Vlerësimi i Ndikimit të Transferimit
VLERËSIMI I NDIKIMIT TË TRANSFERIMIT
Përditësimi i fundit: 19 Mars 2026
Ky Vlerësim i Ndikimit të Transferimit ("TIA") është përgatitur nga Acira AI LLC ("Acira AI", "ne", "neve") në përputhje me kërkesat e vendimit të Gjykatës së Drejtësisë të Bashkimit Evropian në çështjen Komisari i Mbrojtjes së të Dhënave kundër Facebook Ireland Limited dhe Maximillian Schrems (Çështja C-311/18, "Schrems II") dhe rekomandimet e Bordit Evropian të Mbrojtjes së të Dhënave (Rekomandimet e EDPB 01/2020 mbi masat plotësuese).
Ky TIA vlerëson përshtatshmërinë e mbrojtjeve për të dhënat personale të transferuara nga Zona Ekonomike Evropiane ("EEA"), Mbretëria e Bashkuar ("UK"), Zvicra dhe Kanadaja në Shtetet e Bashkuara dhe vende të tjera të treta në lidhje me ofrimin e Shërbimeve tona.
Ky TIA mund të përkthehet në gjuhë të tjera për lehtësinë tuaj. Në rast konflikti ose mospërputhje midis versionit anglisht dhe çdo versioni të përkthyer, versioni anglisht do të mbizotërojë.
TABELA E PËRMBAJTJES
- PASQYRË E TRANSFERIMEVE
- NATYRA E TË DHËNAVE TË TRANSFERUARA
- MEKANIZMAT E TRANSFERIMIT
- VLERËSIMI I LIGJEVE TË VENDIT TË DESTINACIONIT
- VLERËSIMI I FLUKSEVE TË TË DHËNAVE SIPAS OFRUESIT TË SHËRBIMIT
- MASAT PLOTËSUESE
- VLERËSIMI I RISKUT
- PËRFUNDIM
- ORARI I RISHIKIMIT
- NA KONTAKTONI
1. PASQYRË E TRANSFERIMEVE
1.1 Konteksti
Acira AI është një platformë softuer-si-shërbim që u mundëson bizneseve dhe individëve të krijojnë, menaxhojnë dhe të jenë host të faqeve interneti të fuqizuara nga AI. Kur përdoruesit krijojnë faqe interneti të cilat vizitorët nga EEA, UK, Zvicra ose Kanadaja i qasen, të dhënat personale të atyre vizitorëve mund të transferohen dhe të përpunohen në Shtetet e Bashkuara dhe vendndodhje të tjera ku operojnë ofruesit tanë të infrastrukturës.
1.2 Palët
- Eksportuesi i të Dhënave: Operatori i faqes interneti (klienti ynë, duke vepruar si Kontrollues) dhe, për të dhënat analitike, Acira AI si Kontrollues i Përbashkët.
- Importuesi i të Dhënave: Acira AI LLC, i inkorporuar në Nevada, Shtetet e Bashkuara, duke vepruar si Përpunues (dhe Kontrollues i Përbashkët për analitikën).
- Nënpërpunuesit: Ofruesit e shërbimeve të palëve të treta të angazhuar nga Acira AI (të listuar në Seksionin 5).
1.3 Destinacionet e Transferimit
| Destinacioni | Ofruesit | Baza |
|---|---|---|
| Shtetet e Bashkuara dhe Bashkimi Evropian (Stokholm) | AWS | SCCs + Masa plotësuese (SHBA); Brenda-ZEE për operacionet e automatizuara të drejtuara ndaj vizitorëve për banorët e BE-së |
| Shtetet e Bashkuara | Stripe, Fireworks AI, xAI | SCCs + Masa plotësuese |
| Global (vendndodhjet edge) | Cloudflare | SCC + Masa Plotësuese |
| Izraeli | BrightData (vetëm me drejtim nga përdoruesi) | SCC + Masa Plotësuese |
| Bashkimi Evropian | Black Forest Labs, ScreenshotOne, CloudConvert | Brenda-EEA (nuk kërkohet mekanizëm transferimi) |
2. NATYRA E TË DHËNAVE TË TRANSFERUARA
2.1 Kategoritë e të Dhënave Personale
Të dhënat personale të transferuara varen nga funksionet e aktivizuara nga operatori i faqes interneti dhe ndërveprimet e vizitorëve të faqes interneti. Kategoritë e mëposhtme mund të transferohen:
| Kategoria e të Dhënave | Përshkrimi | Ndjeshmëria | Vëllimi |
|---|---|---|---|
| Identifikuesit e analitikës | Hash kriptografik me rrotullim ditor i IP + User-Agent + datës (pseudonimizuar) | E ulët | E lartë (çdo shfaqje faqeje) |
| Metadatat e vizitorit | Shteti, rajoni, gjuha, lloji i pajisjes, shfletuesi, OS, domeni referues, parametrat UTM | E ulët | E lartë (çdo shfaqje faqeje) |
| Adresat IP | Ruhen si metadata me paraqitjet e formularëve dhe bisedat chatbot; hashatura për analitikë; përdoren përkohësisht për verifikimin e sfidave bot; ruhen përkohësisht për kufizim shkalle (deri në 7 ditë) | E mesme | E mesme |
| Përmbajtja e paraqitjeve të formularëve | Fushat e tekstit të lirë të paraqitura nga vizitorët (emrat, emailet, mesazhet, etj.) | Variabile (varet nga formulari) | E ulët deri e mesme |
| Mesazhet chatbot | Mesazhet e vizitorëve dhe përgjigjet e gjeneruara nga AI (maks. 2.000 karaktere për mesazh) | E ulët deri e mesme | E ulët |
| Ngarkimet e skedarëve | Skedarët e ngarkuar nga vizitorët nëpërmjet formularëve të faqes interneti (imazhe, dokumente) | Variabile | E ulët |
| Identifikuesit e sesionit | ID-të e sesionit nga ana e serverit dhe cookie-t e sesionit nga ana e klientit | E ulët | E lartë |
| Kredencialet e autentifikimit | Fjalëkalimet për zonat e mbrojtura të faqes interneti (ruhen vetëm në formë të hashuar) | E lartë (por e hashuar) | E ulët |
2.2 Kategoritë e Subjekteve të të Dhënave
- Vizitorët e faqeve interneti të hostuara në platformën Acira AI
- Përdoruesit që krijojnë llogari në faqet interneti të hostuara në platformë
- Përdoruesit që paraqesin formularë, ndërveprojnë me chatbot-et ose ngarkojnë skedarë në faqet interneti të hostuara
2.3 Të Dhënat që Nuk Transferohen
- Të dhëna gjeolokacioni: Kërkimet e vendndodhjes sipas IP-së kryhen në skajin e rrjetit nga ofruesi ynë i infrastrukturës. Asnjë adresë IP vizitori nuk transmetohet tek ndonjë shërbim i jashtëm gjeolokacioni.
