Acira AI Logo
ราคาฟีเจอร์เกี่ยวกับเราเปรียบเทียบ
เข้าสู่ระบบ

ภาคผนวกการประมวลผลข้อมูล

ภาคผนวกการประมวลผลข้อมูล

อัปเดตล่าสุด: 19 มีนาคม 2026

ภาคผนวกการประมวลผลข้อมูลนี้ ("DPA") เป็นส่วนหนึ่งของข้อกำหนดและเงื่อนไข ("ข้อตกลง") ระหว่าง Acira AI LLC ("ผู้ประมวลผล", "เรา", "ของเรา") และผู้ใช้บริการ ("ผู้ควบคุม", "คุณ") และเสริมข้อตกลงในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

DPA นี้มีผลบังคับใช้เมื่อคุณใช้บริการเพื่อสร้าง โฮสต์ และเผยแพร่เว็บไซต์ที่รวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในเขตเศรษฐกิจยุโรป ("EEA") สหราชอาณาจักร ("UK") หรือสวิตเซอร์แลนด์ หรือในกรณีที่กฎหมายคุ้มครองข้อมูลที่ใช้บังคับกำหนดไว้

DPA ฉบับนี้อาจถูกแปลเป็นภาษาอื่นเพื่อความสะดวกของคุณ ในกรณีที่มีข้อขัดแย้งหรือความไม่สอดคล้องกันระหว่างฉบับภาษาอังกฤษและฉบับแปลใด ๆ ให้ยึดฉบับภาษาอังกฤษเป็นหลัก

สารบัญ

  1. คำนิยาม
  2. ขอบเขตและบทบาท
  3. รายละเอียดการประมวลผลข้อมูล
  4. ภาระหน้าที่ของผู้ประมวลผล
  5. ภาระหน้าที่ของผู้ควบคุม
  6. ผู้ประมวลผลย่อย
  7. การโอนข้อมูลระหว่างประเทศ
  8. สิทธิของเจ้าของข้อมูล
  9. ความปลอดภัยของข้อมูล
  10. การแจ้งเหตุการณ์ละเมิดข้อมูล
  11. การตรวจสอบและการยืนยันการปฏิบัติตาม
  12. การเก็บรักษาและการลบข้อมูล
  13. ระยะเวลาและการสิ้นสุด
  14. การจำกัดความรับผิด
  15. การติดต่อ

1. คำนิยาม

"กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ" หมายถึง กฎหมายและข้อบังคับทั้งหมดที่ใช้บังคับกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้ ซึ่งรวมถึง (ตามที่ใช้บังคับ) กฎระเบียบการคุ้มครองข้อมูลทั่วไป (EU) 2016/679 ("GDPR"), UK GDPR, พระราชบัญญัติคุ้มครองข้อมูลของสหพันธ์สวิส ("FADP") และกฎหมายความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย ("CCPA")

"ผู้ควบคุม" หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล — ในบริบทนี้คือคุณ ผู้ใช้บริการที่ดำเนินงานเว็บไซต์ผ่านแพลตฟอร์ม

"เจ้าของข้อมูล" หมายถึง บุคคลธรรมดาที่ระบุตัวตนได้หรืออาจระบุตัวตนได้ซึ่งมีการประมวลผลข้อมูลส่วนบุคคล

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใดๆ ที่เกี่ยวกับเจ้าของข้อมูลที่ประมวลผลผ่านบริการ

"การประมวลผล" หมายถึง การดำเนินการใดๆ กับข้อมูลส่วนบุคคล ซึ่งรวมถึงการรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การปรับแต่ง การดึงข้อมูล การปรึกษา การใช้ การเปิดเผย การเผยแพร่ การจำกัด การลบ หรือการทำลาย

"ผู้ประมวลผล" หมายถึง บุคคลธรรมดาหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม — ในบริบทนี้คือ Acira AI LLC

"ผู้ประมวลผลย่อย" หมายถึง บุคคลภายนอกที่ผู้ประมวลผลว่าจ้างเพื่อประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

"ข้อสัญญามาตรฐาน" หรือ "SCC" หมายถึง ข้อสัญญามาตรฐานสำหรับการโอนข้อมูลส่วนบุคคลไปยังผู้ประมวลผลที่ตั้งอยู่ในประเทศที่สาม ซึ่งคณะกรรมาธิการยุโรปนำมาใช้

2. ขอบเขตและบทบาท

2.1 ความสัมพันธ์การประมวลผล

เมื่อคุณใช้บริการเพื่อสร้างและดำเนินงานเว็บไซต์ที่รวบรวมข้อมูลส่วนบุคคลจากผู้เยี่ยมชมเว็บไซต์ของคุณ (ผ่านแบบฟอร์ม บัญชีผู้ใช้ การโต้ตอบกับ chatbot ความคิดเห็น บทวิจารณ์ หรือคุณลักษณะโต้ตอบอื่นๆ) คุณทำหน้าที่เป็น ผู้ควบคุม และเราทำหน้าที่เป็น ผู้ประมวลผล ข้อมูลส่วนบุคคลของผู้เยี่ยมชมนั้น

2.2 บทบาทของเราในฐานะผู้ควบคุม

เราทำหน้าที่เป็น ผู้ควบคุมข้อมูล อิสระสำหรับข้อมูลส่วนบุคคลที่เราเก็บรวบรวมเพื่อวัตถุประสงค์ของเราเอง รวมถึง: ข้อมูลบัญชีของคุณ ข้อมูลการเรียกเก็บเงิน การวิเคราะห์การใช้งาน ลักษณะทั่วไปของเว็บไซต์ที่ได้มาจากเนื้อหาของเว็บไซต์ของคุณ (เช่น อุตสาหกรรมหรือประเภทธุรกิจ) และข้อมูลการดำเนินงานของแพลตฟอร์ม การประมวลผลข้อมูลดังกล่าวอยู่ภายใต้นโยบายความเป็นส่วนตัวของเราและอยู่นอกขอบเขตของ DPA นี้

