Konsekvensbedömning för överföring
KONSEKVENSBEDÖMNING AV DATAÖVERFÖRING
Senast uppdaterad: 19 mars 2026
Denna konsekvensbedömning av dataöverföring ("TIA") har utarbetats av Acira AI LLC ("Acira AI", "vi", "oss") i enlighet med kraven i EU-domstolens avgörande i Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (mål C-311/18, "Schrems II") och rekommendationerna från Europeiska dataskyddsstyrelsen (EDPB Rekommendationer 01/2020 om kompletterande åtgärder).
Denna TIA utvärderar huruvida skyddet för personuppgifter som överförs från Europeiska ekonomiska samarbetsområdet ("EES"), Förenade kungariket ("UK"), Schweiz och Kanada till USA och andra tredjeländer i samband med tillhandahållandet av våra tjänster är tillräckligt.
Denna TIA kan översättas till andra språk för din bekvämlighet. Om det uppstår konflikt eller inkonsekvens mellan den engelska versionen och en översatt version, ska den engelska versionen ha företräde.
INNEHÅLLSFÖRTECKNING
- ÖVERSIKT ÖVER ÖVERFÖRINGAR
- DE ÖVERFÖRDA UPPGIFTERNAS ART
- ÖVERFÖRINGSMEKANISMER
- BEDÖMNING AV DESTINATIONSLANDETS LAGSTIFTNING
- BEDÖMNING AV DATAFLÖDEN PER TJÄNSTELEVERANTÖR
- KOMPLETTERANDE ÅTGÄRDER
- RISKBEDÖMNING
- SLUTSATS
- GRANSKNINGSSCHEMA
- KONTAKTA OSS
1. ÖVERSIKT ÖVER ÖVERFÖRINGAR
1.1 Sammanhang
Acira AI är en mjukvara-som-tjänst-plattform som gör det möjligt för företag och privatpersoner att skapa, hantera och vara värd för AI-drivna webbplatser. När användare skapar webbplatser som besöks av personer i EES, UK, Schweiz eller Kanada, kan personuppgifter om dessa besökare överföras till och behandlas i USA och andra platser där våra infrastrukturleverantörer verkar.
1.2 Parter
- Uppgiftsexportör: Webbplatsoperatören (vår kund, som agerar som personuppgiftsansvarig) och, för analysdata, Acira AI som gemensam personuppgiftsansvarig.
- Uppgiftsimportör: Acira AI LLC, registrerat i Nevada, USA, som agerar som personuppgiftsbiträde (och gemensam personuppgiftsansvarig för analys).
- Underbiträden: Tredjepartsleverantörer anlitade av Acira AI (listade i avsnitt 5).
1.3 Överföringsdestinationer
| Destination | Leverantörer | Grund |
|---|---|---|
| USA och Europeiska unionen (Stockholm) | AWS | SCC:er + Kompletterande åtgärder (USA); Inom EES för automatiserade besöksriktade operationer för EU-invånare |
| USA | Stripe, Fireworks AI, xAI | SCC:er + Kompletterande åtgärder |
| Globalt (edge-platser) | Cloudflare | SCC + Kompletterande åtgärder |
| Israel | BrightData (endast användarstyrt) | SCC + Kompletterande åtgärder |
| Europeiska unionen | Black Forest Labs, ScreenshotOne, CloudConvert | Inom EES (ingen överföringsmekanism krävs) |
2. DE ÖVERFÖRDA UPPGIFTERNAS ART
2.1 Kategorier av personuppgifter
De personuppgifter som överförs beror på de funktioner som webbplatsoperatören har aktiverat och webbplatsbesökarnas interaktioner. Följande kategorier kan överföras:
| Datakategori | Beskrivning | Känslighet | Volym |
|---|---|---|---|
| Analysidentifierare | Dagligen roterande kryptografisk hash av IP + User-Agent + datum (pseudonymiserat) | Låg | Hög (varje sidvisning) |
| Besökarmetadata | Land, region, språk, enhetstyp, webbläsare, OS, hänvisningsdomän, UTM-parametrar | Låg | Hög (varje sidvisning) |
| IP-adresser | Lagras som metadata med formulärinlämningar och chattbotkonversationer; hashade för analys; används tillfälligt för bot-utmaningsverifiering; lagras tillfälligt för hastighetsbegränsning (upp till 7 dagar) | Medium | Medium |
