PROCENA UTICAJA PRENOSA PODATAKA
Последња измена: 19. марта 2026.
Ova Procena uticaja prenosa podataka ("TIA") pripremljena je od strane Acira AI LLC ("Acira AI", "mi", "nas") u skladu sa zahtevima odluke Suda pravde Evropske unije u predmetu Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (predmet C-311/18, "Schrems II") i preporukama Evropskog odbora za zaštitu podataka (EDPB Recommendations 01/2020 on supplementary measures).
Ova TIA procenjuje adekvatnost zaštitnih mera za lične podatke koji se prenose iz Evropskog ekonomskog prostora ("EEP"), Ujedinjenog Kraljevstva ("UK"), Švajcarske i Kanade u Sjedinjene Američke Države i druge treće zemlje u vezi sa pružanjem naših Usluga.
Ova TIA može biti prevedena na druge jezike radi vaše pogodnosti. U slučaju bilo kakvog sukoba ili neslaganja između verzije na engleskom jeziku i bilo koje prevedene verzije, merodavna je verzija na engleskom jeziku.
SADRŽAJ
- PREGLED PRENOSA
- PRIRODA PRENETIH PODATAKA
- MEHANIZMI PRENOSA
- PROCENA ZAKONA ZEMLJE ODREDIŠTA
- PROCENA TOKOVA PODATAKA PO PRUŽAOCU USLUGE
- DODATNE ZAŠTITNE MERE
- PROCENA RIZIKA
- ZAKLJUČAK
- RASPORED PREISPITIVANJA
- KONTAKTIRAJTE NAS
1. PREGLED PRENOSA
1.1 Kontekst
Acira AI je platforma softvera kao usluge (SaaS) koja omogućava preduzećima i pojedincima da kreiraju, upravljaju i hostuju veb-sajtove pokretane veštačkom inteligencijom. Kada korisnici kreiraju veb-sajtove kojima pristupaju posetioci koji se nalaze u EEP-u, UK-u, Švajcarskoj ili Kanadi, lični podaci tih posetilaca mogu biti preneseni i obrađivani u Sjedinjenim Američkim Državama i drugim lokacijama na kojima posluju naši pružaoci infrastrukture.
1.2 Strane
- Izvoznik podataka: Operator veb-sajta (naš korisnik, koji nastupa kao Rukovalac) i, za podatke analitike, Acira AI kao zajednički rukovalac.
- Uvoznik podataka: Acira AI LLC, osnovan u Nevadi, Sjedinjene Američke Države, koji nastupa kao Obrađivač (i zajednički rukovalac za analitiku).
- Podobrađivači: Treća lica - pružaoci usluga koje angažuje Acira AI (navedeni u Odeljku 5).
1.3 Odredišta prenosa
| Odredište | Pružaoci | Osnov |
|---|---|---|
| Сједињене Државе и Европска унија (Стокхолм) | AWS | СУК + Допунске мере (САД); Унутар ЕЕП за аутоматизоване операције усмерене ка посетиоцима за резиденте ЕУ |
| Сједињене Државе | Stripe, Fireworks AI, xAI | СУК + Допунске мере |
| Globalno (edge lokacije) | Cloudflare | SCC + dodatne zaštitne mere |
| Izrael | BrightData (samo kada to korisnik usmeri) | SCC + dodatne zaštitne mere |
| Evropska unija | Black Forest Labs, ScreenshotOne, CloudConvert | Unutar EEP-a (nije potreban mehanizam prenosa) |
2. PRIRODA PRENETIH PODATAKA
2.1 Kategorije ličnih podataka
Lični podaci koji se prenose zavise od funkcionalnosti koje operator veb-sajta omogući i interakcija posetilaca veb-sajta. Sledeće kategorije mogu biti prenete:
| Kategorija podataka | Opis | Osetljivost | Obim |
|---|---|---|---|
| Analitički identifikatori | Dnevno rotirajući kriptografski heš IP adrese + User-Agent + datum (pseudonimizovano) | Niska | Visok (svaki pregled stranice) |
| Metapodaci posetilaca | Država, region, jezik, tip uređaja, pretraživač, operativni sistem, domen upućivača, UTM parametri | Niska | Visok (svaki pregled stranice) |
| IP adrese | Čuvaju se kao metapodaci uz podneske obrazaca i razgovore sa chatbotom; heširaju se za analitiku; privremeno se koriste za verifikaciju bot izazova; privremeno se čuvaju radi ograničavanja učestalosti zahteva (do 7 dana) | Srednja | Srednji |