- Adresat IP të papërpunuara analitike: Ruhet vetëm një hash kriptografik me rrotullim ditor; IP-të e papërpunuara nuk ruhen në sistemet analitike.
- Fjalëkalimet në tekst të qartë: Ruhen dhe transferohen vetëm hashurat kriptografike.
3. MEKANIZMAT E TRANSFERIMIT
3.1 Mekanizmi Primar: Klauzolat Standarde Kontraktuale
Ne mbështetemi në Klauzolat Standarde Kontraktuale (SCC) të Komisionit Evropian të miratuara me Vendimin Zbatues të Komisionit (BE) 2021/914, konkretisht:
- Moduli Një (Kontrollues te Kontrollues): Për transferimet e të dhënave analitike ku Acira AI vepron si kontrollues i përbashkët me operatorin e faqes interneti (shiko Seksionin 2.3 të DPA).
- Moduli Dy (Kontrollues te Përpunues): Për transferimet e të dhënave personale të vizitorit nga operatori i faqes interneti (Kontrolluesi) te Acira AI (Përpunuesi).
- Moduli Tre (Përpunues te Nënpërpunues): Për transferimet e mëtejshme nga Acira AI te nënpërpunuesit tanë.
3.2 Transferimet e UK, Zvicrës dhe Kanadasë
- UK: Zbatohet Shtojca Britanike e Transferimit Ndërkombëtar të të Dhënave ndaj SCC-ve të BE-së.
- Zvicra: SCC-të zbatohen me modifikimet e kërkuara nga Akti Federal Zviceran për Mbrojtjen e të Dhënave (FADP).
- Kanadaja: Transferimet mbështeten në mbrojtjet kontraktuale me çdo nënpërpunues duke imponuar detyrime në përputhje me Aktin për Mbrojtjen e Informacionit Personal dhe Dokumenteve Elektronike (PIPEDA) dhe legjislacionin e zbatueshëm provincial për privatësi, të kombinuara me masat plotësuese teknike dhe organizative të përshkruara në Seksionin 6. Shiko Seksionin 7.4 të DPA për detaje.
3.3 Mekanizmat e Transferimit të Nënpërpunuesve
| Nënpërpunuesi | Mekanizmi i Transferimit |
|---|---|
| Amazon Web Services | SCC (AWS DPA), i çertifikuar ISO 27001/27017/27018 |
| Cloudflare | SCC (Cloudflare DPA), i çertifikuar ISO 27001 |
| Stripe | SCC (Stripe DPA), i çertifikuar PCI DSS Level 1 |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, i çertifikuar ISO 27001/27701/42001 |
| xAI | SCC (xAI DPA me SCC të BE-së) |
| BrightData | SCC (BrightData DPA) |
4. VLERËSIMI I LIGJEVE TË VENDIT TË DESTINACIONIT
4.1 Shtetet e Bashkuara
Shtetet e Bashkuara janë destinacioni kryesor për të dhënat e transferuara. Ligjet e mëposhtme amerikane janë relevante për këtë vlerësim:
4.1.1 Akti i Mbikëqyrjes së Inteligjencës së Huaj (FISA), Seksioni 702
Seksioni 702 i FISA autorizon qeverinë amerikane të detyrojë ofruesit e shërbimeve të komunikimit elektronik të sigurojnë akses në komunikimet e personave jo-amerikanë të vendosur jashtë Shteteve të Bashkuara për qëllime të inteligjencës së huaj.
Vlerësimi i riskut:
- Zbatueshmëria: Seksioni 702 i FISA zbatohet ndaj "ofruesve të shërbimeve të komunikimit elektronik" siç përcaktohet në 50 U.S.C. § 1881(b)(4). Acira AI është një platformë SaaS hostimi të faqeve interneti, jo një ofrues tradicional telekomunikacioni. Nënpërpunuesit tanë (AWS, Cloudflare) kanë më shumë gjasa të jenë subjekt i direktivave të Seksionit 702.