| Formulärinlämningsinnehåll | Fritext fält inlämnade av besökare (namn, e-postadresser, meddelanden, etc.) | Variabel (beror på formuläret) | Låg till Medium |
| Chattbotmeddelanden | Besökarmeddelanden och AI-genererade svar (max 2 000 tecken per meddelande) | Låg till Medium | Låg |
| Filändringar | Filer uppladdade av besökare via webbplatsformulär (bilder, dokument) | Variabel | Låg |
| Sessionsidentifierare | Servicesidiga sessions-ID:n och klientsidiga sessionscookies | Låg | Hög |
| Autentiseringsuppgifter | Lösenord för webbplatsens skyddade områden (lagras endast i hashad form) | Hög (men hashad) | Låg |
2.2 Kategorier av registrerade
- Besökare på webbplatser som drivs på Acira AI-plattformen
- Användare som skapar konton på webbplatser som drivs på plattformen
- Användare som skickar in formulär, interagerar med chattbotar eller laddar upp filer på värdbaserade webbplatser
2.3 Uppgifter som inte överförs
- Geolokalisationsdata: IP-till-plats-uppslag utförs vid nätverkskanten av vår infrastrukturleverantör. Inga besökares IP-adresser skickas till någon extern geolokalisationstjänst.
- Råa analys-IP-adresser: Endast en dagligen roterande kryptografisk hash lagras; råa IP-adresser bevaras inte i analyssystem.
- Lösenord i klartext: Endast kryptografiska hashar lagras och överförs.
3. ÖVERFÖRINGSMEKANISMER
3.1 Primär mekanism: Standardavtalsklausuler
Vi förlitar oss på Europeiska kommissionens standardavtalsklausuler (SCC) antagna genom kommissionens genomförandebeslut (EU) 2021/914, specifikt:
- Modul ett (personuppgiftsansvarig till personuppgiftsansvarig): För överföringar av analysdata där Acira AI agerar som gemensam personuppgiftsansvarig med webbplatsoperatören (se DPA avsnitt 2.3).
- Modul två (personuppgiftsansvarig till personuppgiftsbiträde): För överföringar av besökares personuppgifter från webbplatsoperatören (personuppgiftsansvarig) till Acira AI (personuppgiftsbiträde).
- Modul tre (personuppgiftsbiträde till underbiträde): För vidareöverföringar från Acira AI till våra underbiträden.
3.2 Överföringar till UK, Schweiz och Kanada
- UK: Det brittiska tillägget för internationell dataöverföring till EU:s SCC gäller.
- Schweiz: SCC gäller med de ändringar som krävs enligt den schweiziska förbundslagen om dataskydd (FADP).
- Kanada: Överföringar förlitar sig på avtalsskydd med varje underbiträde som ålägger skyldigheter som är förenliga med lagen om skydd av personuppgifter och elektroniska handlingar (PIPEDA) och tillämplig provinsiell integritetslagstiftning, i kombination med de kompletterande tekniska och organisatoriska åtgärder som beskrivs i avsnitt 6. Se DPA avsnitt 7.4 för detaljer.
3.3 Underbiträdenas överföringsmekanismer
| Underbiträde | Överföringsmekanism |
|---|---|
| Amazon Web Services | SCC (AWS DPA), ISO 27001/27017/27018-certifierat |
| Cloudflare | SCC (Cloudflare DPA), ISO 27001-certifierat |
| Stripe | SCC (Stripe DPA), PCI DSS Level 1-certifierat |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001-certifierat |
| xAI | SCC (xAI DPA med EU SCC) |
| BrightData | SCC (BrightData DPA) |
4. BEDÖMNING AV DESTINATIONSLANDETS LAGSTIFTNING
4.1 USA
USA är den primära destinationen för överförda uppgifter. Följande amerikanska lagar är relevanta för denna bedömning:
4.1.1 Foreign Intelligence Surveillance Act (FISA), avsnitt 702
FISA avsnitt 702 ger den amerikanska regeringen befogenhet att tvinga leverantörer av elektroniska kommunikationstjänster att ge tillgång till kommunikation av icke-amerikanska personer som befinner sig utanför USA för underrättelsesyften.
