Dodatek o obdelavi podatkov

Nazadnje posodobljeno: 19. marca 2026

Ta Dodatek o obdelavi podatkov ("DPA") je del Pogojev in določil ("Pogodba") med Acira AI LLC ("Obdelovalec", "mi", "nas") in uporabnikom Storitev ("Upravljavec", "vi") ter dopolnjuje Pogodbo glede obdelave osebnih podatkov.

Ta DPA se uporablja, kadar uporabljate Storitve za ustvarjanje, gostovanje in objavo spletnih strani, ki zbirajo ali obdelujejo osebne podatke posameznikov v Evropskem gospodarskem prostoru ("EGP"), Združenem kraljestvu ("UK") ali Švici, ali kadar to drugače zahtevajo veljavni zakoni o varstvu podatkov.

Ta Dodatek o obdelavi podatkov je lahko za vaše udobje preveden v druge jezike. V primeru kakršnega koli nasprotja ali neskladnosti med angleško različico in katero koli prevedeno različico prevlada angleška različica.

Kazalo

1. Opredelitve
2. Področje uporabe in vloge
3. Podrobnosti o obdelavi podatkov
4. Obveznosti obdelovalca
5. Obveznosti upravljavca
6. Podobdelovalci
7. Mednarodni prenosi podatkov
8. Pravice posameznikov, na katere se podatki nanašajo
9. Varnost podatkov
10. Obvestilo o kršitvi varstva podatkov
11. Revizije in preverjanje skladnosti
12. Hramba in izbris podatkov
13. Trajanje in prenehanje
14. Omejitev odgovornosti
15. Kontakt

1. Opredelitve

"Veljavni zakon o varstvu podatkov" pomeni vse zakone in predpise, ki se uporabljajo za obdelavo osebnih podatkov v skladu s tem DPA, vključno z (kjer je primerno) General Data Protection Regulation (EU) 2016/679 ("GDPR"), UK GDPR, Swiss Federal Act on Data Protection ("FADP") in California Consumer Privacy Act ("CCPA").

"Upravljavec" pomeni fizično ali pravno osebo, ki določa namene in sredstva obdelave osebnih podatkov; v tem kontekstu ste to vi, uporabnik Storitev, ki prek platforme upravlja spletno stran.

"Posameznik, na katerega se podatki nanašajo" pomeni določeno ali določljivo fizično osebo, katere osebni podatki se obdelujejo.

"Osebni podatki" pomenijo vse informacije, ki se nanašajo na posameznika, na katerega se podatki nanašajo, in se obdelujejo prek Storitev.

"Obdelava" pomeni katero koli dejanje, izvedeno na osebnih podatkih, vključno z zbiranjem, beleženjem, organiziranjem, strukturiranjem, shranjevanjem, prilagajanjem, pridobivanjem, vpogledom, uporabo, razkritjem, razširjanjem, omejitvijo, izbrisom ali uničenjem.

"Obdelovalec" pomeni fizično ali pravno osebo, ki obdeluje osebne podatke v imenu Upravljavca; v tem kontekstu Acira AI LLC.

"Podobdelovalec" pomeni katero koli tretjo osebo, ki jo Obdelovalec angažira za obdelavo osebnih podatkov v imenu Upravljavca.

"Standardne pogodbene klavzule" ali "SCCs" pomenijo standardne pogodbene klavzule za prenos osebnih podatkov obdelovalcem v tretjih državah, kot jih je sprejela Evropska komisija.

2. Področje uporabe in vloge

2.1 Razmerje obdelave

Ko uporabljate Storitve za ustvarjanje in upravljanje spletne strani, ki zbira osebne podatke obiskovalcev vaše spletne strani (prek obrazcev, uporabniških računov, interakcij s chatbotom, komentarjev, ocen ali drugih interaktivnih funkcij), delujete kot Upravljavec, mi pa delujemo kot Obdelovalec teh osebnih podatkov obiskovalcev.

2.2 Naša vloga kot upravljavca

Delujemo kot neodvisni Upravljavec za osebne podatke, ki jih zbiramo za lastne namene, vključno z: informacijami o vašem računu, podatki o obračunavanju, analitiko uporabe, splošnimi značilnostmi spletnega mesta, pridobljenimi iz vsebine vašega spletnega mesta (kot sta panoga ali vrsta dejavnosti), in operativnimi podatki platforme. Obdelava teh podatkov je urejena z našo Politiko zasebnosti in ne spada v obseg tega DPA.