| Sadržaj podnesaka obrazaca | Polja slobodnog teksta koja posetioci šalju (imena, imejl adrese, poruke itd.) | Varijabilna (zavisi od obrasca) | Nizak do srednji |
| Poruke chatbotu | Poruke posetilaca i odgovori generisani veštačkom inteligencijom (maksimalno 2.000 karaktera po poruci) | Niska do srednja | Nizak |
| Otpremljene datoteke | Datoteke koje posetioci otpremaju putem obrazaca na veb-sajtu (slike, dokumenti) | Varijabilna | Nizak |
| Identifikatori sesije | ID-jevi sesija na strani servera i kolačići sesije na strani klijenta | Niska | Visok |
| Akreditivi za autentifikaciju | Lozinke za zaštićene oblasti veb-sajta (čuvaju se isključivo u heširanom obliku) | Visoka (ali heširano) | Nizak |
2.2 Kategorije lica na koja se podaci odnose
- Posetioci veb-sajtova hostovanih na platformi Acira AI
- Korisnici koji kreiraju naloge na veb-sajtovima hostovanim na platformi
- Korisnici koji šalju obrasce, komuniciraju sa chatbotovima ili otpremaju datoteke na hostovanim veb-sajtovima
2.3 Podaci koji se ne prenose
- Podaci o geolokaciji: Pretrage IP-do-lokacije se obavljaju na mrežnoj ivici od strane našeg pružaoca infrastrukture. Nijedna IP adresa posetioca se ne prenosi nijednoj eksternoj usluzi geolokacije.
- Sirove IP adrese za analitiku: Čuva se samo dnevno rotirajući kriptografski heš; sirove IP adrese se ne zadržavaju u analitičkim sistemima.
- Lozinke u čistom tekstu: Čuvaju se i prenose samo kriptografski heševi.
3. MEHANIZMI PRENOSA
3.1 Primarni mehanizam: Standardne ugovorne klauzule
Oslanjamo se na Standardne ugovorne klauzule Evropske komisije (SCC) usvojene Sprovedbenom odlukom Komisije (EU) 2021/914, i to konkretno:
- Modul jedan (Rukovalac ka Rukovaocu): Za prenose analitičkih podataka kada Acira AI nastupa kao zajednički rukovalac sa operatorom veb-sajta (videti Odeljak 2.3 DPA).
- Modul dva (Rukovalac ka Obrađivaču): Za prenose ličnih podataka posetilaca od operatora veb-sajta (Rukovalac) ka Acira AI (Obrađivač).
- Modul tri (Obrađivač ka Podobrađivaču): Za dalje prenose od Acira AI ka našim podobrađivačima.
3.2 Prenosi iz UK, Švajcarske i Kanade
- UK: Primenjuje se UK International Data Transfer Addendum uz EU SCC.
- Švajcarska: SCC se primenjuju uz izmene koje zahteva Švajcarski savezni zakon o zaštiti podataka (FADP).
- Kanada: Prenosi se zasnivaju na ugovornim zaštitnim merama sa svakim podobrađivačem koje nameću obaveze usklađene sa Personal Information Protection and Electronic Documents Act (PIPEDA) i primenljivim pokrajinskim zakonodavstvom o privatnosti, zajedno sa dodatnim tehničkim i organizacionim merama opisanim u Odeljku 6. Videti Odeljak 7.4 DPA za detalje.
3.3 Mehanizmi prenosa za podobrađivače
| Podobrađivač | Mehanizam prenosa |
|---|---|
| Amazon Web Services | SCC (AWS DPA), sertifikovan po ISO 27001/27017/27018 |
| Cloudflare | SCC (Cloudflare DPA), sertifikovan po ISO 27001 |
| Stripe | SCC (Stripe DPA), sertifikovan po PCI DSS Level 1 |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, sertifikovan po ISO 27001/27701/42001 |
| xAI | SCC (xAI DPA sa EU SCC) |
| BrightData | SCC (BrightData DPA) |
4. PROCENA ZAKONA ZEMLJE ODREDIŠTA
4.1 Sjedinjene Američke Države
Sjedinjene Američke Države su primarno odredište prenetih podataka. Sledeći zakoni SAD relevantni su za ovu procenu:
4.1.1 Foreign Intelligence Surveillance Act (FISA), Section 702
FISA Section 702 ovlašćuje vladu SAD da naloži pružaocima usluga elektronskih komunikacija da obezbede pristup komunikacijama lica koja nisu državljani SAD i koja se nalaze van Sjedinjenih Američkih Država, u svrhe stranog obaveštajnog rada.
