Shtojca për Përpunimin e të Dhënave

Përditësimi i fundit: 19 Mars 2026

Kjo Shtojcë për Përpunimin e të Dhënave ("DPA") formon pjesë të Kushteve dhe Termave ("Marrëveshja") midis Acira AI LLC ("Përpunuesi", "ne", "neve") dhe përdoruesit të Shërbimeve ("Kontrolluesi", "ju") dhe plotëson Marrëveshjen në lidhje me përpunimin e të dhënave personale.

Kjo DPA zbatohet kur përdorni Shërbimet për të krijuar, pritur dhe publikuar faqe interneti që mbledhin ose përpunojnë të dhëna personale të individëve të vendosur në Zonën Ekonomike Evropiane ("EEA"), Mbretërinë e Bashkuar ("UK") ose Zvicër, ose kur kjo kërkohet ndryshe nga ligjet e zbatueshme për mbrojtjen e të dhënave.

Ky Shtesë e Përpunimit të të Dhënave mund të përkthehet në gjuhë të tjera për lehtësinë tuaj. Në rast konflikti ose mospërputhje midis versionit në anglisht dhe çdo versioni të përkthyer, versioni në anglisht do të mbizotërojë.

PËRMBAJTJA

1. PËRKUFIZIME
2. FUSHA E ZBATIMIT DHE ROLET
3. DETAJET E PËRPUNIMIT TË TË DHËNAVE
4. DETYRIMET E PËRPUNUESIT
5. DETYRIMET E KONTROLLUESIT
6. NËNPËRPUNUESIT
7. TRANSFERIMET NDËRKOMBËTARE TË TË DHËNAVE
8. TË DREJTAT E SUBJEKTEVE TË TË DHËNAVE
9. SIGURIA E TË DHËNAVE
10. NJOFTIMI PËR SHKELJEN E TË DHËNAVE
11. AUDITIMET DHE VERIFIKIMI I PAJTUESHMËRISË
12. RUAJTJA DHE FSHIRJA E TË DHËNAVE
13. AFATI DHE PËRFUNDIMI
14. KUFIZIMI I PËRGJEGJËSISË
15. NA KONTAKTONI

1. PËRKUFIZIME

"Ligji i Zbatueshëm për Mbrojtjen e të Dhënave" nënkupton të gjitha ligjet dhe rregulloret e zbatueshme për përpunimin e të dhënave personale sipas kësaj DPA, duke përfshirë (sipas rastit) General Data Protection Regulation (EU) 2016/679 ("GDPR"), UK GDPR, Swiss Federal Act on Data Protection ("FADP") dhe California Consumer Privacy Act ("CCPA").

"Kontrolluesi" nënkupton personin fizik ose juridik që përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale; në këtë kontekst, ju, përdoruesi i Shërbimeve që operon një faqe interneti përmes platformës.

"Subjekti i të Dhënave" nënkupton një person fizik të identifikuar ose të identifikueshëm, të dhënat personale të të cilit përpunohen.

"Të Dhëna Personale" nënkupton çdo informacion që lidhet me një Subjekt të të Dhënave dhe që përpunohet përmes Shërbimeve.

"Përpunim" nënkupton çdo operacion të kryer mbi të dhënat personale, duke përfshirë mbledhjen, regjistrimin, organizimin, strukturimin, ruajtjen, përshtatjen, rikthimin, konsultimin, përdorimin, zbulimin, shpërndarjen, kufizimin, fshirjen ose shkatërrimin.

"Përpunuesi" nënkupton një person fizik ose juridik që përpunon të dhëna personale në emër të Kontrolluesit; në këtë kontekst, Acira AI LLC.

"Nënpërpunuesi" nënkupton çdo palë të tretë të angazhuar nga Përpunuesi për të përpunuar të dhëna personale në emër të Kontrolluesit.

"Klauzolat Standarde Kontraktuale" ose "SCCs" nënkupton klauzolat standarde kontraktuale për transferimin e të dhënave personale te përpunuesit e vendosur në vende të treta, siç janë miratuar nga Komisioni Evropian.

2. FUSHA E ZBATIMIT DHE ROLET

2.1 Marrëdhënia e Përpunimit

Kur përdorni Shërbimet për të krijuar dhe operuar një faqe interneti që mbledh të dhëna personale nga vizitorët e faqes suaj të internetit (përmes formularëve, llogarive të përdoruesve, ndërveprimeve me chatbot, komenteve, vlerësimeve ose veçorive të tjera interaktive), ju veproni si Kontrollues dhe ne veprojmë si Përpunues i atyre të dhënave personale të vizitorëve.

2.2 Roli ynë si Kontrollues

Ne veprojmë si Kontrollues i pavarur për të dhënat personale që mbledhim për qëllimet tona, duke përfshirë: informacionin e llogarisë suaj, të dhënat e faturimit, analitikën e përdorimit, karakteristikat e përgjithshme të faqes së internetit të nxjerra nga përmbajtja e faqes suaj të internetit (si industria ose lloji i biznesit), dhe të dhënat e operimit të platformës. Përpunimi i këtyre të dhënave rregullohet nga Politika jonë e Privatësisë dhe është jashtë fushëveprimit të këtij DPA.

