Dodatok o spracúvaní údajov

Posledná aktualizácia: 19. marca 2026

Tento Dodatok o spracúvaní údajov („DPA“) tvorí súčasť Zmluvných podmienok („Zmluva“) medzi spoločnosťou Acira AI LLC („Sprostredkovateľ“, „my“, „nás“) a používateľom Služieb („Prevádzkovateľ“, „vy“) a dopĺňa Zmluvu vo vzťahu k spracúvaniu osobných údajov.

Tento DPA sa uplatňuje, keď používate Služby na vytváranie, hosťovanie a publikovanie webových stránok, ktoré zhromažďujú alebo spracúvajú osobné údaje fyzických osôb nachádzajúcich sa v Európskom hospodárskom priestore („EHP“), Spojenom kráľovstve („UK“) alebo Švajčiarsku, alebo keď to inak vyžadujú platné právne predpisy o ochrane údajov.

Tento Dodatok o spracúvaní údajov môže byť pre vaše pohodlie preložený do iných jazykov. V prípade akéhokoľvek rozporu alebo nesúladu medzi anglickou verziou a akoukoľvek preloženou verziou má prednosť anglická verzia.

Obsah

1. Definície
2. Rozsah a roly
3. Podrobnosti o spracúvaní údajov
4. Povinnosti sprostredkovateľa
5. Povinnosti prevádzkovateľa
6. Subspracovatelia
7. Medzinárodné prenosy údajov
8. Práva dotknutých osôb
9. Bezpečnosť údajov
10. Oznámenie o porušení ochrany údajov
11. Audity a overovanie súladu
12. Uchovávanie a vymazanie údajov
13. Trvanie a ukončenie
14. Obmedzenie zodpovednosti
15. Kontakt

1. Definície

„Platné právne predpisy o ochrane údajov“ znamenajú všetky zákony a predpisy uplatniteľné na spracúvanie osobných údajov podľa tohto DPA vrátane (podľa potreby) General Data Protection Regulation (EU) 2016/679 („GDPR“), UK GDPR, Swiss Federal Act on Data Protection („FADP“) a California Consumer Privacy Act („CCPA“).

„Prevádzkovateľ“ znamená fyzickú alebo právnickú osobu, ktorá určuje účely a prostriedky spracúvania osobných údajov; v tomto kontexte vy, používateľ Služieb, ktorý prevádzkuje webovú stránku prostredníctvom platformy.

„Dotknutá osoba“ znamená identifikovanú alebo identifikovateľnú fyzickú osobu, ktorej osobné údaje sa spracúvajú.

„Osobné údaje“ znamenajú akékoľvek informácie týkajúce sa dotknutej osoby, ktoré sa spracúvajú prostredníctvom Služieb.

„Spracúvanie“ znamená akúkoľvek operáciu vykonávanú s osobnými údajmi vrátane zhromažďovania, zaznamenávania, organizovania, štruktúrovania, uchovávania, prispôsobovania, získavania, nahliadania, používania, sprístupnenia, šírenia, obmedzenia, vymazania alebo zničenia.

„Sprostredkovateľ“ znamená fyzickú alebo právnickú osobu, ktorá spracúva osobné údaje v mene prevádzkovateľa; v tomto kontexte Acira AI LLC.

„Subspracovateľ“ znamená akúkoľvek tretiu stranu poverenú sprostredkovateľom na spracúvanie osobných údajov v mene prevádzkovateľa.

„Štandardné zmluvné doložky“ alebo „SCCs“ znamenajú štandardné zmluvné doložky pre prenos osobných údajov sprostredkovateľom usadeným v tretích krajinách, prijaté Európskou komisiou.

2. Rozsah a roly

2.1 Vzťah spracúvania

Keď používate Služby na vytvorenie a prevádzku webovej stránky, ktorá zhromažďuje osobné údaje od návštevníkov vašej webovej stránky (prostredníctvom formulárov, používateľských účtov, interakcií s chatbotom, komentárov, recenzií alebo iných interaktívnych funkcií), konáte ako Prevádzkovateľ a my konáme ako Sprostredkovateľ týchto osobných údajov návštevníkov.

2.2 Naša rola ako prevádzkovateľa

Vystupujeme ako nezávislý Prevádzkovateľ osobných údajov, ktoré zhromažďujeme pre vlastné účely, vrátane: informácií o vašom účte, fakturačných údajov, analýzy využívania, všeobecných charakteristík webovej stránky odvodených z obsahu vašej webovej stránky (ako je odvetvie alebo typ podnikania) a prevádzkových údajov platformy. Spracovanie týchto údajov sa riadi našimi Zásadami ochrany osobných údajov a je mimo rozsahu tohto DPA.