2.3 การวิเคราะห์แพลตฟอร์ม

เรารวบรวมการวิเคราะห์พื้นฐานที่เป็นมิตรต่อความเป็นส่วนตัวเกี่ยวกับผู้เยี่ยมชมเว็บไซต์ (ตามที่อธิบายไว้ในข้อตกลง) สำหรับข้อมูลการวิเคราะห์ เราทำหน้าที่เป็นผู้ควบคุมร่วมกับคุณ เราได้ออกแบบการวิเคราะห์เพื่อลดการรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุด — เราไม่จัดเก็บที่อยู่ IP แบบดิบ และตัวระบุผู้เยี่ยมชมจะหมุนเวียนทุกวัน ความรับผิดชอบของผู้ควบคุมร่วมแต่ละรายมีดังนี้:

  • Acira AI (ผู้ประมวลผล/ผู้ควบคุมร่วม): กำหนดวิธีการทางเทคนิคของการรวบรวมการวิเคราะห์ ซึ่งรวมถึงข้อมูลอะไรบ้างที่รวบรวม วิธีการคำนวณตัวระบุผู้เยี่ยมชม (แฮชที่หมุนเวียนรายวัน) และวิธีการรวมข้อมูล เราเป็นผู้รับผิดชอบด้านความปลอดภัยและความสมบูรณ์ของโครงสร้างพื้นฐานการวิเคราะห์ และการตอบสนองต่อคำถามทั่วไปเกี่ยวกับวิธีการทำงานของการวิเคราะห์บนแพลตฟอร์ม
  • คุณ (ผู้ควบคุม/ผู้ควบคุมร่วม): กำหนดว่าจะใช้การวิเคราะห์บนเว็บไซต์ของคุณหรือไม่ (การวิเคราะห์ถูกเปิดใช้งานโดยค่าเริ่มต้นเป็นส่วนหนึ่งของบริการ) คุณรับผิดชอบในการเปิดเผยการรวบรวมข้อมูลการวิเคราะห์ในนโยบายความเป็นส่วนตัวของเว็บไซต์ของคุณ และการตอบสนองต่อคำขอจากเจ้าของข้อมูลจากผู้เยี่ยมชมเว็บไซต์ของคุณเกี่ยวกับข้อมูลการวิเคราะห์ของพวกเขา
  • จุดติดต่อสำหรับเจ้าของข้อมูล: เจ้าของข้อมูลสามารถติดต่อคุณ (เจ้าของเว็บไซต์) เกี่ยวกับข้อมูลการวิเคราะห์ที่รวบรวมบนเว็บไซต์ของคุณ หากเราได้รับคำขอจากเจ้าของข้อมูลเกี่ยวกับข้อมูลการวิเคราะห์ เราจะส่งต่อไปยังคุณ เว้นแต่คุณจะสั่งเป็นอย่างอื่น สำหรับคำถามทั่วไปเกี่ยวกับแพลตฟอร์ม เจ้าของข้อมูลสามารถติดต่อเราได้ที่ legal@acira.ai

2.4 สาระสำคัญของการจัดการผู้ควบคุมร่วม

ตามมาตรา 26(2) ของ GDPR สาระสำคัญของการจัดการผู้ควบคุมร่วมนี้สำหรับข้อมูลการวิเคราะห์มีดังนี้: เรา (Acira AI) กำหนดวิธีการทางเทคนิคและข้อมูลที่รวบรวม คุณ (ผู้ดำเนินการเว็บไซต์) กำหนดว่าจะใช้การวิเคราะห์บนเว็บไซต์ของคุณหรือไม่ เราแต่ละฝ่ายรับผิดชอบภาระหน้าที่ของตนภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ คุณเป็นจุดติดต่อหลักสำหรับผู้เยี่ยมชมเว็บไซต์ของคุณเกี่ยวกับข้อมูลการวิเคราะห์ สรุปของการจัดการนี้มีให้เจ้าของข้อมูลผ่าน DPA นี้และที่ https://www.acira.ai/dpa

2.5 การกำหนดให้เป็นผู้ให้บริการภายใต้ CCPA

ในขอบเขตที่เราประมวลผลข้อมูลส่วนบุคคลที่อยู่ภายใต้กฎหมายความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนีย ("CCPA") ในนามของคุณ เราเป็น "ผู้ให้บริการ" ของคุณตามที่นิยามไว้ใน Cal. Civ. Code § 1798.140(ag) เราจะไม่:

  • ขายหรือแบ่งปัน (ตามที่คำดังกล่าวนิยามภายใต้ CCPA) ข้อมูลส่วนบุคคลใดๆ ที่คุณให้กับเรา
  • เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นใดนอกจากวัตถุประสงค์ทางธุรกิจที่ระบุไว้ใน DPA นี้และข้อตกลง หรือตามที่ CCPA อนุญาตไว้เป็นอย่างอื่น
  • เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่างคุณกับเรา
  • รวมข้อมูลส่วนบุคคลที่ได้รับจากคุณกับข้อมูลส่วนบุคคลที่เราได้รับจากหรือในนามของบุคคลอื่น หรือที่เรารวบรวมจากการโต้ตอบของเราเองกับผู้บริโภค ยกเว้นตามที่ CCPA อนุญาต