2.3 Analitika platforme

Zbiramo osnovno analitiko obiskovalcev spletnih strani, ki spoštuje zasebnost (kot je opisano v Pogodbi). Za analitične podatke delujemo kot skupni upravljavec skupaj z vami. Našo analitiko smo zasnovali tako, da čim bolj zmanjšamo zbiranje osebnih podatkov; ne shranjujemo surovih IP naslovov, identifikatorji obiskovalcev pa se dnevno menjavajo. Ustrezne odgovornosti vsakega skupnega upravljavca so naslednje:

• Acira AI (Obdelovalec/Skupni upravljavec): Določa tehnična sredstva zbiranja analitike, vključno s tem, katere podatkovne točke se zbirajo, kako se izračunajo identifikatorji obiskovalcev (dnevno rotirajoči hashi) in kako se podatki agregirajo. Odgovorni smo za varnost in celovitost analitične infrastrukture ter za odgovarjanje na splošna vprašanja o tem, kako analitika deluje na platformi.
• Vi (Upravljavec/Skupni upravljavec): Določate, ali se bo analitika uporabljala na vaši spletni strani (analitika je privzeto omogočena kot del Storitev). Odgovorni ste za razkritje zbiranja analitičnih podatkov v pravilniku o zasebnosti vaše spletne strani in za odgovarjanje na zahteve posameznikov, na katere se podatki nanašajo, glede njihovih analitičnih podatkov.
• Kontaktna točka za posameznike, na katere se podatki nanašajo: Posamezniki, na katere se podatki nanašajo, se lahko glede analitičnih podatkov, zbranih na vaši spletni strani, obrnejo na vas (lastnika spletne strani). Če prejmemo zahtevo posameznika glede analitičnih podatkov, ga bomo usmerili k vam, razen če nam ne naročite drugače. Za splošna vprašanja o platformi se lahko posamezniki obrnejo na nas na legal@acira.ai.

2.4 Bistvo ureditve skupnega upravljavca

V skladu s členom 26(2) GDPR je bistvo te ureditve skupnega upravljavca za analitične podatke naslednje: Mi (Acira AI) določamo tehnična sredstva in zbrane podatkovne točke; vi (upravljavec spletne strani) določate, ali se analitika uporablja na vaši spletni strani. Vsak od nas je odgovoren za svoje obveznosti v skladu z Veljavnimi zakoni o varstvu podatkov. Vi ste primarna kontaktna točka za obiskovalce vaše spletne strani glede analitičnih podatkov. Povzetek te ureditve je na voljo posameznikom, na katere se podatki nanašajo, prek tega DPA in na https://www.acira.ai/dpa.

2.5 Status ponudnika storitev po CCPA

V obsegu, v katerem v vašem imenu obdelujemo osebne informacije, za katere velja California Consumer Privacy Act ("CCPA"), smo vaš "service provider", kot je opredeljen v Cal. Civ. Code § 1798.140(ag). Ne bomo:

• prodajali ali delili (kot sta ta izraza opredeljena v okviru CCPA) nobenih osebnih informacij, ki nam jih posredujete;
• hranili, uporabljali ali razkrivali osebnih informacij za kateri koli drug namen kot za poslovne namene, določene v tem DPA in Pogodbi, ali kot je drugače dovoljeno po CCPA;
• hranili, uporabljali ali razkrivali osebnih informacij zunaj neposrednega poslovnega razmerja med vami in nami;
• združevali osebnih informacij, prejetih od vas, z osebnimi informacijami, ki jih prejmemo od ali v imenu druge osebe ali jih zberemo iz lastnih interakcij s potrošniki, razen kot dovoljuje CCPA.

Iz vsebine vašega spletnega mesta lahko izpeljemo splošne, neidentifikacijske poslovne značilnosti (kot je klasifikacija panoge) za namen zagotavljanja ustreznih priporočil izdelkov, kot je opisano v razdelku 2.2. Ta omejena uporaba ne pomeni prodaje, deljenja ali združevanja osebnih podatkov v smislu CCPA.

Potrjujemo, da razumemo te omejitve in jih bomo upoštevali.

2.6 Presoja predstavnika po Swiss FADP

Člen 14 Swiss Federal Act on Data Protection ("FADP") zahteva, da nešvicarski zasebni upravljavec imenuje predstavnika v Švici le, kadar so izpolnjeni vsi štirje naslednji kumulativni pogoji: (1) obdelava je povezana s ponujanjem blaga ali storitev osebam v Švici ali spremljanjem njihovega vedenja; (2) obdelava poteka v velikem obsegu; (3) obdelava poteka redno; in (4) obdelava predstavlja visoko tveganje za osebnostne pravice ali temeljne pravice posameznikov, na katere se podatki nanašajo.

