OCENA VPLIVA PRENOSA
Nazadnje posodobljeno: 19. marca 2026
Ta Ocena vpliva prenosa ("TIA") je bila pripravljena s strani Acira AI LLC ("Acira AI", "mi", "nas") v skladu z zahtevami odločitve Sodišča Evropske unije v zadevi Komisar za varstvo podatkov proti Facebook Ireland Limited in Maximillian Schrems (Zadeva C-311/18, "Schrems II") in priporočili Evropskega odbora za varstvo podatkov (Priporočila EDPB 01/2020 o dopolnilnih ukrepih).
Ta TIA ocenjuje ustreznost zaščite osebnih podatkov, prenesenih iz Evropskega gospodarskega prostora ("EGP"), Združenega kraljestva ("UK"), Švice in Kanade v Združene države Amerike in druge tretje države v zvezi z zagotavljanjem naših Storitev.
Ta TIA se lahko prevede v druge jezike za vašo udobnost. V primeru konflikta ali neskladja med angleško različico in katero koli prevedeno različico, bo angleška različica prevladala.
KAZALO VSEBINE
- PREGLED PRENOSOV
- NARAVA PRENESENIH PODATKOV
- MEHANIZMI PRENOSA
- OCENA ZAKONODAJE NAMEMBNE DRŽAVE
- OCENA PODATKOVNIH TOKOV PO PONUDNIKU STORITEV
- DOPOLNILNI UKREPI
- OCENA TVEGANJA
- ZAKLJUČEK
- URNIK PREGLEDA
- KONTAKTIRAJTE NAS
1. PREGLED PRENOSOV
1.1 Kontekst
Acira AI je platforma programske opreme kot storitve, ki podjetjem in posameznikom omogoča ustvarjanje, upravljanje in gostovanje spletnih mest, ki jih poganja umetna inteligenca. Ko uporabniki ustvarijo spletna mesta, do katerih dostopajo obiskovalci iz EGP, UK, Švice ali Kanade, se osebni podatki teh obiskovalcev lahko prenesejo v Združene države Amerike in druga mesta, kjer delujejo naši ponudniki infrastrukture.
1.2 Stranke
- Izvoznik podatkov: Upravljavec spletnega mesta (naša stranka, ki deluje kot Upravljavec) in, za analitične podatke, Acira AI kot Skupni upravljavec.
- Uvoznik podatkov: Acira AI LLC, registriran v Nevadi, Združene države Amerike, ki deluje kot Obdelovalec (in Skupni upravljavec za analitiko).
- Podobdelovalci: Ponudniki storitev tretjih oseb, ki jih je zaposlil Acira AI (navedeni v Oddelku 5).
1.3 Namembna mesta prenosa
| Namembno mesto | Ponudniki | Osnova |
|---|---|---|
| Združene države in Evropska unija (Stockholm) | AWS | SPC + Dopolnilni ukrepi (ZDA); Znotraj EGP za avtomatizirane operacije, usmerjene k obiskovalcem, za prebivalce EU |
| Združene države | Stripe, Fireworks AI, xAI | SPC + Dopolnilni ukrepi |
| Globalno (edge lokacije) | Cloudflare | SCC + Dopolnilni ukrepi |
| Izrael | BrightData (samo po navodilih uporabnika) | SCC + Dopolnilni ukrepi |
| Evropska unija | Black Forest Labs, ScreenshotOne, CloudConvert | Znotraj EGP (ni potreben mehanizem prenosa) |
2. NARAVA PRENESENIH PODATKOV
2.1 Kategorije osebnih podatkov
Preneseni osebni podatki so odvisni od funkcij, ki jih je omogočil upravljavec spletnega mesta, in interakcij obiskovalcev spletnega mesta. Prenesejo se lahko naslednje kategorije:
| Kategorija podatkov | Opis | Občutljivost | Obseg |
|---|---|---|---|
| Analitični identifikatorji | Dnevno rotirajoči kriptografski hash IP + User-Agent + datum (psevdonimiziran) | Nizka | Visok (vsak ogled strani) |
| Metapodatki obiskovalca | Država, regija, jezik, vrsta naprave, brskalnik, OS, referenčna domena, UTM parametri | Nizka | Visoka (vsak ogled strani) |
| Naslovi IP | Shranjeni kot metapodatki z oddajami obrazcev in pogovori s klepetalnikom; razpršeni za analitiko; začasno uporabljeni za preverjanje izzivov botov; začasno shranjeni za omejevanje hitrosti (do 7 dni) | Srednja | Srednja |
| Vsebina oddaj obrazcev | Polja z besedilom, ki ga oddajo obiskovalci (imena, e-pošte, sporočila itd.) | Spremenljiva (odvisno od obrazca) | Nizka do srednja |
| Sporočila klepetalnika | Sporočila obiskovalcev in odgovori, ki jih ustvari umetna inteligenca (največ 2.000 znakov na sporočilo) | Nizka do srednja | Nizka |
| Prenosi datotek | Datoteke, ki jih obiskovalci naložijo prek obrazcev spletnega mesta (slike, dokumenti) | Spremenljiva | Nizka |
| Identifikatorji seje | ID-ji sej na strani strežnika in piškotki seje na strani odjemalca | Nizka | Visoka |
| Poverilnice za preverjanje pristnosti | Gesla za zaščitena področja spletnega mesta (shranjena samo v razpršeni obliki) | Visoka (a razpršena) | Nizka |
2.2 Kategorije posameznikov, na katere se nanašajo podatki
- Obiskovalci spletnih mest, gostovanih na platformi Acira AI
- Uporabniki, ki ustvarijo račune na spletnih mestih, gostovanih na platformi
- Uporabniki, ki oddajajo obrazce, komunicirajo s klepetalniki ali nalagajo datoteke na gostovanih spletnih mestih
2.3 Podatki, ki se ne prenašajo
- Podatki o geolokaciji: Iskanja lokacije po IP-naslovu izvaja naš ponudnik infrastrukture na robu omrežja. Nobeni IP-naslovi obiskovalcev se ne pošiljajo nobeni zunanji storitvi geolokacije.