Riskbedömning:
- Tillämpbarhet: FISA avsnitt 702 gäller "leverantörer av elektroniska kommunikationstjänster" enligt definitionen i 50 U.S.C. § 1881(b)(4). Acira AI är en SaaS-plattform för webbplatshosting, inte en traditionell telekomleverantör. Våra underbiträden (AWS, Cloudflare) är mer sannolikt föremål för direktiv enligt avsnitt 702.
- Omfattningen av data i riskzonen: De personuppgifter vi behandlar består främst av webbplatsbesökaranalys (pseudonymiserad), formulärinlämningar och chattbotmeddelanden. Dessa uppgifter är sannolikt inte av utländskt underrättelseintresse.
- Praktisk sannolikhet: Vi har aldrig fått ett FISA avsnitt 702-direktiv och bedömer den praktiska sannolikheten för att ta emot ett sådant som mycket låg, med tanke på vår tjänsts karaktär och de uppgifter vi behandlar.
4.1.2 Executive Order 12333
EO 12333 ger amerikanska underrättelsetjänster befogenhet att bedriva övervakningsverksamhet, inklusive massinhämtning av signalunderrättelser. Det gäller data under transit och tvingar inte privata företag att samarbeta.
Riskbedömning:
- Begränsning: All data under transit krypteras med TLS. Massinsamling av krypterad data under transit skulle inte ge klartextbaserade personuppgifter.
- Praktisk sannolikhet: Låg. De uppgifter som behandlas via våra tjänster är inte av den karaktär som vanligtvis riktas av signalunderrättelser.
4.1.3 Executive Order 14086 och EU-US Data Privacy Framework
Executive Order 14086 (oktober 2022) introducerade ytterligare skyddsåtgärder för signalunderrättelseverksamhet, inklusive:
- Krav på nödvändighet och proportionalitet för underrättelseinsamling
- En tvåstegsrättelsemekanism (Civil Liberties Protection Officer + Data Protection Review Court) tillgänglig för EU/UK/schweiziska medborgare
- Begränsningar för massinsamling
Europeiska kommissionen antog ett tillräcklighetsbeslut för EU-US Data Privacy Framework (DPF) den 10 juli 2023. Även om Acira AI för närvarande inte är självregistrerat under DPF, gäller skydden enligt EO 14086 brett för alla dataöverföringar till USA och gynnar alla registrerade oavsett vilken specifik överföringsmekanism som används.
4.1.4 CLOUD Act
Clarifying Lawful Overseas Use of Data (CLOUD) Act tillåter amerikanska brottsbekämpande myndigheter att tvinga USA-baserade leverantörer att producera data oavsett var den lagras, förutsatt att en giltig order eller domstolsbeslut föreligger.
Riskbedömning:
- Skyddsåtgärder: CLOUD Act kräver en giltig rättslig process (order, stämning eller domstolsbeslut). Det godkänner inte massfång utan order.
- Comity-bestämmelser: CLOUD Act inkluderar ett comity-ramverk som gör det möjligt för leverantörer att bestrida order som strider mot utländsk lagstiftning.
- Praktisk sannolikhet: Låg för webbplatsbesökardata. Brottsbekämpningsförfrågningar skulle mer sannolikt riktas mot specifika konton misstänkta för brottslig verksamhet, inte besökaranalys eller formulärinlämningar.
4.2 Israel (BrightData)
BrightData har sitt säte i Israel. Israel har ett tillräcklighetsbeslut från Europeiska kommissionen (2011/61/EU), vilket innebär att överföringar till Israel behandlas på liknande sätt som överföringar inom EES. BrightData behandlar dock också uppgifter på andra globala platser. Vi noterar att:
- BrightDatas behandling sker enbart när det är användarstyrt (under webbplatsskapande för innehållsimport) eller vid schemalagd SERP-spårning.
- Inga webbplatsbesökares personuppgifter överförs till BrightData.
4.3 Kanada (Överföringar från Kanada till USA)
Personuppgifter om webbplatsbesökare i Kanada kan överföras till USA för behandling. Följande kanadensiska lagar är relevanta för denna bedömning:
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA reglerar insamling, användning och utlämnande av personuppgifter av privata organisationer i kommersiella aktiviteter. PIPEDA Princip 4.1.3 kräver att organisationer använder avtalsmässiga eller andra medel för att säkerställa en jämförbar skyddsnivå när personuppgifter överförs till tredje parter för behandling, inklusive överföringar utanför Kanada.