2.3 Analytika platformy

Zhromažďujeme základnú analytiku návštevníkov webových stránok šetrnú k súkromiu (ako je opísané v Zmluve). V prípade analytických údajov vystupujeme spolu s vami ako spoloční prevádzkovatelia. Našu analytiku sme navrhli tak, aby minimalizovala zhromažďovanie osobných údajov; neuchovávame surové IP adresy a identifikátory návštevníkov sa menia každý deň. Príslušné povinnosti každého spoločného prevádzkovateľa sú tieto:

• Acira AI (Sprostredkovateľ/Spoločný prevádzkovateľ): Určuje technické prostriedky zhromažďovania analytiky vrátane toho, ktoré dátové body sa zhromažďujú, ako sa počítajú identifikátory návštevníkov (denne rotujúce hashe) a ako sa údaje agregujú. Zodpovedáme za bezpečnosť a integritu analytickej infraštruktúry a za odpovedanie na všeobecné otázky o tom, ako analytika na platforme funguje.
• Vy (Prevádzkovateľ/Spoločný prevádzkovateľ): Určujete, či sa má analytika na vašej webovej stránke používať (analytika je predvolene povolená ako súčasť Služieb). Zodpovedáte za zverejnenie zhromažďovania analytických údajov v zásadách ochrany súkromia vašej webovej stránky a za odpovedanie na žiadosti dotknutých osôb z radov návštevníkov vašej webovej stránky týkajúce sa ich analytických údajov.
• Kontaktný bod pre dotknuté osoby: Dotknuté osoby sa môžu obrátiť na vás (vlastníka webovej stránky) v súvislosti s analytickými údajmi zhromaždenými na vašej webovej stránke. Ak dostaneme žiadosť od dotknutej osoby týkajúcu sa analytických údajov, odkážeme ju na vás, pokiaľ nám neurčíte inak. V prípade všeobecných otázok o platforme sa dotknuté osoby môžu obrátiť na legal@acira.ai.

2.4 Podstata dohody spoločných prevádzkovateľov

V súlade s článkom 26 ods. 2 GDPR je podstata tejto dohody spoločných prevádzkovateľov pre analytické údaje nasledovná: My (Acira AI) určujeme technické prostriedky a zhromažďované dátové body; vy (prevádzkovateľ webovej stránky) určujete, či sa analytika na vašej webovej stránke používa. Každý z nás zodpovedá za svoje príslušné povinnosti podľa Platných právnych predpisov o ochrane údajov. Primárnym kontaktným bodom pre návštevníkov vašej webovej stránky v súvislosti s analytickými údajmi ste vy. Súhrn tejto dohody je sprístupnený dotknutým osobám prostredníctvom tohto DPA a na adrese https://www.acira.ai/dpa.

2.5 Označenie poskytovateľa služby podľa CCPA

V rozsahu, v akom vo vašom mene spracúvame osobné informácie podliehajúce California Consumer Privacy Act („CCPA“), sme vaším „service provider“ v zmysle Cal. Civ. Code § 1798.140(ag). Nebudeme:

• predávať ani zdieľať (v zmysle týchto pojmov podľa CCPA) žiadne osobné informácie, ktoré nám poskytnete;
• uchovávať, používať ani sprístupňovať osobné informácie na žiadny iný účel ako na obchodné účely uvedené v tomto DPA a Zmluve, alebo ako je inak povolené podľa CCPA;
• uchovávať, používať ani sprístupňovať osobné informácie mimo priameho obchodného vzťahu medzi vami a nami;
• kombinovať osobné informácie získané od vás s osobnými informáciami, ktoré získame od inej osoby alebo v jej mene, alebo ktoré zhromažďujeme z našich vlastných interakcií so spotrebiteľmi, okrem prípadov povolených podľa CCPA.

Môžeme odvodiť všeobecné, neidentifikujúce obchodné charakteristiky (ako je klasifikácia odvetvia) z obsahu vašej webovej stránky za účelom poskytovania relevantných produktových odporúčaní, ako je opísané v Oddiele 2.2. Toto obmedzené použitie nepredstavuje predaj, zdieľanie ani kombinovanie osobných údajov v zmysle CCPA.

Potvrdzujeme, že týmto obmedzeniam rozumieme a budeme ich dodržiavať.

