Posúdenie vplyvu prenosu
POSÚDENIE VPLYVU PRENOSU
Posledná aktualizácia: 19. marca 2026
Toto Posúdenie vplyvu prenosu ("TIA") bolo vypracované spoločnosťou Acira AI LLC ("Acira AI", "my", "nás") v súlade s požiadavkami rozhodnutia Súdneho dvora Európskej únie vo veci Komisár pre ochranu údajov verzus Facebook Ireland Limited a Maximillian Schrems (vec C-311/18, "Schrems II") a odporúčaniami Európskeho výboru pre ochranu údajov (Odporúčania EDPB 01/2020 o doplnkových opatreniach).
Toto TIA hodnotí primeranosť ochrany osobných údajov prenesených z Európskeho hospodárskeho priestoru ("EHP"), Spojeného kráľovstva ("UK"), Švajčiarska a Kanady do Spojených štátov amerických a iných tretích krajín v súvislosti s poskytovaním našich Služieb.
Toto TIA môže byť preložené do iných jazykov pre vašu pohodlnosť. V prípade akéhokoľvek konfliktu alebo nezrovnalosti medzi anglickou verziou a akoukoľvek preloženou verziou bude mať prednosť anglická verzia.
OBSAH
- PREHĽAD PRENOSOV
- POVAHA PRENÁŠANÝCH ÚDAJOV
- MECHANIZMY PRENOSU
- POSÚDENIE ZÁKONOV CIEĽOVEJ KRAJINY
- POSÚDENIE TOKOV ÚDAJOV PODĽA POSKYTOVATEĽA SLUŽIEB
- DOPLNKOVÉ OPATRENIA
- POSÚDENIE RIZÍK
- ZÁVER
- HARMONOGRAM PRESKÚMANIA
- KONTAKTUJTE NÁS
1. PREHĽAD PRENOSOV
1.1 Kontext
Acira AI je platforma softvéru ako služby, ktorá umožňuje podnikom a jednotlivcom vytvárať, spravovať a hosťovať webové stránky poháňané umelou inteligenciou. Keď používatelia vytvárajú webové stránky, ktoré navštevujú návštevníci z EHP, UK, Švajčiarska alebo Kanady, osobné údaje týchto návštevníkov môžu byť prenesené a spracované v Spojených štátoch amerických a na iných miestach, kde naši poskytovatelia infraštruktúry pôsobia.
1.2 Strany
- Vývozca údajov: Prevádzkovateľ webovej stránky (náš zákazník, konajúci ako Prevádzkovateľ) a, v prípade analytických údajov, Acira AI ako Spoločný prevádzkovateľ.
- Dovozca údajov: Acira AI LLC, registrovaná v Nevade, Spojené štáty americké, konajúca ako Sprostredkovateľ (a Spoločný prevádzkovateľ pre analytiku).
- Subdodávatelia spracovania: Poskytovatelia služieb tretích strán poverení spoločnosťou Acira AI (uvedení v Oddiele 5).
1.3 Cieľové miesta prenosu
| Cieľové miesto | Poskytovatelia | Základ |
|---|---|---|
| Spojené štáty a Európska únia (Štokholm) | AWS | SCC + Doplnkové opatrenia (USA); Vnútro-EHP pre automatizované operácie zamerané na návštevníkov pre rezidentov EÚ |
| Spojené štáty | Stripe, Fireworks AI, xAI | SCC + Doplnkové opatrenia |
| Globálne (edge lokality) | Cloudflare | SCC + Doplnkové opatrenia |
| Izrael | BrightData (iba na základe pokynov používateľa) | SCC + Doplnkové opatrenia |
| Európska únia | Black Forest Labs, ScreenshotOne, CloudConvert | V rámci EHP (mechanizmus prenosu nie je potrebný) |
2. POVAHA PRENÁŠANÝCH ÚDAJOV
2.1 Kategórie osobných údajov
Prenášané osobné údaje závisia od funkcií povolených prevádzkovateľom webovej stránky a interakcií návštevníkov webovej stránky. Môžu byť prenášané nasledovné kategórie:
| Kategória údajov | Opis | Citlivosť | Objem |
|---|---|---|---|
| Analytické identifikátory | Denne rotujúci kryptografický hash IP + User-Agent + dátum (pseudonymizovaný) | Nízka | Vysoký (každé zobrazenie stránky) |
| Metadáta návštevníka | Krajina, región, jazyk, typ zariadenia, prehliadač, OS, referenčná doména, UTM parametre | Nízka | Vysoká (každé zobrazenie stránky) |
| IP adresy | Uložené ako metadáta s odoslanými formulármi a rozhovormi chatbotu; hashované pre analytiku; dočasne používané na overenie výziev botov; dočasne uložené na obmedzenie rýchlosti (až 7 dní) | Stredná | Stredná |
| Obsah odoslaných formulárov | Polia voľného textu odoslaného návštevníkmi (mená, e-maily, správy atď.) | Variabilná (závisí od formulára) | Nízka až stredná |
| Správy chatbotu | Správy návštevníkov a odpovede generované AI (max. 2 000 znakov na správu) | Nízka až stredná | Nízka |
| Nahrávania súborov | Súbory nahrané návštevníkmi prostredníctvom formulárov webovej stránky (obrázky, dokumenty) | Variabilná | Nízka |
| Identifikátory relácie | ID relácií na strane servera a cookies relácie na strane klienta | Nízka | Vysoká |
| Prihlasovacie poverenia | Heslá pre chránené oblasti webovej stránky (uložené iba v hashovanej forme) | Vysoká (ale hashovaná) | Nízka |
2.2 Kategórie dotknutých osôb
- Návštevníci webových stránok hosťovaných na platforme Acira AI
- Používatelia, ktorí si vytvárajú účty na webových stránkach hosťovaných na platforme
- Používatelia, ktorí odosielajú formuláre, interagujú s chatbotmi alebo nahrávajú súbory na hosťovaných webových stránkach
2.3 Údaje, ktoré sa neprenášajú
- Geolokačné údaje: Vyhľadávanie polohy podľa IP vykonáva náš poskytovateľ infraštruktúry na sieťovom okraji. Žiadne IP adresy návštevníkov sa neprenášajú žiadnej externej geolokačnej službe.