- Surovi analitični IP-naslovi: Shrani se samo dnevno rotirajoči kriptografski hash; surovi IP-naslovi se ne hranijo v analitičnih sistemih.
- Gesla v čistem besedilu: Shranjujejo in prenašajo se samo kriptografske razpršitve.
3. MEHANIZMI PRENOSA
3.1 Primarni mehanizem: Standardne pogodbene klavzule
Zanašamo se na Standardne pogodbene klavzule (SCC) Evropske komisije, sprejete z Izvedbenim sklepom Komisije (EU) 2021/914, natančneje:
- Modul Ena (Upravljavec do Upravljavca): Za prenose analitičnih podatkov, kjer Acira AI deluje kot skupni upravljavec z upravljavcem spletnega mesta (glejte Oddelek 2.3 DPA).
- Modul Dve (Upravljavec do Obdelovalca): Za prenose osebnih podatkov obiskovalcev od upravljavca spletnega mesta (Upravljavca) do Acira AI (Obdelovalec).
- Modul Tri (Obdelovalec do Podobdelovalca): Za nadaljnje prenose od Acira AI do naših podobdelovalcev.
3.2 Prenosi za UK, Švico in Kanado
- UK: Velja britanski dodatek za mednarodni prenos podatkov k EU SCC.
- Švica: SCC se uporabljajo s sprememkami, ki jih zahteva Švicarski zvezni zakon o varstvu podatkov (FADP).
- Kanada: Prenosi se zanašajo na pogodbeno zaščito z vsakim podobdelovalcem, ki nalaga obveznosti, ki so skladne z Zakonom o varstvu osebnih informacij in elektronskih dokumentih (PIPEDA) in veljavno pokrajinsko zakonodajo o zasebnosti, v kombinaciji z dopolnilnimi tehničnimi in organizacijskimi ukrepi, opisanimi v Oddelku 6. Za podrobnosti glejte Oddelek 7.4 DPA.
3.3 Mehanizmi prenosa podobdelovalcev
| Podobdelovalec | Mehanizem prenosa |
|---|---|
| Amazon Web Services | SCC (AWS DPA), certificiran ISO 27001/27017/27018 |
| Cloudflare | SCC (Cloudflare DPA), certificiran ISO 27001 |
| Stripe | SCC (Stripe DPA), certificiran PCI DSS Level 1 |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, certificiran ISO 27001/27701/42001 |
| xAI | SCC (xAI DPA z EU SCC) |
| BrightData | SCC (BrightData DPA) |
4. OCENA ZAKONODAJE NAMEMBNE DRŽAVE
4.1 Združene države Amerike
Združene države Amerike so primarno namembno mesto za prenesene podatke. Za to oceno so relevantni naslednji ameriški zakoni:
4.1.1 Zakon o nadzoru tuje obveščevalne dejavnosti (FISA), Oddelek 702
Oddelek 702 FISA pooblašča ameriško vlado, da prisili ponudnike storitev elektronskih komunikacij k zagotavljanju dostopa do komunikacij neameriških oseb, ki se nahajajo zunaj Združenih držav Amerike, za namene tuje obveščevalne dejavnosti.
Ocena tveganja:
- Uporabnost: Oddelek 702 FISA se nanaša na "ponudnike storitev elektronskih komunikacij", kot so opredeljeni v 50 U.S.C. § 1881(b)(4). Acira AI je SaaS platforma za gostovanje spletnih mest, ne tradicionalni telekomunikacijski ponudnik. Naši podobdelovalci (AWS, Cloudflare) so bolj verjetno predmet direktiv Oddelka 702.