Riskbedömning:
- Jämförbart skydd: De kompletterande åtgärder som beskrivs i avsnitt 6 (kryptering, pseudonymisering, åtkomstkontroller, dataminimering) ger en skyddsnivå som är jämförbar med den som krävs enligt PIPEDA. Skriftliga databehandlingsavtal finns på plats med alla underbiträden.
- Inget tillräcklighetskrav: Till skillnad från GDPR förbjuder inte PIPEDA överföringar till länder som saknar ett "tillräcklighetsbeslut". Organisationer måste säkerställa jämförbart skydd genom avtalsmässiga och andra medel, vilket vi har implementerat.
4.3.2 Provinsiell integritetslagstiftning
Albertas Personal Information Protection Act (PIPA), British Columbias Personal Information Protection Act (PIPA) och Quebecs lag om skydd av personuppgifter i den privata sektorn ställer ytterligare krav för vissa provinser:
Riskbedömning:
- Quebec Lag 25: Quebecs moderniserade integritetslag (i kraft sedan september 2023) kräver en konsekvensbedömning av integriteten innan personuppgifter överförs utanför Quebec, och den överförande organisationen måste vara övertygad om att informationen kommer att få adekvat skydd. Våra avtalsskydd, kompletterande tekniska åtgärder och uppgifternas karaktär (i första hand pseudonymiserad analys och interaktioner med småföretagswebbplatser) stödjer ett fynd om adekvat skydd.
- Alberta och BC: Albertas och BC:s PIPA kräver att organisationer säkerställer jämförbart skydd för överförda uppgifter. Våra avtals- och tekniska skyddsåtgärder uppfyller detta krav.
4.3.3 Amerikanska myndigheters tillgång ur ett kanadensiskt perspektiv
Samma risker för myndighetstillgång som bedömts i avsnitt 4.1 gäller för kanadensiska dataöverföringar. Den låga sannolikheten för myndighetstillgång (med tanke på uppgifternas karaktär och vår företagsprofil), i kombination med de kompletterande åtgärderna i avsnitt 6, säkerställer att personuppgifter som överförs från Kanada till USA får en jämförbar skyddsnivå med den som krävs enligt kanadensisk integritetslagstiftning.
4.4 Globala edge-platser (Cloudflare)
Cloudflare driver ett globalt nätverk av edge-platser. EU-besökares förfrågningar behandlas vanligtvis vid den närmaste Cloudflare-närvaron, som för EU-besökare vanligtvis är en EU-plats.
- Förfrågningsrouting, TLS-avslutning och botskydd sker vid den närmaste edge-platsen.
- För webbplatsoperatörer identifierade som EU-bosatta är beständig lagring (innehållande formulärinlämningar, chattbotkonversationer och sessionsdata) jurisdiktionellt begränsad till Europeiska unionen med hjälp av Cloudflares jurisdiktions-API. För webbplatsoperatörer utanför EU är beständig lagring belägen nära operatörens geografiska region men kan befinna sig utanför EU.
- Analysdata behandlas vid Cloudflare-hanterad infrastruktur.
