TILLÄGG FÖR DATABEHANDLING

Senast uppdaterad: 19 mars 2026

Detta Tillägg för databehandling ("DPA") utgör en del av Allmänna villkoren ("Avtalet") mellan Acira AI LLC ("Personuppgiftsbiträde", "vi", "oss") och användaren av Tjänsterna ("Personuppgiftsansvarig", "du") och kompletterar Avtalet med avseende på behandling av personuppgifter.

Detta DPA gäller när du använder Tjänsterna för att skapa, hosta och publicera webbplatser som samlar in eller behandlar personuppgifter om individer i Europeiska ekonomiska samarbetsområdet ("EES"), Storbritannien ("UK") eller Schweiz, eller där det annars krävs av tillämplig dataskyddslagstiftning.

Detta Tillägg om databehandling kan översättas till andra språk för din bekvämlighet. Vid eventuell konflikt eller oförenlighet mellan den engelska versionen och en översatt version ska den engelska versionen gälla.

INNEHÅLLSFÖRTECKNING

1. DEFINITIONER
2. TILLÄMPNINGSOMRÅDE OCH ROLLER
3. UPPGIFTER OM DATABEHANDLING
4. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER
5. PERSONUPPGIFTSANSVARIGS SKYLDIGHETER
6. UNDERBITRÄDEN
7. INTERNATIONELLA DATAÖVERFÖRINGAR
8. REGISTRERADES RÄTTIGHETER
9. DATASÄKERHET
10. ANMÄLAN OM PERSONUPPGIFTSINCIDENT
11. REVISIONER OCH EFTERLEVNADSVERIFIERING
12. DATALAGRING OCH RADERING
13. GILTIGHETSTID OCH UPPSÄGNING
14. ANSVARSBEGRÄNSNING
15. KONTAKTA OSS

1. DEFINITIONER

"Tillämplig dataskyddslagstiftning" avser alla lagar och förordningar som är tillämpliga på behandling av personuppgifter enligt detta DPA, inklusive (i tillämpliga fall) den allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR"), UK GDPR, den schweiziska federala lagen om dataskydd ("FADP") och California Consumer Privacy Act ("CCPA").

"Personuppgiftsansvarig" avser den fysiska eller juridiska person som bestämmer ändamålen och medlen för behandling av personuppgifter — i detta sammanhang du, användaren av Tjänsterna som driver en webbplats via plattformen.

"Registrerad" avser en identifierad eller identifierbar fysisk person vars personuppgifter behandlas.

"Personuppgifter" avser all information som rör en Registrerad och som behandlas via Tjänsterna.

"Behandling" avser varje åtgärd som vidtas med personuppgifter, inklusive insamling, registrering, organisering, strukturering, lagring, anpassning, hämtning, läsning, användning, utlämnande, spridning, begränsning, radering eller förstöring.

"Personuppgiftsbiträde" avser den fysiska eller juridiska person som behandlar personuppgifter för den Personuppgiftsansvariges räkning — i detta sammanhang Acira AI LLC.

"Underbiträde" avser tredje part som anlitas av Personuppgiftsbiträdet för att behandla personuppgifter för den Personuppgiftsansvariges räkning.

"Standardavtalsklausuler" eller "SCC" avser de standardavtalsklausuler för överföring av personuppgifter till biträden etablerade i tredjeland, som antagits av Europeiska kommissionen.

2. TILLÄMPNINGSOMRÅDE OCH ROLLER

2.1 Behandlingsrelation

När du använder Tjänsterna för att skapa och driva en webbplats som samlar in personuppgifter från dina webbplatsbesökare (genom formulär, användarkonton, chatbot-interaktioner, kommentarer, recensioner eller andra interaktiva funktioner), agerar du som Personuppgiftsansvarig och vi agerar som Personuppgiftsbiträde för dessa besökares personuppgifter.