Naše dejavnosti obdelave smo ocenili glede na te pogoje in ugotovili, da sta pogoja (1) in (3) sicer izpolnjena, vendar preostala pogoja nista izpolnjena iz naslednjih razlogov:

• Ne gre za velik obseg: Smo majhna SaaS platforma. Količina osebnih podatkov švicarskih prebivalcev, obdelanih prek naših Storitev, je omejena in ne predstavlja obdelave v velikem obsegu v smislu člena 14 FADP.
• Ne gre za visoko tveganje: Osebni podatki, ki jih obdelujemo v imenu upravljavcev spletnih strani, so predvsem psevdonimizirani analitični identifikatorji (dnevno rotirajoči hashi), osnovni metapodatki obiskovalcev (država, vrsta naprave, brskalnik), vsebina oddaj obrazcev in sporočila chatbota. Ne obdelujemo posebnih vrst osebnih podatkov (člen 5(c) FADP) niti ne izvajamo profiliranja, ki bi pomenilo visoko tveganje za posameznike, na katere se podatki nanašajo. Swiss Federal Data Protection and Information Commissioner ("FDPIC") je nakazal, da je ta obveznost namenjena predvsem velikim internetnim platformam in družbenim omrežjem, ki delujejo iz tujine, kar ne opisuje naših Storitev.

Na podlagi te presoje smo ugotovili, da trenutno nismo dolžni imenovati predstavnika v Švici v skladu s členom 14 FADP. To ugotovitev bomo redno ponovno presojali, tudi ob bistvenih spremembah obsega ali narave naših dejavnosti obdelave, ki vplivajo na švicarske prebivalce.

3. Podrobnosti o obdelavi podatkov

3.1 Predmet in trajanje

Obdelava osebnih podatkov v skladu s tem DPA se izvaja za namen zagotavljanja Storitev, kot je opisano v Pogodbi, in bo trajala ves čas veljavnosti Pogodbe.

3.2 Narava in namen obdelave

Osebne podatke obdelujemo za:

• gostovanje in prikaz vsebine vaše spletne strani;
• shranjevanje in upravljanje podatkov, oddanih prek obrazcev in interaktivnih funkcij vaše spletne strani;
• vzdrževanje uporabniških računov in sej za zaščitena območja vaše spletne strani;
• pošiljanje e-poštnih sporočil v vašem imenu;
• posredovanje e-pošte, prejete na vaše e-poštne naslove po meri domene;
• omogočanje pogovorov z AI chatbotom z obiskovalci vaše spletne strani;
• ustvarjanje opisov in metapodatkov za naložene datoteke s pomočjo AI;
• pretvarjanje naloženih datotek v formate, optimizirane za splet;
• zagotavljanje analitike obiskovalcev;
• Izpeljevanje splošnih značilnosti spletnega mesta (kot sta panoga ali vrsta dejavnosti) za zagotavljanje ustreznih priporočil platforme
• zaznavanje in preprečevanje spama in zlorab (vključno s proof-of-work bot izzivi);
• izvajanje moderiranja vsebine naloženih datotek;
• pregled vsebine spletne strani med objavo zaradi skladnosti s pravilniki platforme o vsebini;
• Upravljati nastavitve odjave od e-pošte za prejemnike e-pošte vaše spletne strani
• omogočanje komunikacije v realnem času na vaši spletni strani prek povezav WebSocket (sporočila so efemerna in se trajno ne shranjujejo);
• vzdrževanje dnevnikov napak in diagnostike za zanesljivost platforme in odpravljanje težav (lahko vključujejo IP naslove in metapodatke zahtev; hranijo se do trideset (30) dni).