- Obseg ogroženih podatkov: Osebni podatki, ki jih obdelujemo, so sestavljeni predvsem iz analitike obiskovalcev spletnega mesta (psevdonimizirano), oddaj obrazcev in sporočil klepetalnika. Ti podatki verjetno niso v interesu tuje obveščevalne dejavnosti.
- Praktična verjetnost: Nikoli nismo prejeli direktive Oddelka 702 FISA in ocenjujemo praktično verjetnost prejema ene kot zelo nizko, glede na naravo naših Storitev in podatkov, ki jih obdelujemo.
4.1.2 Izvršilna uredba 12333
EO 12333 pooblašča ameriške obveščevalne agencije za izvajanje nadzornih dejavnosti, vključno z množičnim zbiranjem signalnih obveščevalnih podatkov. Velja za podatke v tranzitu in ne prisiljuje zasebnih podjetij k sodelovanju.
Ocena tveganja:
- Ublažitev: Vsi podatki v tranzitu so šifrirani z uporabo TLS. Množično prestrezanje šifriranih podatkov v tranzitu ne bi dalo osebnih podatkov v čistem besedilu.
- Praktična verjetnost: Nizka. Podatki, ki se obdelujejo prek naših Storitev, niso take narave, ki bi jo običajno ciljale signalne obveščevalne dejavnosti.
4.1.3 Izvršilna uredba 14086 in Okvir zasebnosti podatkov EU-ZDA
Izvršilna uredba 14086 (oktober 2022) je uvedla dodatne zaščitne ukrepe za dejavnosti signalnih obveščevalnih služb, vključno z:
- Zahtevami po nujnosti in sorazmernosti za zbiranje obveščevalnih podatkov
- Dvostopenjskim mehanizmom pravnega varstva (Uradnik za varstvo civilnih svoboščin + Sodišče za pregled varstva podatkov), ki je na voljo državljanom EU/UK/Švice
- Omejitvami množičnega zbiranja
Evropska komisija je 10. julija 2023 sprejela sklep o ustreznosti za Okvir zasebnosti podatkov EU-ZDA (DPF). Čeprav Acira AI trenutno ni samocertificiran pod DPF, se zaščite iz EO 14086 široko uporabljajo za vse prenose podatkov v Združene države Amerike in koristijo vsem posameznikom, na katere se nanašajo podatki, ne glede na specifičen mehanizem prenosa.
4.1.4 CLOUD Act
Zakon o pojasnjevanju zakonitosti čezmorske uporabe podatkov (CLOUD Act) ameriškim organom kazenskega pregona dovoljuje, da prisili ponudnike s sedežem v ZDA k predložitvi podatkov ne glede na kraj shranjevanja, v skladu z veljavnim nalogom ali sodno odredbo.
Ocena tveganja:
- Zaščitni ukrepi: CLOUD Act zahteva veljavni pravni postopek (nalog, sodni poziv ali sodno odredbo). Ne dovoljuje množičnega dostopa brez naloga.
- Določbe o uvažanju: CLOUD Act vključuje okvir uvažanja, ki ponudnikom dovoljuje izpodbijati odredbe, ki so v nasprotju s tujim pravom.
- Praktična verjetnost: Nizka za podatke obiskovalcev spletnega mesta. Zahteve organov kazenskega pregona bi se verjetneje usmerile na specifične račune, osumljene kriminalne dejavnosti, ne na analitiko obiskovalcev ali oddaje obrazcev.
4.2 Izrael (BrightData)
BrightData ima sedež v Izraelu. Izrael ima sklep o ustreznosti Evropske komisije (2011/61/EU), kar pomeni, da se prenosi v Izrael obravnavajo podobno kot prenosi znotraj EGP. BrightData pa obdeluje podatke tudi na drugih globalnih lokacijah. Opozarjamo, da:
- Obdelava BrightData poteka samo ko jo usmerja uporabnik (med ustvarjanjem spletnega mesta za uvoz vsebine) ali med načrtovanim sledenjem SERP.
- Nobeni osebni podatki obiskovalcev spletnega mesta se ne posredujejo BrightData.
4.3 Kanada (Prenosi iz Kanade v Združene države Amerike)
Osebni podatki obiskovalcev spletnega mesta, ki se nahajajo v Kanadi, se lahko prenesejo v Združene države Amerike za obdelavo. Za to oceno je relevantna naslednja kanadska zakonodaja:
4.3.1 Zakon o varstvu osebnih informacij in elektronskih dokumentih (PIPEDA)
PIPEDA ureja zbiranje, uporabo in razkritje osebnih informacij s strani organizacij zasebnega sektorja v okviru poslovnih dejavnosti. Načelo 4.1.3 PIPEDA zahteva, da organizacije uporabijo pogodbene ali druge ukrepe za zagotovitev primerljive ravni zaščite, ko se osebne informacije prenesejo tretjim osebam v obdelavo, vključno s prenosi zunaj Kanade.