2.6 Posúdenie zástupcu podľa Swiss FADP

Článok 14 Swiss Federal Act on Data Protection („FADP“) vyžaduje, aby nesvajčiarsky súkromný prevádzkovateľ určil zástupcu vo Švajčiarsku len vtedy, keď sú splnené všetky štyri nasledujúce kumulatívne podmienky: (1) spracúvanie súvisí s ponúkaním tovarov alebo služieb osobám vo Švajčiarsku alebo s monitorovaním ich správania; (2) spracúvanie sa vykonáva vo veľkom rozsahu; (3) spracúvanie prebieha pravidelne; a (4) spracúvanie predstavuje vysoké riziko pre osobnostné práva alebo základné práva dotknutých osôb.

Posúdili sme naše spracovateľské činnosti podľa týchto podmienok a určili sme, že hoci sú podmienky (1) a (3) splnené, ostatné podmienky nie sú splnené z týchto dôvodov:

• Nie vo veľkom rozsahu: Sme malá SaaS platforma. Objem osobných údajov švajčiarskych rezidentov spracúvaných prostredníctvom našich Služieb je obmedzený a nepredstavuje spracúvanie vo veľkom rozsahu v zmysle článku 14 FADP.
• Nie vysoké riziko: Osobné údaje, ktoré spracúvame v mene prevádzkovateľov webových stránok, pozostávajú predovšetkým z pseudonymizovaných analytických identifikátorov (denne rotujúce hashe), základných metadát návštevníkov (krajina, typ zariadenia, prehliadač), obsahu odoslaných formulárov a správ chatbota. Nespracúvame osobitné kategórie osobných údajov (článok 5 písm. c) FADP) ani nevykonávame profilovanie s vysokým rizikom pre dotknuté osoby. Swiss Federal Data Protection and Information Commissioner („FDPIC“) uviedol, že táto povinnosť je zameraná predovšetkým na veľké internetové platformy a sociálne siete pôsobiace zo zahraničia, čo naše Služby nevystihuje.

Na základe tohto posúdenia sme dospeli k záveru, že v tomto čase nie sme povinní určiť zástupcu vo Švajčiarsku podľa článku 14 FADP. Toto určenie budeme pravidelne prehodnocovať, a to aj pri podstatných zmenách rozsahu alebo povahy našich spracovateľských činností ovplyvňujúcich švajčiarskych rezidentov.

3. Podrobnosti o spracúvaní údajov

3.1 Predmet a trvanie

Spracúvanie osobných údajov podľa tohto DPA sa vykonáva na účel poskytovania Služieb, ako je opísané v Zmluve, a bude pokračovať počas trvania Zmluvy.

3.2 Povaha a účel spracúvania

Osobné údaje spracúvame s cieľom:

• hosťovať a poskytovať obsah vašej webovej stránky;
• ukladať a spravovať údaje odoslané prostredníctvom formulárov a interaktívnych funkcií vašej webovej stránky;
• udržiavať používateľské účty a relácie pre chránené časti vašej webovej stránky;
• doručovať e-mailovú komunikáciu vo vašom mene;
• preposielať e-maily prijaté na vašich e-mailových adresách s vlastnou doménou;
• zabezpečovať konverzácie AI chatbota s návštevníkmi vašej webovej stránky;
• generovať popisy a metadáta pre nahrané súbory pomocou AI;
• konvertovať nahrané súbory do formátov optimalizovaných pre web;
• poskytovať analytiku návštevníkov;
• Odvodenie všeobecných charakteristík webovej stránky (ako je odvetvie alebo typ podnikania) na účely poskytovania relevantných odporúčaní platformy
• zisťovať a predchádzať spamu a zneužitiu (vrátane výpočtových výziev pre botov proof-of-work);
• vykonávať moderovanie obsahu nahraných súborov;
• kontrolovať obsah webovej stránky pri publikovaní z hľadiska súladu s obsahovými pravidlami platformy;
• Spravovať preferencie odhlásenia z e-mailov pre príjemcov e-mailov vašich webových stránok
• sprostredkovať komunikáciu v reálnom čase na vašej webovej stránke prostredníctvom pripojení WebSocket (správy sú dočasné a trvalo sa neuchovávajú);
• uchovávať chybové a diagnostické záznamy na účely spoľahlivosti platformy a riešenia problémov (môžu zahŕňať IP adresy a metadáta požiadaviek; uchovávajú sa najviac tridsať (30) dní).