2.3 Analitika e Platformës

Ne mbledhim analitikë bazë të vizitorëve të faqeve të internetit, të përshtatshme për privatësinë (siç përshkruhet në Marrëveshje). Për të dhënat analitike, ne veprojmë si kontrollues i përbashkët me ju. Ne e kemi projektuar analitikën tonë për të minimizuar mbledhjen e të dhënave personale; nuk ruajmë adresa IP të papërpunuara dhe identifikuesit e vizitorëve rrotullohen çdo ditë. Përgjegjësitë përkatëse të secilit kontrollues të përbashkët janë si më poshtë:

• Acira AI (Përpunues/Kontrollues i përbashkët): Përcakton mjetet teknike të mbledhjes së analitikës, duke përfshirë cilat pika të të dhënave mblidhen, si llogariten identifikuesit e vizitorëve (hash-e që rrotullohen çdo ditë) dhe si agregohen të dhënat. Ne jemi përgjegjës për sigurinë dhe integritetin e infrastrukturës analitike dhe për t'iu përgjigjur pyetjeve të përgjithshme rreth mënyrës se si funksionon analitika në platformë.
• Ju (Kontrollues/Kontrollues i përbashkët): Përcaktoni nëse analitika do të përdoret në faqen tuaj të internetit (analitika është e aktivizuar si parazgjedhje si pjesë e Shërbimeve). Ju jeni përgjegjës për zbulimin e mbledhjes së të dhënave analitike në politikën e privatësisë së faqes suaj të internetit dhe për t'iu përgjigjur kërkesave të Subjekteve të të Dhënave nga vizitorët e faqes suaj të internetit në lidhje me të dhënat e tyre analitike.
• Pika e kontaktit për Subjektet e të Dhënave: Subjektet e të Dhënave mund t'ju kontaktojnë ju (pronarin e faqes së internetit) në lidhje me të dhënat analitike të mbledhura në faqen tuaj të internetit. Nëse marrim një kërkesë nga një Subjekt i të Dhënave në lidhje me të dhënat analitike, ne do t'i drejtojmë ata te ju, përveç nëse na udhëzoni ndryshe. Për pyetje të përgjithshme rreth platformës, Subjektet e të Dhënave mund të na kontaktojnë në legal@acira.ai.

2.4 Thelbi i Marrëveshjes së Kontrolluesit të Përbashkët

Në përputhje me nenin 26(2) të GDPR, thelbi i kësaj marrëveshjeje të kontrolluesit të përbashkët për të dhënat analitike është si vijon: Ne (Acira AI) përcaktojmë mjetet teknike dhe pikat e të dhënave që mblidhen; ju (operatori i faqes së internetit) përcaktoni nëse analitika përdoret në faqen tuaj të internetit. Secili prej nesh është përgjegjës për detyrimet e veta përkatëse sipas Ligjit të Zbatueshëm për Mbrojtjen e të Dhënave. Ju jeni pika kryesore e kontaktit për vizitorët e faqes suaj të internetit në lidhje me të dhënat analitike. Një përmbledhje e kësaj marrëveshjeje u vihet në dispozicion Subjekteve të të Dhënave përmes kësaj DPA dhe në https://www.acira.ai/dpa.

2.5 Përcaktimi si Ofrues Shërbimi sipas CCPA

Në masën që ne përpunojmë informacione personale që i nënshtrohen California Consumer Privacy Act ("CCPA") në emrin tuaj, ne jemi "service provider" juaj siç përcaktohet në Cal. Civ. Code § 1798.140(ag). Ne nuk do të:

• shesim ose ndajmë (siç përcaktohen këto terma sipas CCPA) asnjë informacion personal që ju na jepni;
• ruajmë, përdorim ose zbulojmë informacion personal për ndonjë qëllim tjetër përveç qëllimeve të biznesit të specifikuara në këtë DPA dhe Marrëveshje, ose siç lejohet ndryshe nga CCPA;
• ruajmë, përdorim ose zbulojmë informacion personal jashtë marrëdhënies së drejtpërdrejtë të biznesit midis jush dhe nesh;
• kombinojmë informacionin personal të marrë nga ju me informacion personal që marrim nga ose në emër të një personi tjetër ose që mbledhim nga ndërveprimet tona me konsumatorët, përveç siç lejohet nga CCPA.

Ne mund të nxjerrim karakteristika të përgjithshme, jo-identifikuese biznesi (si klasifikimi i industrisë) nga përmbajtja e faqes suaj të internetit me qëllim ofrimin e rekomandimeve përkatëse të produkteve, siç përshkruhet në Seksionin 2.2. Ky përdorim i kufizuar nuk përbën shitje, ndarje ose kombinim të informacionit personal sipas kuptimit të CCPA.

Ne certifikojmë se i kuptojmë dhe do t'i respektojmë këto kufizime.

2.6 Vlerësimi i Përfaqësuesit sipas Swiss FADP

Neni 14 i Swiss Federal Act on Data Protection ("FADP") kërkon që një kontrollues privat jo-zviceran të emërojë një përfaqësues në Zvicër vetëm kur plotësohen të katër kushtet kumulative të mëposhtme: (1) përpunimi lidhet me ofrimin e mallrave ose shërbimeve personave në Zvicër ose me monitorimin e sjelljes së tyre; (2) përpunimi kryhet në shkallë të gjerë; (3) përpunimi zhvillohet rregullisht; dhe (4) përpunimi paraqet një rrezik të lartë për të drejtat e personalitetit ose të drejtat themelore të subjekteve të të dhënave.