Ocena tveganja:
- Primerljiva zaščita: Dopolnilni ukrepi, opisani v Oddelku 6 (šifriranje, psevdonimizacija, kontrole dostopa, minimizacija podatkov), zagotavljajo raven zaščite, primerljivo s tisto, ki jo zahteva PIPEDA. Pisni sporazumi o obdelavi podatkov so sklenjeni z vsemi podobdelovalci.
- Ni zahteve po ustreznosti: Za razliko od GDPR PIPEDA ne prepoveduje prenosov v države brez ugotovitve "ustreznosti". Organizacije morajo zagotoviti primerljivo zaščito s pogodbenimi in drugimi ukrepi, kar smo implementirali.
4.3.2 Pokrajinska zakonodaja o zasebnosti
Zakon o varstvu osebnih informacij Alberte (PIPA), Zakon o varstvu osebnih informacij Britanske Kolumbije (PIPA) in Quebecov zakon o varstvu osebnih informacij v zasebnem sektorju določajo dodatne zahteve za nekatere province:
Ocena tveganja:
- Quebecov Zakon 25: Quebecova posodobljena zakonodaja o zasebnosti (v veljavi od septembra 2023) zahteva oceno vpliva na zasebnost pred prenosom osebnih informacij zunaj Quebeca, in organizacija, ki prenaša, mora biti prepričana, da bodo informacije ustrezno zaščitene. Naše pogodbene zaščite, dopolnilni tehnični ukrepi in narava podatkov (predvsem psevdonimizirana analitika in interakcije na spletnih mestih malih podjetij) podpirajo ugotovitev ustrezne zaščite.
- Alberta in BC: PIPA Alberte in BC zahtevata, da organizacije zagotovijo primerljivo zaščito za prenesene podatke. Naši pogodbeni in tehnični zaščitni ukrepi izpolnjujejo to zahtevo.
4.3.3 Dostop ameriške vlade s kanadske perspektive
Enaka tveganja dostopa vlade, ocenjena v Oddelku 4.1, veljajo za kanadske prenose podatkov. Nizka verjetnost dostopa vlade (glede na naravo podatkov in profil naše podjetja), v kombinaciji z dopolnilnimi ukrepi v Oddelku 6, zagotavlja, da osebni podatki, preneseni iz Kanade v Združene države Amerike, prejmejo primerljivo raven zaščite, kot jo zahteva kanadska zakonodaja o zasebnosti.
4.4 Globalne edge lokacije (Cloudflare)
Cloudflare upravlja globalno omrežje robnih lokacij. Zahteve obiskovalcev iz EU se običajno obdelujejo na najbližji točki prisotnosti Cloudflare, ki bo za obiskovalce iz EU običajno lokacija v EU.
- Usmerjanje zahtev, zaključevanje TLS in zaščita pred boti potekajo na najbližji robni lokaciji.
- Za upravljavce spletnih mest, identificirane kot rezidente EU, je trajno shranjevanje (ki vsebuje oddane obrazce, pogovore s chatbotom in podatke seje) jurisdikcijsko omejeno na Evropsko unijo z uporabo Cloudflarejevega API-ja za jurisdikcijo. Za upravljavce spletnih mest zunaj EU je trajno shranjevanje v bližini geografske regije upravljavca, vendar je lahko zunaj EU.
- Analitični podatki se obdelujejo v infrastrukturi, ki jo upravlja Cloudflare.