5. BEDÖMNING AV DATAFLÖDEN PER TJÄNSTELEVERANTÖR
5.1 Amazon Web Services (USA)
| Dataflöde | Personuppgifter inblandade | Syfte |
|---|---|---|
| Databaslagring | Formulärinlämningens metadata (IP, land, region), chattbotkonversationsposter, filmetadata, sessionsposter | Beständig lagring av webbplatsbesökardata |
| Fillagring | Uppladdade filer (bilder, dokument), distribueringsögonblicksbilder | Fillagring |
| AI-inferens | Filinnehåll (för AI-beskrivningar), e-postinnehåll (för skräppostdetektering) | AI-drivna beskrivningar och skräppostklassificering |
| Innehållsmoderering | Uppladdade bilder | Innehållsmoderering (detektering av nakenhet/explicit innehåll) |
| E-postleverans | E-postadresser, meddelandeinnehåll | Transaktionell e-postleverans och aviseringar om innehållsinlämning. För webbplatsoperatörer bosatta i EU behandlas dessa operationer i Europeiska unionen (Stockholm). |
| Språkidentifiering | E-postmeddelandetext | Språkidentifiering |
AWS-skyddsåtgärder:
- ISO 27001, 27017, 27018-certifierat
- SOC 1/2/3-rapporter tillgängliga
- Data krypterade i vila med branschstandardkryptering
- Data krypterade under transit (TLS)
- Lägsta privilegiebehörighetskontroller per systemkomponent
- Primära tjänster är värdade i USA; automatiserade besöksriktade operationer (aviseringar om innehållsinlämning och transaktionell e-postleverans) för webbplatsoperatörer bosatta i EU behandlas i Europeiska unionen (Stockholm)
5.2 Cloudflare (Globalt)
| Dataflöde | Personuppgifter inblandade | Syfte |
|---|---|---|
| Edge-routing | IP-adresser, HTTP-huvuden, förfrågnings-URL:er | Förfrågningsrouting, DDoS-skydd, TLS-avslutning |
| Webbplatshosting | Sidinnehåll, besökarmetadata | Webbplatshosting och leverans |
| Beständig lagring | Formulärinlämningar, chattbotkonversationer, sessionsdata, användarbordsdata | Stateful per-webbplatslagring |
| Analys | Pseudonymiserad besökarhash, land, enhet, webbläsare, referens, UTM | Integritetsfrämjande besökaranalys |
| AI-inferens | Chattbotmeddelanden, formulärfältssammanfattningar | AI-chattbotsvar, skräppostdetektering |
| Tillgångslagring | Webbplatstillgångar (bilder, filer) | Statisk tillgångslagring och CDN-leverans |
Cloudflare-skyddsåtgärder:
- ISO 27001-certifierat, SOC 2 Type II
- TLS 1.2+ för alla anslutningar
- Cloudflare DPA med SCC tillgängliga
- Edge-behandling innebär att EU-besökardata vanligtvis behandlas vid EU:s edge-platser för förfrågningshantering
- För webbplatsoperatörer identifierade som EU-invånare är persistent lagring (som innehåller formulärinlämningar, chatbot-konversationer, sessionsdata och användartabelldata) jurisdiktionellt begränsad till Europeiska unionen med hjälp av Cloudflares jurisdiktions-API, vilket säkerställer att denna data lagras och behandlas uteslutande i EU-datacenter. Backend-API-anrop från kanten (för aviseringar om innehållsinlämning och transaktionell e-postleverans) dirigeras till EU-baserad AWS-infrastruktur.
- AI-inferens behåller inte indata för träning
5.3 Stripe (USA)
| Dataflöde | Personuppgifter inblandade | Syfte |
|---|---|---|
| Betalningsbehandling | Webbplatsoperatörens faktureringsdata (namn, e-post, betalningsmetod) | Prenumerations- och domänbetalningsbehandling |
Obs: Stripe tar inte emot webbplatsbesökares personuppgifter. Endast webbplatsoperatörens (vår kunds) faktureringsinformation behandlas av Stripe.
Stripe-skyddsåtgärder:
- PCI DSS Level 1-certifierat
- ISO 27001-certifierat
- Stripe DPA med SCC tillgängliga
5.4 AI-inferensleverantörer (USA)
Fireworks AI och xAI tillhandahåller AI-modellinferenstjänster.
| Dataflöde | Personuppgifter inblandade | Syfte |
|---|---|---|
| Textgenerering (webbplatsinnehåll) | Webbplatsinnehåll (inte besökardata) | Skapande och redigering av webbplatsinnehåll |
| Bildgenerering | Textmeddelanden (inte besökardata) | Bildskapande för webbplatser |
| Konversations-AI (chattagent) | Plattformsanvändarens namn, e-post, språkpreferens och konversationshistorik | AI-drivet assistentverktyg för plattformsanvändare (webbplatsoperatörer) |
Obs: Dessa AI-leverantörer tar inte emot webbplatsbesökares personuppgifter. Chattbotsfunktionen (som betjänar webbplatsbesökare) använder Cloudflare Workers AI (bedömd i avsnitt 5.2), inte dessa leverantörer. Plattformens konversations-AI-assistent — som används av webbplatsoperatörer för att hantera sina webbplatser — skickar dock plattformsanvändarens personuppgifter (namn, e-postadress och konversationshistorik) till dessa leverantörer som en del av genereringen av svar. För denna behandling agerar Acira AI som personuppgiftsansvarig (inte personuppgiftsbiträde), och de registrerade är våra plattformsanvändare (webbplatsoperatörer), inte deras webbplatsbesökare. Detta dataflöde regleras av vår sekretesspolicy och våra avtal med dessa leverantörer, snarare än DPA:s personuppgiftsansvarig-personuppgiftsbiträdessystem för besökardata.