Ne i kemi vlerësuar aktivitetet tona të përpunimit kundrejt këtyre kushteve dhe kemi përcaktuar se, ndërsa kushtet (1) dhe (3) plotësohen, kushtet e mbetura nuk përmbushen për arsyet e mëposhtme:

• Jo në shkallë të gjerë: Ne jemi një platformë e vogël SaaS. Vëllimi i të dhënave personale të banorëve zviceranë të përpunuara përmes Shërbimeve tona është i kufizuar dhe nuk përbën përpunim në shkallë të gjerë në kuptimin e nenit 14 të FADP.
• Jo me rrezik të lartë: Të dhënat personale që përpunojmë në emër të operatorëve të faqeve të internetit përbëhen kryesisht nga identifikues analitikë të pseudonimizuar (hash-e që rrotullohen çdo ditë), metadata bazë të vizitorëve (shteti, lloji i pajisjes, shfletuesi), përmbajtje të dërgimeve të formularëve dhe mesazhe chatbot-i. Ne nuk përpunojmë kategori të veçanta të të dhënave personale (neni 5(c) i FADP), as nuk angazhohemi në profilizim që paraqet rrezik të lartë për subjektet e të dhënave. Swiss Federal Data Protection and Information Commissioner ("FDPIC") ka treguar se ky detyrim synon kryesisht platformat e mëdha të internetit dhe rrjetet sociale që operojnë nga jashtë vendit, gjë që nuk përshkruan Shërbimet tona.

Bazuar në këtë vlerësim, kemi arritur në përfundimin se aktualisht nuk kërkohet të emërojmë një përfaqësues në Zvicër sipas nenit 14 të FADP. Ne do ta rivlerësojmë këtë përcaktim periodikisht, duke përfshirë edhe rastet e ndryshimeve materiale në shkallën ose natyrën e aktiviteteve tona të përpunimit që ndikojnë te banorët zviceranë.

3. DETAJET E PËRPUNIMIT TË TË DHËNAVE

3.1 Objekti dhe Kohëzgjatja

Përpunimi i të dhënave personale sipas kësaj DPA kryhet me qëllim ofrimin e Shërbimeve siç përshkruhet në Marrëveshje dhe do të vazhdojë për kohëzgjatjen e Marrëveshjes.

3.2 Natyra dhe Qëllimi i Përpunimit

Ne përpunojmë të dhëna personale për të:

• pritur dhe servirur përmbajtjen e faqes suaj të internetit;
• ruajtur dhe menaxhuar të dhënat e dërguara përmes formularëve dhe veçorive interaktive të faqes suaj të internetit;
• mirëmbajtur llogaritë e përdoruesve dhe sesionet për zonat e mbrojtura të faqes suaj të internetit;
• dorëzuar komunikime me email në emrin tuaj;
• përcjellë emailet e marra në adresat tuaja të emailit me domen të personalizuar;
• fuqizuar bisedat me AI chatbot me vizitorët e faqes suaj të internetit;
• gjeneruar përshkrime dhe metadata të fuqizuara nga AI për skedarët e ngarkuar;
• konvertuar skedarët e ngarkuar në formate të optimizuara për ueb;
• ofruar analitikë të vizitorëve;
• Nxjerrja e karakteristikave të përgjithshme të faqes së internetit (si industria ose lloji i biznesit) për ofrimin e rekomandimeve përkatëse të platformës
• zbuluar dhe parandaluar spam dhe abuzim (duke përfshirë proof-of-work bot challenges);
• kryer moderim të përmbajtjes në skedarët e ngarkuar;
• shqyrtuar përmbajtjen e faqes së internetit gjatë publikimit për pajtueshmëri me politikat e platformës për përmbajtjen;
• Menaxhimi i preferencave të çregjistrimit nga emaili për marrësit e emailit të faqes suaj të internetit
• lehtësuar komunikimet në kohë reale në kanale në faqen tuaj të internetit përmes lidhjeve WebSocket (mesazhet janë efemere dhe nuk ruhen në mënyrë të përhershme);
• mirëmbajtur regjistra gabimesh dhe diagnostikues për besueshmërinë e platformës dhe zgjidhjen e problemeve (mund të përfshijnë adresa IP dhe metadata kërkesash; ruhen deri në tridhjetë (30) ditë).