- Nespracované analytické IP adresy: Ukladá sa iba denne rotujúci kryptografický hash; nespracované IP adresy sa v analytických systémoch neukladajú.
- Heslá v čistom texte: Uchovávajú a prenášajú sa iba kryptografické hashe.
3. MECHANIZMY PRENOSU
3.1 Primárny mechanizmus: Štandardné zmluvné doložky
Spoliehame sa na Štandardné zmluvné doložky (SCC) Európskej komisie prijaté Vykonávacím rozhodnutím Komisie (EÚ) 2021/914, konkrétne:
- Modul Jeden (Prevádzkovateľ na Prevádzkovateľa): Pre prenosy analytických údajov, kde Acira AI koná ako spoločný prevádzkovateľ s prevádzkovateľom webovej stránky (pozri Oddiel 2.3 DPA).
- Modul Dva (Prevádzkovateľ na Sprostredkovateľa): Pre prenosy osobných údajov návštevníkov od prevádzkovateľa webovej stránky (Prevádzkovateľa) k Acira AI (Sprostredkovateľ).
- Modul Tri (Sprostredkovateľ na Subdodávateľa spracovania): Pre ďalšie prenosy z Acira AI k našim subdodávateľom spracovania.
3.2 Prenosy pre UK, Švajčiarsko a Kanadu
- UK: Uplatňuje sa Britský dodatok k medzinárodnému prenosu údajov k EU SCC.
- Švajčiarsko: SCC sa uplatňujú s úpravami požadovanými švajčiarskym federálnym zákonom o ochrane údajov (FADP).
- Kanada: Prenosy sa spoliehajú na zmluvnú ochranu s každým subdodávateľom spracovania, ktorý ukladá povinnosti zodpovedajúce Zákonu o ochrane osobných informácií a elektronických dokumentoch (PIPEDA) a príslušným provinčným zákonom o ochrane súkromia, v kombinácii s doplnkovými technickými a organizačnými opatreniami opísanými v Oddiele 6. Podrobnosti nájdete v Oddiele 7.4 DPA.
3.3 Mechanizmy prenosu subdodávateľov spracovania
| Subdodávateľ spracovania | Mechanizmus prenosu |
|---|---|
| Amazon Web Services | SCC (AWS DPA), certifikovaný ISO 27001/27017/27018 |
| Cloudflare | SCC (Cloudflare DPA), certifikovaný ISO 27001 |
| Stripe | SCC (Stripe DPA), certifikovaný PCI DSS Level 1 |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, certifikovaný ISO 27001/27701/42001 |
| xAI | SCC (xAI DPA s EU SCC) |
| BrightData | SCC (BrightData DPA) |
4. POSÚDENIE ZÁKONOV CIEĽOVEJ KRAJINY
4.1 Spojené štáty americké
Spojené štáty americké sú primárnym cieľovým miestom pre prenášané údaje. Pre toto posúdenie sú relevantné nasledovné americké zákony:
4.1.1 Zákon o dohľade nad zahraničnými spravodajskými službami (FISA), Oddiel 702
Oddiel 702 FISA oprávňuje americkú vládu nútit' poskytovateľov služieb elektronickej komunikácie na poskytnutie prístupu ku komunikáciám neamerických osôb nachádzajúcich sa mimo Spojených štátov amerických na účely zahraničných spravodajských služieb.