- Shtrirja e të dhënave në risk: Të dhënat personale që ne përpunojmë konsistojnë kryesisht nga analitika e vizitorëve të faqes interneti (pseudonimizuar), paraqitjet e formularëve dhe mesazhet chatbot. Këto të dhëna nuk ka gjasa të jenë me interes inteligjencë të huaj.
- Probabiliteti praktik: Kurrë nuk kemi marrë një direktivë të Seksionit 702 të FISA dhe vlerësojmë probabilitetin praktik të marrjes së një tjetri si shumë të ulët, duke pasur parasysh natyrën e Shërbimeve tona dhe të dhënat që përpunojmë.
4.1.2 Urdhri Ekzekutiv 12333
EO 12333 autorizon agjencitë e inteligjencës amerikane të kryejnë aktivitete mbikëqyrjeje, duke përfshirë mbledhjen masive të inteligjencës sinjale. Ai zbatohet ndaj të dhënave në tranzit dhe nuk detyron kompanitë private të bashkëpunojnë.
Vlerësimi i riskut:
- Zbutja: Të gjitha të dhënat në tranzit janë të enkriptuara duke përdorur TLS. Përgjimi masiv i të dhënave të enkriptuara në tranzit nuk do të jepte të dhëna personale në tekst të qartë.
- Probabiliteti praktik: I ulët. Të dhënat e përpunuara nëpërmjet Shërbimeve tona nuk janë nga natyra e synuar zakonisht nga inteligjenca sinjale.
4.1.3 Urdhri Ekzekutiv 14086 dhe Kuadri i Privatësisë së të Dhënave BE-SHBA
Urdhri Ekzekutiv 14086 (tetor 2022) prezantoi masa mbrojtëse shtesë për aktivitetet e inteligjencës sinjale, duke përfshirë:
- Kërkesat e nevojshmërisë dhe proporcionalitetit për mbledhjen e inteligjencës
- Një mekanizëm dy-nivelësh korrektimi (Zyrtari i Mbrojtjes së Lirive Civile + Gjykata e Rishikimit të Mbrojtjes së të Dhënave) i disponueshëm për individë të BE-BE/UK/Zvicrës
- Kufizime mbi mbledhjen masive
Komisioni Evropian miratoi një vendim adekuatshmërie për Kuadrin e Privatësisë së të Dhënave BE-SHBA (DPF) më 10 korrik 2023. Megjithëse Acira AI aktualisht nuk është e vetë-çertifikuar nën DPF, mbrojtjet nën EO 14086 zbatohen gjerësisht ndaj të gjitha transferimeve të të dhënave në Shtetet e Bashkuara dhe u bëjnë dobi të gjithë subjekteve të të dhënave pavarësisht nga mekanizmi specifik i transferimit i përdorur.
4.1.4 CLOUD Act
Akti i Sqarimit të Përdorimit të Ligjshëm të të Dhënave Jashtë Shtetit (CLOUD Act) lejon autoritet ligjore amerikane të detyrojnë ofruesit bazuar në SHBA të prodhojnë të dhëna pavarësisht nga vendi i ruajtjes, subjekt ndaj një urdhri ose vendimi gjykate të vlefshëm.
Vlerësimi i riskut:
- Masa mbrojtëse: CLOUD Act kërkon një proces ligjor të vlefshëm (urdhër, thirrje apo vendim gjykate). Ai nuk autorizon akses masiv pa urdhër.
- Dispozitat e comity: CLOUD Act përfshin një kuadër comity që lejon ofruesit të sfidojnë urdhrat që bien ndesh me ligjin e huaj.
- Probabiliteti praktik: I ulët për të dhënat e vizitorëve të faqes interneti. Kërkesat e zbatimit të ligjit me shumë gjasa do të synonin llogari specifike të dyshuara për aktivitet kriminal, jo analitikën e vizitorëve ose paraqitjet e formularëve.
4.2 Izraeli (BrightData)
BrightData ka bazë në Izrael. Izraeli ka një vendim adekuatshmërie nga Komisioni Evropian (2011/61/EU), që nënkupton se transferimet në Izrael trajtohen ngjashëm me transferimet brenda-EEA. Megjithatë, BrightData përpunon gjithashtu të dhëna në vendndodhje të tjera globale. Ne vëmë re se:
- Përpunimi i BrightData ndodh vetëm kur drejtohet nga përdoruesi (gjatë krijimit të faqes interneti për importin e përmbajtjes) ose gjatë gjurmimit të planifikuar SERP.
- Asnjë të dhënë personale e vizitorëve të faqes interneti nuk transmetohet te BrightData.
4.3 Kanadaja (Transferimet nga Kanadaja në Shtetet e Bashkuara)
Të dhënat personale të vizitorëve të faqes interneti të vendosur në Kanada mund të transferohen në Shtetet e Bashkuara për përpunim. Ligjet e mëposhtme kanadeze janë relevante për këtë vlerësim:
4.3.1 Akti për Mbrojtjen e Informacionit Personal dhe Dokumenteve Elektronike (PIPEDA)
PIPEDA rregullon mbledhjen, përdorimin dhe zbulimin e informacionit personal nga organizatat e sektorit privat në rrjedhën e aktiviteteve tregtare. Parimi 4.1.3 i PIPEDA kërkon që organizatat të përdorin mjete kontraktuale ose të tjera për të siguruar një nivel të krahasueshëm mbrojtjeje kur informacioni personal transferohet te palët e treta për përpunim, duke përfshirë transferimet jashtë Kanadasë.