Procena rizika:
- Primenljivost: FISA Section 702 se primenjuje na "electronic communication service providers" kako su definisani u 50 U.S.C. § 1881(b)(4). Acira AI je SaaS platforma za hostovanje veb-sajtova, a ne tradicionalni pružalac telekomunikacionih usluga. Veća je verovatnoća da naši podobrađivači (AWS, Cloudflare) budu obuhvaćeni nalozima prema Section 702.
- Obim podataka pod rizikom: Lični podaci koje obrađujemo sastoje se prvenstveno od analitike posetilaca veb-sajta (pseudonimizovane), podnesaka obrazaca i poruka chatbotu. Malo je verovatno da bi ovi podaci bili od interesa za strane obaveštajne službe.
- Praktična verovatnoća: Nikada nismo primili nalog prema FISA Section 702 i procenjujemo praktičnu verovatnoću prijema takvog naloga kao veoma nisku, s obzirom na prirodu naših Usluga i podataka koje obrađujemo.
4.1.2 Executive Order 12333
EO 12333 ovlašćuje obaveštajne agencije SAD da sprovode aktivnosti nadzora, uključujući masovno prikupljanje signals intelligence podataka. Primenjuje se na podatke u prenosu i ne primorava privatne kompanije na saradnju.
Procena rizika:
- Ublažavanje: Svi podaci u prenosu šifrovani su korišćenjem TLS-a. Masovno presretanje šifrovanih podataka u prenosu ne bi omogućilo pristup ličnim podacima u čistom tekstu.
- Praktična verovatnoća: Niska. Podaci koji se obrađuju putem naših Usluga nisu one vrste koja je tipično meta signals intelligence aktivnosti.
4.1.3 Executive Order 14086 i EU-US Data Privacy Framework
Executive Order 14086 (oktobar 2022) uveo je dodatne zaštitne mere za aktivnosti signals intelligence, uključujući:
- zahteve nužnosti i proporcionalnosti za prikupljanje obaveštajnih podataka
- dvostepeni mehanizam pravne zaštite (Civil Liberties Protection Officer + Data Protection Review Court) dostupan licima iz EU/UK/Švajcarske
- ograničenja masovnog prikupljanja
Evropska komisija usvojila je odluku o adekvatnosti za EU-US Data Privacy Framework (DPF) 10. jula 2023. Iako Acira AI trenutno nije samosertifikovan u okviru DPF-a, zaštitne mere prema EO 14086 primenjuju se široko na sve prenose podataka u Sjedinjene Američke Države i koriste svim licima na koja se podaci odnose bez obzira na mehanizam prenosa koji se koristi.
4.1.4 CLOUD Act
Clarifying Lawful Overseas Use of Data (CLOUD) Act omogućava organima za sprovođenje zakona SAD da nalože pružaocima sa sedištem u SAD da dostave podatke bez obzira na to gde se oni čuvaju, uz važeći nalog ili sudski akt.
Procena rizika:
- Zaštitne mere: CLOUD Act zahteva važeći pravni postupak (nalog, sudski poziv ili sudsko rešenje). Ne ovlašćuje pristup u masovnom obimu bez naloga.
- Odredbe o međunarodnoj usklađenosti: CLOUD Act uključuje comity okvir koji omogućava pružaocima da ospore naloge koji su u sukobu sa stranim pravom.
- Praktična verovatnoća: Niska za podatke posetilaca veb-sajta. Zahtevi organa za sprovođenje zakona bi verovatnije bili usmereni na konkretne naloge za koje postoji sumnja na kriminalne aktivnosti, a ne na analitiku posetilaca ili podneske obrazaca.
4.2 Izrael (BrightData)
BrightData ima sedište u Izraelu. Izrael ima odluku o adekvatnosti Evropske komisije (2011/61/EU), što znači da se prenosi u Izrael tretiraju slično kao prenosi unutar EEP-a. Međutim, BrightData takođe obrađuje podatke na drugim globalnim lokacijama. Napominjemo da:
- se obrada od strane BrightData odvija samo kada to korisnik usmeri (tokom kreiranja veb-sajta radi uvoza sadržaja) ili tokom zakazanog praćenja SERP rezultata.
- se BrightData ne prenose nikakvi lični podaci posetilaca veb-sajta.
4.3 Kanada (prenosi iz Kanade u Sjedinjene Američke Države)
Lični podaci posetilaca veb-sajta koji se nalaze u Kanadi mogu biti preneseni u Sjedinjene Američke Države radi obrade. Sledeći kanadski zakoni relevantni su za ovu procenu:
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA uređuje prikupljanje, korišćenje i otkrivanje ličnih podataka od strane organizacija privatnog sektora u okviru komercijalnih aktivnosti. PIPEDA Principle 4.1.3 zahteva da organizacije koriste ugovorna ili druga sredstva kako bi obezbedile uporediv nivo zaštite kada se lični podaci prenose trećim licima radi obrade, uključujući prenose van Kanade.