Posúdenie rizika:
- Uplatniteľnosť: Oddiel 702 FISA sa vzťahuje na "poskytovateľov služieb elektronickej komunikácie" definovaných v 50 U.S.C. § 1881(b)(4). Acira AI je SaaS platforma na hosťovanie webových stránok, nie tradičný poskytovateľ telekomunikácií. Naši subdodávatelia spracovania (AWS, Cloudflare) s väčšou pravdepodobnosťou podliehajú smerniciam Oddielu 702.
- Rozsah ohrozených údajov: Osobné údaje, ktoré spracovávame, pozostávajú predovšetkým z analytiky návštevníkov webovej stránky (pseudonymizovanej), odoslaní formulárov a správ chatbotu. Tieto údaje pravdepodobne nemajú záujem zahraničných spravodajských služieb.
- Praktická pravdepodobnosť: Nikdy sme nedostali smernicu Oddielu 702 FISA a hodnotíme praktickú pravdepodobnosť jej prijatia ako veľmi nízku, berúc do úvahy povahu našich Služieb a údaje, ktoré spracovávame.
4.1.2 Výkonný poriadok 12333
EO 12333 oprávňuje americké spravodajské agentúry vykonávať dohľadové aktivity vrátane hromadného zberu signálnych spravodajských informácií. Vzťahuje sa na údaje v tranzite a nenúti súkromné spoločnosti spolupracovať.
Posúdenie rizika:
- Zmiernenie: Všetky údaje v tranzite sú šifrované pomocou TLS. Hromadné zachytávanie šifrovaných údajov v tranzite by neposkytlo osobné údaje v čistom texte.
- Praktická pravdepodobnosť: Nízka. Údaje spracované prostredníctvom našich Služieb nie sú takej povahy, na ktorú by sa typicky zameriavali signálne spravodajské služby.
4.1.3 Výkonný poriadok 14086 a Rámec ochrany súkromia údajov EÚ-USA
Výkonný poriadok 14086 (október 2022) zaviedol ďalšie záruky pre aktivity signálnych spravodajských služieb vrátane:
- Požiadaviek nevyhnutnosti a proporcionality pri zbere spravodajských informácií
- Dvojstupňového mechanizmu nápravy (Úradník pre ochranu občianskych slobôd + Súd pre preskúmanie ochrany údajov) dostupného občanom EÚ/UK/Švajčiarska
- Obmedzení hromadného zberu
Európska komisia 10. júla 2023 prijala rozhodnutie o primeranosti pre Rámec ochrany súkromia údajov EÚ-USA (DPF). Hoci Acira AI momentálne nie je samocertifikovaná v rámci DPF, ochrany podľa EO 14086 sa široko uplatňujú na všetky prenosy údajov do Spojených štátov amerických a sú prospešné pre všetky dotknuté osoby bez ohľadu na konkrétny použitý mechanizmus prenosu.
4.1.4 CLOUD Act
Zákon o objasnení zákonného zámorského používania údajov (CLOUD Act) umožňuje americkým orgánom presadzovania práva prinútiť poskytovateľov so sídlom v USA na predloženie údajov bez ohľadu na miesto ich uloženia, a to na základe platného príkazu alebo súdneho príkazu.
Posúdenie rizika:
- Záruky: CLOUD Act vyžaduje platný právny proces (príkaz, predvolanie alebo súdny príkaz). Neoprávňuje hromadný prístup bez príkazu.
- Ustanovenia o comity: CLOUD Act zahŕňa rámec comity, ktorý umožňuje poskytovateľom napadnúť príkazy, ktoré sú v rozpore s cudzím právom.
- Praktická pravdepodobnosť: Nízka pre údaje návštevníkov webovej stránky. Žiadosti orgánov presadzovania práva by s väčšou pravdepodobnosťou cielili na konkrétne účty podozrivé z trestnej činnosti, nie na analytiku návštevníkov alebo odoslané formuláre.
4.2 Izrael (BrightData)
BrightData má sídlo v Izraeli. Izrael má rozhodnutie o primeranosti Európskej komisie (2011/61/EU), čo znamená, že prenosy do Izraela sú posudzované podobne ako prenosy v rámci EHP. BrightData však spracováva údaje aj na iných globálnych lokalitách. Uvádzame, že:
- Spracovanie BrightData prebieha iba keď ho riadi používateľ (počas vytvárania webovej stránky na import obsahu) alebo počas naplánovaného sledovania SERP.
- Žiadne osobné údaje návštevníkov webovej stránky nie sú prenášané BrightData.
4.3 Kanada (Prenosy z Kanady do Spojených štátov amerických)
Osobné údaje návštevníkov webovej stránky nachádzajúcich sa v Kanade môžu byť prenesené do Spojených štátov amerických na spracovanie. Pre toto posúdenie sú relevantné nasledovné kanadské zákony:
4.3.1 Zákon o ochrane osobných informácií a elektronických dokumentoch (PIPEDA)
PIPEDA upravuje zhromažďovanie, používanie a sprístupňovanie osobných informácií súkromnými organizáciami v priebehu komerčných aktivít. Zásada 4.1.3 PIPEDA vyžaduje, aby organizácie používali zmluvné alebo iné prostriedky na zabezpečenie porovnateľnej úrovne ochrany pri prenose osobných informácií tretím stranám na spracovanie, vrátane prenosov mimo Kanady.