3.3 Vrste osebnih podatkov

Vrste obdelovanih osebnih podatkov so odvisne od tega, kaj zbirate prek svoje spletne strani, in lahko vključujejo:

• imena in kontaktne podatke;
• e-poštne naslove;
• sporočila in oddaje obrazcev;
• naložene datoteke, ki jih oddajo obiskovalci spletne strani (kot so slike in dokumenti);
• vsebino pogovorov s chatbotom (sporočila obiskovalcev in odgovori AI);
• poverilnice uporabniških računov (shranjene v obliki hash);
• podatke seje;
• IP naslove (v analitiki se ne shranjujejo - shranjen je le dnevno rotirajoči hash; shranjujejo se kot metapodatki poleg oddaj obrazcev in pogovorov s chatbotom; začasno se uporabljajo in hashirajo za preverjanje bot izzivov; začasno se hranijo za rate limiting do sedem (7) dni in se samodejno izbrišejo);
• podatke o brskalniku in napravi;
• podatke o lokaciji (na ravni države in regije, izpeljane iz IP naslova);
• Zapisi o odjavi od e-pošte (shranjeni kot kriptografski zgoščeni vrednosti e-poštnih naslovov prejemnikov; ne shranjeni v surovi obliki)
• rezultate klasifikacije spama (ali je bila oddaja določena kot spam);
• podatke dnevnikov napak in diagnostike (IP naslovi, poti zahtev in podrobnosti o napakah; hranijo se do trideset (30) dni in se samodejno izbrišejo).

3.4 Kategorije posameznikov, na katere se podatki nanašajo

• obiskovalci vaše spletne strani;
• uporabniki, ki ustvarijo račune na vaši spletni strani;
• uporabniki, ki oddajajo obrazce ali komunicirajo s chatboti na vaši spletni strani;
• uporabniki, ki oddajajo komentarje, ocene ali druge prispevke na vaši spletni strani.

4. Obveznosti obdelovalca

Mi bomo:

1. osebne podatke obdelovali le na podlagi vaših dokumentiranih navodil, razen če to zahteva veljavna zakonodaja (v tem primeru vas bomo o taki zakonski zahtevi obvestili pred obdelavo, razen če zakon to prepoveduje);
2. zagotovili, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali zanje velja ustrezna zakonska obveznost zaupnosti;
3. izvajali ustrezne tehnične in organizacijske varnostne ukrepe, kot je opisano v oddelku 9;
4. spoštovali pogoje za vključevanje podobdelovalcev, kot so določeni v oddelku 6;
5. vam ob upoštevanju narave obdelave pomagali pri odgovarjanju na zahteve posameznikov, na katere se podatki nanašajo, ki uveljavljajo svoje pravice v skladu z Veljavnimi zakoni o varstvu podatkov;
6. vam ob upoštevanju narave obdelave in informacij, ki so nam na voljo, pomagali zagotoviti skladnost z vašimi obveznostmi po členih 32-36 GDPR (varnost, obvestilo o kršitvi, ocene učinka v zvezi z varstvom podatkov in predhodno posvetovanje). Kadar vaša uporaba Storitev vključuje visoko tvegano obdelavo, ki lahko zahteva Data Protection Impact Assessment (DPIA), vam bomo zagotovili informacije o naših dejavnostih obdelave, tehničnih in organizacijskih ukrepih ter podobdelovalcih v podporo vaši oceni;
7. vam pomagali pri izpolnjevanju vaših obveznosti po členu 22 GDPR (avtomatizirano individualno odločanje) z zagotavljanjem informacij o kakršni koli avtomatizirani obdelavi, izvedeni v vašem imenu, vključno z moderiranjem vsebine, zaznavanjem spama in zaščito pred boti, ter z omogočanjem človeškega pregleda avtomatiziranih odločitev na zahtevo;
8. vas obvestili, če je po našem mnenju vaše navodilo v nasprotju z Veljavnimi zakoni o varstvu podatkov;
9. po vaši izbiri po koncu zagotavljanja Storitev izbrisali ali vrnili vse osebne podatke ter izbrisali obstoječe kopije, razen če hrambo zahteva veljavna zakonodaja;
10. vam dali na voljo vse informacije, potrebne za dokazovanje skladnosti z obveznostmi, določenimi v tem DPA, ter prispevali k preverjanju skladnosti, kot je opisano v oddelku 11.

5. Obveznosti upravljavca

Vi boste:

1. zagotovili, da je vaše zbiranje in obdelava osebnih podatkov prek vaše spletne strani skladna z vsemi Veljavnimi zakoni o varstvu podatkov;
2. obiskovalcem vaše spletne strani zagotovili ustrezna obvestila o zasebnosti, ki opisujejo vaše prakse zbiranja podatkov, vključno z razkritjem analitike na ravni platforme, interakcij z AI chatbotom, zaznavanja spama in zaščite pred boti;
3. pridobili vsa potrebna soglasja ali vzpostavili drugo zakonito podlago za obdelavo osebnih podatkov prek vaše spletne strani;
4. zagotovili, da so vaša navodila nam glede obdelave osebnih podatkov skladna z Veljavnimi zakoni o varstvu podatkov;
5. odgovorni za točnost, kakovost in zakonitost osebnih podatkov, ki nam jih posredujete prek svoje spletne strani.