Procena rizika:
- Uporediv nivo zaštite: Dodatne zaštitne mere opisane u Odeljku 6 (šifrovanje, pseudonimizacija, kontrole pristupa, minimizacija podataka) obezbeđuju nivo zaštite uporediv sa onim koji zahteva PIPEDA. Pisani ugovori o obradi podataka postoje sa svim podobrađivačima.
- Ne postoji zahtev adekvatnosti: Za razliku od GDPR-a, PIPEDA ne zabranjuje prenose u zemlje koje nemaju utvrđenu "adekvatnost". Organizacije moraju obezbediti uporedivu zaštitu ugovornim i drugim sredstvima, što smo i primenili.
4.3.2 Pokrajinsko zakonodavstvo o privatnosti
Alberta's Personal Information Protection Act (PIPA), British Columbia's Personal Information Protection Act (PIPA) i Quebec's Act respecting the protection of personal information in the private sector nameću dodatne zahteve za određene pokrajine:
Procena rizika:
- Quebec Law 25: Modernizovani zakon o privatnosti Kvebeka (na snazi od septembra 2023) zahteva procenu uticaja na privatnost pre prenosa ličnih podataka van Kvebeka, a organizacija koja prenosi podatke mora biti uverena da će ti podaci dobiti adekvatnu zaštitu. Naše ugovorne zaštitne mere, dodatne tehničke mere i priroda podataka (pretežno pseudonimizovana analitika i interakcije sa veb-sajtovima malih preduzeća) podržavaju zaključak o adekvatnoj zaštiti.
- Alberta i Britanska Kolumbija: Zakoni PIPA Alberte i Britanske Kolumbije zahtevaju da organizacije obezbede uporedivu zaštitu za prenete podatke. Naše ugovorne i tehničke zaštitne mere ispunjavaju taj zahtev.
4.3.3 Pristup vlade SAD iz kanadske perspektive
Isti rizici pristupa vlade SAD procenjeni u Odeljku 4.1 primenjuju se i na prenose podataka iz Kanade. Niska verovatnoća pristupa od strane države (s obzirom na prirodu podataka i profil naše kompanije), zajedno sa dodatnim zaštitnim merama iz Odeljka 6, obezbeđuje da lični podaci preneti iz Kanade u Sjedinjene Američke Države dobiju nivo zaštite uporediv sa onim koji zahteva kanadsko pravo o privatnosti.
4.4 Globalne edge lokacije (Cloudflare)
Cloudflare upravlja globalnom mrežom edge lokacija. Zahtevi posetilaca iz EU tipično se obrađuju na najbližoj Cloudflare tački prisustva, što će za posetioce iz EU obično biti lokacija u EU.
- Rutiranje zahteva, TLS terminacija i zaštita od botova odvijaju se na najbližoj edge lokaciji.
- Za operatore veb-sajtova identifikovane kao rezidente EU, trajno skladištenje (koje sadrži podneske obrazaca, razgovore sa chatbotom i podatke o sesijama) jurisdikcijski je ograničeno na Evropsku uniju korišćenjem Cloudflare jurisdiction API-ja. Za operatore veb-sajtova koji nisu iz EU, trajno skladištenje se nalazi u blizini geografskog regiona operatora, ali može biti smešteno van EU.
- Podaci analitike obrađuju se na infrastrukturi kojom upravlja Cloudflare.