3.3 Llojet e të Dhënave Personale

Llojet e të dhënave personale të përpunuara varen nga ajo që ju mbledhni përmes faqes suaj të internetit, e cila mund të përfshijë:

• emra dhe informacione kontakti;
• adresa emaili;
• mesazhe dhe dërgesa formularësh;
• ngarkime skedarësh të dorëzuara nga vizitorët e faqes së internetit (si imazhe dhe dokumente);
• përmbajtjen e bisedave me chatbot (mesazhet e vizitorëve dhe përgjigjet e AI);
• kredenciale të llogarisë së përdoruesit (të ruajtura në formë hash);
• të dhëna sesioni;
• adresa IP (nuk ruhen në analitikë - ruhet vetëm një hash që rrotullohet çdo ditë; ruhen si metadata krahas dërgesave të formularëve dhe bisedave me chatbot; përdoren përkohësisht dhe hash-ohen për verifikimin e bot challenge; ruhen përkohësisht për rate limiting deri në shtatë (7) ditë dhe pastrohen automatikisht);
• informacione mbi shfletuesin dhe pajisjen;
• të dhëna të vendndodhjes (në nivel shteti dhe rajoni, të nxjerra nga IP);
• Regjistrime të çregjistrimit nga emaili (të ruajtura si hash kriptografike të adresave email të marrësve; nuk ruhen në formë të papërpunuar)
• rezultate të klasifikimit të spam-it (nëse një dërgesë u përcaktua si spam);
• të dhëna të regjistrave të gabimeve dhe diagnostikimit (adresa IP, shtigje kërkesash dhe detaje gabimesh; ruhen deri në tridhjetë (30) ditë dhe pastrohen automatikisht).

3.4 Kategoritë e Subjekteve të të Dhënave

• vizitorët e faqes suaj të internetit;
• përdoruesit që krijojnë llogari në faqen tuaj të internetit;
• përdoruesit që dorëzojnë formularë ose ndërveprojnë me chatbot në faqen tuaj të internetit;
• përdoruesit që dorëzojnë komente, vlerësime ose kontribute të tjera në faqen tuaj të internetit.

4. DETYRIMET E PËRPUNUESIT

Ne do të:

1. përpunojmë të dhëna personale vetëm sipas udhëzimeve tuaja të dokumentuara, përveç kur kërkohet ndryshe nga ligji i zbatueshëm (në këtë rast do t'ju informojmë për atë kërkesë ligjore përpara përpunimit, përveç nëse ligji e ndalon këtë);
2. sigurojmë që personat e autorizuar për të përpunuar të dhëna personale të kenë marrë përsipër detyrimin e konfidencialitetit ose t'u nënshtrohen një detyrimi të përshtatshëm ligjor për konfidencialitet;
3. zbatojmë masa të përshtatshme teknike dhe organizative të sigurisë siç përshkruhen në Seksionin 9;
4. respektojmë kushtet për angazhimin e nënpërpunuesve siç përcaktohen në Seksionin 6;
5. ju ndihmojmë, duke marrë parasysh natyrën e përpunimit, në përgjigjen ndaj kërkesave nga Subjektet e të Dhënave që ushtrojnë të drejtat e tyre sipas Ligjit të Zbatueshëm për Mbrojtjen e të Dhënave;
6. ju ndihmojmë në sigurimin e pajtueshmërisë me detyrimet tuaja sipas neneve 32-36 të GDPR (siguria, njoftimi për shkeljen, vlerësimet e ndikimit në mbrojtjen e të dhënave dhe konsultimi paraprak), duke marrë parasysh natyrën e përpunimit dhe informacionin që kemi në dispozicion. Kur përdorimi juaj i Shërbimeve përfshin përpunim me rrezik të lartë që mund të kërkojë një Data Protection Impact Assessment (DPIA), ne do t'ju ofrojmë informacion për aktivitetet tona të përpunimit, masat teknike dhe organizative dhe nënpërpunuesit për të mbështetur vlerësimin tuaj;
7. ju ndihmojmë në përmbushjen e detyrimeve tuaja sipas nenit 22 të GDPR (vendimmarrja individuale e automatizuar) duke ofruar informacion për çdo përpunim të automatizuar të kryer në emrin tuaj, duke përfshirë moderimin e përmbajtjes, zbulimin e spam-it dhe mbrojtjen nga bot-et, si dhe duke lehtësuar shqyrtimin njerëzor të vendimeve të automatizuara sipas kërkesës;
8. ju informojmë nëse, sipas mendimit tonë, një udhëzim nga ju shkel Ligjin e Zbatueshëm për Mbrojtjen e të Dhënave;
9. sipas zgjedhjes suaj, fshijmë ose kthejmë të gjitha të dhënat personale pas përfundimit të ofrimit të Shërbimeve dhe fshijmë kopjet ekzistuese, përveç kur ruajtja kërkohet nga ligji i zbatueshëm;
10. ju vëmë në dispozicion të gjithë informacionin e nevojshëm për të demonstruar pajtueshmërinë me detyrimet e përcaktuara në këtë DPA dhe kontribuojmë në verifikimin e pajtueshmërisë siç përshkruhet në Seksionin 11.

5. DETYRIMET E KONTROLLUESIT

Ju do të:

1. siguroni që mbledhja dhe përpunimi juaj i të dhënave personale përmes faqes suaj të internetit të jetë në përputhje me të gjitha Ligjet e Zbatueshme për Mbrojtjen e të Dhënave;
2. siguroni njoftime të përshtatshme privatësie për vizitorët e faqes suaj të internetit që përshkruajnë praktikat tuaja të mbledhjes së të dhënave, duke përfshirë zbulimin e analitikës në nivel platforme, ndërveprimet me chatbot të fuqizuar nga AI, zbulimin e spam-it dhe mbrojtjen nga bot-et;
3. merrni të gjitha pëlqimet e nevojshme ose të vendosni një bazë tjetër ligjore për përpunimin e të dhënave personale përmes faqes suaj të internetit;
4. siguroni që udhëzimet tuaja ndaj nesh në lidhje me përpunimin e të dhënave personale të jenë në përputhje me Ligjet e Zbatueshme për Mbrojtjen e të Dhënave;
5. jeni përgjegjës për saktësinë, cilësinë dhe ligjshmërinë e të dhënave personale që na ofrohen përmes faqes suaj të internetit.