Posúdenie rizika:
- Porovnateľná ochrana: Doplnkové opatrenia opísané v Oddiele 6 (šifrovanie, pseudonymizácia, kontroly prístupu, minimalizácia údajov) poskytujú úroveň ochrany porovnateľnú s tou, ktorú vyžaduje PIPEDA. Písomné zmluvy o spracovaní údajov sú uzatvorené so všetkými subdodávateľmi spracovania.
- Žiadna požiadavka na primeranosť: Na rozdiel od GDPR PIPEDA nezakazuje prenosy do krajín bez nálezu "primeranosti". Organizácie musia zabezpečiť porovnateľnú ochranu zmluvnými a inými prostriedkami, čo sme implementovali.
4.3.2 Provinčná legislatíva o ochrane súkromia
Zákon o ochrane osobných informácií Alberty (PIPA), Zákon o ochrane osobných informácií Britskej Kolumbie (PIPA) a Quebecký zákon o ochrane osobných informácií v súkromnom sektore stanovujú ďalšie požiadavky pre určité provincie:
Posúdenie rizika:
- Quebecký Zákon 25: Modernizovaný zákon o ochrane súkromia v Quebecu (platný od septembra 2023) vyžaduje posúdenie vplyvu na súkromie pred prenosom osobných informácií mimo Quebecu a prevádzajúca organizácia musí byť presvedčená, že informácie budú riadne chránené. Naša zmluvná ochrana, doplnkové technické opatrenia a povaha údajov (predovšetkým pseudonymizovaná analytika a interakcie na webových stránkach malých podnikov) podporujú záver o primeranej ochrane.
- Alberta a BC: PIPA Alberty a BC vyžadujú, aby organizácie zabezpečili porovnateľnú ochranu prenášaných údajov. Naše zmluvné a technické ochranné opatrenia túto požiadavku spĺňajú.
4.3.3 Prístup americkej vlády z kanadskej perspektívy
Rovnaké riziká vládneho prístupu posúdené v Oddiele 4.1 sa vzťahujú na kanadské prenosy údajov. Nízka pravdepodobnosť vládneho prístupu (berúc do úvahy povahu údajov a profil našej spoločnosti), v kombinácii s doplnkovými opatreniami v Oddiele 6, zabezpečuje, že osobné údaje prenesené z Kanady do Spojených štátov amerických získajú porovnateľnú úroveň ochrany s tou, ktorú vyžaduje kanadský zákon o ochrane súkromia.
4.4 Globálne edge lokality (Cloudflare)
Cloudflare prevádzkuje globálnu sieť hraničných lokalít. Požiadavky návštevníkov z EÚ sa zvyčajne spracovávajú v najbližšom bode prítomnosti Cloudflare, ktorý bude pre návštevníkov z EÚ zvyčajne lokalita v EÚ.
- Smerovanie požiadaviek, ukončenie TLS a ochrana pred botmi sa uskutočňujú v najbližšej hraničnej lokalite.
- Pre prevádzkovateľov webových stránok identifikovaných ako rezidenti EÚ je trvalé úložisko (obsahujúce odoslané formuláre, konverzácie chatbotu a údaje relácie) jurisdikčne obmedzené na Európsku úniu pomocou rozhrania API jurisdikcie Cloudflare. Pre prevádzkovateľov webových stránok mimo EÚ je trvalé úložisko umiestnené v blízkosti geografickej oblasti prevádzkovateľa, ale môže byť umiestnené mimo EÚ.
- Analytické údaje sa spracovávajú v infraštruktúre spravovanej spoločnosťou Cloudflare.