Vlerësimi i riskut:
- Mbrojtje e krahasueshme: Masat plotësuese të përshkruara në Seksionin 6 (enkriptimi, pseudonimizimi, kontrollet e aksesit, minimizimi i të dhënave) sigurojnë një nivel mbrojtjeje të krahasueshëm me atë të kërkuar nën PIPEDA. Marrëveshjet e shkruara të përpunimit të të dhënave janë aktive me të gjithë nënpërpunuesit.
- Asnjë kërkesë adekuatshmërie: Ndryshe nga GDPR, PIPEDA nuk ndalon transferimet në vende pa gjetje "adekuatshmërie". Organizatat duhet të sigurojnë mbrojtje të krahasueshme nëpërmjet mjeteve kontraktuale dhe të tjera, të cilat ne kemi zbatuar.
4.3.2 Legjislacioni Provincial i Privatësisë
Akti i Mbrojtjes së Informacionit Personal i Albertës (PIPA), Akti i Mbrojtjes së Informacionit Personal i Kolumbisë Britanike (PIPA) dhe Ligji i Kebekut mbi mbrojtjen e informacionit personal në sektorin privat vendosin kërkesa shtesë për provinca të caktuara:
Vlerësimi i riskut:
- Ligji 25 i Kebekut: Ligji i modernizuar i privatësisë i Kebekut (në fuqi nga shtatori 2023) kërkon një vlerësim të ndikimit të privatësisë përpara transferimit të informacionit personal jashtë Kebekut, dhe organizata transferuese duhet të jetë e bindur se informacioni do të marrë mbrojtje adekuate. Mbrojtjet tona kontraktuale, masat plotësuese teknike dhe natyra e të dhënave (kryesisht analitika pseudonimizuar dhe ndërveprimet e faqeve interneti të bizneseve të vogla) mbështesin gjetjen e mbrojtjes adekuate.
- Alberta dhe BC: PIPA-t e Albertës dhe BC-së kërkojnë që organizatat të sigurojnë mbrojtje të krahasueshme për të dhënat e transferuara. Masat tona kontraktuale dhe teknike mbrojtëse plotësojnë këtë kërkesë.
4.3.3 Aksesi Qeveritar Amerikan nga Perspektiva Kanadeze
Të njëjtat risqe të aksesit qeveritar të vlerësuara në Seksionin 4.1 zbatohen ndaj transferimeve të të dhënave kanadeze. Probabiliteti i ulët i aksesit qeveritar (duke pasur parasysh natyrën e të dhënave dhe profilin e kompanisë sonë), i kombinuar me masat plotësuese në Seksionin 6, siguron që të dhënat personale të transferuara nga Kanadaja në Shtetet e Bashkuara marrin një nivel të krahasueshëm mbrojtjeje me atë të kërkuar nën ligjin e privatësisë kanadez.
4.4 Vendndodhjet Globale Edge (Cloudflare)
Cloudflare operon një rrjet global të vendndodhjeve edge. Kërkesat e vizitorëve të BE-së zakonisht përpunohen në pikën më të afërt të pranisë së Cloudflare, e cila për vizitorët e BE-së zakonisht do të jetë një vendndodhje e BE-së.
- Drejtimi i kërkesave, përfundimi TLS dhe mbrojtja nga robotët ndodhin në vendndodhjen më të afërt edge.
- Për operatorët e faqeve të internetit të identifikuar si rezidentë të BE-së, ruajtja e vazhdueshme (që përmban dërgesat e formularëve, bisedat e chatbot dhe të dhënat e sesionit) është e kufizuar jurisdiksionalisht në Bashkimin Evropian duke përdorur API-n e juridiksionit të Cloudflare. Për operatorët e faqeve të internetit jashtë BE-së, ruajtja e vazhdueshme ndodhet afër rajonit gjeografik të operatorit, por mund të ndodhet jashtë BE-së.
- Të dhënat analitike përpunohen në infrastrukturën e menaxhuar nga Cloudflare.
5. VLERËSIMI I FLUKSEVE TË TË DHËNAVE SIPAS OFRUESIT TË SHËRBIMIT
5.1 Amazon Web Services (SHBA)
| Fluksi i të Dhënave | Të Dhënat Personale të Përfshira | Qëllimi |
|---|---|---|
| Ruajtja e bazës së të dhënave | Metadatat e dërgesave të formularëve (IP, vend, rajon), regjistrat e bisedave chatbot, metadatat e skedarëve, regjistrat e sesioneve | Ruajtja e qëndrueshme e të dhënave të vizitorëve të faqes |
| Ruajtja e skedarëve | Skedarë të ngarkuar (imazhe, dokumente), foto të vendosjes | Ruajtja e skedarëve |
| Inferenca AI | Përmbajtja e skedarit (për përshkrimet AI), përmbajtja e emailit (për zbulimin e postës elektronike të padëshiruar) | Përshkrime të mbështetura nga AI dhe klasifikim i postës elektronike të padëshiruar |
| Moderimi i përmbajtjes | Imazhe të ngarkuara | Moderimi i përmbajtjes (zbulimi i lakuriqësisë/përmbajtjes eksplicite) |
| Dorëzimi i emailit | Adresat e emailit, përmbajtja e mesazheve | Dorëzimi i emailit transaksional dhe njoftimet e paraqitjes së përmbajtjes. Për operatorët e faqeve të internetit që banojnë në BE, këto operacione përpunohen në Bashkimin Evropian (Stokholm). |
| Zbulimi i gjuhës | Teksti i mesazhit email | Zbulimi i gjuhës |
Masa mbrojtëse të AWS:
- I çertifikuar ISO 27001, 27017, 27018
- Raportet SOC 1/2/3 të disponueshme
- Të dhëna të enkriptuara në pushim duke përdorur enkriptim standard të industrisë