2.2 Vår roll som Personuppgiftsansvarig

Vi agerar som oberoende Personuppgiftsansvarig för personuppgifter som vi samlar in för våra egna ändamål, inklusive: din kontoinformation, faktureringsdata, användningsanalys, allmänna webbplatsegenskaper härledda från din webbplats innehåll (såsom bransch eller verksamhetstyp), och plattformens driftsdata. Behandlingen av dessa uppgifter regleras av vår Integritetspolicy och faller utanför detta DPA:s tillämpningsområde.

2.3 Plattformsanalys

Vi samlar in grundläggande, integritetsvänlig analys om webbplatsbesökare (enligt beskrivningen i Avtalet). För analysdata agerar vi som gemensamt personuppgiftsansvariga med dig. Vi har utformat vår analys för att minimera insamling av personuppgifter — vi lagrar inte råa IP-adresser, och besökaridentifierare roteras dagligen. Respektive ansvar för varje gemensamt personuppgiftsansvarig är följande:

• Acira AI (Personuppgiftsbiträde/Gemensamt personuppgiftsansvarig): Bestämmer de tekniska medlen för analysinsamling, inklusive vilka datapunkter som samlas in, hur besökaridentifierare beräknas (dagligen roterande hashvärden) och hur data aggregeras. Vi ansvarar för analysinfrastrukturens säkerhet och integritet samt för att besvara allmänna förfrågningar om hur analys fungerar på plattformen.
• Du (Personuppgiftsansvarig/Gemensamt personuppgiftsansvarig): Avgör om analys ska användas på din webbplats (analys är aktiverat som standard som en del av Tjänsterna). Du ansvarar för att upplysa om insamling av analysdata i din webbplats integritetspolicy och för att besvara Registrerades förfrågningar från dina webbplatsbesökare angående deras analysdata.
• Kontaktpunkt för Registrerade: Registrerade kan kontakta dig (webbplatsägaren) angående analysdata som samlats in på din webbplats. Om vi tar emot en förfrågan från en Registrerad angående analysdata hänvisar vi dem till dig om du inte instruerar oss annorlunda. För allmänna plattformsförfrågningar kan Registrerade kontakta oss på legal@acira.ai.

2.4 Kärnan i det gemensamma personuppgiftsansvaret

I enlighet med artikel 26.2 i GDPR är kärnan i detta gemensamma personuppgiftsansvarsarrangemang för analysdata följande: Vi (Acira AI) bestämmer de tekniska medlen och de datapunkter som samlas in; du (webbplatsoperatören) avgör om analys används på din webbplats. Vi ansvarar var för sig för våra respektive skyldigheter enligt Tillämplig dataskyddslagstiftning. Du är den primära kontaktpunkten för dina webbplatsbesökare angående analysdata. En sammanfattning av detta arrangemang görs tillgänglig för Registrerade genom detta DPA och på https://www.acira.ai/dpa.

2.5 CCPA-beteckning som tjänsteleverantör

I den utsträckning vi behandlar personuppgifter som omfattas av California Consumer Privacy Act ("CCPA") för din räkning, är vi din "tjänsteleverantör" enligt definitionen i Cal. Civ. Code § 1798.140(ag). Vi ska inte:

• Sälja eller dela (såsom dessa termer definieras enligt CCPA) personuppgifter du ger oss;
• Behålla, använda eller lämna ut personuppgifter för något annat ändamål än de affärsändamål som anges i detta DPA och Avtalet, eller som annars tillåts av CCPA;
• Behålla, använda eller lämna ut personuppgifter utanför den direkta affärsrelationen mellan dig och oss;
• Kombinera personuppgifter vi mottagit från dig med personuppgifter som vi mottar från eller för en annan persons räkning eller som vi samlar in från våra egna interaktioner med konsumenter, utom i den mån det tillåts av CCPA.

Vi kan härleda allmänna, icke-identifierande affärsegenskaper (såsom branschklassificering) från din webbplats innehåll i syfte att ge relevanta produktrekommendationer, enligt beskrivningen i Avsnitt 2.2. Denna begränsade användning utgör inte försäljning, delning eller kombination av personlig information i CCPA:s mening.

Vi intygar att vi förstår och kommer att följa dessa begränsningar.