เราอาจได้มาซึ่งลักษณะทางธุรกิจทั่วไปที่ไม่ระบุตัวตน (เช่น การจำแนกอุตสาหกรรม) จากเนื้อหาของเว็บไซต์ของคุณเพื่อวัตถุประสงค์ในการให้คำแนะนำผลิตภัณฑ์ที่เกี่ยวข้อง ตามที่อธิบายไว้ในหมวด 2.2 การใช้งานที่จำกัดนี้ไม่ถือเป็นการขาย แบ่งปัน หรือรวมข้อมูลส่วนบุคคลตามความหมายของ CCPA

เราขอรับรองว่าเราเข้าใจและจะปฏิบัติตามข้อจำกัดเหล่านี้

2.6 การประเมินตัวแทน FADP ของสวิส

มาตรา 14 ของพระราชบัญญัติคุ้มครองข้อมูลของสหพันธ์สวิส ("FADP") กำหนดให้ผู้ควบคุมเอกชนที่ไม่ใช่สวิสต้องแต่งตั้งตัวแทนในสวิตเซอร์แลนด์เฉพาะเมื่อเงื่อนไขสะสม ทั้งสี่ข้อ ต่อไปนี้ครบถ้วน: (1) การประมวลผลเชื่อมโยงกับการเสนอสินค้าหรือบริการหรือการติดตามพฤติกรรมของบุคคลในสวิตเซอร์แลนด์; (2) การประมวลผลเป็นไปในวงกว้าง; (3) การประมวลผลเกิดขึ้นเป็นประจำ; และ (4) การประมวลผลก่อให้เกิด ความเสี่ยงสูง ต่อสิทธิส่วนบุคคลหรือสิทธิขั้นพื้นฐานของเจ้าของข้อมูล

เราได้ประเมินกิจกรรมการประมวลผลของเราเทียบกับเงื่อนไขเหล่านี้และพบว่าแม้เงื่อนไข (1) และ (3) จะเป็นที่พอใจ แต่เงื่อนไขที่เหลือไม่เป็นที่พอใจด้วยเหตุผลดังต่อไปนี้:

  • ไม่ใช่วงกว้าง: เราเป็นแพลตฟอร์ม SaaS ขนาดเล็ก ปริมาณข้อมูลส่วนบุคคลของผู้อาศัยในสวิสที่ประมวลผลผ่านบริการของเรามีจำกัดและไม่ถือเป็นการประมวลผลในวงกว้างตามความหมายของมาตรา 14 FADP
  • ไม่ใช่ความเสี่ยงสูง: ข้อมูลส่วนบุคคลที่เราประมวลผลในนามของผู้ดำเนินการเว็บไซต์ประกอบด้วยตัวระบุการวิเคราะห์แบบนามแฝง (แฮชที่หมุนเวียนรายวัน) ข้อมูลเมตาผู้เยี่ยมชมพื้นฐาน (ประเทศ ประเภทอุปกรณ์ เบราว์เซอร์) เนื้อหาแบบฟอร์มที่ส่งมา และข้อความ chatbot เป็นหลัก เราไม่ประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษ (มาตรา 5(c) FADP) หรือดำเนินการสร้างโปรไฟล์ที่มีความเสี่ยงสูงต่อเจ้าของข้อมูล คณะกรรมการข้อมูลส่วนบุคคลและข้อมูลแห่งสหพันธ์สวิส ("FDPIC") ระบุว่าภาระหน้าที่นี้มุ่งเป้าไปที่แพลตฟอร์มอินเทอร์เน็ตขนาดใหญ่และเครือข่ายสังคมออนไลน์ที่ดำเนินการจากต่างประเทศเป็นหลัก ซึ่งไม่อธิบายบริการของเรา

จากการประเมินนี้ เราสรุปได้ว่าเราไม่จำเป็นต้องแต่งตั้งตัวแทนในสวิตเซอร์แลนด์ภายใต้มาตรา 14 FADP ในขณะนี้ เราจะประเมินการตัดสินใจนี้ใหม่เป็นระยะ รวมถึงเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญในขนาดหรือลักษณะของกิจกรรมการประมวลผลของเราที่ส่งผลต่อผู้อาศัยในสวิส

3. รายละเอียดการประมวลผลข้อมูล

3.1 เรื่องและระยะเวลา

การประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้ดำเนินการเพื่อวัตถุประสงค์ในการให้บริการตามที่อธิบายไว้ในข้อตกลง และจะดำเนินต่อไปตลอดระยะเวลาของข้อตกลง

3.2 ลักษณะและวัตถุประสงค์ของการประมวลผล

เราประมวลผลข้อมูลส่วนบุคคลเพื่อ:

  • โฮสต์และให้บริการเนื้อหาเว็บไซต์ของคุณ
  • จัดเก็บและจัดการข้อมูลที่ส่งผ่านแบบฟอร์มและคุณลักษณะโต้ตอบของเว็บไซต์ของคุณ
  • ดูแลบัญชีผู้ใช้และเซสชันสำหรับพื้นที่ที่ได้รับการป้องกันของเว็บไซต์ของคุณ
  • ส่งการสื่อสารทางอีเมลในนามของคุณ
  • ส่งต่ออีเมลที่ได้รับที่อยู่อีเมลโดเมนที่กำหนดเองของคุณ
  • ขับเคลื่อนการสนทนา chatbot AI กับผู้เยี่ยมชมเว็บไซต์ของคุณ
  • สร้างคำอธิบายและเมตาดาต้าที่ขับเคลื่อนด้วย AI สำหรับไฟล์ที่อัปโหลด
  • แปลงไฟล์ที่อัปโหลดให้เป็นรูปแบบที่เหมาะสมกับเว็บ
  • ให้บริการวิเคราะห์ผู้เยี่ยมชม
  • ได้มาซึ่งลักษณะทั่วไปของเว็บไซต์ (เช่น อุตสาหกรรมหรือประเภทธุรกิจ) เพื่อให้คำแนะนำที่เกี่ยวข้องของแพลตฟอร์ม
  • ตรวจจับและป้องกันสแปมและการละเมิด (รวมถึงการท้าทาย bot แบบ proof-of-work)
  • ดำเนินการตรวจสอบเนื้อหาบนไฟล์ที่อัปโหลด
  • ตรวจสอบเนื้อหาเว็บไซต์ระหว่างการเผยแพร่เพื่อให้สอดคล้องกับนโยบายเนื้อหาของแพลตฟอร์ม
  • จัดการการตั้งค่าการยกเลิกรับอีเมลสำหรับผู้รับอีเมลของเว็บไซต์ของคุณ
  • อำนวยความสะดวกในการสื่อสารช่องทางแบบเรียลไทม์บนเว็บไซต์ของคุณผ่านการเชื่อมต่อ WebSocket (ข้อความเป็นการชั่วคราวและไม่ได้รับการบันทึก)
  • ดูแลบันทึกข้อผิดพลาดและการวินิจฉัยเพื่อความน่าเชื่อถือของแพลตฟอร์มและการแก้ปัญหา (อาจรวมถึงที่อยู่ IP และเมตาดาต้าคำขอ; เก็บรักษาไว้สูงสุดสามสิบ (30) วัน)