- Të dhënat e enkriptuara në tranzit (TLS)
- Kontrolle aksesi me privilegje minimale për komponent të sistemit
- Shërbimet kryesore strehohen në Shtetet e Bashkuara; operacionet e automatizuara të drejtuara ndaj vizitorëve (njoftimet e paraqitjes së përmbajtjes dhe dorëzimi i emailit transaksional) për operatorët e faqeve të internetit që banojnë në BE përpunohen në Bashkimin Evropian (Stokholm)
5.2 Cloudflare (Global)
| Fluksi i të Dhënave | Të Dhënat Personale të Përfshira | Qëllimi |
|---|---|---|
| Rrugëzimi edge | Adresat IP, kokëzat HTTP, URL-të e kërkesave | Rrugëzimi i kërkesave, mbrojtja DDoS, ndërprerja TLS |
| Strehimi i faqes së internetit | Përmbajtja e faqes, metadatat e vizitorit | Strehimi dhe dërgimi i faqeve të internetit |
| Ruajtja e vazhdueshme | Dërgesat e formularëve, bisedat e chatbot, të dhënat e sesionit, të dhënat e tabelës së përdoruesit | Ruajtje me gjendje për faqe interneti |
| Analitika | Hash i pseudonimizuar i vizitorit, vend, pajisje, shfletues, referrer, UTM | Analitikë e vizitorëve miqësore me privatësinë |
| Inferenca AI | Mesazhet e chatbot, përmbledhjet e fushave të formularit | Përgjigjet e chatbot AI, zbulimi i postës elektronike të padëshiruar |
| Ruajtja e aseteve | Asetet e faqes së internetit (imazhe, skedarë) | Ruajtja e aseteve statike dhe dërgimi CDN |
Masa mbrojtëse të Cloudflare:
- I çertifikuar ISO 27001, SOC 2 Type II
- TLS 1.2+ për të gjitha lidhjet
- DPA e Cloudflare me SCC të disponueshëm
- Përpunimi edge nënkupton që të dhënat e vizitorëve të BE-BE zakonisht përpunohen në vendndodhjet edge të BE-BE për trajtimin e kërkesave
- Për operatorët e faqeve të internetit të identifikuar si banorë të BE-së, ruajtja e përhershme (që përmban paraqitjet e formularëve, bisedat e chatbot-it, të dhënat e sesionit dhe të dhënat e tabelave të përdoruesve) është e kufizuar juridiksionalisht në Bashkimin Evropian duke përdorur API-n e juridiksionit të Cloudflare, duke siguruar që këto të dhëna ruhen dhe përpunohen ekskluzivisht në qendrat e të dhënave të BE-së. Thirrjet e API-së së backend-it nga skaji (për njoftimet e paraqitjes së përmbajtjes dhe dorëzimin e emailit transaksional) drejtohen në infrastrukturën AWS të vendosur në BE.
- Inferenca AI nuk ruan të dhënat e hyrjes për trajnim
5.3 Stripe (SHBA)
| Fluksi i të Dhënave | Të Dhënat Personale të Përfshira | Qëllimi |
|---|---|---|
| Përpunimi i pagesave | Të dhënat e faturimit të operatorit të faqes interneti (emri, emaili, mënyra e pagesës) | Përpunimi i pagesave të abonimit dhe domenit |
Shënim: Stripe nuk merr të dhëna personale të vizitorëve të faqes interneti. Vetëm informacioni i faturimit të operatorit të faqes interneti (klientit tonë) përpunohet nga Stripe.
Masa mbrojtëse të Stripe:
- I çertifikuar PCI DSS Level 1
- I çertifikuar ISO 27001
- DPA e Stripe me SCC të disponueshëm
5.4 Ofruesit e Inferencës AI (SHBA)
Fireworks AI dhe xAI ofrojnë shërbime inferencë modeli AI.
| Fluksi i të Dhënave | Të Dhënat Personale të Përfshira | Qëllimi |
|---|---|---|
| Gjenerimi i tekstit (përmbajtja e faqes interneti) | Përmbajtja e faqes interneti (jo të dhëna vizitorësh) | Krijimi dhe redaktimi i përmbajtjes së faqes interneti |
| Gjenerimi i imazhit | Komandat tekstuale (jo të dhëna vizitorësh) | Krijimi i imazheve për faqet interneti |
| AI bisedues (agjenti chat) | Emri i përdoruesit të platformës, emaili, preferencat e gjuhës dhe historia e bisedave | Asistenti i fuqizuar nga AI për përdoruesit e platformës (operatorët e faqeve interneti) |
Shënim: Këta ofrues AI nuk marrin të dhëna personale të vizitorëve të faqes interneti. Funksioni chatbot (që u shërben vizitorëve të faqes interneti) përdor Cloudflare Workers AI (vlerësuar në Seksionin 5.2), jo këta ofrues. Megjithatë, asistenti AI bisedues i platformës — i përdorur nga operatorët e faqes interneti për të menaxhuar faqet e tyre interneti — dërgon të dhëna personale të përdoruesit të platformës (emri, adresa email dhe historia e bisedave) tek këta ofrues si pjesë e gjenerimit të përgjigjeve. Për këtë përpunim, Acira AI vepron si kontrollues (jo përpunues), dhe subjektet e të dhënave janë përdoruesit tanë të platformës (operatorët e faqeve interneti), jo vizitorët e faqeve të tyre interneti. Ky fluks i të dhënave rregullohet nga Politika jonë e Privatësisë dhe marrëveshjet tona me këta ofrues, jo kuadri kontrollues-përpunues i DPA për të dhënat e vizitorëve.