5. POSÚDENIE TOKOV ÚDAJOV PODĽA POSKYTOVATEĽA SLUŽIEB
5.1 Amazon Web Services (USA)
| Tok údajov | Zahrnuté osobné údaje | Účel |
|---|---|---|
| Úložisko databázy | Metadáta odoslaných formulárov (IP, krajina, región), záznamy konverzácií chatbotu, metadáta súborov, záznamy relácií | Trvalé úložisko údajov návštevníkov webových stránok |
| Úložisko súborov | Nahrané súbory (obrázky, dokumenty), snímky nasadení | Úložisko súborov |
| Inferencia AI | Obsah súboru (pre popisy AI), obsah e-mailu (na detekciu spamu) | Popisy s podporou AI a klasifikácia spamu |
| Moderovanie obsahu | Nahrané obrázky | Moderovanie obsahu (detekcia nahoty/explicitného obsahu) |
| Doručovanie e-mailov | E-mailové adresy, obsah správ | Transakčné doručovanie e-mailov a upozornenia na odoslanie obsahu. Pre prevádzkovateľov webových stránok s bydliskom v EÚ sa tieto operácie spracúvajú v Európskej únii (Štokholm). |
| Detekcia jazyka | Text e-mailových správ | Detekcia jazyka |
Záruky AWS:
- Certifikovaný ISO 27001, 27017, 27018
- Dostupné správy SOC 1/2/3
- Údaje šifrované v pokoji pomocou priemyselného štandardného šifrovania
- Údaje šifrované v tranzite (TLS)
- Kontroly prístupu s minimálnymi oprávneniami na systémovú komponentu
- Hlavné služby sú hostované v Spojených štátoch; automatizované operácie zamerané na návštevníkov (upozornenia na odoslanie obsahu a transakčné doručovanie e-mailov) pre prevádzkovateľov webových stránok s bydliskom v EÚ sa spracúvajú v Európskej únii (Štokholm)
5.2 Cloudflare (Globálne)
| Tok údajov | Zahrnuté osobné údaje | Účel |
|---|---|---|
| Edge smerovanie | IP adresy, HTTP hlavičky, URL adresy požiadaviek | Smerovanie požiadaviek, ochrana DDoS, ukončenie TLS |
| Webové hosťovanie | Obsah stránky, metadáta návštevníkov | Hosťovanie a doručovanie webových stránok |
| Trvalé úložisko | Odoslané formuláre, konverzácie chatbotu, údaje relácie, údaje tabuľky používateľov | Stavové úložisko na webovú stránku |
| Analytika | Pseudonymizovaný hash návštevníka, krajina, zariadenie, prehliadač, referrer, UTM | Analytika návštevníkov šetrná k súkromiu |
| Inferencia AI | Správy chatbotu, súhrny polí formulára | Odpovede chatbotu AI, detekcia spamu |
| Úložisko aktív | Aktíva webových stránok (obrázky, súbory) | Úložisko statických aktív a doručovanie CDN |
Záruky Cloudflare:
- Certifikovaný ISO 27001, SOC 2 Type II
- TLS 1.2+ pre všetky pripojenia
- DPA Cloudflare so SCC k dispozícii
- Edge spracovanie znamená, že údaje návštevníkov EÚ sa zvyčajne spracovávajú na edge lokalitách EÚ pri vybavovaní požiadaviek
- Pre prevádzkovateľov webových stránok identifikovaných ako rezidenti EÚ je trvalé úložisko (obsahujúce odoslané formuláre, konverzácie chatbotov, údaje o reláciách a údaje používateľských tabuliek) jurisdikčne obmedzené na Európsku úniu pomocou jurisdikčného API Cloudflare, čím sa zabezpečuje, že tieto údaje sa ukladajú a spracúvajú výlučne v dátových centrách EÚ. Backendové volania API z okraja (pre upozornenia na odoslanie obsahu a transakčné doručovanie e-mailov) sa smerujú do infraštruktúry AWS v EÚ.
- Inferencia AI neuchováva vstupné údaje na účely tréningu
5.3 Stripe (USA)
| Tok údajov | Zahrnuté osobné údaje | Účel |
|---|---|---|
| Spracovanie platieb | Fakturačné údaje prevádzkovateľa webovej stránky (meno, e-mail, spôsob platby) | Spracovanie platieb za predplatné a doménu |
Poznámka: Stripe neprijíma osobné údaje návštevníkov webovej stránky. Stripe spracováva iba fakturačné informácie prevádzkovateľa webovej stránky (nášho zákazníka).
Záruky Stripe:
- Certifikovaný PCI DSS Level 1
- Certifikovaný ISO 27001
- DPA Stripe so SCC k dispozícii
5.4 Poskytovatelia AI inferencovania (USA)
Fireworks AI a xAI poskytujú služby inferencovania modelu AI.
| Tok údajov | Zahrnuté osobné údaje | Účel |
|---|---|---|
| Generovanie textu (obsah webovej stránky) | Obsah webovej stránky (nie údaje návštevníkov) | Vytváranie a úprava obsahu webovej stránky |
| Generovanie obrázkov | Textové výzvy (nie údaje návštevníkov) | Vytváranie obrázkov pre webové stránky |
| Konverzačná AI (chatový agent) | Meno, e-mail, jazyková preferencia a história rozhovorov používateľa platformy | AI-poháňaný asistent pre používateľov platformy (prevádzkovateľov webových stránok) |
Poznámka: Títo poskytovatelia AI neprijímajú osobné údaje návštevníkov webovej stránky. Funkcia chatbotu (slúžiaca návštevníkom webovej stránky) používa Cloudflare Workers AI (posúdené v Oddiele 5.2), nie týchto poskytovateľov. Konverzačný AI asistent platformy — používaný prevádzkovateľmi webových stránok na správu ich webových stránok — však posiela osobné údaje používateľa platformy (meno, e-mailovú adresu a históriu rozhovorov) týmto poskytovateľom ako súčasť generovania odpovedí. Pre toto spracovanie Acira AI koná ako prevádzkovateľ (nie sprostredkovateľ) a dotknutými osobami sú naši používatelia platformy (prevádzkovatelia webových stránok), nie návštevníci ich webových stránok. Tento tok údajov je riadený naším Vyhlásením o ochrane súkromia a našimi dohodami s týmito poskytovateľmi, nie rámcom prevádzkovateľ-sprostredkovateľ DPA pre údaje návštevníkov.