3.3 ประเภทของข้อมูลส่วนบุคคล

ประเภทของข้อมูลส่วนบุคคลที่ประมวลผลขึ้นอยู่กับสิ่งที่คุณรวบรวมผ่านเว็บไซต์ของคุณ ซึ่งอาจรวมถึง:

  • ชื่อและข้อมูลการติดต่อ
  • ที่อยู่อีเมล
  • ข้อความและแบบฟอร์มที่ส่งมา
  • การอัปโหลดไฟล์ที่ส่งโดยผู้เยี่ยมชมเว็บไซต์ (เช่น รูปภาพและเอกสาร)
  • เนื้อหาการสนทนา chatbot (ข้อความของผู้เยี่ยมชมและการตอบสนองของ AI)
  • ข้อมูลรับรองบัญชีผู้ใช้ (จัดเก็บในรูปแบบแฮช)
  • ข้อมูลเซสชัน
  • ที่อยู่ IP (ไม่จัดเก็บในการวิเคราะห์ — เก็บเฉพาะแฮชที่หมุนเวียนรายวัน; จัดเก็บเป็นเมตาดาต้าพร้อมกับแบบฟอร์มที่ส่งและการสนทนา chatbot; ใช้ชั่วคราวและแฮชสำหรับการยืนยันการท้าทาย bot; จัดเก็บชั่วคราวสำหรับการจำกัดอัตราสูงสุดเจ็ด (7) วันและล้างอัตโนมัติ)
  • ข้อมูลเบราว์เซอร์และอุปกรณ์
  • ข้อมูลตำแหน่ง (ระดับประเทศและภูมิภาค ได้มาจาก IP)
  • บันทึกการยกเลิกรับอีเมล (จัดเก็บเป็นแฮชเข้ารหัสของที่อยู่อีเมลของผู้รับ ไม่ได้จัดเก็บในรูปแบบดิบ)
  • ผลการจำแนกสแปม (ว่าแบบฟอร์มที่ส่งถูกกำหนดว่าเป็นสแปมหรือไม่)
  • ข้อมูลบันทึกข้อผิดพลาดและการวินิจฉัย (ที่อยู่ IP เส้นทางคำขอ และรายละเอียดข้อผิดพลาด; เก็บรักษาไว้สูงสุดสามสิบ (30) วันและล้างอัตโนมัติ)

3.4 ประเภทของเจ้าของข้อมูล

  • ผู้เยี่ยมชมเว็บไซต์ของคุณ
  • ผู้ใช้ที่สร้างบัญชีบนเว็บไซต์ของคุณ
  • ผู้ใช้ที่ส่งแบบฟอร์มหรือโต้ตอบกับ chatbot บนเว็บไซต์ของคุณ
  • ผู้ใช้ที่ส่งความคิดเห็น บทวิจารณ์ หรือการมีส่วนร่วมอื่นๆ บนเว็บไซต์ของคุณ

4. ภาระหน้าที่ของผู้ประมวลผล

เราจะ:

  1. ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่บันทึกไว้ของคุณเท่านั้น เว้นแต่กฎหมายที่ใช้บังคับกำหนดให้ทำเช่นนั้น (ในกรณีนั้นเราจะแจ้งให้คุณทราบถึงข้อกำหนดทางกฎหมายนั้นก่อนดำเนินการ เว้นแต่กฎหมายจะห้ามไว้)
  2. ดูแลให้บุคคลที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลผูกพันตัวเองด้วยข้อผูกมัดด้านการรักษาความลับหรืออยู่ภายใต้ภาระหน้าที่ตามกฎหมายที่เหมาะสมในการรักษาความลับ
  3. ดำเนินมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมตามที่อธิบายไว้ในหัวข้อ 9
  4. ปฏิบัติตามเงื่อนไขสำหรับการว่าจ้างผู้ประมวลผลย่อยตามที่กำหนดไว้ในหัวข้อ 6
  5. ช่วยเหลือคุณ โดยคำนึงถึงลักษณะของการประมวลผล ในการตอบสนองต่อคำขอจากเจ้าของข้อมูลที่ใช้สิทธิของตนภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
  6. ช่วยเหลือคุณในการดูแลให้เป็นไปตามภาระหน้าที่ของคุณภายใต้มาตรา 32-36 ของ GDPR (ความปลอดภัย การแจ้งเหตุการณ์ละเมิด การประเมินผลกระทบด้านการคุ้มครองข้อมูล และการปรึกษาหารือล่วงหน้า) โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่มีให้เรา ในกรณีที่การใช้บริการของคุณเกี่ยวข้องกับการประมวลผลที่มีความเสี่ยงสูงซึ่งอาจต้องมีการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) เราจะให้ข้อมูลเกี่ยวกับกิจกรรมการประมวลผลของเรา มาตรการทางเทคนิคและองค์กร และผู้ประมวลผลย่อย เพื่อสนับสนุนการประเมินของคุณ
  7. ช่วยเหลือคุณในการปฏิบัติตามภาระหน้าที่ของคุณภายใต้มาตรา 22 ของ GDPR (การตัดสินใจส่วนบุคคลโดยอัตโนมัติ) โดยการให้ข้อมูลเกี่ยวกับการประมวลผลอัตโนมัติใดๆ ที่ดำเนินการในนามของคุณ รวมถึงการตรวจสอบเนื้อหา การตรวจจับสแปม และการป้องกัน bot และโดยการอำนวยความสะดวกในการตรวจสอบการตัดสินใจอัตโนมัติโดยมนุษย์ตามคำขอ
  8. แจ้งให้คุณทราบหากในความเห็นของเรา คำสั่งจากคุณละเมิดกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
  9. ตามทางเลือกของคุณ ลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดหลังจากสิ้นสุดการให้บริการ และลบสำเนาที่มีอยู่ เว้นแต่การจัดเก็บเป็นสิ่งที่กฎหมายที่ใช้บังคับกำหนด
  10. ให้ข้อมูลทั้งหมดที่จำเป็นแก่คุณเพื่อแสดงให้เห็นว่าสอดคล้องกับภาระหน้าที่ที่กำหนดไว้ใน DPA นี้ และมีส่วนร่วมในการยืนยันการปฏิบัติตามตามที่อธิบายไว้ในหัวข้อ 11

5. ภาระหน้าที่ของผู้ควบคุม

คุณจะ:

  1. ดูแลให้การรวบรวมและประมวลผลข้อมูลส่วนบุคคลผ่านเว็บไซต์ของคุณสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่ใช้บังคับทั้งหมด
  2. ให้การแจ้งเตือนความเป็นส่วนตัวที่เหมาะสมแก่ผู้เยี่ยมชมเว็บไซต์ของคุณซึ่งอธิบายแนวทางการรวบรวมข้อมูลของคุณ รวมถึงการเปิดเผยการวิเคราะห์ระดับแพลตฟอร์ม การโต้ตอบ chatbot ที่ขับเคลื่อนด้วย AI การตรวจจับสแปม และการป้องกัน bot
  3. ได้รับความยินยอมที่จำเป็นทั้งหมดหรือสร้างฐานทางกฎหมายอื่นสำหรับการประมวลผลข้อมูลส่วนบุคคลผ่านเว็บไซต์ของคุณ
  4. ดูแลให้คำสั่งของคุณถึงเราเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
  5. รับผิดชอบต่อความถูกต้อง คุณภาพ และความถูกต้องตามกฎหมายของข้อมูลส่วนบุคคลที่ให้กับเราผ่านเว็บไซต์ของคุณ

โดยการใช้บริการ คุณสั่งให้เราดำเนินกิจกรรมการประมวลผลต่อไปนี้ในนามของคุณเป็นส่วนหนึ่งของการดำเนินงานแพลตฟอร์มมาตรฐาน: การตรวจสอบเนื้อหาของไฟล์ที่อัปโหลด การตรวจสอบนโยบายเนื้อหาของเนื้อหาเว็บไซต์ที่เผยแพร่ การตรวจจับสแปมในแบบฟอร์มที่ส่งมา การป้องกัน bot ผ่านการท้าทาย proof-of-work และการโต้ตอบ chatbot ที่ขับเคลื่อนด้วย AI กับผู้เยี่ยมชมเว็บไซต์ของคุณ กิจกรรมเหล่านี้เป็นคำสั่งที่บันทึกไว้ภายใต้มาตรา 28(3)(a) ของ GDPR

6. ผู้ประมวลผลย่อย

6.1 ผู้ประมวลผลย่อยที่ได้รับอนุญาต

คุณให้การอนุญาตทั่วไปแก่เราเพื่อว่าจ้างผู้ประมวลผลย่อยเพื่อช่วยในการให้บริการ ผู้ประมวลผลย่อยในปัจจุบันของเราแสดงไว้ด้านล่างและที่ https://www.acira.ai/dpa