2.6 Schweizisk FADP-representantbedömning

Artikel 14 i den schweiziska federala lagen om dataskydd ("FADP") kräver att en icke-schweizisk privat personuppgiftsansvarig utser ett ombud i Schweiz endast när alla fyra av följande kumulativa villkor är uppfyllda: (1) behandlingen är kopplad till erbjudandet av varor eller tjänster till, eller övervakning av beteendet hos, personer i Schweiz; (2) behandlingen sker i stor skala; (3) behandlingen sker regelbundet; och (4) behandlingen innebär en hög risk för de registrerades personlighetsrättigheter eller grundläggande rättigheter.

Vi har bedömt vår behandlingsverksamhet mot dessa villkor och kommit fram till att medan villkor (1) och (3) är uppfyllda, är de återstående villkoren inte uppfyllda av följande skäl:

• Inte i stor skala: Vi är en liten SaaS-plattform. Volymen av personuppgifter om schweiziska invånare som behandlas via våra Tjänster är begränsad och utgör inte behandling i stor skala i den mening som avses i artikel 14 FADP.
• Inte hög risk: De personuppgifter vi behandlar för webbplatsoperatörers räkning består primärt av pseudonymiserade analysidentifierare (dagligen roterande hashvärden), grundläggande besökarmetadata (land, enhetstyp, webbläsare), formulärinlämningsinnehåll och chatbot-meddelanden. Vi behandlar inte särskilda kategorier av personuppgifter (artikel 5(c) FADP), och vi ägnar oss inte åt profilering med hög risk för registrerade. Den schweiziska federala dataskydds- och informationsombudsmannen ("FDPIC") har angett att denna skyldighet primärt riktar sig mot stora internetplattformar och sociala nätverk som verkar från utlandet, vilket inte beskriver våra Tjänster.

Baserat på denna bedömning har vi kommit fram till att vi för närvarande inte är skyldiga att utse ett ombud i Schweiz enligt artikel 14 FADP. Vi kommer att ompröva detta beslut regelbundet, inklusive vid väsentliga förändringar i skalan eller arten av vår behandlingsverksamhet som berör schweiziska invånare.

3. UPPGIFTER OM DATABEHANDLING

3.1 Föremål och varaktighet

Behandlingen av personuppgifter enligt detta DPA utförs i syfte att tillhandahålla Tjänsterna enligt beskrivningen i Avtalet och fortsätter under Avtalets löptid.

3.2 Behandlingens art och ändamål

Vi behandlar personuppgifter för att:

• Hosta och leverera ditt webbplatsinnehåll
• Lagra och hantera data som skickas in via din webbplats formulär och interaktiva funktioner
• Underhålla användarkonton och sessioner för din webbplats skyddade områden
• Leverera e-postkommunikation för din räkning
• Vidarebefordra e-post mottagen på dina anpassade domänens e-postadresser
• Driva AI chatbot-konversationer med dina webbplatsbesökare
• Generera AI-drivna beskrivningar och metadata för uppladdade filer
• Konvertera uppladdade filer till webboptimerade format
• Tillhandahålla besöksanalys
• Härleda allmänna webbplatsegenskaper (såsom bransch eller verksamhetstyp) för att ge relevanta plattformsrekommendationer
• Upptäcka och förhindra skräppost och missbruk (inklusive proof-of-work botutmaningar)
• Utföra innehållsmoderering på uppladdade filer
• Granska webbplatsinnehåll vid publicering för efterlevnad av plattformens innehållspolicyer
• Hantera e-postavprenumerationsinställningar för din webbplats e-postmottagare
• Underlätta realtidskommunikation på din webbplats via WebSocket-anslutningar (meddelanden är efemera och lagras inte)
• Underhålla fel- och diagnostikloggar för plattformens tillförlitlighet och felsökning (kan inkludera IP-adresser och förfrågningsmetadata; bevaras i upp till trettio (30) dagar)

3.3 Typer av personuppgifter

Vilka typer av personuppgifter som behandlas beror på vad du samlar in via din webbplats, vilket kan inkludera:

• Namn och kontaktuppgifter
• E-postadresser
• Meddelanden och formulärinlämningar
• Filuploads från webbplatsbesökare (t.ex. bilder och dokument)
• Chatbot-konversationsinnehåll (besökarmeddelanden och AI-svar)
• Användarkontouppgifter (lagrade i hashat format)
• Sessionsdata
• IP-adresser (lagras inte i analys — endast ett dagligen roterande hashvärde lagras; lagras som metadata tillsammans med formulärinlämningar och chatbot-konversationer; används tillfälligt och hashas för botutmaningsverifiering; lagras tillfälligt för hastighetsbegränsning i upp till sju (7) dagar och rensas automatiskt)
• Webbläsar- och enhetsinformation
• Platsdata (land och region, härledd från IP)
• E-postavprenumerationsregister (lagrade som kryptografiska hashar av mottagarnas e-postadresser; inte lagrade i råformat)
• Skräppostklassificeringsresultat (om en inlämning bedömdes vara skräppost)
• Fel- och diagnostikloggdata (IP-adresser, förfrågningsvägar och feldetaljer; bevaras i upp till trettio (30) dagar och rensas automatiskt)

3.4 Kategorier av Registrerade

• Dina webbplatsbesökare
• Användare som skapar konton på din webbplats
• Användare som skickar in formulär eller interagerar med chatbotar på din webbplats
• Användare som skickar in kommentarer, recensioner eller andra bidrag på din webbplats

4. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER

Vi ska:

1. Behandla personuppgifter endast enligt dina dokumenterade instruktioner, om inte tillämplig lag kräver annat (i vilket fall vi informerar dig om det juridiska kravet före behandlingen, om det inte är förbjudet enligt lag);
2. Se till att personer som är behöriga att behandla personuppgifter har åtagit sig tystnadsplikt eller är föremål för en adekvat lagstadgad tystnadsplikt;
3. Genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt beskrivningen i Avsnitt 9;
4. Uppfylla villkoren för anlitande av underbiträden enligt Avsnitt 6;
5. Hjälpa dig, med hänsyn till behandlingens art, att besvara förfrågningar från Registrerade som utövar sina rättigheter enligt Tillämplig dataskyddslagstiftning;
6. Hjälpa dig att säkerställa efterlevnad av dina skyldigheter enligt artiklarna 32–36 i GDPR (säkerhet, incidentanmälan, konsekvensbedömningar för dataskydd och förhandssamråd), med hänsyn till behandlingens art och den information som finns tillgänglig för oss. Om din användning av Tjänsterna inbegriper högriskbehandling som kan kräva en konsekvensbedömning för dataskydd (DPIA), ger vi dig information om vår behandlingsverksamhet, tekniska och organisatoriska åtgärder och underbiträden för att stödja din bedömning;
7. Hjälpa dig att uppfylla dina skyldigheter enligt artikel 22 i GDPR (automatiserat individuellt beslutsfattande) genom att tillhandahålla information om automatiserad behandling som utförs för din räkning, inklusive innehållsmoderering, skräppostdetektering och botskydd, och genom att underlätta mänsklig granskning av automatiserade beslut på begäran;
8. Informera dig om vi anser att en instruktion från dig strider mot Tillämplig dataskyddslagstiftning;
9. Efter ditt val, radera eller återlämna alla personuppgifter efter att tillhandahållandet av Tjänsterna avslutats, och radera befintliga kopior om lagring inte krävs enligt tillämplig lag;
10. Ge dig all information som behövs för att påvisa efterlevnad av skyldigheterna i detta DPA och bidra till efterlevnadsverifiering enligt beskrivningen i Avsnitt 11.

5. PERSONUPPGIFTSANSVARIGS SKYLDIGHETER

Du ska:

1. Se till att din insamling och behandling av personuppgifter via din webbplats efterlever all Tillämplig dataskyddslagstiftning;
2. Ge dina webbplatsbesökare lämpliga integritetsmeddelanden som beskriver dina datainsamlingsmetoder, inklusive information om analys på plattformsnivå, AI-drivna chatbot-interaktioner, skräppostdetektering och botskydd;
3. Inhämta alla nödvändiga samtycken eller fastställa en annan rättslig grund för behandling av personuppgifter via din webbplats;
4. Se till att dina instruktioner till oss angående behandling av personuppgifter efterlever Tillämplig dataskyddslagstiftning;
5. Ansvara för riktigheten, kvaliteten och lagligheten hos personuppgifter som tillhandahålls oss via din webbplats.