Rodiny modelov: Títo poskytovatelia infraštruktúry hosťujú a vykonávajú modely AI vyvinuté rôznymi tretími stranami. Konkrétne modely a rodiny modelov, ktoré sa používajú, sa môžu časom meniť. Vývojári modelov neprijímajú ani nemajú prístup k žiadnym používateľským údajom — všetky spracovanie údajov prebieha výhradne v infraštruktúre uvedených subspracovateľov, bez ohľadu na to, kde bol model pôvodne vyvinutý. Všetky spracovanie inferencie AI zostáva v infraštruktúre našich uvedených subspracovateľov. Žiadne používateľské údaje sa neposielajú vývojárom modelov ani infraštruktúre mimo subspracovateľov uvedených v tomto hodnotení. Aktuálny zoznam používaných rodín modelov je k dispozícii na požiadanie kontaktovaním legal@acira.ai.
5.5 BrightData (Izrael / Globálne)
| Tok údajov | Zahrnuté osobné údaje | Účel |
|---|---|---|
| Zbieranie webových údajov | Verejne dostupný webový obsah (nie údaje návštevníkov) | Import obsahu počas vytvárania webovej stránky (na pokyn používateľa) |
| Sledovanie SERP | Kľúčové slová vyhľadávania (nie údaje návštevníkov) | Sledovanie hodnotenia kľúčových slov |
Poznámka: BrightData nespracováva osobné údaje návštevníkov webovej stránky. Spracováva verejne dostupný webový obsah na pokyn používateľa a sleduje hodnotenie vo vyhľadávačoch pre kľúčové slová definované používateľom.
5.6 Poskytovatelia so sídlom v EÚ (Žiadny prenos)
| Poskytovateľ | Lokalita | Účel |
|---|---|---|
| Black Forest Labs | Nemecko (EÚ) | AI generovanie obrázkov (modely Flux) |
| ScreenshotOne | Európska únia | Snímanie obrazovky webovej stránky |
| CloudConvert | Nemecko (EÚ) | Konverzia formátov súborov |
Títo poskytovatelia spracovávajú údaje v rámci EÚ a nepredstavujú medzinárodný prenos. Black Forest Labs prijíma iba textové výzvy na generovanie obrázkov; nie sú zahrnuté žiadne osobné údaje.
6. DOPLNKOVÉ OPATRENIA
Okrem SCC implementujeme nasledovné doplnkové opatrenia na zabezpečenie v podstate rovnocennej úrovne ochrany prenášaných osobných údajov:
6.1 Technické opatrenia
| Opatrenie | Opis |
|---|---|
| Šifrovanie pri prenose | Všetky dáta prenášané medzi návštevníkmi, hraničnou sieťou a backendovými službami sú šifrované pomocou TLS (minimálne TLS 1.2). Interná komunikácia medzi službami využíva šifrované kanály. |
| Šifrovanie v pokoji | Všetky záznamy databázy, úložisko súborov a hraničné trvalé úložisko sú šifrované v pokoji pomocou priemyselného štandardného šifrovania spravovaného príslušným poskytovateľom infraštruktúry. |
| Pseudonymizácia | Analytika návštevníkov používa denne rotujúci kryptografický hash (IP + User-Agent + dátum) namiesto ukladania nespracovaných IP adries. Tento hash nemožno obrátiť a rotuje každých 24 hodín, čo zabraňuje sledovaniu naprieč dňami. |
| Minimalizácia údajov | Analytika zbiera iba metadáta na agregovanej úrovni (krajina, typ zariadenia, prehliadač). V analytike sa neukladajú nespracované IP adresy. Správy chatbotu sú obmedzené na 2 000 znakov. |
| Hashovanie hesiel | Všetky heslá návštevníkov (pre chránené oblasti webovej stránky) sú hashované pomocou silných kryptografických algoritmov s náhodnou soľou pre každého používateľa pred uložením. Heslá v čistom texte sa nikdy neukladajú ani neprenášajú. |
| Kontroly prístupu | Politiky prístupu s minimálnymi oprávneniami obmedzujú každú systémovú komponentu iba na zdroje, ktoré potrebuje. Tokeny API na webovú stránku obmedzujú prístup k jednotlivým webovým stránkam. |
| Sieťová izolácia | Backendové služby komunikujú cez interné siete. Webové hosťovanie funguje v izolovaných sandboxoch vykonávania. Vykonávanie vlastného kódu využíva sandboxing založený na WebAssembly. |