6.2 รายชื่อผู้ประมวลผลย่อยปัจจุบัน

ผู้ประมวลผลย่อย วัตถุประสงค์ ที่ตั้ง
Amazon Web Services (AWS) โครงสร้างพื้นฐานคลาวด์ การประมวลผล การจัดเก็บข้อมูล ฐานข้อมูล การส่งอีเมล การลงทะเบียนโดเมน การกลั่นกรองเนื้อหา การตรวจจับภาษา และการอนุมาน AI (ซึ่งสามารถรันทั้งโมเดลของบริษัทเองและของบุคคลที่สาม การประมวลผลทั้งหมดยังคงอยู่บนโครงสร้างพื้นฐานของ AWS โดยไม่คำนึงถึงแหล่งที่มาของโมเดล) สำหรับผู้ดำเนินการเว็บไซต์ที่อยู่อาศัยในสหภาพยุโรป การดำเนินการอัตโนมัติที่มุ่งเน้นผู้เยี่ยมชม (การแจ้งเตือนการส่งเนื้อหาและการส่งอีเมลธุรกรรม) จะถูกประมวลผลในสหภาพยุโรป (สตอกโฮล์ม) สหรัฐอเมริกาและสหภาพยุโรป (สตอกโฮล์ม)
Cloudflare Edge hosting, CDN, DNS, SSL, การส่งมอบเว็บไซต์ ที่จัดเก็บข้อมูลถาวร การวิเคราะห์ การป้องกัน bot การตรวจจับสแปมที่ใช้ AI และ AI chatbot inference (ซึ่งรันโมเดลของบุคคลที่สามบนโครงสร้างพื้นฐาน Cloudflare; นักพัฒนาโมเดลจะไม่ได้รับข้อมูลผู้ใช้) สำหรับผู้ประกอบการเว็บไซต์ที่ระบุว่าเป็นผู้พำนักในสหภาพยุโรป ที่จัดเก็บข้อมูลถาวรจะถูกจำกัดตามเขตอำนาจศาลไว้ในสหภาพยุโรป ทั่วโลก (พร้อมที่จัดเก็บข้อมูลที่อยู่ภายใต้เขตอำนาจศาลของสหภาพยุโรปสำหรับบัญชีสหภาพยุโรป)
Stripe การประมวลผลการชำระเงิน การจัดการสมาชิก การเรียกเก็บเงิน สหรัฐอเมริกา
Fireworks AI การสร้างข้อความ AI, conversational AI, การสร้างเนื้อหา สหรัฐอเมริกา
xAI การสร้างภาพ AI สหรัฐอเมริกา
BrightData การเก็บรวบรวมข้อมูลเว็บสาธารณะ (เพื่อช่วยผู้ใช้ระหว่างการสร้างเว็บไซต์) การติดตามคำสำคัญ SERP (สำหรับแผนที่เกี่ยวข้อง) อิสราเอล / ทั่วโลก
Black Forest Labs การสร้างภาพ AI สหภาพยุโรป (เยอรมนี)
ScreenshotOne การจับภาพหน้าจอเว็บไซต์ สหภาพยุโรป
CloudConvert การแปลงรูปแบบไฟล์ สหภาพยุโรป (เยอรมนี)

6.3 การเปลี่ยนแปลงผู้ประมวลผลย่อย

เราจะแจ้งให้คุณทราบเกี่ยวกับการเปลี่ยนแปลงที่ตั้งใจใดๆ ในรายการผู้ประมวลผลย่อยสำหรับบริการที่คุณใช้อยู่ในปัจจุบัน โดยการอัปเดตรายการผู้ประมวลผลย่อยที่ https://www.acira.ai/dpa อย่างน้อยสิบสี่ (14) วันก่อนที่ผู้ประมวลผลย่อยรายใหม่จะเริ่มประมวลผลข้อมูลส่วนบุคคล เมื่อเราแนะนำฟีเจอร์หรือบริการใหม่ที่เกี่ยวข้องกับผู้ประมวลผลย่อยเพิ่มเติม ผู้ประมวลผลย่อยดังกล่าวจะถูกเปิดเผยในเวลาที่ฟีเจอร์หรือบริการนั้นพร้อมใช้งาน การที่คุณใช้ฟีเจอร์หรือบริการใหม่ถือเป็นการยอมรับผู้ประมวลผลย่อยที่เปิดเผยไว้ เป็นความรับผิดชอบของคุณในการตรวจสอบรายการผู้ประมวลผลย่อยสำหรับการเปลี่ยนแปลงเป็นระยะ หากคุณมีข้อคัดค้านที่สมเหตุสมผลต่อผู้ประมวลผลย่อยรายใหม่ที่ประมวลผลข้อมูลสำหรับบริการที่มีอยู่ คุณอาจแจ้งเราเป็นลายลักษณ์อักษรภายในสิบสี่ (14) วันนับจากวันที่การเปลี่ยนแปลงถูกเผยแพร่ เราจะทำงานร่วมกับคุณด้วยความสุจริตใจเพื่อแก้ไขข้อกังวลของคุณ หากเราไม่สามารถแก้ไขข้อคัดค้านให้เป็นที่พอใจของคุณอย่างสมเหตุสมผลได้ คุณอาจบอกเลิกข้อตกลงโดยการแจ้งเป็นลายลักษณ์อักษร

6.4 ภาระหน้าที่ของผู้ประมวลผลย่อย

เราจะทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลย่อยแต่ละรายซึ่งกำหนดภาระหน้าที่การคุ้มครองข้อมูลที่ไม่ด้อยกว่าที่กำหนดไว้ใน DPA นี้ เรายังคงรับผิดชอบต่อการกระทำและการละเว้นของผู้ประมวลผลย่อยของเราในขอบเขตเดียวกับที่เราจะรับผิดชอบหากให้บริการโดยตรง

7. การโอนข้อมูลระหว่างประเทศ

7.1 กลไกการโอน

บริการโฮสต์อยู่ในสหรัฐอเมริกาเป็นหลัก ข้อมูลส่วนบุคคลที่ประมวลผลผ่านบริการอาจถูกโอนและประมวลผลในสหรัฐอเมริกาและประเทศอื่นๆ ที่ผู้ประมวลผลย่อยของเราดำเนินงาน ผู้ให้บริการ AI inference (Fireworks AI และ xAI) ประมวลผลข้อมูลในสหรัฐอเมริกา BrightData อาจประมวลผลข้อมูลในอิสราเอลและสถานที่อื่นๆ ทั่วโลก Cloudflare ประมวลผลข้อมูลที่สถานที่ edge ทั่วโลก

ถิ่นที่อยู่ของข้อมูลใน EU: สำหรับผู้ดำเนินการเว็บไซต์ที่ระบุว่าเป็นผู้พำนักอาศัยใน EU เราใช้มาตรการถิ่นที่อยู่ของข้อมูลดังต่อไปนี้เพื่อลดการถ่ายโอนข้อมูลส่วนบุคคลของผู้เยี่ยมชมออกนอกสหภาพยุโรป:

  • ที่จัดเก็บ: ข้อมูลผู้เยี่ยมชมในที่จัดเก็บ edge ถาวร — รวมถึงการส่งแบบฟอร์ม การสนทนาแชทบอท ข้อมูลเซสชัน และข้อมูลตารางผู้ใช้ — ถูกจำกัดตามเขตอำนาจศาลภายในสหภาพยุโรป ข้อมูลนี้ถูกจัดเก็บเฉพาะในศูนย์ข้อมูล EU เท่านั้น
  • การประมวลผลอัตโนมัติที่มุ่งเน้นผู้เยี่ยมชม: การดำเนินการที่ถูกเรียกใช้โดยอัตโนมัติจากกิจกรรมของผู้เยี่ยมชม — รวมถึงการแจ้งเตือนการส่งเนื้อหาและการส่งอีเมลธุรกรรม — จะถูกประมวลผลภายในสหภาพยุโรปและไม่ผ่านโครงสร้างพื้นฐานของสหรัฐอเมริกา
  • การเข้าถึงการจัดการแพลตฟอร์ม: เมื่อคุณเข้าถึงข้อมูลผู้เยี่ยมชมเว็บไซต์ของคุณผ่านแดชบอร์ดของแพลตฟอร์มหรืออินเทอร์เฟซการสนทนา (ตัวอย่างเช่น การดูการส่งแบบฟอร์มหรือการจัดการบันทึกผู้ใช้) ข้อมูลนี้อาจถูกประมวลผลผ่านโครงสร้างพื้นฐานของเราในสหรัฐฯ เพื่อตอบสนองคำขอของคุณ การถ่ายโอนเหล่านี้เป็นแบบตามต้องการ เริ่มต้นโดยคุณ (ผู้ควบคุม) และได้รับการปกป้องโดยกลไกการถ่ายโอนและมาตรการเสริมที่อธิบายไว้ด้านล่าง
  • การประมวลผลอื่นๆ ในสหรัฐฯ: ข้อมูลวิเคราะห์และข้อมูลที่ประมวลผลโดยโครงสร้างพื้นฐานคลาวด์ในสหรัฐฯ ของเราสำหรับการกลั่นกรองเนื้อหาและ AI inference อาจยังคงถูกถ่ายโอนไปยังสหรัฐอเมริกาตามกลไกการถ่ายโอนด้านล่าง

สำหรับการโอนข้อมูลส่วนบุคคลจาก EEA, UK หรือสวิตเซอร์แลนด์ไปยังประเทศที่ไม่ได้รับการยอมรับว่ามีระดับการคุ้มครองข้อมูลที่เพียงพอ เราอาศัย:

  1. ข้อสัญญามาตรฐาน (SCC): เราผสมรวม SCC ของคณะกรรมาธิการยุโรปใน DPA นี้โดยการอ้างอิง: โมดูลหนึ่ง (ผู้ควบคุมต่อผู้ควบคุม) สำหรับข้อมูลการวิเคราะห์ที่เราทำหน้าที่เป็นผู้ควบคุมร่วม (ดูหัวข้อ 2.3) และโมดูลสอง (ผู้ควบคุมต่อผู้ประมวลผล) สำหรับข้อมูลส่วนบุคคลอื่นๆ ทั้งหมดที่ประมวลผลในนามของคุณ SCC มีให้ที่ https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
  2. ภาคผนวกการโอนข้อมูลระหว่างประเทศของ UK: สำหรับการโอนจาก UK ภาคผนวก UK ต่อ EU SCC จะใช้บังคับ
  3. กลไกการโอนข้อมูลของสวิส: สำหรับการโอนจากสวิตเซอร์แลนด์ SCC จะใช้บังคับพร้อมการปรับเปลี่ยนตามที่ Swiss FADP กำหนด

7.2 มาตรการเสริม

เราดำเนินมาตรการเสริมต่อไปนี้เพื่อป้องกันข้อมูลส่วนบุคคลที่โอน:

  • การเข้ารหัสข้อมูลระหว่างการส่ง (TLS/SSL) และเมื่อจัดเก็บ
  • การควบคุมการเข้าถึงและกลไกการรับรองตัวตน
  • การประเมินความปลอดภัยเป็นประจำ
  • แนวทางปฏิบัติการลดข้อมูล (เช่น แฮชผู้เยี่ยมชมที่หมุนเวียนรายวันแทนการจัดเก็บ IP แบบดิบ)
  • ถิ่นที่อยู่ของข้อมูลตามเขตอำนาจศาลสำหรับผู้ดำเนินการเว็บไซต์ที่เป็นผู้พำนักอาศัยใน EU (ที่จัดเก็บถาวรและการประมวลผลอัตโนมัติที่หันหน้าเข้าหาผู้เยี่ยมชมจำกัดอยู่ใน EU)
  • โครงสร้างพื้นฐานการประมวลผลและอีเมลในสหภาพยุโรปสำหรับการดำเนินการอัตโนมัติที่มุ่งเน้นผู้เยี่ยมชม (การแจ้งเตือนการส่งเนื้อหาและการส่งอีเมลธุรกรรมที่ประมวลผลในสหภาพยุโรปสำหรับผู้ดำเนินการเว็บไซต์ที่อยู่อาศัยในสหภาพยุโรป)

7.3 การประเมินผลกระทบการโอน

มาตรการเสริมเหล่านี้ได้รับข้อมูลจากการประเมินกฎหมายและแนวทางปฏิบัติของประเทศปลายทาง โดยคำนึงถึงลักษณะของข้อมูลที่โอน กลไกการโอนที่อาศัย และมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่มีอยู่ เราประเมินว่ามาตรการเสริมที่อธิบายไว้ข้างต้น ร่วมกับภาระผูกพันใน SCC ให้ระดับการคุ้มครองที่เพียงพอสำหรับข้อมูลส่วนบุคคลที่โอน การประเมินผลกระทบการโอนของเรามีให้ที่ https://www.acira.ai/tia