Z uporabo Storitev nam nalagate, da v vašem imenu izvajamo naslednje dejavnosti obdelave kot del standardnega delovanja platforme: moderiranje vsebine naloženih datotek, pregled vsebine objavljene spletne strani zaradi skladnosti s pravilniki platforme o vsebini, zaznavanje spama pri oddajah obrazcev, zaščito pred boti prek proof-of-work izzivov in interakcije z AI chatbotom z obiskovalci vaše spletne strani. Te dejavnosti so dokumentirana navodila v skladu s členom 28(3)(a) GDPR.

6. Podobdelovalci

6.1 Pooblaščeni podobdelovalci

Dajete nam splošno pooblastilo, da vključujemo podobdelovalce za pomoč pri zagotavljanju Storitev. Naši trenutni podobdelovalci so navedeni spodaj in na https://www.acira.ai/dpa.

6.2 Trenutni seznam podobdelovalcev

6.3 Spremembe podobdelovalcev

O vseh nameravanih spremembah seznama podobdelovalcev za Storitve, ki jih trenutno uporabljate, vas bomo obvestili s posodobitvijo seznama podobdelovalcev na https://www.acira.ai/dpa najmanj štirinajst (14) dni pred začetkom obdelave osebnih podatkov s strani novega podobdelovalca. Ko uvajamo nove funkcije ali storitve, ki vključujejo dodatne podobdelovalce, bodo ti podobdelovalci razkrti v trenutku, ko bo funkcija ali storitev postala dostopna; vaša uporaba nove funkcije ali storitve pomeni sprejem razkritih podobdelovalcev. Vaša odgovornost je, da seznam podobdelovalcev občasno pregledate zaradi sprememb. Če imate razumen ugovor zoper novega podobdelovalca, ki obdeluje podatke za obstoječe Storitve, nas lahko o tem pisno obvestite v štirinajstih (14) dneh od objave spremembe. Z vami bomo v dobri veri sodelovali pri reševanju vaših pomislekov. Če ugovora ne bomo mogli razrešiti na vaše razumno zadovoljstvo, lahko Pogodbo prekinete s pisnim obvestilom.

6.4 Obveznosti podobdelovalcev

Z vsakim podobdelovalcem bomo sklenili pisni dogovor, ki nalaga obveznosti glede varstva podatkov, ki niso manj zaščitne od tistih, določenih v tem DPA. Ostajamo odgovorni za dejanja in opustitve naših podobdelovalcev v enakem obsegu, kot bi bili odgovorni, če bi storitve izvajali neposredno sami.

7. Mednarodni prenosi podatkov

7.1 Mehanizmi prenosa

Storitve gostujejo predvsem v Združenih državah Amerike. Osebni podatki, obdelani prek Storitev, se lahko prenesejo v Združene države Amerike in druge države, kjer delujejo naši podobdelovalci, ter se tam obdelujejo. Ponudniki AI inference (Fireworks AI in xAI) obdelujejo podatke v Združenih državah Amerike. BrightData lahko obdeluje podatke v Izraelu in drugih lokacijah po svetu. Cloudflare obdeluje podatke na edge lokacijah po vsem svetu.

Rezidenca podatkov v EU: Za upravljavce spletnih strani, identificirane kot prebivalce EU, uporabljamo naslednje ukrepe za rezidenco podatkov, da zmanjšamo prenose osebnih podatkov obiskovalcev izven Evropske unije:

• Shranjevanje: Podatki obiskovalcev v trajnem robnem shranjevanju — vključno z oddajami obrazcev, pogovori s klepetalnikom, podatki o seji in podatki uporabniških tabel — so jurisdikcijsko omejeni na Evropsko unijo. Ti podatki se shranjujejo izključno v podatkovnih centrih EU.
• Avtomatizirana obdelava, usmerjena k obiskovalcem: Operacije, ki jih samodejno sproži aktivnost obiskovalcev — vključno z obvestili o oddaji vsebine in transakcijsko dostavo e-pošte — se obdelujejo v Evropski uniji in ne prehajajo skozi infrastrukturo ZDA.
• Dostop do upravljanja platforme: Ko dostopate do podatkov obiskovalcev vaše spletne strani prek nadzorne plošče platforme ali pogovornega vmesnika (na primer, pregledujete oddaje obrazcev ali upravljate zapise uporabnikov), se ti podatki lahko obdelajo prek naše infrastrukture v ZDA, da izpolnimo vašo zahtevo. Ti prenosi so na zahtevo, inicirani s strani vas (Upravljavca), in zaščiteni z mehanizmi prenosa in dopolnilnimi ukrepi, opisanimi spodaj.
• Druga obdelava v ZDA: Analitični podatki in podatki, ki jih naša oblačna infrastruktura v ZDA obdeluje za moderiranje vsebine in AI sklepanje, se lahko še vedno prenašajo v Združene države Amerike v skladu z mehanizmi prenosa spodaj.

Za prenose osebnih podatkov iz EGP, UK ali Švice v države, ki niso priznane kot države z ustrezno ravnjo varstva podatkov, se zanašamo na:

1. Standardne pogodbene klavzule (SCCs): V ta DPA z vključitvijo po sklicu vključujemo Standardne pogodbene klavzule Evropske komisije: Module One (Controller to Controller) za analitične podatke, kjer delujemo kot skupni upravljavec (glejte oddelek 2.3), in Module Two (Controller to Processor) za vse druge osebne podatke, obdelane v vašem imenu. SCCs so na voljo na https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Za prenose iz UK velja UK Addendum k EU SCCs.
3. Swiss Data Transfer Mechanisms: Za prenose iz Švice veljajo SCCs s spremembami, ki jih zahteva Swiss FADP.

7.2 Dopolnilni ukrepi

Za zaščito prenesenih osebnih podatkov izvajamo naslednje dopolnilne ukrepe:

• šifriranje podatkov med prenosom (TLS/SSL) in v mirovanju;
• mehanizme za nadzor dostopa in avtentikacijo;
• redne varnostne ocene;
• prakse minimizacije podatkov (npr. dnevno rotirajoči hashi obiskovalcev namesto shranjevanja surovih IP naslovov).
• Jurisdikcijska rezidenca podatkov za upravljavce spletnih strani s sedežem v EU (trajno shranjevanje in avtomatizirano obdelovanje, usmerjeno k obiskovalcem, omejeno na EU)
• V EU locirana računska in e-poštna infrastruktura za avtomatizirane operacije, usmerjene k obiskovalcem (obvestila o oddaji vsebine in transakcijska dostava e-pošte, obdelani v Evropski uniji za upravljavce spletnih strani s prebivališčem v EU)

7.3 Ocena vpliva prenosa

Ti dopolnilni ukrepi temeljijo na naši oceni zakonov in praks ciljnih držav ob upoštevanju narave prenesenih podatkov, uporabljenega mehanizma prenosa ter vzpostavljenih tehničnih in organizacijskih zaščitnih ukrepov. Ocenili smo, da zgoraj opisani dopolnilni ukrepi skupaj z obveznostmi iz SCCs zagotavljajo ustrezno raven zaščite za prenesene osebne podatke. Naša Transfer Impact Assessment je na voljo na https://www.acira.ai/tia.

7.4 Canadian Data Transfers

Za prenose osebnih podatkov iz Kanade se zanašamo na naslednje zaščitne ukrepe, da zagotovimo, da osebni podatki, preneseni zunaj Kanade, prejmejo primerljivo raven varstva, kot jo zahtevata Personal Information Protection and Electronic Documents Act (PIPEDA) in veljavna provincialna zakonodaja o zasebnosti (vključno z Alberta's PIPA, British Columbia's PIPA in Quebec's Act respecting the protection of personal information in the private sector):

1. Pogodbena zaščita: Pisni sporazumi o obdelavi podatkov z vsakim podobdelovalcem, ki nalagajo obveznosti za zaščito osebnih podatkov po standardu, skladnem s kanadsko zakonodajo o zasebnosti, vključno z zahtevami glede ustreznih varnostnih ukrepov, omejitev uporabe, obveščanja o kršitvah in dostopa posameznikov, na katere se podatki nanašajo.
2. Tehnični zaščitni ukrepi: Enaki ukrepi šifriranja, psevdonimizacije, nadzora dostopa in minimizacije podatkov, opisani v oddelku 7.2, veljajo tudi za Canadian prenose podatkov.
3. Organizacijski zaščitni ukrepi: Skrbni pregled podobdelovalcev, obveznosti zaupnosti za osebje in dokumentirani postopki odzivanja na incidente, kot so opisani v tem DPA.