| Jurisdikčné umiestnenie údajov | Pre prevádzkovateľov webových stránok identifikovaných ako rezidenti EÚ je trvalé úložisko obsahujúce údaje návštevníkov (odoslané formuláre, konverzácie chatbotov, údaje o reláciách a údaje používateľských tabuliek) jurisdikčne obmedzené na Európsku úniu, čím sa zabezpečuje, že tieto údaje sa ukladajú a spracúvajú výlučne v dátových centrách EÚ. Automatizované operácie zamerané na návštevníkov (upozornenia na odoslanie obsahu a transakčné doručovanie e-mailov) sa tiež spracúvajú v infraštruktúre v EÚ. |
| Automatizované vymazávanie | Údaje relácie expirujú po 30 dňoch nečinnosti. Dočasné súbory sa vymazávajú do 24 hodín. Údaje výziev botov sú dočasné a nie sú zachované. |
6.2 Organizačné opatrenia
| Opatrenie | Opis |
|---|---|
| Mlčanlivosť zamestnancov | Všetci zamestnanci s prístupom k osobným údajom sú viazaní povinnosťami mlčanlivosti. |
| Hĺbková previerka subdodávateľov spracovania | Subdodávatelia spracovania sú pred poverením hodnotení z hľadiska ich bezpečnostných postupov a súladu s ochranou údajov. Písomné DPA sú uzatvorené so všetkými subdodávateľmi spracovania. |
| Reakcia na incidenty | Postupy notifikácie o porušení zabezpečujú, že prevádzkovatelia sú upovedomení do 72 hodín po potvrdení porušenia ochrany osobných údajov. |
| Politiky uchovávania údajov | Zdokumentované doby uchovávania s automatickým presadzovaním (mazanie na základe TTL, politiky životného cyklu). |
| Monitorovanie bezpečnosti | Štruktúrované protokolovanie, automatizované monitorovanie bezpečnosti a detekcia narušenia. Protokoly chýb a diagnostiky sa uchovávajú až 30 dní. |
6.3 Zmluvné opatrenia
| Opatrenie | Opis |
|---|---|
| Štandardné zmluvné doložky | SCC (Modul Jeden, Modul Dva a Modul Tri) sú začlenené do nášho DPA odkazom. |
| SCC subdodávateľov spracovania | Písomné dohody s každým subdodávateľom spracovania ukladajú povinnosti ochrany údajov, ktoré nie sú menej ochranné ako tie v našom DPA. |
| Notifikácia vládneho prístupu | Zaväzujeme sa informovať prevádzkovateľov o žiadostiach o vládny prístup tam, kde to zákon umožňuje, ako je opísané v našich Podmienkach a pravidlách. |
| Záväzok namietania | Zaväzujeme sa namietať žiadosti o vládny prístup, o ktorých sa domnievame, že sú príliš rozsiahle alebo nezákonné. |
7. POSÚDENIE RIZÍK
7.1 Pravdepodobnosť vládneho prístupu
| Faktor | Posúdenie |
|---|---|
| Povaha údajov | Predovšetkým pseudonymizovaná analytika, odoslané formuláre a správy chatbotu z webových stránok malých podnikov. Tieto údaje majú nízku spravodajskú hodnotu. |
| Objem údajov | Nízky až stredný. Každá webová stránka obsluhuje svoju vlastnú základňu návštevníkov; údaje nie sú agregované naprieč webovými stránkami na účely dohľadu. |
| Profil spoločnosti | Acira AI je malá SaaS spoločnosť hosťujúca webové stránky malých podnikov. Nie sme poskytovateľom telekomunikácií ani vysoko profilovaným cieľom dohľadu. |
| Historické žiadosti | K dátumu tohto posúdenia Acira AI nikdy nedostala smernicu Oddielu 702 FISA, list národnej bezpečnosti ani žiadnu vládnu žiadosť o hromadný prístup k údajom zákazníkov. |
| Profil subdodávateľov spracovania | AWS a Cloudflare sú veľkí poskytovatelia infraštruktúry, ktorí publikujú správy o transparentnosti. Ich správy o transparentnosti naznačujú, že vládne žiadosti sú zamerané na konkrétne účty, nie na hromadný prístup k hosťovanému obsahu. |
Celková pravdepodobnosť: NÍZKA
7.2 Vplyv, ak by k prístupu došlo
| Faktor | Posúdenie |
|---|---|
| Citlivosť údajov | Väčšina prenášaných údajov má nízku citlivosť (pseudonymizovaná analytika, metadáta návštevníkov webovej stránky). Odoslané formuláre môžu obsahovať údaje strednej citlivosti (mená, e-mailové adresy, správy) v závislosti od webovej stránky. |
| Účinnosť pseudonymizácie | Analytické údaje nemožno prepojiť s jednotlivcami bez prístupu k denne rotujúcim komponentom hashu (IP + User-Agent + dátum), ktoré nie sú ukladané. |