Genom att använda Tjänsterna instruerar du oss att utföra följande behandlingsaktiviteter för din räkning som en del av standardplattformsoperationer: innehållsmoderering av uppladdade filer, granskning av innehållspolicy för publicerat webbplatsinnehåll, skräppostdetektering på formulärinlämningar, botskydd via proof-of-work-utmaningar och AI-drivna chatbot-interaktioner med dina webbplatsbesökare. Dessa aktiviteter är dokumenterade instruktioner enligt artikel 28.3(a) i GDPR.

6. UNDERBITRÄDEN

6.1 Godkända underbiträden

Du ger ett generellt godkännande för oss att anlita underbiträden för att hjälpa till med att tillhandahålla Tjänsterna. Våra nuvarande underbiträden listas nedan och på https://www.acira.ai/dpa.

6.2 Aktuell underbiträdeslista

6.3 Ändringar av underbiträden

Vi kommer att meddela dig om eventuella avsedda ändringar i underleverantörslistan för tjänster du för närvarande använder genom att uppdatera underleverantörslistan på https://www.acira.ai/dpa minst fjorton (14) dagar innan den nya underleverantören börjar behandla personuppgifter. När vi introducerar nya funktioner eller tjänster som involverar ytterligare underleverantörer, kommer dessa underleverantörer att offentliggöras vid den tidpunkt då funktionen eller tjänsten blir tillgänglig; din användning av den nya funktionen eller tjänsten utgör ett godkännande av dess offentliggjorda underleverantörer. Det är ditt ansvar att regelbundet granska underleverantörslistan för ändringar. Om du har en rimlig invändning mot att en ny underleverantör behandlar data för befintliga tjänster kan du meddela oss skriftligen inom fjorton (14) dagar efter att ändringen har publicerats. Vi kommer att arbeta med dig i god tro för att hantera dina farhågor. Om vi inte kan lösa invändningen till din rimliga belåtenhet kan du säga upp avtalet genom att lämna ett skriftligt meddelande.

6.4 Underbiträdesskyldigheter

Vi ingår skriftliga avtal med varje underbiträde som ålägger dataskyddsskyldigheter som är minst lika skyddande som de som anges i detta DPA. Vi förblir ansvariga för våra underbiträdens handlingar och underlåtenheter i samma utsträckning som vi skulle vara ansvariga om vi utförde tjänsterna direkt.

7. INTERNATIONELLA DATAÖVERFÖRINGAR

7.1 Överföringsmekanismer

Tjänsterna hostas primärt i USA. Personuppgifter som behandlas via Tjänsterna kan överföras till och behandlas i USA och andra länder där våra underbiträden verkar. AI-inferensleverantörer (Fireworks AI och xAI) behandlar data i USA. BrightData kan behandla data i Israel och andra platser globalt. Cloudflare behandlar data vid edge-platser världen över.

EU-dataresidency: För webbplatsoperatörer som identifierats som EU-invånare tillämpar vi följande åtgärder för dataresidency för att minimera överföringar av besökares personuppgifter utanför Europeiska unionen:

• Lagring: Besökardata i persistent edge-lagring — inklusive formulärinlämningar, chatbot-konversationer, sessionsdata och användartabelldata — är jurisdiktionellt begränsad till Europeiska unionen. Denna data lagras uteslutande i EU-datacenter.
• Automatiserad besöksriktad behandling: Operationer som automatiskt utlöses av besöksaktivitet — inklusive aviseringar om innehållsinlämning och transaktionell e-postleverans — behandlas inom Europeiska unionen och passerar inte genom amerikansk infrastruktur.
• Plattformshanteringsåtkomst: När du får åtkomst till din webbplats besökardata via plattformens instrumentpanel eller konversationsgränssnitt (till exempel att visa formulärinlämningar eller hantera användarposter), kan dessa data bearbetas genom vår USA-baserade infrastruktur för att uppfylla din begäran. Dessa överföringar sker på begäran, initieras av dig (den Personuppgiftsansvarige) och skyddas av de överföringsmekanismer och kompletterande åtgärder som beskrivs nedan.
• Annan USA-baserad bearbetning: Analysdata och data som bearbetas av vår USA-baserade molninfrastruktur för innehållsmoderering och AI-inferens kan fortfarande överföras till USA i enlighet med överföringsmekanismerna nedan.

För överföringar av personuppgifter från EES, UK eller Schweiz till länder som inte erkänns som tillhandahållande en adekvat skyddsnivå för data, förlitar vi oss på:

1. Standardavtalsklausuler (SCC): Vi inkorporerar Europeiska kommissionens Standardavtalsklausuler i detta DPA genom hänvisning: Modul ett (Personuppgiftsansvarig till Personuppgiftsansvarig) för analysdata där vi agerar som gemensamt personuppgiftsansvariga (se Avsnitt 2.3), och Modul två (Personuppgiftsansvarig till Personuppgiftsbiträde) för alla andra personuppgifter som behandlas för din räkning. SCC finns tillgängliga på https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK:s internationella dataöverföringstillägg: För överföringar från UK gäller UK-tillägget till EU:s SCC.
3. Schweiziska dataöverföringsmekanismer: För överföringar från Schweiz gäller SCC med de ändringar som krävs av den schweiziska FADP.

7.2 Kompletterande åtgärder

Vi genomför följande kompletterande åtgärder för att skydda överförda personuppgifter:

• Kryptering av data i transit (TLS/SSL) och i vila
• Åtkomstkontroller och autentiseringsmekanismer
• Regelbundna säkerhetsbedömningar
• Dataminimeringspraxis (t.ex. dagligen roterande besökarehashvärden istället för lagring av råa IP-adresser)
• Jurisdiktionell dataresidency för webbplatsoperatörer med hemvist i EU (persistent lagring och automatiserad besökarriktad bearbetning begränsad till EU)
• EU-baserad beräknings- och e-postinfrastruktur för automatiserade besöksriktade operationer (aviseringar om innehållsinlämning och transaktionell e-postleverans behandlade i Europeiska unionen för webbplatsoperatörer bosatta i EU)

7.3 Konsekvensbedömning för överföring

Dessa kompletterande åtgärder är informerade av vår bedömning av lagar och praxis i destinationsländerna, med hänsyn till arten av de data som överförs, den överföringsmekanism som används och de tekniska och organisatoriska skyddsåtgärder som finns på plats. Vi har bedömt att de kompletterande åtgärder som beskrivs ovan, tillsammans med åtagandena i SCC, ger en adekvat skyddsnivå för de personuppgifter som överförs. Vår konsekvensbedömning för överföring finns tillgänglig på https://www.acira.ai/tia.

7.4 Kanadensiska dataöverföringar

För överföringar av personuppgifter från Kanada förlitar vi oss på följande skyddsåtgärder för att säkerställa att personuppgifter som överförs utanför Kanada erhåller en jämförbar skyddsnivå som krävs enligt lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA) och tillämplig provinsiell integritetslagstiftning (inklusive Albertas PIPA, British Columbias PIPA och Quebecs lag om skydd av personuppgifter inom den privata sektorn):

1. Avtalsskydd: Skriftliga databehandlingsavtal med varje underbiträde som ålägger skyldigheter att skydda personuppgifter till en standard som är förenlig med kanadensisk integritetslagstiftning, inklusive krav på lämpliga säkerhetsåtgärder, användningsbegränsningar, incidentanmälan och åtkomst för registrerade.
2. Tekniska skyddsåtgärder: Samma krypterings-, pseudonymiserings-, åtkomstkontroll- och dataminimiseringsåtgärder som beskrivs i Avsnitt 7.2 gäller för kanadensiska dataöverföringar.
3. Organisatoriska skyddsåtgärder: Tillbörlig aktsamhet för underbiträden, tystnadspliktsskyldigheter för personal och dokumenterade incidenthanteringsprocedurer enligt beskrivningen i detta DPA.