Modellfamiljer: Dessa infrastrukturleverantörer är värd för och kör AI-modeller utvecklade av olika tredjeparter. De specifika modeller och modellfamiljer som används kan ändras över tid. Modellutvecklare tar inte emot eller har tillgång till användardata — all databehandling sker uteslutande inom infrastrukturen hos de listade underbiträdena, oavsett var en modell ursprungligen utvecklades. All AI-inferensbehandling stannar inom våra listade underbiträdenas infrastruktur. Inga användardata överförs till modellutvecklare eller till infrastruktur utanför de underbiträden som anges i denna bedömning. En aktuell lista över modellfamiljer som används finns tillgänglig på begäran genom att kontakta legal@acira.ai.
5.5 BrightData (Israel / Globalt)
| Dataflöde | Personuppgifter inblandade | Syfte |
|---|---|---|
| Webbdatainsamling | Offentligt tillgängligt webbinnehåll (inte besökardata) | Innehållsimport under webbplatsskapande (användarstyrt) |
| SERP-spårning | Söknyckelord (inte besökardata) | Nyckelordskategorispårning |
Obs: BrightData behandlar inte webbplatsbesökares personuppgifter. Det behandlar offentligt tillgängligt webbinnehåll när det styrs av användaren och spårar sökmotorplaceringar för användardefinerade nyckelord.
5.6 EU-baserade leverantörer (Ingen överföring)
| Leverantör | Plats | Syfte |
|---|---|---|
| Black Forest Labs | Tyskland (EU) | AI-bildgenerering (Flux-modeller) |
| ScreenshotOne | Europeiska unionen | Webbplatsskärmbild |
| CloudConvert | Tyskland (EU) | Filformatkonvertering |
Dessa leverantörer behandlar data inom EU och utgör inte en internationell överföring. Black Forest Labs tar emot textmeddelanden för bildgenerering enbart; inga personuppgifter är inblandade.
6. KOMPLETTERANDE ÅTGÄRDER
Utöver SCC:erna implementerar vi följande kompletterande åtgärder för att säkerställa en i huvudsak likvärdig skyddsnivå för överförda personuppgifter:
6.1 Tekniska åtgärder
| Åtgärd | Beskrivning |
|---|---|
| Kryptering under transit | All data som överförs mellan besökare, edge-nätverk och backend-tjänster krypteras med TLS (minimum TLS 1.2). Intern tjänst-till-tjänst-kommunikation använder krypterade kanaler. |
| Kryptering i vila | Alla databasposter, fillagring och edge-baserad beständig lagring krypteras i vila med branschstandardkryptering som hanteras av respektive infrastrukturleverantör. |
| Pseudonymisering | Besökaranalys använder en dagligen roterande kryptografisk hash (IP + User-Agent + datum) istället för att lagra råa IP-adresser. Denna hash kan inte reverseras och roterar var 24:e timme, vilket förhindrar spårning över dagar. |
| Dataminimering | Analys samlar endast in metadata på aggregerad nivå (land, enhetstyp, webbläsare). Inga råa IP-adresser lagras i analyssystem. Chattbotmeddelanden begränsas till 2 000 tecken. |
| Lösenordshashning | Alla besökarelösenord (för webbplatsens skyddade områden) hashas med starka kryptografiska algoritmer med per-användar slumpmässiga salt innan lagring. Klartextlösenord lagras eller överförs aldrig. |
| Åtkomstkontroller | Lägsta privilegiebehörighetspolicyer begränsar varje systemkomponent till enbart de resurser den behöver. Per-webbplats API-token begränsar åtkomst till enskilda webbplatser. |
| Nätverksisolering | Backend-tjänster kommunicerar via interna nätverk. Webbplatshosting körs i isolerade exekveringssandlådor. Anpassad kodkörning använder WebAssembly-baserad sandboxing. |
| Jurisdiktionell dataresidency | För webbplatsoperatörer identifierade som EU-invånare är persistent lagring som innehåller besöksdata (formulärinlämningar, chatbot-konversationer, sessionsdata och användartabelldata) jurisdiktionellt begränsad till Europeiska unionen, vilket säkerställer att denna data lagras och behandlas uteslutande i EU-datacenter. Automatiserade besöksriktade operationer (aviseringar om innehållsinlämning och transaktionell e-postleverans) behandlas också inom EU-baserad infrastruktur. |
| Automatiserad radering | Sessionsdata upphör efter 30 dagars inaktivitet. Tillfälliga filer raderas inom 24 timmar. Bot challenge-data är tillfälliga och lagras inte permanent. |
6.2 Organisatoriska åtgärder
| Åtgärd | Beskrivning |
|---|---|