| Rozsah expozície | Akýkoľvek vládny prístup by bol zameraný na konkrétne účty alebo webové stránky, nie na celú platformu. Izolácia údajov na úrovni webových stránok prostredníctvom vyhradených úložiskových inštancií obmedzuje rozsah akéhokoľvek potenciálneho kompromitácie. Pre prevádzkovateľov webových stránok s bydliskom v EÚ je trvalé úložisko a automatizované spracovanie zamerané na návštevníkov (upozornenia na odoslanie obsahu a transakčné doručovanie e-mailov) obmedzené na EÚ, čím sa ďalej obmedzuje expozícia voči prístupu vlády USA k týmto údajom. |
Celkový vplyv: NÍZKY až STREDNÝ (v závislosti od citlivosti údajov zhromažďovaných jednotlivými prevádzkovateľmi webových stránok)
7.3 Posúdenie zvyškového rizika
Berúc do úvahy nízku pravdepodobnosť vládneho prístupu, doplnkové technické opatrenia (šifrovanie, pseudonymizácia, minimalizácia údajov) a ďalšie záruky zavedené EO 14086, hodnotíme, že zvyškové riziko pre dotknuté osoby je nízke a že doplnkové opatrenia spolu so SCC (pre prenosy EHP/UK/Švajčiarsko) a zmluvnou ochranou (pre kanadské prenosy) poskytujú úroveň ochrany v podstate rovnocennú tej, ktorá je zaručená v rámci EHP, a porovnateľnú s tou, ktorú vyžaduje kanadský zákon o ochrane súkromia.
8. ZÁVER
Na základe tohto posúdenia dospievame k záveru, že:
Osobné údaje prenesené z EHP/UK/Švajčiarska/Kanady do Spojených štátov amerických v súvislosti s poskytovaním našich Služieb požívajú v podstate rovnocennú úroveň ochrany tej, ktorá je zaručená podľa právnych predpisov EÚ o ochrane údajov, a porovnateľnú úroveň ochrany tej, ktorú vyžaduje kanadský zákon o ochrane súkromia.
Štandardné zmluvné doložky v kombinácii s doplnkovými technickými, organizačnými a zmluvnými opatreniami opísanými v Oddiele 6 primerane riešia riziká identifikované v tomto posúdení.
Povaha údajov (predovšetkým pseudonymizovaná analytika a interakcie návštevníkov webových stránok malých podnikov) a profil dovozcu údajov (malá SaaS spoločnosť, nie poskytovateľ telekomunikácií) výrazne znižujú praktické riziko vládneho dohľadu.
Ochrany zavedené Výkonným poriadkom 14086 a s tým spojený mechanizmus nápravy poskytujú ďalšie záruky, ktoré sú prospešné pre všetky dotknuté osoby, bez ohľadu na konkrétny použitý mechanizmus prenosu.
Pre kanadské prenosy zmluvné ochrany a doplnkové opatrenia opísané tu zabezpečujú porovnateľnú úroveň ochrany tej, ktorú vyžadujú PIPEDA a príslušné provinčné zákony o ochrane súkromia vrátane modernizovaného québeckého zákona o ochrane súkromia.
Budeme naďalej sledovať vývoj v oblasti amerického práva a praxe dohľadu, ako aj vývoj kanadského práva o ochrane súkromia (vrátane navrhovaného Zákona o ochrane súkromia spotrebiteľov) a prehodnotíme toto TIA, ak sa okolnosti materálne zmenia.
Prenosy môžu pokračovať za predpokladu ďalšieho uplatňovania SCC a doplnkových opatrení tu opísaných.
9. HARMONOGRAM PRESKÚMANIA
Toto TIA bude preskúmané a aktualizované:
- Ročne, ako minimum, alebo
- Pri materiálnych zmenách platných zákonov alebo nariadení (vrátane zmien FISA, CLOUD Act, EO 14086, PIPEDA alebo kanadskej provinčnej legislatívy o ochrane súkromia),
- Pri zmenách našich subdodávateľov spracovania alebo povahy prenášaných údajov,
- Pri akomkoľvek súdnom rozhodnutí, ktoré materiálne ovplyvní platnosť SCC alebo primeranosť americkej ochrany údajov.
10. KONTAKTUJTE NÁS
Ak máte otázky týkajúce sa tohto Posúdenia vplyvu prenosu, kontaktujte nás prosím na:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Spojené štáty americké
Telefón: 888-389-1189
E-mail: legal@acira.ai
Vaše súkromie, naša priorita
Vaše údaje nepredávame, nepoužívame sledovacie cookies — preto tu neuvidíte banner s cookies. Rešpektujeme Global Privacy Control a pre zákazníkov z EÚ sa údaje návštevníkov ukladajú a spracúvajú výlučne v Európskej únii.
Acira AI
Vytvárajte krásne webové stránky s AI. Programovanie nie je potrebné.
S hrdosťou vytvorené v Spojených štátoch
© 2026 Acira AI LLC. Všetky práva vyhradené.