Spremljamo razvoj kanadske zakonodaje o zasebnosti, vključno s predlaganim Consumer Privacy Protection Act (CPPA), in bomo po potrebi posodobili naše mehanizme prenosa.

8. Pravice posameznikov, na katere se podatki nanašajo

8.1 Pomoč pri zahtevah

Pomagali vam bomo pri odgovarjanju na zahteve posameznikov, na katere se podatki nanašajo, ki uveljavljajo svoje pravice v skladu z Veljavnimi zakoni o varstvu podatkov, vključno s pravicami do dostopa, popravka, izbrisa, omejitve, prenosljivosti in ugovora.

8.2 Obvestilo

Če prejmemo zahtevo neposredno od posameznika, na katerega se podatki nanašajo, glede osebnih podatkov, ki jih obdelujemo v vašem imenu, vas bomo o tem nemudoma obvestili in na zahtevo ne bomo odgovorili brez vaših navodil, razen če to zahteva veljavna zakonodaja.

8.3 Orodja platforme

V okviru Storitev zagotavljamo orodja, ki vam pomagajo izpolnjevati zahteve posameznikov, na katere se podatki nanašajo, vključno z:

• dostopom do podatkov, shranjenih v podatkovnih bazah vaše spletne strani, in njihovim upravljanjem;
• brisanjem posameznih zapisov iz podatkovnih baz vaše spletne strani;
• na zahtevo lahko zagotovimo izvoze podatkov v formatu ZIP za pomoč pri obveznostih glede prenosljivosti podatkov.

9. Varnost podatkov

9.1 Varnostni ukrepi

Izvajamo in vzdržujemo ustrezne tehnične in organizacijske ukrepe za zaščito osebnih podatkov pred nepooblaščeno ali nezakonito obdelavo ter pred naključno izgubo, uničenjem ali poškodbo. Ti ukrepi vključujejo:

• Šifriranje: podatki so šifrirani med prenosom prek TLS/SSL in v mirovanju z uporabo šifriranja, ki je standard v industriji;
• Nadzor dostopa: nadzor dostopa na podlagi vlog, multi-factor authentication za administracijo platforme, politike dostopa z najmanjšimi potrebnimi privilegiji;
• Varnost infrastrukture: upravljana oblačna infrastruktura s samodejnim security patching, DDoS protection in Web Application Firewall (WAF);
• Izolacija podatkov: izolacija podatkov po posameznih spletnih straneh prek namenskih instanc shrambe;
• Nadzor: avtomatizirano varnostno spremljanje, intrusion detection in strukturirano beleženje dnevnikov;
• Varnost poverilnic: vsi API ključi in skrivnosti so shranjeni v namenskih storitvah za upravljanje skrivnosti; uporabniška gesla so hashirana z močnimi kriptografskimi algoritmi in individualnimi salts za vsakega uporabnika;
• Zaščita pred boti: sistemi proof-of-work izzivov za preprečevanje avtomatiziranih zlorab.

9.2 Zaupnost

Zagotavljamo, da je vse osebje, pooblaščeno za obdelavo osebnih podatkov, zavezano k obveznostim zaupnosti.

10. Obvestilo o kršitvi varstva podatkov

10.1 Obvestilo upravljavcu

O kršitvi varstva osebnih podatkov, ki vpliva na osebne podatke, obdelane v vašem imenu, vas bomo obvestili brez nepotrebnega odlašanja po potrditvi kršitve. Obvestilo bo poslano na kontaktne podatke, povezane z vašim računom.

10.2 Vsebina obvestila

Naše obvestilo o kršitvi bo, kolikor bo mogoče, vključevalo:

1. opis narave kršitve, vključno s kategorijami in približnim številom posameznikov, na katere se podatki nanašajo, ter prizadetih zapisov;
2. ime in kontaktne podatke naše kontaktne osebe za varstvo podatkov;
3. opis verjetnih posledic kršitve;
4. opis sprejetih ali predlaganih ukrepov za obravnavo kršitve in omilitev njenih učinkov.

10.3 Vaše obveznosti

Odgovorni ste za obveščanje pristojnega nadzornega organa in prizadetih posameznikov, na katere se podatki nanašajo, o kršitvi varstva osebnih podatkov, kadar to zahtevajo Veljavni zakoni o varstvu podatkov. Sodelovali bomo z vami in vam zagotovili razumno pomoč pri izpolnjevanju vaših obveznosti obveščanja o kršitvah.