3.3 Typy osobných údajov

Typy spracúvaných osobných údajov závisia od toho, čo zhromažďujete prostredníctvom svojej webovej stránky, a môžu zahŕňať:

• mená a kontaktné údaje;
• e-mailové adresy;
• správy a odoslania formulárov;
• nahrané súbory odoslané návštevníkmi webovej stránky (napríklad obrázky a dokumenty);
• obsah konverzácií s chatbotom (správy návštevníkov a odpovede AI);
• prihlasovacie údaje používateľských účtov (uchovávané vo forme hashov);
• údaje relácie;
• IP adresy (neuchovávajú sa v analytike — uchováva sa iba denne rotujúci hash; uchovávajú sa ako metadáta spolu s odoslaniami formulárov a konverzáciami s chatbotom; dočasne sa používajú a hashujú na overenie bot challenge; dočasne sa uchovávajú na účely rate limiting najviac sedem (7) dní a automaticky sa mažú);
• informácie o prehliadači a zariadení;
• údaje o polohe (na úrovni krajiny a regiónu, odvodené z IP adresy);
• Záznamy o odhlásení z e-mailov (uložené ako kryptografické hashe e-mailových adries príjemcov; neukladané v surovej forme)
• výsledky klasifikácie spamu (či bolo odoslanie vyhodnotené ako spam);
• údaje chybových a diagnostických záznamov (IP adresy, cesty požiadaviek a podrobnosti o chybách; uchovávajú sa najviac tridsať (30) dní a automaticky sa mažú).

3.4 Kategórie dotknutých osôb

• návštevníci vašej webovej stránky;
• používatelia, ktorí si vytvoria účty na vašej webovej stránke;
• používatelia, ktorí odosielajú formuláre alebo komunikujú s chatbotmi na vašej webovej stránke;
• používatelia, ktorí odosielajú komentáre, recenzie alebo iné príspevky na vašej webovej stránke.

4. Povinnosti sprostredkovateľa

Budeme:

1. spracúvať osobné údaje iba podľa vašich zdokumentovaných pokynov, pokiaľ to nevyžaduje platný zákon (v takom prípade vás o tejto zákonnej požiadavke budeme informovať pred spracúvaním, pokiaľ to zákon nezakazuje);
2. zabezpečovať, aby osoby oprávnené spracúvať osobné údaje boli viazané mlčanlivosťou alebo primeranou zákonnou povinnosťou mlčanlivosti;
3. zavádzať primerané technické a organizačné bezpečnostné opatrenia, ako je opísané v oddiele 9;
4. dodržiavať podmienky zapájania subspracovateľov uvedené v oddiele 6;
5. s prihliadnutím na povahu spracúvania vám pomáhať pri odpovedaní na žiadosti dotknutých osôb uplatňujúcich si svoje práva podľa Platných právnych predpisov o ochrane údajov;
6. s prihliadnutím na povahu spracúvania a informácie, ktoré máme k dispozícii, vám pomáhať pri plnení vašich povinností podľa článkov 32 až 36 GDPR (bezpečnosť, oznamovanie porušenia ochrany údajov, posúdenia vplyvu na ochranu údajov a predchádzajúca konzultácia). Ak vaše používanie Služieb zahŕňa vysoko rizikové spracúvanie, ktoré môže vyžadovať Data Protection Impact Assessment (DPIA), poskytneme vám informácie o našich spracovateľských činnostiach, technických a organizačných opatreniach a subspracovateľoch na podporu vášho posúdenia;
7. pomáhať vám pri plnení vašich povinností podľa článku 22 GDPR (automatizované individuálne rozhodovanie) poskytovaním informácií o akomkoľvek automatizovanom spracúvaní vykonávanom vo vašom mene vrátane moderovania obsahu, detekcie spamu a ochrany pred botmi a uľahčením ľudského preskúmania automatizovaných rozhodnutí na požiadanie;
8. informovať vás, ak sa podľa nášho názoru niektorý váš pokyn prieči Platným právnym predpisom o ochrane údajov;
9. podľa vášho výberu po skončení poskytovania Služieb vymazať alebo vrátiť všetky osobné údaje a vymazať existujúce kópie, pokiaľ uchovávanie nevyžaduje platný zákon;
10. sprístupniť vám všetky informácie potrebné na preukázanie súladu s povinnosťami stanovenými v tomto DPA a prispieť k overovaniu súladu, ako je opísané v oddiele 11.