Familjet e modeleve: Këta ofrues infrastrukture strehojnë dhe ekzekutojnë modele AI të zhvilluara nga palë të ndryshme të treta. Modelet dhe familjet e modeleve specifike të përdorura mund të ndryshojnë me kalimin e kohës. Zhvilluesit e modeleve nuk marrin dhe nuk kanë akses në asnjë të dhënë të përdoruesit — e gjithë përpunimi i të dhënave ndodh ekskluzivisht brenda infrastrukturës së nënprocesuesve të listuar, pavarësisht se ku u zhvillua fillimisht modeli. E gjithë përpunimi i inferencës AI mbetet në infrastrukturën e nënprocesuesve tanë të listuar. Asnjë të dhënë e përdoruesit nuk transmetohet te zhvilluesit e modeleve ose te infrastruktura jashtë nënprocesuesve të listuar në këtë vlerësim. Një listë aktuale e familjeve të modeleve në përdorim është e disponueshme me kërkesë duke kontaktuar legal@acira.ai.
5.5 BrightData (Izraeli / Global)
| Fluksi i të Dhënave | Të Dhënat Personale të Përfshira | Qëllimi |
|---|---|---|
| Mbledhja e të dhënave web | Përmbajtja e web-it e disponueshme publikisht (jo të dhëna vizitorësh) | Importi i përmbajtjes gjatë krijimit të faqes interneti (i drejtuar nga përdoruesi) |
| Gjurmimi SERP | Fjalë kyçe kërkimi (jo të dhëna vizitorësh) | Monitorimi i rankimit të fjalëve kyçe |
Shënim: BrightData nuk përpunon të dhëna personale të vizitorëve të faqes interneti. Ai përpunon përmbajtje web të disponueshme publikisht kur drejtohet nga përdoruesi dhe gjurmon renditjet e motorëve të kërkimit për fjalë kyçe të përcaktuara nga përdoruesi.
5.6 Ofruesit me Bazë në BE (Pa Transferim)
| Ofruesi | Vendndodhja | Qëllimi |
|---|---|---|
| Black Forest Labs | Gjermania (BE) | Gjenerimi i imazheve AI (modelet Flux) |
| ScreenshotOne | Bashkimi Evropian | Kapja e pamjeve të faqes interneti |
| CloudConvert | Gjermania (BE) | Konvertimi i formatit të skedarëve |
Këta ofrues përpunojnë të dhëna brenda BE-BE dhe nuk përbëjnë transferim ndërkombëtar. Black Forest Labs merr komanda tekstuale vetëm për gjenerimin e imazheve; nuk përfshihen të dhëna personale.
6. MASAT PLOTËSUESE
Përveç SCC-ve, ne zbatojmë masat plotësuese të mëposhtme për të siguruar një nivel mbrojtjeje në thelb ekuivalent për të dhënat personale të transferuara:
6.1 Masa Teknike
| Masa | Përshkrimi |
|---|---|
| Enkriptimi gjatë transmetimit | Të gjitha të dhënat e transmetuara midis vizitorëve, rrjetit edge dhe shërbimeve backend janë të enkriptuara duke përdorur TLS (minimum TLS 1.2). Komunikimi i brendshëm shërbim-me-shërbim përdor kanale të enkriptuara. |
| Enkriptimi në pushim | Të gjitha regjistrat e bazës së të dhënave, ruajtja e skedarëve dhe ruajtja e vazhdueshme e strehuar në edge janë të enkriptuara në pushim duke përdorur enkriptim standard të industrisë të menaxhuar nga ofruesi përkatës i infrastrukturës. |
| Pseudonimizimi | Analitika e vizitorëve përdor një hash kriptografik me rrotullim ditor (IP + User-Agent + datë) në vend të ruajtjes së adresave IP të papërpunuara. Ky hash nuk mund të kthehet dhe rrotullohet çdo 24 orë, duke parandaluar gjurmimin ndër-ditor. |
| Minimizimi i të dhënave | Analitika mbledh vetëm metadatat e nivelit agregat (vend, lloj pajisjeje, shfletues). Adresat IP të papërpunuara nuk ruhen në analitikë. Mesazhet e chatbot janë të kufizuara në 2.000 karaktere. |
| Hashimi i fjalëkalimeve | Të gjitha fjalëkalimet e vizitorëve (për zonat e mbrojtura të faqes interneti) hashohen duke përdorur algoritme të forta kriptografike me kripë të rastësishme për çdo përdorues para ruajtjes. Fjalëkalimet me tekst të qartë nuk ruhen ose transmetohen kurrë. |
| Kontrollet e aksesit | Politikat e aksesit me privilegje minimale kufizojnë çdo komponent sistemi vetëm në burimet që i nevojiten. Shenjat API për faqe interneti kufizojnë aksesin në faqe individuale të internetit. |
| Izolimi i rrjetit | Shërbimet backend komunikojnë nëpërmjet rrjeteve të brendshme. Strehimi i faqes së internetit funksionon në sandbox-e ekzekutimi të izoluara. Ekzekutimi i kodit të personalizuar përdor sandbox-ing të bazuar në WebAssembly. |
| Vendbanimi juridiksional i të dhënave | Për operatorët e faqeve të internetit të identifikuar si banorë të BE-së, ruajtja e përhershme që përmban të dhënat e vizitorëve (paraqitjet e formularëve, bisedat e chatbot-it, të dhënat e sesionit dhe të dhënat e tabelave të përdoruesve) është e kufizuar juridiksionalisht në Bashkimin Evropian, duke siguruar që këto të dhëna ruhen dhe përpunohen ekskluzivisht në qendrat e të dhënave të BE-së. Operacionet e automatizuara të drejtuara ndaj vizitorëve (njoftimet e paraqitjes së përmbajtjes dhe dorëzimi i emailit transaksional) gjithashtu përpunohen brenda infrastrukturës së vendosur në BE. |
| Fshirja e automatizuar | Të dhënat e sesionit skadojnë pas 30 ditëve të mosaktivitetit. Skedarët e përkohshëm fshihen brenda 24 orësh. Të dhënat e sfidës bot janë kalimtare dhe nuk ruhen. |