Duke përdorur Shërbimet, ju na udhëzoni të kryejmë aktivitetet e mëposhtme të përpunimit në emrin tuaj si pjesë e operacioneve standarde të platformës: moderimin e përmbajtjes së skedarëve të ngarkuar, shqyrtimin e politikave të përmbajtjes për përmbajtjen e publikuar të faqes së internetit, zbulimin e spam-it në dërgesat e formularëve, mbrojtjen nga bot-et përmes proof-of-work challenges dhe ndërveprimet me AI chatbot me vizitorët e faqes suaj të internetit. Këto aktivitete janë udhëzime të dokumentuara sipas nenit 28(3)(a) të GDPR.

6. NËNPËRPUNUESIT

6.1 Nënpërpunuesit e Autorizuar

Ju jepni autorizim të përgjithshëm që ne të angazhojmë nënpërpunues për të ndihmuar në ofrimin e Shërbimeve. Nënpërpunuesit tanë aktualë janë listuar më poshtë dhe në https://www.acira.ai/dpa.

6.2 Lista Aktuale e Nënpërpunuesve

6.3 Ndryshimet te Nënpërpunuesit

Ne do t'ju njoftojmë për çdo ndryshim të synuar në listën e nënpërpunuesve për Shërbimet që aktualisht përdorni duke përditësuar listën e nënpërpunuesve në https://www.acira.ai/dpa të paktën katërmbëdhjetë (14) ditë përpara se nënpërpunuesi i ri të fillojë përpunimin e të dhënave personale. Kur prezantojmë veçori ose shërbime të reja që përfshijnë nënpërpunues shtesë, ata nënpërpunues do të zbulohen në momentin që veçoria ose shërbimi bëhet i disponueshëm; përdorimi juaj i veçorisë ose shërbimit të ri përbën pranim të nënpërpunuesve të zbuluar. Është përgjegjësia juaj ta rishikoni periodikisht listën e nënpërpunuesve për ndryshime. Nëse keni një kundërshtim të arsyeshëm ndaj një nënpërpunuesi të ri që përpunon të dhëna për Shërbimet ekzistuese, mund të na njoftoni me shkrim brenda katërmbëdhjetë (14) ditëve nga publikimi i ndryshimit. Ne do të punojmë me ju në mirëbesim për të adresuar shqetësimet tuaja. Nëse nuk mund ta zgjidhim kundërshtimin në mënyrë të arsyeshme të kënaqshme për ju, ju mund ta përfundoni Marrëveshjen duke dhënë njoftim me shkrim.

6.4 Detyrimet e Nënpërpunuesve

Ne do të lidhim marrëveshje me shkrim me secilin nënpërpunues që vendosin detyrime për mbrojtjen e të dhënave jo më pak mbrojtëse se ato të përcaktuara në këtë DPA. Ne mbetemi përgjegjës për veprimet dhe mosveprimet e nënpërpunuesve tanë në të njëjtën masë sikur t'i kryenim shërbimet drejtpërdrejt vetë.

7. TRANSFERIMET NDËRKOMBËTARE TË TË DHËNAVE

7.1 Mekanizmat e Transferimit

Shërbimet priten kryesisht në Shtetet e Bashkuara. Të dhënat personale të përpunuara përmes Shërbimeve mund të transferohen dhe përpunohen në Shtetet e Bashkuara dhe vende të tjera ku operojnë nënpërpunuesit tanë. Ofruesit e AI inference (Fireworks AI dhe xAI) përpunojnë të dhëna në Shtetet e Bashkuara. BrightData mund të përpunojë të dhëna në Izrael dhe vende të tjera globalisht. Cloudflare përpunon të dhëna në lokacione edge në mbarë botën.

Rezidenca e të Dhënave në BE: Për operatorët e faqeve të internetit të identifikuar si banorë të BE-së, zbatojmë masat e mëposhtme të rezidencës së të dhënave për të minimizuar transferimet e të dhënave personale të vizitorëve jashtë Bashkimit Evropian:

• Ruajtja: Të dhënat e vizitorëve në ruajtjen e përhershme të skajit — duke përfshirë paraqitjet e formularëve, bisedat e chatbot-it, të dhënat e sesionit dhe të dhënat e tabelave të përdoruesve — janë të kufizuara jurisdikcionalisht në Bashkimin Evropian. Këto të dhëna ruhen ekskluzivisht në qendrat e të dhënave të BE-së.
• Përpunim i automatizuar i drejtuar ndaj vizitorëve: Operacionet e aktivizuara automatikisht nga aktiviteti i vizitorëve — duke përfshirë njoftimet e paraqitjes së përmbajtjes dhe dorëzimin e emailit transaksional — përpunohen brenda Bashkimit Evropian dhe nuk kalojnë nëpërmjet infrastrukturës amerikane.
• Aksesi i menaxhimit të platformës: Kur aksesoni të dhënat e vizitorëve të faqes suaj të internetit nëpërmjet panelit të platformës ose ndërfaqes bisedore (për shembull, shikoni paraqitjet e formularëve ose menaxhoni regjistrat e përdoruesve), këto të dhëna mund të përpunohen nëpërmjet infrastrukturës sonë me bazë në SHBA për të plotësuar kërkesën tuaj. Këto transferime janë sipas kërkesës, iniciohen nga ju (Kontrolluesi), dhe mbrohen nga mekanizmat e transferimit dhe masat plotësuese të përshkruara më poshtë.
• Përpunimi tjetër me bazë në SHBA: Të dhënat analitike dhe të dhënat e përpunuara nga infrastruktura jonë cloud me bazë në SHBA për moderimin e përmbajtjes dhe inferimin e AI mund të transferohen akoma në Shtetet e Bashkuara në përputhje me mekanizmat e transferimit më poshtë.

Për transferimet e të dhënave personale nga EEA, UK ose Zvicra në vende që nuk njihen se ofrojnë një nivel të përshtatshëm të mbrojtjes së të dhënave, ne mbështetemi në:

1. Klauzolat Standarde Kontraktuale (SCCs): Ne inkorporojmë me referencë Klauzolat Standarde Kontraktuale të Komisionit Evropian në këtë DPA: Module One (Controller to Controller) për të dhënat analitike ku ne veprojmë si kontrollues të përbashkët (shih Seksionin 2.3), dhe Module Two (Controller to Processor) për të gjitha të dhënat e tjera personale të përpunuara në emrin tuaj. SCCs janë të disponueshme në https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Për transferimet nga UK, zbatohet UK Addendum ndaj EU SCCs.
3. Swiss Data Transfer Mechanisms: Për transferimet nga Zvicra, SCCs zbatohen me modifikimet e kërkuara nga Swiss FADP.

7.2 Masat Plotësuese

Ne zbatojmë masat plotësuese të mëposhtme për të mbrojtur të dhënat personale të transferuara:

• enkriptimin e të dhënave gjatë transmetimit (TLS/SSL) dhe në gjendje të ruajtur;
• kontrolle aksesi dhe mekanizma autentikimi;
• vlerësime të rregullta të sigurisë;
• praktika të minimizimit të të dhënave (p.sh., hash-e të vizitorëve që rrotullohen çdo ditë në vend të ruajtjes së IP-ve të papërpunuara).
• Rezidencë jurisdikcionale e të dhënave për operatorët e faqeve të internetit banorë të BE-së (ruajtja e përhershme dhe përpunimi i automatizuar drejtuar vizitorëve i kufizuar në BE)
• Infrastrukturë llogaritëse dhe emaili e vendosur në BE për operacionet e automatizuara të drejtuara ndaj vizitorëve (njoftimet e paraqitjes së përmbajtjes dhe dorëzimi i emailit transaksional të përpunuara në Bashkimin Evropian për operatorët e faqeve të internetit që banojnë në BE)

7.3 Vlerësimi i Ndikimit të Transferimit

Këto masa plotësuese mbështeten në vlerësimin tonë të ligjeve dhe praktikave të vendeve të destinacionit, duke marrë parasysh natyrën e të dhënave të transferuara, mekanizmin e transferimit mbi të cilin mbështetemi dhe masat teknike e organizative mbrojtëse të vendosura. Ne kemi vlerësuar se masat plotësuese të përshkruara më sipër, së bashku me angazhimet në SCCs, ofrojnë një nivel të përshtatshëm mbrojtjeje për të dhënat personale të transferuara. Transfer Impact Assessment ynë është i disponueshëm në https://www.acira.ai/tia.

7.4 Canadian Data Transfers

Për transferimet e të dhënave personale nga Kanadaja, ne mbështetemi në masat mbrojtëse të mëposhtme për të siguruar që të dhënat personale të transferuara jashtë Kanadasë të marrin një nivel të krahasueshëm mbrojtjeje siç kërkohet sipas Personal Information Protection and Electronic Documents Act (PIPEDA) dhe legjislacionit provincial të zbatueshëm për privatësinë (duke përfshirë Alberta's PIPA, British Columbia's PIPA dhe Quebec's Act respecting the protection of personal information in the private sector):

1. Mbrojtje kontraktuale: Marrëveshje të shkruara për përpunimin e të dhënave me secilin nënpërpunues që vendosin detyrime për mbrojtjen e të dhënave personale sipas një standardi në përputhje me ligjin kanadez të privatësisë, duke përfshirë kërkesat për masa të përshtatshme sigurie, kufizime përdorimi, njoftim për shkelje dhe akses të subjekteve të të dhënave.
2. Masa mbrojtëse teknike: Të njëjtat masa enkriptimi, pseudonimizimi, kontrolli aksesi dhe minimizimi të të dhënave të përshkruara në Seksionin 7.2 zbatohen edhe për transferimet kanadeze të të dhënave.
3. Masa mbrojtëse organizative: due diligence ndaj nënpërpunuesve, detyrime konfidencialiteti për personelin dhe procedura të dokumentuara të reagimit ndaj incidenteve siç përshkruhet në këtë DPA.