5. Povinnosti prevádzkovateľa

Budete:

1. zabezpečovať, aby vaše zhromažďovanie a spracúvanie osobných údajov prostredníctvom vašej webovej stránky bolo v súlade so všetkými Platnými právnymi predpismi o ochrane údajov;
2. poskytovať návštevníkom vašej webovej stránky primerané oznámenia o ochrane súkromia opisujúce vaše postupy zhromažďovania údajov vrátane zverejnenia analytiky na úrovni platformy, interakcií s chatbotom poháňaným AI, detekcie spamu a ochrany pred botmi;
3. získať všetky potrebné súhlasy alebo stanoviť iný zákonný základ na spracúvanie osobných údajov prostredníctvom vašej webovej stránky;
4. zabezpečovať, aby vaše pokyny pre nás týkajúce sa spracúvania osobných údajov boli v súlade s Platnými právnymi predpismi o ochrane údajov;
5. niesť zodpovednosť za presnosť, kvalitu a zákonnosť osobných údajov, ktoré nám poskytujete prostredníctvom vašej webovej stránky.

Používaním Služieb nám dávate pokyn vykonávať vo vašom mene nasledujúce spracovateľské činnosti ako súčasť štandardnej prevádzky platformy: moderovanie obsahu nahraných súborov, kontrolu obsahu publikovanej webovej stránky z hľadiska obsahových pravidiel, detekciu spamu pri odoslaniach formulárov, ochranu pred botmi prostredníctvom proof-of-work výziev a AI-poháňané interakcie chatbota s návštevníkmi vašej webovej stránky. Tieto činnosti predstavujú zdokumentované pokyny podľa článku 28 ods. 3 písm. a) GDPR.

6. Subspracovatelia

6.1 Oprávnení subspracovatelia

Dávate nám všeobecné oprávnenie zapájať subspracovateľov na pomoc pri poskytovaní Služieb. Naši aktuálni subspracovatelia sú uvedení nižšie a na adrese https://www.acira.ai/dpa.

6.2 Aktuálny zoznam subspracovateľov

6.3 Zmeny subspracovateľov

O každej zamýšľanej zmene zoznamu subspracovateľov pre Služby, ktoré momentálne používate, vás budeme informovať aktualizáciou zoznamu subspracovateľov na adrese https://www.acira.ai/dpa najmenej štrnásť (14) dní predtým, ako nový subspracovateľ začne spracúvať osobné údaje. Keď zavádzame nové funkcie alebo služby, ktoré zahŕňajú ďalších subspracovateľov, títo subspracovávatelia budú zverejnení v čase, keď bude daná funkcia alebo služba sprístupnená; používanie novej funkcie alebo služby predstavuje súhlas so zverejnenými subspracovávateľmi. Je vašou zodpovednosťou pravidelne kontrolovať zoznam subspracovateľov z hľadiska zmien. Ak máte primeranú námietku voči novému subspracovateľovi spracúvajúcemu údaje pre existujúce Služby, môžete nás o tom písomne informovať do štrnástich (14) dní od zverejnenia zmeny. Budeme s vami v dobrej viere spolupracovať na riešení vašich obáv. Ak námietku nebudeme schopní vyriešiť k vašej primeranej spokojnosti, môžete Zmluvu ukončiť písomným oznámením.

6.4 Povinnosti subspracovateľov

S každým subspracovateľom uzavrieme písomnú zmluvu, ktorá ukladá povinnosti ochrany údajov nie menej ochranné, ako sú tie stanovené v tomto DPA. Za konanie a opomenutia našich subspracovateľov zostávame zodpovední v rovnakom rozsahu, v akom by sme boli zodpovední pri priamom poskytovaní služieb.

7. Medzinárodné prenosy údajov

7.1 Mechanizmy prenosu

Služby sú hostené predovšetkým v Spojených štátoch amerických. Osobné údaje spracúvané prostredníctvom Služieb môžu byť prenášané do Spojených štátov amerických a ďalších krajín, v ktorých pôsobia naši subspracovatelia, a tam aj spracúvané. Poskytovatelia AI inferencie (Fireworks AI a xAI) spracúvajú údaje v Spojených štátoch amerických. BrightData môže spracúvať údaje v Izraeli a ďalších lokalitách po celom svete. Cloudflare spracúva údaje v edge lokalitách po celom svete.