6.2 Masa Organizative
| Masa | Përshkrimi |
|---|---|
| Konfidencialiteti i personelit | I gjithë personeli me akses ndaj të dhënave personale është i lidhur nga detyrimet e konfidencialitetit. |
| Kujdesi i duhur i nënpërpunuesve | Nënpërpunuesit vlerësohen për praktikat e tyre të sigurisë dhe pajtueshmërinë me mbrojtjen e të dhënave para angazhimit. Marrëveshjet e shkruara DPA janë aktive me të gjithë nënpërpunuesit. |
| Përgjigja ndaj incidenteve | Procedurat e njoftimit të shkeljes sigurojnë që Kontrollusit të njoftohen brenda 72 orëve pas konfirmimit të shkeljes së të dhënave personale. |
| Politikat e ruajtjes së të dhënave | Periudha ruajtjeje të dokumentuara me zbatim automatik (fshirje e bazuar në TTL, politika të ciklit të jetës). |
| Monitorimi i sigurisë | Regjistrimi i strukturuar, monitorimi i automatizuar i sigurisë dhe zbulimi i ndërhyrjeve. Regjistrat e gabimeve dhe diagnostikës ruhen deri në 30 ditë. |
6.3 Masa Kontraktuale
| Masa | Përshkrimi |
|---|---|
| Klauzolat Standarde Kontraktuale | SCC (Moduli Një, Moduli Dy dhe Moduli Tre) janë të inkorporuara në DPA-në tonë nëpërmjet referencës. |
| SCC të Nënpërpunuesve | Marrëveshjet e shkruara me çdo nënpërpunues imponojnë detyrime të mbrojtjes së të dhënave jo më pak mbrojtëse se ato në DPA-në tonë. |
| Njoftimi i aksesit qeveritar | Ne angazhohemi të njoftojmë Kontrollusit për kërkesat e aksesit qeveritar ku është i lejuar ligjërisht, siç përshkruhet në Termat dhe Kushtet tona. |
| Angazhimi i sfidimit | Ne angazhohemi të sfidojmë kërkesat e aksesit qeveritar që besojmë të jenë tepër të gjera ose të paligjshme. |
7. VLERËSIMI I RISKUT
7.1 Probabiliteti i Aksesit Qeveritar
| Faktori | Vlerësimi |
|---|---|
| Natyra e të dhënave | Kryesisht analitika pseudonimizuar, paraqitjet e formularëve dhe mesazhet chatbot nga faqet interneti të bizneseve të vogla. Këto të dhëna janë me vlerë të ulët inteligjence. |
| Vëllimi i të dhënave | I ulët deri i moderuar. Çdo faqe interneti u shërben bazës së vet të vizitorëve; të dhënat nuk agreohen nëpër faqe interneti për qëllime mbikëqyrjeje. |
| Profili i kompanisë | Acira AI është një kompani e vogël SaaS që hostuon faqe interneti biznesi të vogël. Ne nuk jemi ofrues telekomunikacioni ose target i profilizuar i lartë mbikëqyrjeje. |
| Kërkesat historike | Që nga data e këtij vlerësimi, Acira AI kurrë nuk ka marrë një direktivë FISA Seksioni 702, një Letër Sigurie Kombëtare ose ndonjë kërkesë qeveritare për akses masiv ndaj të dhënave të klientit. |
| Profili i nënpërpunuesit | AWS dhe Cloudflare janë ofrues të mëdhenj infrastrukture që publikojnë raporte transparence. Raportet e tyre të transparencës tregojnë se kërkesat qeveritare janë të synuara ndaj llogarive specifike, jo akses masiv ndaj përmbajtjes së hostuar. |
Probabiliteti i përgjithshëm: I ULËT
7.2 Ndikimi nëse Ndodh Aksesi
| Faktori | Vlerësimi |
|---|---|
| Ndjeshmëria e të dhënave | Shumica e të dhënave të transferuara janë me ndjeshmëri të ulët (analitika pseudonimizuar, metadatat e vizitorëve të faqes interneti). Paraqitjet e formularëve mund të përmbajnë të dhëna me ndjeshmëri të mesme (emrat, adresat email, mesazhet) në varësi të faqes interneti. |
| Efektiviteti i pseudonimizimit | Të dhënat analitike nuk mund të lidhen me individë pa akses ndaj komponentëve të hashit me rrotullim ditor (IP + User-Agent + datë), të cilat nuk ruhen. |
| Shtrirja e ekspozimit | Çdo akses qeveritar do të ishte i drejtuar ndaj llogarive ose faqeve specifike të internetit, jo ndaj gjithë platformës. Izolimi i të dhënave për faqe interneti përmes instancave të dedikuara të ruajtjes kufizon shtrirjen e çdo kompromisi potencial. Për operatorët e faqeve të internetit që banojnë në BE, ruajtja e përhershme dhe përpunimi i automatizuar i drejtuar ndaj vizitorëve (njoftimet e paraqitjes së përmbajtjes dhe dorëzimi i emailit transaksional) janë të kufizuara në BE, duke kufizuar më tej ekspozimin ndaj aksesit të qeverisë së SHBA-së për këto të dhëna. |
Ndikimi i përgjithshëm: I ULËT deri I MESËM (në varësi të ndjeshmërisë së të dhënave të mbledhura nga operatorë të veçantë të faqeve interneti)
7.3 Vlerësimi i Riskut të Mbetur
Duke marrë parasysh probabilitetin e ulët të aksesit qeveritar, masat plotësuese teknike (enkriptimi, pseudonimizimi, minimizimi i të dhënave) dhe masat mbrojtëse shtesë të prezantuara nga EO 14086, vlerësojmë se risku i mbetur për subjektet e të dhënave është i ulët dhe se masat plotësuese, së bashku me SCC-të (për transferimet EEA/UK/Zvicra) dhe mbrojtjet kontraktuale (për transferimet kanadeze), sigurojnë një nivel mbrojtjeje në thelb ekuivalent me atë të garantuar brenda EEA dhe të krahasueshëm me atë të kërkuar nën ligjin e privatësisë kanadez.