Ne monitorojmë zhvillimet në ligjin kanadez të privatësisë, përfshirë Consumer Privacy Protection Act (CPPA) të propozuar, dhe do të përditësojmë mekanizmat tanë të transferimit sipas nevojës.

8. TË DREJTAT E SUBJEKTEVE TË TË DHËNAVE

8.1 Ndihmë me Kërkesat

Ne do t'ju ndihmojmë në përgjigjen ndaj kërkesave nga Subjektet e të Dhënave që ushtrojnë të drejtat e tyre sipas Ligjit të Zbatueshëm për Mbrojtjen e të Dhënave, duke përfshirë të drejtat e aksesit, korrigjimit, fshirjes, kufizimit, portabilitetit dhe kundërshtimit.

8.2 Njoftimi

Nëse marrim një kërkesë drejtpërdrejt nga një Subjekt i të Dhënave në lidhje me të dhënat personale të përpunuara në emrin tuaj, ne do t'ju njoftojmë menjëherë dhe nuk do t'i përgjigjemi kërkesës pa udhëzimet tuaja, përveç nëse kjo kërkohet nga ligji i zbatueshëm.

8.3 Mjetet e Platformës

Ne ofrojmë mjete brenda Shërbimeve për t'ju ndihmuar të përmbushni kërkesat e Subjekteve të të Dhënave, duke përfshirë:

• aksesin dhe menaxhimin e të dhënave të ruajtura në bazat e të dhënave të faqes suaj të internetit;
• fshirjen e regjistrimeve individuale nga bazat e të dhënave të faqes suaj të internetit;
• sipas kërkesës, ne mund të ofrojmë eksporte të të dhënave në format ZIP për të ndihmuar me detyrimet e portabilitetit të të dhënave.

9. SIGURIA E TË DHËNAVE

9.1 Masat e Sigurisë

Ne zbatojmë dhe mirëmbajmë masa të përshtatshme teknike dhe organizative për të mbrojtur të dhënat personale kundër përpunimit të paautorizuar ose të paligjshëm dhe kundër humbjes aksidentale, shkatërrimit ose dëmtimit. Këto masa përfshijnë:

• Enkriptimi: të dhënat e enkriptuara gjatë transmetimit përmes TLS/SSL dhe në gjendje të ruajtur duke përdorur enkriptim standard të industrisë;
• Kontrolli i Aksesit: kontrolle aksesi të bazuara në role, multi-factor authentication për administrimin e platformës, politika aksesi me privilegjin më të ulët të nevojshëm;
• Siguria e Infrastrukturës: infrastrukturë cloud e menaxhuar me security patching automatik, DDoS protection dhe Web Application Firewall (WAF);
• Izolimi i të Dhënave: izolim i të dhënave për çdo faqe interneti përmes instancave të dedikuara të ruajtjes;
• Monitorimi: monitorim i automatizuar i sigurisë, intrusion detection dhe regjistrim i strukturuar;
• Siguria e Kredencialeve: të gjithë API keys dhe sekretet ruhen në shërbime të dedikuara të menaxhimit të sekreteve; fjalëkalimet e përdoruesve hash-ohen duke përdorur algoritme të forta kriptografike me salts për secilin përdorues;
• Mbrojtja nga Bot-et: sisteme proof-of-work challenge për të parandaluar abuzimin e automatizuar.

9.2 Konfidencialiteti

Ne sigurojmë që i gjithë personeli i autorizuar për të përpunuar të dhëna personale është i detyruar nga detyrime konfidencialiteti.

10. NJOFTIMI PËR SHKELJEN E TË DHËNAVE

10.1 Njoftimi ndaj Kontrolluesit

Ne do t'ju njoftojmë pa vonesë të panevojshme pasi të konfirmojmë një shkelje të të dhënave personale që prek të dhënat personale të përpunuara në emrin tuaj. Njoftimi do të dërgohet në informacionin e kontaktit të lidhur me llogarinë tuaj.

10.2 Përmbajtja e Njoftimit

Njoftimi ynë për shkeljen do të përfshijë, në masën e disponueshme:

1. një përshkrim të natyrës së shkeljes, duke përfshirë kategoritë dhe numrin e përafërt të Subjekteve të të Dhënave dhe të regjistrimeve të prekura;
2. emrin dhe detajet e kontaktit të kontaktit tonë për mbrojtjen e të dhënave;
3. një përshkrim të pasojave të mundshme të shkeljes;
4. një përshkrim të masave të marra ose të propozuara për të adresuar shkeljen dhe për të zbutur efektet e saj.

10.3 Detyrimet Tuaja

Ju jeni përgjegjës për njoftimin e autoritetit mbikëqyrës përkatës dhe të Subjekteve të të Dhënave të prekura për një shkelje të të dhënave personale siç kërkohet nga Ligji i Zbatueshëm për Mbrojtjen e të Dhënave. Ne do të bashkëpunojmë me ju dhe do të ofrojmë ndihmë të arsyeshme për t'ju ndihmuar të përmbushni detyrimet tuaja për njoftimin e shkeljes.