Rezidencia údajov v EÚ: Pre prevádzkovateľov webových stránok identifikovaných ako rezidenti EÚ uplatňujeme nasledujúce opatrenia na rezidencii údajov na minimalizáciu prenosov osobných údajov návštevníkov mimo Európsku úniu:

• Úložisko: Údaje návštevníkov v trvalom okrajovom úložisku — vrátane odoslaných formulárov, konverzácií chatbota, údajov relácie a údajov používateľských tabuliek — sú jurisdikčne obmedzené na Európsku úniu. Tieto údaje sú uložené výlučne v dátových centrách EÚ.
• Automatizované spracovanie zamerané na návštevníkov: Operácie automaticky spustené aktivitou návštevníkov — vrátane upozornení na odoslanie obsahu a transakčného doručovania e-mailov — sú spracúvané v rámci Európskej únie a neprechádzajú cez infraštruktúru USA.
• Prístup k správe platformy: Keď pristupujete k údajom návštevníkov vášho webu cez panel platformy alebo konverzačné rozhranie (napríklad prezeranie odoslaných formulárov alebo správa záznamov používateľov), tieto údaje môžu byť spracované cez našu infraštruktúru v USA na splnenie vašej požiadavky. Tieto prenosy sú na vyžiadanie, iniciované vami (Prevádzkovateľom) a chránené mechanizmami prenosu a doplnkovými opatreniami opísanými nižšie.
• Iné spracovanie v USA: Analytické údaje a údaje spracovávané našou cloudovou infraštruktúrou v USA na účely moderovania obsahu a AI inferencie môžu byť naďalej prenášané do Spojených štátov v súlade s mechanizmami prenosu uvedenými nižšie.

Pri prenosoch osobných údajov z EHP, UK alebo Švajčiarska do krajín, ktoré nie sú uznané za krajiny poskytujúce primeranú úroveň ochrany údajov, sa spoliehame na:

1. Štandardné zmluvné doložky (SCCs): Hlavným odkazom začleňujeme do tohto DPA Štandardné zmluvné doložky Európskej komisie: Module One (Controller to Controller) pre analytické údaje, pri ktorých vystupujeme ako spoločný prevádzkovateľ (pozri oddiel 2.3), a Module Two (Controller to Processor) pre všetky ostatné osobné údaje spracúvané vo vašom mene. SCCs sú dostupné na adrese https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Pre prenosy z UK sa uplatňuje dodatok Spojeného kráľovstva k EU SCCs.
3. Swiss Data Transfer Mechanisms: Pre prenosy zo Švajčiarska sa uplatňujú SCCs s úpravami vyžadovanými podľa Swiss FADP.

7.2 Doplnkové opatrenia

Na ochranu prenášaných osobných údajov zavádzame tieto doplnkové opatrenia:

• šifrovanie údajov pri prenose (TLS/SSL) a v pokoji;
• kontroly prístupu a mechanizmy autentifikácie;
• pravidelné bezpečnostné posúdenia;
• postupy minimalizácie údajov (napríklad denne rotujúce hashe návštevníkov namiesto uchovávania surových IP adries).
• Jurisdikčná rezidencia údajov pre prevádzkovateľov webových stránok s bydliskom v EÚ (trvalé úložisko a automatizované spracovanie zamerané na návštevníkov obmedzené na EÚ)
• Výpočtová a e-mailová infraštruktúra v EÚ pre automatizované operácie zamerané na návštevníkov (upozornenia na odoslanie obsahu a transakčné doručovanie e-mailov spracúvané v Európskej únii pre prevádzkovateľov webových stránok s bydliskom v EÚ)

7.3 Posúdenie vplyvu prenosu

Tieto doplnkové opatrenia vychádzajú z nášho posúdenia právnych predpisov a postupov cieľových krajín s prihliadnutím na povahu prenášaných údajov, použitý mechanizmus prenosu a zavedené technické a organizačné záruky. Posúdili sme, že vyššie opísané doplnkové opatrenia spolu so záväzkami obsiahnutými v SCCs poskytujú primeranú úroveň ochrany prenášaných osobných údajov. Naše Transfer Impact Assessment je dostupné na adrese https://www.acira.ai/tia.

7.4 Canadian Data Transfers

Pri prenosoch osobných údajov z Kanady sa spoliehame na nasledujúce záruky, aby sme zabezpečili, že osobné údaje prenášané mimo Kanady budú mať porovnateľnú úroveň ochrany, ako vyžaduje Personal Information Protection and Electronic Documents Act (PIPEDA) a platné provinčné právne predpisy o súkromí (vrátane Alberta’s PIPA, British Columbia’s PIPA a Quebec’s Act respecting the protection of personal information in the private sector):

1. Zmluvné ochrany: Písomné zmluvy o spracúvaní údajov s každým subspracovateľom, ktoré ukladajú povinnosti chrániť osobné údaje podľa štandardu zodpovedajúceho kanadskému právu o ochrane súkromia vrátane požiadaviek na primerané bezpečnostné opatrenia, obmedzenia používania, oznamovanie porušení a prístup dotknutých osôb.
2. Technické záruky: Rovnaké opatrenia šifrovania, pseudonymizácie, kontroly prístupu a minimalizácie údajov opísané v oddiele 7.2 sa uplatňujú aj na prenosy kanadských údajov.
3. Organizačné záruky: Due diligence vo vzťahu k subspracovateľom, povinnosti mlčanlivosti pre personál a zdokumentované postupy reakcie na incidenty, ako je opísané v tomto DPA.