5. PROCENA TOKOVA PODATAKA PO PRUŽAOCU USLUGE
5.1 Amazon Web Services (SAD)
| Tok podataka | Uključeni lični podaci | Svrha |
|---|---|---|
| Skladištenje baze podataka | Metapodaci podnesaka obrazaca (IP, država, region), evidencije razgovora sa chatbotom, metapodaci datoteka, evidencije sesija | Trajno čuvanje podataka posetilaca veb-sajta |
| Skladištenje datoteka | Otpremljene datoteke (slike, dokumenti), deployment snapshots | Skladištenje datoteka |
| AI inferencija | Sadržaj datoteka (za AI opise), sadržaj imejlova (za detekciju neželjene pošte) | Opisi pokretani AI-jem i klasifikacija neželjene pošte |
| Moderacija sadržaja | Otpremljene slike | Moderacija sadržaja (detekcija golotinje/eksplicitnog sadržaja) |
| Испорука е-поште | Адресе е-поште, садржај порука | Трансакцијска испорука е-поште и обавештења о подношењу садржаја. За оператере веб страница са пребивалиштем у ЕУ, ове операције се обрађују у Европској унији (Стокхолм). |
| Detekcija jezika | Tekst imejl poruke | Detekcija jezika |
AWS zaštitne mere:
- sertifikovan po ISO 27001, 27017 i 27018
- dostupni SOC 1/2/3 izveštaji
- podaci šifrovani u mirovanju korišćenjem industrijski standardne enkripcije
- podaci šifrovani u prenosu (TLS)
- kontrole pristupa po principu najmanjih privilegija za svaku komponentu sistema
- Примарне услуге се хостују у Сједињеним Државама; аутоматизоване операције усмерене ка посетиоцима (обавештења о подношењу садржаја и трансакцијска испорука е-поште) за оператере веб страница са пребивалиштем у ЕУ обрађују се у Европској унији (Стокхолм)
5.2 Cloudflare (globalno)
| Tok podataka | Uključeni lični podaci | Svrha |
|---|---|---|
| Edge rutiranje | IP adrese, HTTP zaglavlja, URL-ovi zahteva | Rutiranje zahteva, DDoS zaštita, TLS terminacija |
| Hostovanje veb-sajta | Sadržaj stranice, metapodaci posetilaca | Hostovanje i isporuka veb-sajta |
| Trajno skladištenje | Podnesci obrazaca, razgovori sa chatbotom, podaci o sesijama, podaci iz tabele korisnika | Stanje po veb-sajtu i trajno skladištenje |
| Analitika | Pseudonimizovani heš posetioca, država, uređaj, pretraživač, upućivač, UTM | Analitika posetilaca prilagođena privatnosti |
| AI inferencija | Poruke chatbotu, rezimei polja obrazaca | AI odgovori chatbota, detekcija neželjene pošte |
| Skladištenje resursa | Resursi veb-sajta (slike, datoteke) | Skladištenje statičkih resursa i isporuka preko CDN-a |
Cloudflare zaštitne mere:
- ISO 27001 sertifikacija, SOC 2 Type II
- TLS 1.2+ za sve veze
- dostupan Cloudflare DPA sa SCC
- edge obrada znači da se podaci posetilaca iz EU tipično obrađuju na edge lokacijama u EU za potrebe obrade zahteva
- За оператере веб страница идентификоване као резиденте ЕУ, трајно складиште (које садржи поднете обрасце, разговоре са четботом, податке о сесијама и податке корисничких табела) је јурисдикцијски ограничено на Европску унију коришћењем Cloudflare-овог API-ја за јурисдикцију, обезбеђујући да се ти подаци чувају и обрађују искључиво у центрима података ЕУ. Позивања позадинског API-ја са ивице (за обавештења о подношењу садржаја и трансакцијску испоруку е-поште) усмеравају се ка AWS инфраструктури у ЕУ.
- AI inferencija ne zadržava ulazne podatke za obučavanje
5.3 Stripe (SAD)
| Tok podataka | Uključeni lični podaci | Svrha |
|---|---|---|
| Obrada plaćanja | Podaci o naplati operatora veb-sajta (ime, imejl, način plaćanja) | Obrada pretplate i plaćanja domena |
Napomena: Stripe ne prima lične podatke posetilaca veb-sajta. Stripe obrađuje samo podatke o naplati operatora veb-sajta (našeg korisnika).
Stripe zaštitne mere:
- sertifikovan po PCI DSS Level 1
- sertifikovan po ISO 27001
- dostupan Stripe DPA sa SCC
5.4 Pružaoci AI inferencije (SAD)
Fireworks AI i xAI pružaju usluge inferencije AI modela.
| Tok podataka | Uključeni lični podaci | Svrha |
|---|---|---|
| Generisanje teksta (sadržaj veb-sajta) | Sadržaj veb-sajta (ne podaci posetilaca) | Kreiranje i uređivanje sadržaja veb-sajta |
| Generisanje slika | Tekstualni upiti (ne podaci posetilaca) | Kreiranje slika za veb-sajtove |
| Konverzacijska AI (chat agent) | Ime korisnika platforme, imejl, jezička preferencija i istorija razgovora | Asistent pokretan AI-jem za korisnike platforme (operatore veb-sajtova) |
Napomena: Ovi AI pružaoci ne primaju lične podatke posetilaca veb-sajta. Funkcionalnost chatbota (koja služi posetiocima veb-sajta) koristi Cloudflare Workers AI (procenjeno u Odeljku 5.2), a ne ove pružaoce. Međutim, konverzacijski AI asistent platforme - koji operatori veb-sajtova koriste za upravljanje svojim veb-sajtovima - šalje lične podatke korisnika platforme (ime, imejl adresu i istoriju razgovora) ovim pružaocima kao deo generisanja odgovora. Za ovu obradu Acira AI nastupa kao rukovalac (a ne obrađivač), a lica na koja se podaci odnose su naši korisnici platforme (operatori veb-sajtova), a ne njihovi posetioci veb-sajtova. Ovim tokom podataka upravljaju naša Politika privatnosti i naši ugovori sa ovim pružaocima, a ne okvir rukovalac-obrađivač iz DPA za podatke posetilaca.