| Personalens sekretess | All personal med tillgång till personuppgifter är bundna av sekretessförpliktelser. |
| Due diligence för underbiträden | Underbiträden utvärderas för sina säkerhetspraxis och dataskyddsefterlevnad före anlitning. Skriftliga DPA:er finns på plats med alla underbiträden. |
| Incidenthantering | Rutiner för underrättelse om intrång säkerställer att personuppgiftsansvariga underrättas inom 72 timmar efter bekräftelse av ett personuppgiftsbrott. |
| Datalagringspolicyer | Dokumenterade lagringsperioder med automatiserad efterlevnad (TTL-baserad radering, livscykelregler). |
| Säkerhetsövervakning | Strukturerad loggning, automatiserad säkerhetsövervakning och intrångsdetektering. Fel- och diagnostikloggar behålls i upp till 30 dagar. |
6.3 Avtalsmässiga åtgärder
| Åtgärd | Beskrivning |
|---|---|
| Standardavtalsklausuler | SCC:er (Modul ett, Modul två och Modul tre) är inkorporerade i vår DPA genom hänvisning. |
| Underbiträdenas SCC:er | Skriftliga avtal med varje underbiträde ålägger dataskyddsskyldigheter som inte är mindre skyddande än de i vår DPA. |
| Underrättelse om myndighetstillgång | Vi åtar oss att underrätta personuppgiftsansvariga om begäranden om myndighetstillgång där det är lagligt tillåtet, såsom beskrivs i våra villkor. |
| Utmaningsåtagande | Vi åtar oss att bestrida begäranden om myndighetstillgång som vi anser är alltför breda eller olagliga. |
7. RISKBEDÖMNING
7.1 Sannolikhet för myndighetstillgång
| Faktor | Bedömning |
|---|---|
| Uppgifternas art | I huvudsak pseudonymiserad analys, formulärinlämningar och chattbotmeddelanden från småföretagswebbplatser. Dessa uppgifter är av lågt underrättelsevärde. |
| Datavolym | Låg till måttlig. Varje webbplats betjänar sin egen besökarbas; data aggregeras inte över webbplatser för övervakningssyften. |
| Företagsprofil | Acira AI är ett litet SaaS-företag som är värd för småföretagswebbplatser. Vi är inte en telekomleverantör eller ett högt profilerat övervakningsobjekt. |
| Historiska förfrågningar | Per datumet för denna bedömning har Acira AI aldrig tagit emot ett FISA avsnitt 702-direktiv, ett National Security Letter eller någon begäran om massåtkomst till kunddata. |
| Underbiträdenas profil | AWS och Cloudflare är stora infrastrukturleverantörer som publicerar transparensrapporter. Deras transparensrapporter indikerar att myndighetsförfrågningar är riktade mot specifika konton, inte massåtkomst till värdinnehåll. |
Övergripande sannolikhet: LÅG
7.2 Konsekvenser om tillgång inträffade
| Faktor | Bedömning |
|---|---|
| Datakänslighet | Majoriteten av överförda data är av låg känslighet (pseudonymiserad analys, webbplatsbesökarmetadata). Formulärinlämningar kan innehålla medelkänslig data (namn, e-postadresser, meddelanden) beroende på webbplatsen. |
| Pseudonymiseringseffektivitet | Analysdata kan inte kopplas till individer utan tillgång till de dagligen roterande hashkomponenterna (IP + User-Agent + datum), som inte lagras. |
| Exponeringsomfång | All statlig åtkomst skulle riktas mot specifika konton eller webbplatser, inte hela plattformen. Dataisolering per webbplats genom dedikerade lagringsinstanser begränsar omfattningen av varje potentiell kompromiss. För webbplatsoperatörer bosatta i EU är persistent lagring och automatiserad besöksriktad behandling (aviseringar om innehållsinlämning och transaktionell e-postleverans) begränsad till EU, vilket ytterligare begränsar exponeringen för åtkomst från den amerikanska regeringen till dessa data. |
Övergripande konsekvens: LÅG till MEDEL (beroende på känsligheten hos data insamlade av enskilda webbplatsoperatörer)
7.3 Bedömning av kvarstående risk
Med tanke på den låga sannolikheten för myndighetstillgång, de kompletterande tekniska åtgärderna (kryptering, pseudonymisering, dataminimering) och de ytterligare skyddsåtgärder som infördes av EO 14086, bedömer vi att den kvarstående risken för registrerade är låg och att de kompletterande åtgärderna, tillsammans med SCC:erna (för EES/UK/schweiziska överföringar) och avtalsskydd (för kanadensiska överföringar), ger en skyddsnivå som är i huvudsak likvärdig med den som garanteras inom EES och jämförbar med den som krävs enligt kanadensisk integritetslagstiftning.