5. OCENA PODATKOVNIH TOKOV PO PONUDNIKU STORITEV
5.1 Amazon Web Services (ZDA)
| Podatkovni tok | Vključeni osebni podatki | Namen |
|---|---|---|
| Shranjevanje baze podatkov | Metapodatki oddanih obrazcev (IP, država, regija), zapisi pogovorov s chatbotom, metapodatki datotek, zapisi sej | Trajno shranjevanje podatkov obiskovalcev spletnih mest |
| Shranjevanje datotek | Naložene datoteke (slike, dokumenti), posnetki uvajanja | Shranjevanje datotek |
| Sklepanje AI | Vsebina datoteke (za opise AI), vsebina e-pošte (za zaznavanje neželene pošte) | Opisi z umetno inteligenco in razvrščanje neželene pošte |
| Moderiranje vsebine | Naložene slike | Moderiranje vsebine (zaznavanje golote/eksplicitne vsebine) |
| Dostava e-pošte | E-poštni naslovi, vsebina sporočil | Transakcijska dostava e-pošte in obvestila o oddaji vsebine. Za upravljavce spletnih strani s prebivališčem v EU se te operacije obdelujejo v Evropski uniji (Stockholm). |
| Zaznavanje jezika | Besedilo e-poštnih sporočil | Zaznavanje jezika |
Zaščitni ukrepi AWS:
- Certificiran ISO 27001, 27017, 27018
- Poročila SOC 1/2/3 na voljo
- Podatki šifrirani v mirovanju z industrijsko standardnim šifriranjem
- Podatki šifrirani v tranzitu (TLS)
- Kontrole dostopa z minimalnimi privilegiji na sistemsko komponento
- Primarne storitve gostujejo v Združenih državah; avtomatizirane operacije, usmerjene k obiskovalcem (obvestila o oddaji vsebine in transakcijska dostava e-pošte) za upravljavce spletnih strani s prebivališčem v EU se obdelujejo v Evropski uniji (Stockholm)
5.2 Cloudflare (Globalno)
| Podatkovni tok | Vključeni osebni podatki | Namen |
|---|---|---|
| Edge usmerjanje | Naslovi IP, HTTP glave, URL-ji zahtev | Usmerjanje zahtev, zaščita DDoS, zaključek TLS |
| Spletno gostovanje | Vsebina strani, metapodatki obiskovalcev | Gostovanje in dostava spletnih mest |
| Trajno shranjevanje | Oddani obrazci, pogovori s chatbotom, podatki seje, podatki uporabniških tabel | Stanljivo shranjevanje na spletno mesto |
| Analitika | Psevdonimiziran hash obiskovalca, država, naprava, brskalnik, referrer, UTM | Analitika obiskovalcev, prijazna zasebnosti |
| Sklepanje AI | Sporočila chatbota, povzetki polj obrazca | Odgovori chatbota AI, zaznavanje neželene pošte |
| Shranjevanje sredstev | Sredstva spletnih mest (slike, datoteke) | Shranjevanje statičnih sredstev in dostava CDN |
Zaščitni ukrepi Cloudflare:
- Certificiran ISO 27001, SOC 2 Type II
- TLS 1.2+ za vse povezave
- Cloudflare DPA s SCC na voljo
- Edge obdelava pomeni, da se podatki obiskovalcev EU običajno obdelujejo na edge lokacijah EU za obravnavo zahtev
- Za upravljavce spletnih strani, identificirane kot prebivalce EU, je trajno shranjevanje (ki vsebuje oddane obrazce, pogovore s klepetalnikom, podatke o sejah in podatke uporabniških tabel) jurisdikcijsko omejeno na Evropsko unijo z uporabo API-ja za jurisdikcijo Cloudflare, kar zagotavlja, da se ti podatki shranjujejo in obdelujejo izključno v podatkovnih centrih EU. Zaledni klici API z roba (za obvestila o oddaji vsebine in transakcijsko dostavo e-pošte) se usmerjajo v infrastrukturo AWS v EU.
- Sklepanje AI ne hrani vhodnih podatkov za usposabljanje
5.3 Stripe (ZDA)
| Podatkovni tok | Vključeni osebni podatki | Namen |
|---|---|---|
| Obdelava plačil | Podatki za zaračunavanje upravljavca spletnega mesta (ime, e-pošta, način plačila) | Obdelava plačil naročnin in domene |
Opomba: Stripe ne prejema osebnih podatkov obiskovalcev spletnega mesta. Stripe obdeluje samo informacije o zaračunavanju upravljavca spletnega mesta (naše stranke).
Zaščitni ukrepi Stripe:
- Certificiran PCI DSS Level 1
- Certificiran ISO 27001
- Stripe DPA s SCC na voljo
5.4 Ponudniki AI inferenciranja (ZDA)
Fireworks AI in xAI zagotavljata storitve inferenciranja modelov AI.
| Podatkovni tok | Vključeni osebni podatki | Namen |
|---|---|---|
| Generiranje besedila (vsebina spletnega mesta) | Vsebina spletnega mesta (ne podatki obiskovalcev) | Ustvarjanje in urejanje vsebine spletnega mesta |
| Generiranje slik | Besedilni pozivi (ne podatki obiskovalcev) | Ustvarjanje slik za spletna mesta |
| Pogovorni AI (agent za klepet) | Ime, e-pošta, jezikovne nastavitve in zgodovina pogovorov uporabnika platforme | AI pomočnik za uporabnike platforme (upravljavce spletnih mest) |
Opomba: Ti ponudniki AI ne prejemajo osebnih podatkov obiskovalcev spletnega mesta. Funkcija klepetalnika (ki služi obiskovalcem spletnega mesta) uporablja Cloudflare Workers AI (ocenjen v Oddelku 5.2), ne te ponudnike. Kljub temu pogovorni AI pomočnik platforme — ki ga upravljavci spletnih mest uporabljajo za upravljanje svojih spletnih mest — pošilja osebne podatke uporabnika platforme (ime, e-poštni naslov in zgodovino pogovorov) tem ponudnikom kot del generiranja odgovorov. Za to obdelavo Acira AI deluje kot upravljavec (ne obdelovalec), posamezniki, na katere se nanašajo podatki, pa so naši uporabniki platforme (upravljavci spletnih mest), ne obiskovalci njihovih spletnih mest. Ta podatkovni tok ureja naša Politika zasebnosti in naši sporazumi s temi ponudniki, ne okvir upravljavec-obdelovalec DPA za podatke obiskovalcev.