Porodice modela: Ovi pružaoci infrastrukture hostuju i izvršavaju AI modele koje razvijaju različita treća lica. Konkretni modeli i porodice modela koji se koriste mogu se menjati tokom vremena. Programeri modela ne primaju niti imaju pristup bilo kakvim korisničkim podacima - sva obrada podataka odvija se isključivo unutar infrastrukture navedenih podobrađivača, bez obzira na to gde je model prvobitno razvijen. Sva AI inferencija ostaje na infrastrukturi naših navedenih podobrađivača. Nijedan korisnički podatak se ne prenosi programerima modela niti infrastrukturi van podobrađivača navedenih u ovoj proceni. Ažurna lista porodica modela koje koristimo dostupna je na zahtev kontaktiranjem legal@acira.ai.
5.5 BrightData (Izrael / globalno)
| Tok podataka | Uključeni lični podaci | Svrha |
|---|---|---|
| Prikupljanje veb podataka | Javno dostupni veb sadržaj (ne podaci posetilaca) | Uvoz sadržaja tokom kreiranja veb-sajta (po uputstvu korisnika) |
| SERP praćenje | Ključne reči pretrage (ne podaci posetilaca) | Praćenje rangiranja ključnih reči |
Napomena: BrightData ne obrađuje lične podatke posetilaca veb-sajta. Obrađuje javno dostupan veb sadržaj kada to korisnik zatraži i prati pozicije u pretraživačima za ključne reči koje definiše korisnik.
5.6 Pružaoci sa sedištem u EU (bez prenosa)
| Pružalac | Lokacija | Svrha |
|---|---|---|
| Black Forest Labs | Nemačka (EU) | Generisanje AI slika (Flux modeli) |
| ScreenshotOne | Evropska unija | Snimanje prikaza veb-sajta |
| CloudConvert | Nemačka (EU) | Konverzija formata datoteka |
Ovi pružaoci obrađuju podatke unutar EU i ne predstavljaju međunarodni prenos. Black Forest Labs prima samo tekstualne upite za generisanje slika; u to nisu uključeni lični podaci.
6. DODATNE ZAŠTITNE MERE
Pored SCC, sprovodimo sledeće dodatne zaštitne mere kako bismo obezbedili suštinski ekvivalentan nivo zaštite za prenete lične podatke:
6.1 Tehničke mere
| Mera | Opis |
|---|---|
| Šifrovanje u prenosu | Svi podaci koji se prenose između posetilaca, edge mreže i backend usluga šifrovani su korišćenjem TLS-a (minimum TLS 1.2). Interna komunikacija između servisa koristi šifrovane kanale. |
| Šifrovanje u mirovanju | Sve evidencije baze podataka, skladište datoteka i trajno skladištenje hostovano na edge lokacijama šifrovani su u mirovanju korišćenjem industrijski standardne enkripcije kojom upravlja odgovarajući pružalac infrastrukture. |
| Pseudonimizacija | Analitika posetilaca koristi dnevno rotirajući kriptografski heš (IP + User-Agent + datum) umesto čuvanja sirovih IP adresa. Ovaj heš se ne može obrnuti i rotira se na svaka 24 sata, čime se sprečava praćenje između različitih dana. |
| Minimizacija podataka | Analitika prikuplja samo metapodatke na agregatnom nivou (država, tip uređaja, pretraživač). U analitici se ne čuvaju sirove IP adrese. Poruke chatbotu ograničene su na 2.000 karaktera. |
| Heširanje lozinki | Sve lozinke posetilaca (za zaštićene oblasti veb-sajta) heširaju se korišćenjem snažnih kriptografskih algoritama uz nasumične salt vrednosti po korisniku pre skladištenja. Lozinke u čistom tekstu se nikada ne čuvaju niti prenose. |
| Kontrole pristupa | Politike pristupa po principu najmanjih privilegija ograničavaju svaku komponentu sistema samo na resurse koji su joj potrebni. API tokeni po veb-sajtu ograničavaju pristup na pojedinačne veb-sajtove. |
| Mrežna izolacija | Backend usluge komuniciraju preko internih mreža. Hostovanje veb-sajtova radi u izolovanim sandbox izvršnim okruženjima. Izvršavanje prilagođenog koda koristi sandboxing zasnovan na WebAssembly-ju. |