Sledujeme vývoj kanadského práva o ochrane súkromia vrátane navrhovaného Consumer Privacy Protection Act (CPPA) a podľa potreby budeme aktualizovať naše mechanizmy prenosu.

8. Práva dotknutých osôb

8.1 Pomoc pri žiadostiach

Pomôžeme vám pri odpovedaní na žiadosti dotknutých osôb uplatňujúcich si svoje práva podľa Platných právnych predpisov o ochrane údajov vrátane práv na prístup, opravu, vymazanie, obmedzenie, prenosnosť a námietku.

8.2 Oznámenie

Ak dostaneme priamo od dotknutej osoby žiadosť týkajúcu sa osobných údajov spracúvaných vo vašom mene, bezodkladne vás o tom informujeme a bez vašich pokynov na žiadosť neodpovieme, pokiaľ to nevyžaduje platný zákon.

8.3 Nástroje platformy

V rámci Služieb poskytujeme nástroje, ktoré vám pomáhajú plniť žiadosti dotknutých osôb, vrátane:

• prístupu k údajom uloženým v databázach vašej webovej stránky a ich správy;
• vymazania jednotlivých záznamov z databáz vašej webovej stránky;
• na požiadanie môžeme poskytnúť exporty údajov vo formáte ZIP na pomoc pri plnení povinností týkajúcich sa prenosnosti údajov.

9. Bezpečnosť údajov

9.1 Bezpečnostné opatrenia

Zavádzame a udržiavame primerané technické a organizačné opatrenia na ochranu osobných údajov pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením. Tieto opatrenia zahŕňajú:

• Šifrovanie: Údaje šifrované pri prenose prostredníctvom TLS/SSL a v pokoji pomocou štandardného šifrovania v odvetví;
• Kontrola prístupu: Riadenie prístupu podľa rolí, viacfaktorová autentifikácia pre správu platformy, politiky prístupu s minimálnymi oprávneniami;
• Bezpečnosť infraštruktúry: Spravovaná cloudová infraštruktúra s automatickým bezpečnostným záplatovaním, ochranou proti DDoS a Web Application Firewall (WAF);
• Izolácia údajov: Izolácia údajov pre každú webovú stránku prostredníctvom vyhradených úložných inštancií;
• Monitorovanie: Automatizované bezpečnostné monitorovanie, detekcia narušenia a štruktúrované logovanie;
• Bezpečnosť poverení: Všetky API kľúče a tajomstvá sú uložené vo vyhradených službách správy tajomstiev; používateľské heslá sú hashované pomocou silných kryptografických algoritmov s jedinečnými soľami pre každého používateľa;
• Ochrana pred botmi: Systémy proof-of-work výziev na prevenciu automatizovaného zneužívania.

9.2 Mlčanlivosť

Zabezpečujeme, aby všetci pracovníci oprávnení spracúvať osobné údaje boli viazaní povinnosťou mlčanlivosti.

10. Oznámenie o porušení ochrany údajov

10.1 Oznámenie prevádzkovateľovi

Bez zbytočného odkladu po potvrdení porušenia ochrany osobných údajov ovplyvňujúceho osobné údaje spracúvané vo vašom mene vás budeme informovať. Oznámenie bude zaslané na kontaktné údaje priradené k vášmu účtu.

10.2 Obsah oznámenia

Naše oznámenie o porušení bude v rozsahu dostupnosti zahŕňať:

1. opis povahy porušenia vrátane kategórií a približného počtu dotknutých osôb a záznamov;
2. meno a kontaktné údaje nášho kontaktu pre ochranu údajov;
3. opis pravdepodobných dôsledkov porušenia;
4. opis opatrení prijatých alebo navrhovaných na riešenie porušenia a zmiernenie jeho dôsledkov.

10.3 Vaše povinnosti

Za oznámenie porušenia ochrany osobných údajov príslušnému dozornému orgánu a dotknutým osobám zodpovedáte vy, ak to vyžadujú Platné právne predpisy o ochrane údajov. Budeme s vami spolupracovať a poskytneme primeranú pomoc, aby sme vám pomohli splniť vaše povinnosti pri oznamovaní porušení.