11. AUDITIMET DHE VERIFIKIMI I PAJTUESHMËRISË

11.1 Dokumentacioni i Përputhshmërisë

Për të demonstruar përputhshmërinë tonë me këtë DPA, ne do t'ju vëmë në dispozicion, me kërkesë të arsyeshme me shkrim (deri një herë në vit), sa vijon:

1. Raporte auditimi përkatëse të palëve të treta, certifikata ose përmbledhje të vlerësimeve të sigurisë;
2. Një përmbledhje e masave tona aktuale teknike dhe organizative të sigurisë;
3. Informacione rreth aktiviteteve tona të përpunimit, nënpërpunuesve dhe praktikave të mbrojtjes së të dhënave.

Kur mbështetemi te ofruesit e infrastrukturës së palëve të treta (si AWS dhe Cloudflare), certifikatat e tyre të sigurisë dhe dokumentacioni i përputhshmërisë janë të disponueshme nëpërmjet programeve përkatëse të besimit dhe përputhshmërisë.

11.2 Pyetje Shtesë

Nëse dokumentacioni i ofruar sipas Seksionit 11.1 nuk adreson në mënyrë të arsyeshme shqetësimet tuaja të përputhshmërisë, mund të paraqisni pyetje specifike me shkrim në lidhje me praktikat tona të mbrojtjes së të dhënave, të cilave do t'u përgjigjemi brenda një afati kohor të arsyeshëm.

12. RUAJTJA DHE FSHIRJA E TË DHËNAVE

12.1 Gjatë Marrëveshjes

Ne do t'i ruajmë të dhënat personale të përpunuara në emrin tuaj për kohëzgjatjen e Marrëveshjes dhe në përputhje me udhëzimet tuaja përmes Shërbimeve. Periudhat specifike të ruajtjes për të dhënat e vizitorëve përfshijnë:

• Bisedat me chatbot në faqen tuaj të internetit: ruhen për tridhjetë (30) ditë nga ndërveprimi i fundit në secilën bisedë. Bisedat ruhen brenda sesioneve të vizitorëve në infrastrukturën edge të faqes së internetit dhe fshihen automatikisht kur sesioni skadon për shkak të pasivitetit.
• Dërgesat e formularëve dhe përmbajtja e gjeneruar nga përdoruesit në faqen tuaj të internetit: ruhen për kohëzgjatjen e faqes së internetit përkatëse, përveç nëse i fshini më herët përmes mjeteve të platformës.
• Të dhënat e sesionit për vizitorët e faqes suaj të internetit: fshihen automatikisht pas 30 ditësh pasiviteti.
• Përmbajtja e fshirë e vizitorëve (dërgesa formularësh, komente dhe përmbajtje të tjera të gjeneruara nga përdoruesit në faqen tuaj të internetit): kur fshini përmbajtjen e vizitorëve përmes mjeteve të platformës, ajo kalon në një gjendje soft-delete dhe ruhet deri në tridhjetë (30) ditë për të mbështetur rikuperimin. Pas kësaj periudhe, përmbajtja soft-deleted hiqet përgjithmonë. Ju mund ta fshini përmbajtjen menjëherë në mënyrë të përhershme duke e purge nga radhë e rikuperimit.
• Regjistrime të çregjistrimit nga emaili në faqen tuaj të internetit: Ruhen për kohëzgjatjen e faqes së lidhur të internetit, përveçse nëse marrësi ri-abonohet. Regjistrimet e çregjistrimit fshihen kur faqja e internetit shkatërrohet.
• Të dhënat analitike: ruhen për kohëzgjatjen e faqes së internetit përkatëse (subjekt i kufijve të ruajtjes të bazuara në plan; të dhënat analitike të free plan ruhen për nëntëdhjetë (90) ditë).

12.2 Pas Përfundimit

Pas përfundimit të Marrëveshjes, ose sipas kërkesës suaj, ne do të fshijmë të dhënat personale të përpunuara në emrin tuaj në përputhje me praktikat e ruajtjes së të dhënave të përshkruara në Marrëveshje (duke përfshirë periudhën e tolerancës prej shtatë (7) ditësh për fshirjet e llogarisë dhe faqes së internetit). Pas periudhës së tolerancës, fshirja është e përhershme dhe e pakthyeshme.

12.3 Përjashtime

Ne mund të ruajmë të dhëna personale në masën që kërkohet nga ligji i zbatueshëm, ose kur të dhënat janë anonimizuar dhe nuk mund të lidhen më me një Subjekt të të Dhënave.

13. AFATI DHE PËRFUNDIMI

Kjo DPA hyn në fuqi në datën kur ju pranoni Marrëveshjen dhe mbetet në fuqi për aq kohë sa ne përpunojmë të dhëna personale në emrin tuaj. Detyrimet e konfidencialitetit dhe mbrojtjes së të dhënave të përcaktuara në këtë DPA mbeten në fuqi edhe pas përfundimit të Marrëveshjes.

14. KUFIZIMI I PËRGJEGJËSISË

Përgjegjësia e secilës palë sipas kësaj DPA i nënshtrohet kufizimeve të përgjegjësisë të përcaktuara në Marrëveshje.

15. NA KONTAKTONI

Për pyetje rreth kësaj DPA ose për të ushtruar të drejtat tuaja, na kontaktoni në:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telefoni: 888-389-1189
E-mail: legal@acira.ai