| Јурисдикцијско место чувања података | За оператере веб страница идентификоване као резиденте ЕУ, трајно складиште које садржи податке посетилаца (поднети обрасци, разговори са четботом, подаци о сесијама и подаци корисничких табела) је јурисдикцијски ограничено на Европску унију, обезбеђујући да се ти подаци чувају и обрађују искључиво у центрима података ЕУ. Аутоматизоване операције усмерене ка посетиоцима (обавештења о подношењу садржаја и трансакцијска испорука е-поште) такође се обрађују у инфраструктури у ЕУ. |
| Automatizovano brisanje | Podaci o sesijama ističu nakon 30 dana neaktivnosti. Privremene datoteke brišu se u roku od 24 časa. Podaci o bot izazovima su efemerni i ne zadržavaju se. |
6.2 Organizacione mere
| Mera | Opis |
|---|---|
| Poverljivost osoblja | Svo osoblje koje ima pristup ličnim podacima obavezano je obavezama poverljivosti. |
| Pažljiva provera podobrađivača | Podobrađivači se procenjuju u pogledu bezbednosnih praksi i usklađenosti sa zaštitom podataka pre angažovanja. Pisani DPA ugovori postoje sa svim podobrađivačima. |
| Odgovor na incidente | Procedure obaveštavanja o povredi podataka obezbeđuju da Rukovaoci budu obavešteni u roku od 72 sata od potvrđivanja povrede ličnih podataka. |
| Politike čuvanja podataka | Dokumentovani rokovi čuvanja sa automatizovanom primenom (brisanje zasnovano na TTL-u, lifecycle politike). |
| Bezbednosni monitoring | Strukturisano beleženje događaja, automatizovani bezbednosni monitoring i detekcija upada. Evidencije grešaka i dijagnostike čuvaju se do 30 dana. |
6.3 Ugovorne mere
| Mera | Opis |
|---|---|
| Standardne ugovorne klauzule | SCC (Modul jedan, Modul dva i Modul tri) uključene su u naš DPA putem upućivanja. |
| SCC za podobrađivače | Pisani ugovori sa svakim podobrađivačem nameću obaveze zaštite podataka koje nisu manje zaštitne od onih u našem DPA. |
| Obaveštavanje o pristupu od strane države | Obavezujemo se da ćemo obavestiti Rukovaoce o zahtevima državnih organa za pristup kada je to zakonski dozvoljeno, kako je opisano u našim Uslovima i odredbama. |
| Obaveza osporavanja | Obavezujemo se da ćemo osporavati zahteve državnih organa za pristup za koje smatramo da su preširoki ili nezakoniti. |
7. PROCENA RIZIKA
7.1 Verovatnoća pristupa od strane države
| Faktor | Procena |
|---|---|
| Priroda podataka | Pretežno pseudonimizovana analitika, podnesci obrazaca i poruke chatbotu sa veb-sajtova malih preduzeća. Ovi podaci imaju nisku obaveštajnu vrednost. |
| Obim podataka | Nizak do umeren. Svaki veb-sajt služi sopstvenoj bazi posetilaca; podaci se ne agregiraju između veb-sajtova u svrhe nadzora. |
| Profil kompanije | Acira AI je mala SaaS kompanija koja hostuje veb-sajtove malih preduzeća. Nismo telekomunikacioni operater niti meta nadzora visokog profila. |
| Istorijski zahtevi | Na datum ove procene, Acira AI nikada nije primio nalog prema FISA Section 702, National Security Letter niti bilo kakav zahtev države za masovni pristup podacima korisnika. |
| Profil podobrađivača | AWS i Cloudflare su veliki pružaoci infrastrukture koji objavljuju izveštaje o transparentnosti. Njihovi izveštaji ukazuju da su zahtevi države usmereni na konkretne naloge, a ne na masovni pristup hostovanom sadržaju. |
Ukupna verovatnoća: NISKA
7.2 Uticaj ako bi do pristupa došlo
| Faktor | Procena |
|---|---|
| Osetljivost podataka | Većina prenetih podataka je niske osetljivosti (pseudonimizovana analitika, metapodaci posetilaca veb-sajta). Podnesci obrazaca mogu sadržati podatke srednje osetljivosti (imena, imejl adrese, poruke), zavisno od veb-sajta. |
| Efikasnost pseudonimizacije | Analitički podaci ne mogu se povezati sa pojedincima bez pristupa komponentama dnevno rotirajućeg heša (IP + User-Agent + datum), koje se ne čuvaju. |