Družine modelov: Ti ponudniki infrastrukture gostijo in izvajajo modele AI, ki so jih razvile različne tretje osebe. Specifični modeli in družine modelov, ki se uporabljajo, se lahko sčasoma spremenijo. Razvijalci modelov ne prejemajo ali nimajo dostopa do nobenih uporabniških podatkov — vsa obdelava podatkov poteka izključno v infrastrukturi navedenih podprocesatorjev, ne glede na to, kje je bil model prvotno razvit. Vsa obdelava sklepanja AI ostane v infrastrukturi naših navedenih podprocesatorjev. Nobeni uporabniški podatki se ne pošiljajo razvijalcem modelov ali infrastrukturi zunaj podprocesatorjev, navedenih v tej oceni. Trenutni seznam používaných družin modelov je na voljo na zahtevo, če nas kontaktirate na legal@acira.ai.
5.5 BrightData (Izrael / Globalno)
| Podatkovni tok | Vključeni osebni podatki | Namen |
|---|---|---|
| Zbiranje spletnih podatkov | Javno dostopna spletna vsebina (ne podatki obiskovalcev) | Uvoz vsebine med ustvarjanjem spletnega mesta (po navodilih uporabnika) |
| Sledenje SERP | Iskalne ključne besede (ne podatki obiskovalcev) | Sledenje rangu ključnih besed |
Opomba: BrightData ne obdeluje osebnih podatkov obiskovalcev spletnega mesta. Obdeluje javno dostopno spletno vsebino po navodilih uporabnika in sledi razvrščanju v iskalnikih za ključne besede, ki jih določi uporabnik.
5.6 Ponudniki s sedežem v EU (Ni prenosa)
| Ponudnik | Lokacija | Namen |
|---|---|---|
| Black Forest Labs | Nemčija (EU) | AI generiranje slik (modeli Flux) |
| ScreenshotOne | Evropska unija | Zajemanje posnetkov zaslona spletnega mesta |
| CloudConvert | Nemčija (EU) | Pretvorba formatov datotek |
Ti ponudniki obdelujejo podatke znotraj EU in ne pomenijo mednarodnega prenosa. Black Forest Labs prejema samo besedilne pozive za generiranje slik; osebni podatki niso vključeni.
6. DOPOLNILNI UKREPI
Poleg SCC izvajamo naslednje dopolnilne ukrepe za zagotovitev v bistvu enakovredne ravni zaščite za prenesene osebne podatke:
6.1 Tehnični ukrepi
| Ukrep | Opis |
|---|---|
| Šifriranje med prenosom | Vsi podatki, ki se prenašajo med obiskovalci, robnim omrežjem in zalednimi storitvami, so šifrirani z uporabo TLS (najmanj TLS 1.2). Interna komunikacija storitev med seboj uporablja šifrirane kanale. |
| Šifriranje v mirovanju | Vsi zapisi baze podatkov, shranjevanje datotek in robno gostovano trajno shranjevanje so šifrirani v mirovanju z industrijsko standardnim šifriranjem, ki ga upravlja zadevni ponudnik infrastrukture. |
| Psevdonimizacija | Analitika obiskovalcev uporablja dnevno rotirajoči kriptografski hash (IP + User-Agent + datum) namesto shranjevanja surovih IP-naslovov. Ta hash ni mogoče obrniti in se vsake 24 ur rotira, s čimer preprečuje sledenje med dnevi. |
| Minimizacija podatkov | Analitika zbira le metapodatke na agregatni ravni (država, vrsta naprave, brskalnik). Surovi IP-naslovi se ne shranjujejo v analitiki. Sporočila chatbota so omejena na 2.000 znakov. |
| Razpršitev gesel | Vsa gesla obiskovalcev (za zaščitena področja spletnega mesta) so razpršena z uporabo močnih kriptografskih algoritmov z naključnimi solmi na uporabnika pred shranjevanjem. Gesla v čistem besedilu se nikoli ne shranjujejo ali prenašajo. |
| Kontrole dostopa | Politike dostopa z minimalnimi privilegiji omejujejo vsako sistemsko komponento samo na vire, ki jih potrebuje. Žetoni API na spletno mesto omejujejo dostop do posameznih spletnih mest. |
| Omrežna izolacija | Zaledne storitve komunicirajo prek internih omrežij. Spletno gostovanje deluje v izoliranih peskovnikih za izvajanje. Izvajanje kode po meri uporablja peskovnik, ki temelji na WebAssembly. |
| Jurisdikcijsko bivališče podatkov | Za upravljavce spletnih strani, identificirane kot prebivalce EU, je trajno shranjevanje, ki vsebuje podatke obiskovalcev (oddani obrazci, pogovori s klepetalnikom, podatki o sejah in podatki uporabniških tabel), jurisdikcijsko omejeno na Evropsko unijo, kar zagotavlja, da se ti podatki shranjujejo in obdelujejo izključno v podatkovnih centrih EU. Avtomatizirane operacije, usmerjene k obiskovalcem (obvestila o oddaji vsebine in transakcijska dostava e-pošte), se prav tako obdelujejo v infrastrukturi v EU. |
| Avtomatizirano brisanje | Podatki seje potečejo po 30 dneh neaktivnosti. Začasne datoteke se izbrišejo v 24 urah. Podatki o izzivih botov so začasni in se ne ohranjajo. |