8. PËRFUNDIM
Bazuar në këtë vlerësim, ne konkludojmë se:
Të dhënat personale të transferuara nga EEA/UK/Zvicra/Kanadaja në Shtetet e Bashkuara në lidhje me ofrimin e Shërbimeve tona përfitojnë nga një nivel mbrojtjeje në thelb ekuivalent me atë të garantuar nën ligjin e mbrojtjes së të dhënave të BE-BE dhe një nivel mbrojtjeje i krahasueshëm me atë të kërkuar nën ligjin e privatësisë kanadez.
Klauzolat Standarde Kontraktuale, të kombinuara me masat plotësuese teknike, organizative dhe kontraktuale të përshkruara në Seksionin 6, adresojnë në mënyrë adekuate rreziqet e identifikuara në këtë vlerësim.
Natyra e të dhënave (kryesisht analitika pseudonimizuar dhe ndërveprimet e vizitorëve të faqes interneti të bizneseve të vogla) dhe profili i importuesit të të dhënave (një kompani e vogël SaaS, jo ofrues telekomunikacioni) reduktojnë ndjeshëm rrezikun praktik të mbikëqyrjes qeveritare.
Mbrojtjet e prezantuara nga Urdhri Ekzekutiv 14086 dhe mekanizmi i lidhur i korrektimit sigurojnë masa mbrojtëse shtesë që u bëjnë dobi të gjithë subjekteve të të dhënave, pavarësisht nga mekanizmi specifik i transferimit i përdorur.
Për transferimet kanadeze, mbrojtjet kontraktuale dhe masat plotësuese të përshkruara këtu sigurojnë një nivel të krahasueshëm mbrojtjeje me atë të kërkuar nën PIPEDA dhe legjislacionin e zbatueshëm provincial të privatësisë, duke përfshirë ligjin e modernizuar të privatësisë të Kebekut.
Ne do të vazhdojmë të monitorojmë zhvillimet në ligjin dhe praktikën e mbikëqyrjes amerikane, si dhe zhvillimet në ligjin e privatësisë kanadez (duke përfshirë Aktin e propozuar për Mbrojtjen e Privatësisë së Konsumatorit), dhe do të rivlerësojmë këtë TIA nëse rrethanat ndryshojnë materialisht.
Transferimet mund të vazhdojnë subjekt ndaj zbatimit të vazhdueshëm të SCC-ve dhe masave plotësuese të përshkruara këtu.
9. ORARI I RISHIKIMIT
Ky TIA do të rishikohet dhe përditësohet:
- Çdo vit, si minimum, ose
- Pas ndryshimeve materiale të ligjeve ose rregulloreve të zbatueshme (duke përfshirë ndryshimet e FISA, CLOUD Act, EO 14086, PIPEDA ose legjislacionit provincial kanadez të privatësisë),
- Pas ndryshimeve të nënpërpunuesve tanë ose natyrës së të dhënave të transferuara,
- Pas çdo vendimi gjykate që prek materialisht vlefshmërinë e SCC-ve ose adekuatshmërinë e mbrojtjes amerikane të të dhënave.
10. NA KONTAKTONI
Nëse keni pyetje rreth këtij Vlerësimi të Ndikimit të Transferimit, ju lutemi na kontaktoni në:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
Shtetet e Bashkuara
Telefoni: 888-389-1189
E-mail: legal@acira.ai
Privatësia juaj, prioriteti ynë
Ne nuk i shesim të dhënat tuaja, nuk përdorim cookies gjurmuese — kjo është arsyeja pse nuk do të shihni një baner cookies këtu. Ne respektojmë Global Privacy Control, dhe për klientët e BE-së, të dhënat e vizitorëve ruhen dhe përpunohen ekskluzivisht brenda Bashkimit Europian.
Acira AI
Ndërtoni uebfaqe të bukura me AI. Pa nevojë për kodim.
Ndërtuar me krenari në Shtetet e Bashkuara
© 2026 Acira AI LLC. Të gjitha të drejtat e rezervuara.