11. Revizije in preverjanje skladnosti

11.1 Dokumentacija o skladnosti

Za dokazovanje naše skladnosti s tem DPA vam bomo na razumno pisno zahtevo (do enkrat letno) dali na voljo naslednje:

1. Ustrezna revizijska poročila tretjih oseb, certifikate ali povzetke varnostnih ocen;
2. Povzetek naših trenutnih tehničnih in organizacijskih varnostnih ukrepov;
3. Informacije o naših dejavnostih obdelave, podizvajalcih obdelave in praksah varstva podatkov.

Kadar se zanašamo na ponudnike infrastrukture tretjih oseb (kot sta AWS in Cloudflare), so njihovi varnostni certifikati in dokumentacija o skladnosti na voljo prek njihovih programov zaupanja in skladnosti.

11.2 Dodatna vprašanja

Če dokumentacija, zagotovljena v skladu z oddelkom 11.1, razumno ne obravnava vaših pomislekov glede skladnosti, lahko predložite konkretna pisna vprašanja v zvezi z našimi praksami varstva podatkov, na katera bomo odgovorili v razumnem roku.

12. Hramba in izbris podatkov

12.1 Med trajanjem Pogodbe

Osebne podatke, obdelane v vašem imenu, bomo hranili v času trajanja Pogodbe in v skladu z vašimi navodili prek Storitev. Posebna obdobja hrambe za podatke obiskovalcev vključujejo:

• Pogovore s chatbotom na vaši spletni strani: hranijo se trideset (30) dni od zadnje interakcije v posameznem pogovoru. Pogovori so shranjeni znotraj sej obiskovalcev na edge infrastrukturi spletne strani in se samodejno izbrišejo, ko seja zaradi neaktivnosti poteče.
• Oddaje obrazcev in vsebina, ki jo ustvarijo uporabniki na vaši spletni strani: hranijo se ves čas obstoja povezane spletne strani, razen če jih prej izbrišete prek orodij platforme.
• Podatki sej obiskovalcev vaše spletne strani: samodejno se izbrišejo po 30 dneh neaktivnosti.
• Izbrisana vsebina obiskovalcev (oddaje obrazcev, komentarji in druga vsebina, ki jo ustvarijo uporabniki na vaši spletni strani): ko prek orodij platforme izbrišete vsebino obiskovalcev, se ta premakne v stanje soft-delete in se hrani do trideset (30) dni za podporo obnovi. Po tem obdobju se soft-deleted vsebina trajno odstrani. Vsebino lahko trajno izbrišete takoj tako, da jo purge iz čakalne vrste za obnovitev.
• Zapisi o odjavi od e-pošte na vaši spletni strani: Shranjeni za čas trajanja povezane spletne strani, razen če se prejemnik ponovno naroči. Zapisi o odjavi se izbrišejo, ko je spletna stran uničena.
• Analitični podatki: hranijo se ves čas obstoja povezane spletne strani (v skladu z omejitvami hrambe glede na načrt; analitični podatki v free plan se hranijo devetdeset (90) dni).

12.2 Ob prenehanju

Ob prenehanju Pogodbe ali na vašo zahtevo bomo izbrisali osebne podatke, obdelane v vašem imenu, v skladu s praksami hrambe podatkov, opisanimi v Pogodbi (vključno s sedem (7) dnevnim grace period za izbris računov in spletnih strani). Po preteku grace period je izbris trajen in nepovraten.

12.3 Izjeme

Osebne podatke lahko hranimo v obsegu, ki ga zahteva veljavna zakonodaja, ali kadar so podatki anonimizirani in jih ni več mogoče povezati s posameznikom, na katerega se podatki nanašajo.

13. Trajanje in prenehanje

Ta DPA začne veljati na dan, ko sprejmete Pogodbo, in ostane v veljavi, dokler v vašem imenu obdelujemo osebne podatke. Obveznosti zaupnosti in varstva podatkov, določene v tem DPA, ostanejo v veljavi tudi po prenehanju Pogodbe.

14. Omejitev odgovornosti

Odgovornost vsake stranke po tem DPA je predmet omejitev odgovornosti, določenih v Pogodbi.

15. Kontakt

Za vprašanja o tem DPA ali za uveljavljanje vaših pravic se obrnite na nas na:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefon: 888-389-1189
E-pošta: legal@acira.ai