6.2 Organizacijski ukrepi
| Ukrep | Opis |
|---|---|
| Zaupnost osebja | Vse osebje z dostopom do osebnih podatkov je vezano z obveznostmi zaupnosti. |
| Skrbna preučitev podobdelovalcev | Podobdelovalci se ocenjujejo glede varnostnih praks in skladnosti z varstvom podatkov pred angažiranjem. Pisni sporazumi DPA so sklenjeni z vsemi podobdelovalci. |
| Odziv na incidente | Postopki obveščanja o kršitvah zagotavljajo, da so Upravljavci obveščeni v 72 urah po potrditvi kršitve osebnih podatkov. |
| Politike hrambe podatkov | Dokumentirane dobe hrambe z avtomatskim uveljavljanjem (brisanje na osnovi TTL, politike življenjskega cikla). |
| Varnostno spremljanje | Strukturirano beleženje, avtomatizirano varnostno spremljanje in zaznavanje vdorov. Dnevniki napak in diagnostike se hranijo do 30 dni. |
6.3 Pogodbeni ukrepi
| Ukrep | Opis |
|---|---|
| Standardne pogodbene klavzule | SCC (Modul Ena, Modul Dve in Modul Tri) so vključeni v naš DPA s sklicevanjem. |
| SCC podobdelovalcev | Pisni sporazumi z vsakim podobdelovalcem nalagajo obveznosti varstva podatkov, ki niso manj zaščitne kot tiste v našem DPA. |
| Obvestilo o dostop vlade | Zavezujemo se, da bomo Upravljavce obveščali o zahtevah za vladni dostop, kjer je to zakonsko dovoljeno, kot je opisano v naših Pogojih in določilih. |
| Zaveza za izpodbijanje | Zavezujemo se, da bomo izpodbijali zahteve za vladni dostop, za katere menimo, da so preširoke ali nezakonite. |
7. OCENA TVEGANJA
7.1 Verjetnost vladnega dostopa
| Dejavnik | Ocena |
|---|---|
| Narava podatkov | Predvsem psevdonimizirana analitika, oddaje obrazcev in sporočila klepetalnika s spletnih mest malih podjetij. Ti podatki so nizke obveščevalne vrednosti. |
| Obseg podatkov | Nizek do zmeren. Vsako spletno mesto služi svoji bazi obiskovalcev; podatki niso združeni po spletnih mestih za namene nadzora. |
| Profil podjetja | Acira AI je majhno SaaS podjetje, ki gosti spletna mesta malih podjetij. Nismo telekomunikacijski ponudnik ali visokoprofilna tarča nadzora. |
| Zgodovinske zahteve | Na datum te ocene Acira AI ni nikoli prejel direktive Oddelka 702 FISA, Pisma o nacionalni varnosti ali kakršne koli vladne zahteve za množičen dostop do podatkov strank. |
| Profil podobdelovalcev | AWS in Cloudflare sta velika ponudnika infrastrukture, ki objavljata poročila o preglednosti. Njihova poročila o preglednosti kažejo, da so vladne zahteve usmerjene na specifične račune, ne na množičen dostop do gostovane vsebine. |
Skupna verjetnost: NIZKA
7.2 Vpliv, če bi prišlo do dostopa
| Dejavnik | Ocena |
|---|---|
| Občutljivost podatkov | Večina prenesenih podatkov je nizke občutljivosti (psevdonimizirana analitika, metapodatki obiskovalcev spletnega mesta). Oddaje obrazcev lahko vsebujejo podatke srednje občutljivosti (imena, e-poštni naslovi, sporočila) odvisno od spletnega mesta. |
| Učinkovitost psevdonimizacije | Analitičnih podatkov ni mogoče povezati s posamezniki brez dostopa do komponent dnevno rotirajoče razpršitve (IP + User-Agent + datum), ki se ne shranjujejo. |
| Obseg izpostavljenosti | Kakršen koli vladni dostop bi bil usmerjen na specifične račune ali spletne strani, ne na celotno platformo. Izolacija podatkov na ravni spletne strani prek namenskih primerkov za shranjevanje omejuje obseg morebitne ogroženosti. Za upravljavce spletnih strani s prebivališčem v EU so trajno shranjevanje in avtomatizirana obdelava, usmerjena k obiskovalcem (obvestila o oddaji vsebine in transakcijska dostava e-pošte), omejeni na EU, kar dodatno omejuje izpostavljenost dostopu vlade ZDA do teh podatkov. |
Skupni vpliv: NIZEK do SREDNJI (odvisno od občutljivosti podatkov, ki jih zbirajo posamezni upravljavci spletnih mest)
7.3 Ocena preostalega tveganja
Ob upoštevanju nizke verjetnosti vladnega dostopa, dopolnilnih tehničnih ukrepov (šifriranje, psevdonimizacija, minimizacija podatkov) in dodatnih zaščitnih ukrepov, uvedenih z EO 14086, ocenjujemo, da je preostalo tveganje za posameznike, na katere se nanašajo podatki, nizko in da dopolnilni ukrepi skupaj s SCC (za prenose EGP/UK/Švica) in pogodbenimi zaščitami (za kanadske prenose) zagotavljajo raven zaščite, ki je v bistvu enakovredna tisti, ki je zagotovljena znotraj EGP, in primerljiva s tisto, ki jo zahteva kanadska zakonodaja o zasebnosti.
