставить экспорт данных в формате ZIP для помощи в выполнении обязательств по переносимости данных

9. БЕЗОПАСНОСТЬ ДАННЫХ

9.1 Меры безопасности

Мы внедряем и поддерживаем надлежащие технические и организационные меры для защиты персональных данных от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения. Эти меры включают:

• Шифрование: Данные зашифрованы при передаче через TLS/SSL и при хранении с использованием отраслевого стандартного шифрования
• Контроль доступа: Ролевое управление доступом, многофакторная аутентификация для администрирования платформы, политики доступа с минимальными привилегиями
• Безопасность инфраструктуры: Управляемая облачная инфраструктура с автоматическим применением патчей безопасности, защитой от DDoS и брандмауэром веб-приложений (WAF)
• Изоляция данных: Изоляция данных по сайтам через выделенные экземпляры хранилища
• Мониторинг: Автоматизированный мониторинг безопасности, обнаружение вторжений и структурированное логирование
• Безопасность учётных данных: Все API-ключи и секреты хранятся в выделенных службах управления секретами; пользовательские пароли хэшируются с использованием надёжных криптографических алгоритмов с уникальными солями для каждого пользователя
• Защита от ботов: Системы задач proof-of-work для предотвращения автоматизированных злоупотреблений

9.2 Конфиденциальность

Мы обеспечиваем, что весь персонал, уполномоченный обрабатывать персональные данные, связан обязательствами о конфиденциальности.

10. УВЕДОМЛЕНИЕ ОБ УТЕЧКЕ ДАННЫХ

10.1 Уведомление Контролёра

Мы уведомим вас без неоправданной задержки после подтверждения утечки персональных данных, затрагивающей персональные данные, обрабатываемые от вашего имени. Уведомление будет направлено на контактные данные, связанные с вашей учётной записью.

10.2 Содержание уведомления

Наше уведомление об утечке будет включать, в той мере, в которой это доступно:

1. Описание характера утечки, включая категории и приблизительное количество затронутых субъектов данных и записей;
2. Имя и контактные данные нашего контактного лица по защите данных;
3. Описание вероятных последствий утечки;
4. Описание принятых или предлагаемых мер по устранению утечки и смягчению её последствий.

10.3 Ваши обязательства

Вы несёте ответственность за уведомление соответствующего надзорного органа и затронутых субъектов данных об утечке персональных данных в соответствии с требованиями Применимого законодательства о защите данных. Мы будем сотрудничать с вами и оказывать разумную помощь, чтобы помочь вам выполнить ваши обязательства по уведомлению об утечках.

11. АУДИТЫ И ПРОВЕРКА СООТВЕТСТВИЯ

11.1 Документация по соответствию

Для демонстрации нашего соответствия настоящему DPA мы предоставим вам по обоснованному письменному запросу (до одного раза в год) следующее:

1. Соответствующие аудиторские отчёты третьих сторон, сертификаты или резюме оценок безопасности;
2. Резюме наших текущих технических и организационных мер безопасности;
3. Информацию о нашей деятельности по обработке данных, субпроцессорах и практиках защиты данных.

Когда мы полагаемся на сторонних поставщиков инфраструктуры (таких как AWS и Cloudflare), их сертификаты безопасности и документация по соответствию доступны через соответствующие программы доверия и соответствия.

11.2 Дополнительные запросы

Если документация, предоставленная в соответствии с Разделом 11.1, не решает в разумной мере ваши вопросы соответствия, вы можете направить конкретные письменные вопросы относительно наших практик защиты данных, на которые мы ответим в разумные сроки.

12. ХРАНЕНИЕ И УДАЛЕНИЕ ДАННЫХ

12.1 В течение срока действия Соглашения

Мы будем хранить персональные данные, обрабатываемые от вашего имени, в течение срока действия Соглашения и в соответствии с вашими инструкциями через Сервисы. Конкретные сроки хранения данных посетителей включают:

• Разговоры с чат-ботом на вашем сайте: Хранятся в течение тридцати (30) дней с момента последнего взаимодействия в каждом разговоре. Разговоры хранятся в сессиях посетителей на edge-инфраструктуре сайта и автоматически удаляются по истечении сессии из-за неактивности.
• Отправки форм и пользовательский контент на вашем сайте: Хранятся в течение срока существования связанного сайта, если только вы не удалите их раньше с помощью инструментов платформы.
• Данные сессий посетителей вашего сайта: Автоматически удаляются после 30 дней неактивности.
• Удалённый контент посетителей (отправки форм, комментарии и другой пользовательский контент на вашем сайте): Когда вы удаляете контент посетителей с помощью инструментов платформы, он переходит в состояние мягкого удаления и хранится до тридцати (30) дней для поддержки восстановления. По истечении этого периода мягко удалённый контент удаляется окончательно. Вы можете немедленно удалить контент окончательно, очистив его из очереди восстановления.
• Записи об отказе от электронной почты на вашем веб-сайте: Хранятся в течение срока действия связанного веб-сайта, если получатель не подпишется повторно. Записи об отказе удаляются при уничтожении веб-сайта.
• Аналитические данные: Хранятся в течение срока существования связанного сайта (с учётом ограничений хранения по тарифу; аналитические данные бесплатного тарифа хранятся девяносто (90) дней).

12.2 При расторжении

При расторжении Соглашения или по вашему запросу мы удалим персональные данные, обрабатываемые от вашего имени, в соответствии с практиками хранения данных, описанными в Соглашении (включая семидневный (7) льготный период для удаления учётной записи и сайта). После льготного периода удаление является окончательным и необратимым.

12.3 Исключения

Мы можем хранить персональные данные в той мере, в которой это требуется применимым законодательством, или там, где данные были анонимизированы и более не могут быть связаны с субъектом данных.

13. СРОК ДЕЙСТВИЯ И РАСТОРЖЕНИЕ

Настоящий DPA вступает в силу с даты принятия вами Соглашения и остаётся в силе до тех пор, пока мы обрабатываем персональные данные от вашего имени. Обязательства по конфиденциальности и защите данных, изложенные в настоящем DPA, сохраняют силу после расторжения Соглашения.

14. ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ

Ответственность каждой из сторон по настоящему DPA подпадает под ограничения ответственности, изложенные в Соглашении.

15. СВЯЖИТЕСЬ С НАМИ

По вопросам, связанным с настоящим DPA, или для осуществления своих прав обращайтесь к нам по адресу:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Телефон: 888-389-1189
Электронная почта: legal@acira.ai