| Обим изложености | Сваки приступ владе био би усмерен на конкретне налоге или веб странице, а не на целу платформу. Изолација података по веб страници путем наменских инстанци за складиштење ограничава обим сваког потенцијалног компромитовања. За оператере веб страница са пребивалиштем у ЕУ, трајно складиште и аутоматизована обрада усмерена ка посетиоцима (обавештења о подношењу садржаја и трансакцијска испорука е-поште) ограничени су на ЕУ, додатно ограничавајући изложеност приступу владе САД тим подацима. |
Ukupan uticaj: NIZAK do SREDNJI (zavisno od osetljivosti podataka koje prikupljaju pojedinačni operatori veb-sajtova)
7.3 Procena preostalog rizika
Uzimajući u obzir nisku verovatnoću pristupa od strane države, dodatne tehničke mere (šifrovanje, pseudonimizacija, minimizacija podataka) i dodatne zaštitne mere uvedene EO 14086, procenjujemo da je preostali rizik za lica na koja se podaci odnose nizak i da dodatne zaštitne mere, zajedno sa SCC (za prenose iz EEP/UK/Švajcarske) i ugovornim zaštitnim merama (za prenose iz Kanade), obezbeđuju nivo zaštite koji je suštinski ekvivalentan onom zagarantovanom unutar EEP-a i uporediv sa onim koji zahteva kanadsko pravo o privatnosti.
8. ZAKLJUČAK
Na osnovu ove procene zaključujemo da:
Lični podaci preneti iz EEP-a/UK-a/Švajcarske/Kanade u Sjedinjene Američke Države u vezi sa pružanjem naših Usluga imaju korist od suštinski ekvivalentnog nivoa zaštite onom koji garantuje pravo EU o zaštiti podataka i uporedivog nivoa zaštite onom koji zahteva kanadsko pravo o privatnosti.
Standardne ugovorne klauzule, zajedno sa dodatnim tehničkim, organizacionim i ugovornim merama opisanim u Odeljku 6, adekvatno odgovaraju na rizike identifikovane u ovoj proceni.
Priroda podataka (pretežno pseudonimizovana analitika i interakcije posetilaca veb-sajtova malih preduzeća) i profil uvoznika podataka (mala SaaS kompanija, a ne pružalac telekomunikacionih usluga) značajno smanjuju praktični rizik od državnog nadzora.
Zaštitne mere uvedene Executive Order 14086 i povezani mehanizam pravne zaštite pružaju dodatne zaštitne mere koje koriste svim licima na koja se podaci odnose, bez obzira na konkretan mehanizam prenosa koji se koristi.
Za prenose iz Kanade, ugovorne zaštitne mere i dodatne mere opisane ovde obezbeđuju uporediv nivo zaštite sa onim koji zahtevaju PIPEDA i primenljivo pokrajinsko zakonodavstvo o privatnosti, uključujući modernizovani zakon o privatnosti Kvebeka.
Nastavićemo da pratimo razvoj prava i prakse nadzora u SAD, kao i razvoj kanadskog prava o privatnosti (uključujući predloženi Consumer Privacy Protection Act), i ponovo ćemo proceniti ovu TIA ako se okolnosti materijalno promene.
Prenosi mogu da se nastave uz uslov daljeg primenjivanja SCC i dodatnih zaštitnih mera opisanih u ovom dokumentu.
9. RASPORED PREISPITIVANJA
Ova TIA će biti preispitana i ažurirana:
- najmanje jednom godišnje, ili
- po nastupanju materijalnih izmena primenljivih zakona ili propisa (uključujući izmene FISA, CLOUD Act, EO 14086, PIPEDA ili kanadskog pokrajinskog zakonodavstva o privatnosti),
- po promenama naših podobrađivača ili prirode prenetih podataka,
- po bilo kojoj sudskoj odluci koja materijalno utiče na važenje SCC ili adekvatnost zaštite podataka u SAD.
10. KONTAKTIRAJTE NAS
Ako imate pitanja o ovoj Proceni uticaja prenosa podataka, kontaktirajte nas na:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
Imejl: legal@acira.ai
Ваша приватност, наш приоритет
Не продајемо ваше податке, не користимо колачиће за праћење — зато овде нећете видети банер за колачиће. Поштујемо Global Privacy Control, а за клијенте из ЕУ подаци посетилаца се чувају и обрађују искључиво у Европској унији.
Acira AI
Kreirajte prekrasne sajtove uz AI. Nije potrebno programiranje.
Поносно направљено у Сједињеним Америчким Државама
© 2026 Acira AI LLC. Сва права задржана.