8. ZAKLJUČEK
Na podlagi te ocene zaključujemo, da:
Osebni podatki, preneseni iz EGP/UK/Švice/Kanade v Združene države Amerike v zvezi z zagotavljanjem naših Storitev, imajo korist od v bistvu enakovredne ravni zaščite tisti, ki je zagotovljena po zakonu EU o varstvu podatkov, in primerljive ravni zaščite tisti, ki jo zahteva kanadska zakonodaja o zasebnosti.
Standardne pogodbene klavzule, v kombinaciji z dopolnilnimi tehničnimi, organizacijskimi in pogodbenimi ukrepi, opisanimi v Oddelku 6, ustrezno obravnavajo tveganja, ugotovljena v tej oceni.
Narava podatkov (predvsem psevdonimizirana analitika in interakcije obiskovalcev spletnih mest malih podjetij) in profil uvoznika podatkov (majhno SaaS podjetje, ne telekomunikacijski ponudnik) bistveno zmanjšujeta praktično tveganje vladnega nadzora.
Zaščite, uvedene z Izvršilno uredbo 14086 in povezanim mehanizmom pravnega varstva, zagotavljajo dodatne zaščitne ukrepe, ki koristijo vsem posameznikom, na katere se nanašajo podatki, ne glede na specifičen mehanizem prenosa.
Za kanadske prenose pogodbene zaščite in dopolnilni ukrepi, opisani tukaj, zagotavljajo primerljivo raven zaščite tisti, ki jo zahtevata PIPEDA in veljavna pokrajinska zakonodaja o zasebnosti, vključno s Quebecovo posodobljeno zakonodajo o zasebnosti.
Še naprej bomo spremljali razvoj v ameriški zakonodaji in praksi nadzora, pa tudi razvoj v kanadski zakonodaji o zasebnosti (vključno s predlaganim Zakonom o varstvu zasebnosti potrošnikov), ter ponovno ocenili to TIA, če se razmere bistveno spremenijo.
Prenosi se lahko nadaljujejo ob pogoju nadaljnje veljavnosti SCC in dopolnilnih ukrepov, opisanih tukaj.
9. URNIK PREGLEDA
Ta TIA bo pregledana in posodobljena:
- Letno, kot minimum, ali
- Ob materialnih spremembah veljavne zakonodaje ali predpisov (vključno s spremembami FISA, CLOUD Act, EO 14086, PIPEDA ali kanadske pokrajinske zakonodaje o zasebnosti),
- Ob spremembah naših podobdelovalcev ali narave prenesenih podatkov,
- Ob katerikoli sodni odločitvi, ki bistveno vpliva na veljavnost SCC ali ustreznost varstva podatkov v ZDA.
10. KONTAKTIRAJTE NAS
Če imate vprašanja o tej Oceni vpliva prenosa, nas prosimo kontaktirajte na:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Združene države Amerike
Telefon: 888-389-1189
E-pošta: legal@acira.ai
Vaša zasebnost, naša prioriteta
Vaših podatkov ne prodajamo, ne uporabljamo sledilnih piškotkov — zato tu ne boste videli pasice za piškotke. Spoštujemo Global Privacy Control, za stranke iz EU pa se podatki obiskovalcev shranjujejo in obdelujejo izključno v Evropski uniji.
Acira AI
Gradite lepe spletne strani z UI. Programiranje ni potrebno.
Ponosno zgrajeno v Združenih državah Amerike
© 2026 Acira AI LLC. Vse pravice pridržane.