11. Audity a overovanie súladu

11.1 Dokumentácia súladu

Na preukázanie nášho súladu s týmto DPA vám na primeranú písomnú žiadosť (maximálne raz ročne) sprístupníme nasledujúce:

1. Príslušné správy z auditov tretích strán, certifikácie alebo zhrnutia bezpečnostných hodnotení;
2. Zhrnutie našich aktuálnych technických a organizačných bezpečnostných opatrení;
3. Informácie o našich spracovateľských činnostiach, sprostredkovateľoch a postupoch ochrany údajov.

Ak sa spoliehame na poskytovateľov infraštruktúry tretích strán (ako sú AWS a Cloudflare), ich bezpečnostné certifikácie a dokumentácia súladu sú dostupné prostredníctvom ich príslušných programov dôveryhodnosti a súladu.

11.2 Ďalšie otázky

Ak dokumentácia poskytnutá podľa oddielu 11.1 primerane nerieši vaše obavy týkajúce sa súladu, môžete predložiť konkrétne písomné otázky týkajúce sa našich postupov ochrany údajov, na ktoré odpovieme v primeranej lehote.

12. Uchovávanie a vymazanie údajov

12.1 Počas trvania Zmluvy

Osobné údaje spracúvané vo vašom mene budeme uchovávať počas trvania Zmluvy a v súlade s vašimi pokynmi prostredníctvom Služieb. Konkrétne doby uchovávania údajov návštevníkov zahŕňajú:

• Konverzácie s chatbotom na vašej webovej stránke: Uchovávajú sa tridsať (30) dní od poslednej interakcie v každej konverzácii. Konverzácie sú uložené v rámci relácií návštevníkov na edge infraštruktúre webovej stránky a automaticky sa vymažú po vypršaní relácie z dôvodu nečinnosti.
• Odoslania formulárov a obsah vytvorený používateľmi na vašej webovej stránke: Uchovávajú sa počas existencie príslušnej webovej stránky, pokiaľ ich nevymažete skôr prostredníctvom nástrojov platformy.
• Údaje relácie návštevníkov vašej webovej stránky: Automaticky sa vymazávajú po 30 dňoch nečinnosti.
• Vymazaný obsah návštevníkov (odoslania formulárov, komentáre a iný obsah vytvorený používateľmi na vašej webovej stránke): Keď vymažete obsah návštevníka prostredníctvom nástrojov platformy, presunie sa do stavu soft-delete a uchováva sa najviac tridsať (30) dní na podporu obnovy. Po uplynutí tohto obdobia sa soft-delete obsah trvalo odstráni. Obsah môžete trvalo odstrániť okamžite jeho purge z frontu obnovy.
• Záznamy o odhlásení z e-mailov na vašich webových stránkach: Uchovávané počas trvania príslušných webových stránok, pokiaľ sa príjemca znova neprihlási. Záznamy o odhlásení sú vymazané pri zničení webových stránok.
• Analytické údaje: Uchovávajú sa počas existencie príslušnej webovej stránky (s výhradou limitov uchovávania podľa plánu; analytické údaje vo free plan sa uchovávajú deväťdesiat (90) dní).

12.2 Po ukončení

Po ukončení Zmluvy alebo na vašu žiadosť vymažeme osobné údaje spracúvané vo vašom mene v súlade s postupmi uchovávania údajov opísanými v Zmluve (vrátane sedem (7) dňovej grace period pri vymazaní účtu a webovej stránky). Po uplynutí grace period je vymazanie trvalé a nezvratné.

12.3 Výnimky

Osobné údaje môžeme uchovávať v rozsahu vyžadovanom platným zákonom alebo ak boli údaje anonymizované a už ich nemožno priradiť k dotknutej osobe.

13. Trvanie a ukončenie

Tento DPA nadobúda účinnosť dňom, keď prijmete Zmluvu, a zostáva účinný dovtedy, kým vo vašom mene spracúvame osobné údaje. Povinnosti mlčanlivosti a ochrany údajov uvedené v tomto DPA zostávajú v platnosti aj po ukončení Zmluvy.

14. Obmedzenie zodpovednosti

Zodpovednosť každej strany podľa tohto DPA podlieha obmedzeniam zodpovednosti uvedeným v Zmluve.

15. Kontakt

V prípade otázok týkajúcich sa tohto DPA alebo na uplatnenie vašich práv nás kontaktujte na:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefón: 888-389-1189
E-mail: legal@acira.ai