Vi övervakar utvecklingen av kanadensisk integritetslagstiftning, inklusive det föreslagna Consumer Privacy Protection Act (CPPA), och uppdaterar våra överföringsmekanismer vid behov.

8. REGISTRERADES RÄTTIGHETER

8.1 Hjälp med förfrågningar

Vi hjälper dig att besvara förfrågningar från Registrerade som utövar sina rättigheter enligt Tillämplig dataskyddslagstiftning, inklusive rätten till tillgång, rättelse, radering, begränsning, portabilitet och invändning.

8.2 Meddelande

Om vi tar emot en förfrågan direkt från en Registrerad angående personuppgifter som behandlas för din räkning, meddelar vi dig omgående och svarar inte på förfrågan utan dina instruktioner, om inte tillämplig lag kräver det.

8.3 Plattformsverktyg

Vi tillhandahåller verktyg inom Tjänsterna för att hjälpa dig uppfylla Registrerades förfrågningar, inklusive:

• Tillgång till och hantering av data lagrad i din webbplats databaser
• Radering av enskilda poster från din webbplats databaser
• På begäran kan vi tillhandahålla dataexporter i ZIP-format för att underlätta dataporterbarhetsskyldigheter

9. DATASÄKERHET

9.1 Säkerhetsåtgärder

Vi genomför och upprätthåller lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstöring eller skada. Dessa åtgärder inkluderar:

• Kryptering: Data krypterad i transit via TLS/SSL och i vila med branschstandard kryptering
• Åtkomstkontroll: Rollbaserade åtkomstkontroller, multifaktorautentisering för plattformsadministration, åtkomstpolicyer med lägsta privilegium
• Infrastruktursäkerhet: Hanterad molninfrastruktur med automatiserad säkerhetskorrigering, DDoS-skydd och Web Application Firewall (WAF)
• Dataisolering: Per-webbplats dataisolering via dedikerade lagringsinstanser
• Övervakning: Automatiserad säkerhetsövervakning, intrångsdetektering och strukturerad loggning
• Uppgiftssäkerhet: Alla API-nycklar och hemligheter lagrade i dedikerade hemlighetshanterings-tjänster; användarlösenord hashade med starka kryptografiska algoritmer med per-användarsalt
• Botskydd: Proof-of-work utmaningssystem för att förhindra automatiserat missbruk

9.2 Sekretess

Vi säkerställer att all personal som är behörig att behandla personuppgifter är bunden av sekretesskyldigheter.

10. ANMÄLAN OM PERSONUPPGIFTSINCIDENT

10.1 Meddelande till Personuppgiftsansvarig

Vi meddelar dig utan onödigt dröjsmål efter att ha bekräftat en personuppgiftsincident som påverkar personuppgifter som behandlas för din räkning. Meddelandet skickas till kontaktuppgifterna kopplade till ditt konto.

10.2 Meddelandeinnehåll

Vår incidentanmälan innehåller, i den mån det finns tillgängligt:

1. En beskrivning av incidentens karaktär, inklusive kategorier och ungefärligt antal Registrerade och poster som berörs;
2. Namn och kontaktuppgifter för vår dataskyddskontakt;
3. En beskrivning av incidentens sannolika konsekvenser;
4. En beskrivning av de åtgärder som vidtagits eller föreslagits för att hantera incidenten och begränsa dess effekter.

10.3 Dina skyldigheter

Du ansvarar för att underrätta den berörda tillsynsmyndigheten och drabbade Registrerade om en personuppgiftsincident i enlighet med Tillämplig dataskyddslagstiftning. Vi samarbetar med dig och ger rimlig hjälp för att du ska kunna uppfylla dina anmälningsskyldigheter vid incidenter.