8. SLUTSATS
Baserat på denna bedömning drar vi slutsatsen att:
Personuppgifter som överförs från EES/UK/Schweiz/Kanada till USA i samband med tillhandahållandet av våra tjänster gynnas av en i huvudsak likvärdig skyddsnivå med den som garanteras enligt EU:s dataskyddslagstiftning och en jämförbar skyddsnivå med den som krävs enligt kanadensisk integritetslagstiftning.
Standardavtalsklausulerna, kombinerade med de kompletterande tekniska, organisatoriska och avtalsmässiga åtgärderna som beskrivs i avsnitt 6, hanterar tillräckligt de risker som identifierats i denna bedömning.
Uppgifternas art (i huvudsak pseudonymiserad analys och småföretagswebbplatsbesökares interaktioner) och uppgiftsimportörens profil (ett litet SaaS-företag, inte en telekomleverantör) minskar avsevärt den praktiska risken för myndighetstillsyn.
Skydden som introducerades av Executive Order 14086 och den tillhörande rättelsemekanismen ger ytterligare skyddsåtgärder som gynnar alla registrerade, oavsett vilken specifik överföringsmekanism som används.
För kanadensiska överföringar säkerställer de avtalsskydd och kompletterande åtgärder som beskrivs häri en jämförbar skyddsnivå med den som krävs enligt PIPEDA och tillämplig provinsiell integritetslagstiftning, inklusive Quebecs moderniserade integritetslag.
Vi kommer att fortsätta övervaka utvecklingen i amerikansk övervakningslagstiftning och praxis, liksom utvecklingen i kanadensisk integritetslagstiftning (inklusive den föreslagna Consumer Privacy Protection Act), och kommer att omvärdera denna TIA om omständigheterna förändras väsentligt.
Överföringarna kan fortsätta under förutsättning att SCC:erna och de kompletterande åtgärder som beskrivs häri fortsätter att tillämpas.
9. GRANSKNINGSSCHEMA
Denna TIA kommer att granskas och uppdateras:
- Årligen, som ett minimum, eller
- Vid väsentliga förändringar av tillämpliga lagar eller förordningar (inklusive förändringar av FISA, CLOUD Act, EO 14086, PIPEDA eller kanadensisk provinsiell integritetslagstiftning),
- Vid förändringar av våra underbiträden eller arten av de uppgifter som överförs,
- Vid ett domstolsbeslut som väsentligt påverkar giltigheten av SCC:erna eller tillräckligheten av amerikanskt dataskydd.
10. KONTAKTA OSS
Om du har frågor om denna konsekvensbedömning av dataöverföring, kontakta oss på:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
USA
Telefon: 888-389-1189
E-post: legal@acira.ai
Din integritet, vår prioritet
Vi säljer inte dina uppgifter, vi använder inte spårningskakor — därför ser du ingen kakbanner här. Vi respekterar Global Privacy Control, och för EU-kunder lagras och behandlas besökardata uteslutande inom Europeiska unionen.
Acira AI
Bygg vackra webbplatser med AI. Ingen programmering krävs.
Stolt byggt i USA
© 2026 Acira AI LLC. Alla rättigheter förbehållna.