11. REVISIONER OCH EFTERLEVNADSVERIFIERING

11.1 Efterlevnadsdokumentation

För att visa vår efterlevnad av detta DPA kommer vi att göra följande tillgängligt för dig på rimlig skriftlig begäran (upp till en gång per år):

1. Relevanta tredjepartsrevisionsrapporter, certifieringar eller sammanfattningar av säkerhetsbedömningar;
2. En sammanfattning av våra nuvarande tekniska och organisatoriska säkerhetsåtgärder;
3. Information om vår behandlingsverksamhet, underbiträden och dataskyddsrutiner.

Där vi förlitar oss på tredjepartsleverantörer av infrastruktur (som AWS och Cloudflare) är deras säkerhetscertifieringar och efterlevnadsdokumentation tillgängliga genom deras respektive förtroende- och efterlevnadsprogram.

11.2 Ytterligare förfrågningar

Om dokumentationen som tillhandahålls enligt avsnitt 11.1 inte rimligen adresserar dina efterlevnadsfrågor kan du skicka in specifika skriftliga frågor om våra dataskyddsrutiner, vilka vi kommer att besvara inom en rimlig tidsram.

12. DATALAGRING OCH RADERING

12.1 Under Avtalets löptid

Vi behåller personuppgifter som behandlas för din räkning under Avtalets löptid och i enlighet med dina instruktioner via Tjänsterna. Specifika lagringsperioder för besökardata inkluderar:

• Chatbot-konversationer på din webbplats: Bevaras i trettio (30) dagar från den senaste interaktionen i varje konversation. Konversationer lagras inom besökarsessioner på webbplatsens edge-infrastruktur och raderas automatiskt när sessionen löper ut på grund av inaktivitet.
• Formulärinlämningar och användargenererat innehåll på din webbplats: Bevaras under den associerade webbplatsens livstid, om du inte raderar dem tidigare via plattformsverktygen.
• Sessionsdata för dina webbplatsbesökare: Raderas automatiskt efter 30 dagars inaktivitet.
• Raderat besökarinnehåll (formulärinlämningar, kommentarer och annat användargenererat innehåll på din webbplats): När du raderar besökarinnehåll via plattformsverktygen, flyttas det till ett mjukt raderingstillstånd och bevaras i upp till trettio (30) dagar för att stödja återställning. Efter denna period tas mjukt raderat innehåll bort permanent. Du kan radera innehåll permanent omedelbart genom att rensa det från återställningskön.
• E-postavprenumerationsregister på din webbplats: Bevaras under den associerade webbplatsens varaktighet, såvida inte mottagaren prenumererar igen. Avprenumerationsregister raderas när webbplatsen förstörs.
• Analysdata: Bevaras under den associerade webbplatsens livstid (med förbehåll för planbaserade lagringsrestriktioner; gratisplanens analysdata bevaras i nittio (90) dagar).

12.2 Vid uppsägning

Vid uppsägning av Avtalet, eller på din begäran, raderar vi personuppgifter som behandlas för din räkning i enlighet med de datalagringspraxis som beskrivs i Avtalet (inklusive sjudagars (7) respitperioden för konto- och webbplatsborttagningar). Efter respitperioden är raderingen permanent och oåterkallelig.

12.3 Undantag

Vi kan behålla personuppgifter i den utsträckning som krävs enligt tillämplig lag, eller där data anonymiserats och inte längre kan kopplas till en Registrerad.

13. GILTIGHETSTID OCH UPPSÄGNING

Detta DPA träder i kraft det datum du accepterar Avtalet och förblir i kraft så länge vi behandlar personuppgifter för din räkning. De sekretess- och dataskyddsskyldigheter som anges i detta DPA överlever Avtalets uppsägning.

14. ANSVARSBEGRÄNSNING

Varje parts ansvar enligt detta DPA är föremål för de ansvarsbegränsningar som anges i Avtalet.

15. KONTAKTA OSS

För frågor om detta DPA eller för att utöva dina rättigheter, kontakta oss på:

Acira AI LLC
Att: Dataskydd
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
USA

Telefon: 888-389-1189
E-post: legal@acira.ai