7.4 การโอนข้อมูลแคนาดา

สำหรับการโอนข้อมูลส่วนบุคคลจากแคนาดา เราอาศัยมาตรการรักษาความปลอดภัยต่อไปนี้เพื่อดูแลให้ข้อมูลส่วนบุคคลที่โอนออกนอกแคนาดาได้รับระดับการคุ้มครองที่เทียบเคียงได้ตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) และกฎหมายความเป็นส่วนตัวของจังหวัดที่ใช้บังคับ (รวมถึง PIPA ของ Alberta, PIPA ของ British Columbia และกฎหมาย Quebec เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในภาคเอกชน):

  1. การคุ้มครองตามสัญญา: ข้อตกลงการประมวลผลข้อมูลเป็นลายลักษณ์อักษรกับผู้ประมวลผลย่อยแต่ละราย ซึ่งกำหนดภาระหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลในมาตรฐานที่สอดคล้องกับกฎหมายความเป็นส่วนตัวของแคนาดา รวมถึงข้อกำหนดสำหรับมาตรการรักษาความปลอดภัยที่เหมาะสม การจำกัดการใช้งาน การแจ้งเหตุการณ์ละเมิด และการเข้าถึงของเจ้าของข้อมูล
  2. มาตรการรักษาความปลอดภัยทางเทคนิค: มาตรการการเข้ารหัส การนามแฝง การควบคุมการเข้าถึง และการลดข้อมูลเดียวกับที่อธิบายไว้ในหัวข้อ 7.2 ใช้บังคับกับการโอนข้อมูลแคนาดา
  3. มาตรการรักษาความปลอดภัยองค์กร: การตรวจสอบความเหมาะสมของผู้ประมวลผลย่อย ภาระหน้าที่การรักษาความลับสำหรับบุคลากร และขั้นตอนการตอบสนองต่อเหตุการณ์ที่บันทึกไว้ตามที่อธิบายไว้ใน DPA นี้

เราติดตามการพัฒนากฎหมายความเป็นส่วนตัวของแคนาดา รวมถึงพระราชบัญญัติคุ้มครองความเป็นส่วนตัวของผู้บริโภค (CPPA) ที่เสนอ และจะอัปเดตกลไกการโอนของเราตามที่กำหนด

8. สิทธิของเจ้าของข้อมูล

8.1 ความช่วยเหลือในการร้องขอ

เราจะช่วยเหลือคุณในการตอบสนองต่อคำขอจากเจ้าของข้อมูลที่ใช้สิทธิของตนภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ รวมถึงสิทธิในการเข้าถึง การแก้ไข การลบ การจำกัด การพกพา และการคัดค้าน

8.2 การแจ้งเตือน

หากเราได้รับคำขอโดยตรงจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลในนามของคุณ เราจะแจ้งให้คุณทราบทันทีและจะไม่ตอบสนองต่อคำขอโดยไม่มีคำสั่งของคุณ เว้นแต่กฎหมายที่ใช้บังคับกำหนด

8.3 เครื่องมือแพลตฟอร์ม

เราให้เครื่องมือภายในบริการเพื่อช่วยคุณปฏิบัติตามคำขอของเจ้าของข้อมูล รวมถึง:

  • การเข้าถึงและจัดการข้อมูลที่จัดเก็บในฐานข้อมูลของเว็บไซต์คุณ
  • การลบบันทึกส่วนบุคคลจากฐานข้อมูลของเว็บไซต์คุณ
  • ตามคำขอ เราสามารถให้การส่งออกข้อมูลในรูปแบบ ZIP เพื่อช่วยในภาระหน้าที่การพกพาข้อมูล

9. ความปลอดภัยของข้อมูล

9.1 มาตรการรักษาความปลอดภัย

เราดำเนินและรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย หรือความเสียหายโดยบังเอิญ มาตรการเหล่านี้รวมถึง:

  • การเข้ารหัส: ข้อมูลที่เข้ารหัสระหว่างการส่งผ่าน TLS/SSL และเมื่อจัดเก็บโดยใช้การเข้ารหัสมาตรฐานอุตสาหกรรม
  • การควบคุมการเข้าถึง: การควบคุมการเข้าถึงตามบทบาท การรับรองตัวตนหลายปัจจัยสำหรับการดูแลระบบแพลตฟอร์ม นโยบายการเข้าถึงสิทธิ์ขั้นต่ำ
  • ความปลอดภัยโครงสร้างพื้นฐาน: โครงสร้างพื้นฐานคลาวด์ที่มีการจัดการพร้อมการแพทช์ความปลอดภัยอัตโนมัติ การป้องกัน DDoS และ Web Application Firewall (WAF)
  • การแยกข้อมูล: การแยกข้อมูลต่อเว็บไซต์ผ่านอินสแตนซ์ที่จัดเก็บเฉพาะ
  • การติดตาม: การติดตามความปลอดภัยอัตโนมัติ การตรวจจับการบุกรุก และการบันทึกแบบมีโครงสร้าง
  • ความปลอดภัยของข้อมูลรับรอง: คีย์ API และความลับทั้งหมดจัดเก็บในบริการจัดการความลับที่เฉพาะเจาะจง รหัสผ่านผู้ใช้แฮชโดยใช้อัลกอริธึมเข้ารหัสที่แข็งแกร่งพร้อม salt ต่อผู้ใช้
  • การป้องกัน bot: ระบบท้าทาย proof-of-work เพื่อป้องกันการละเมิดอัตโนมัติ

9.2 การรักษาความลับ

เราดูแลให้บุคลากรทั้งหมดที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลถูกผูกมัดด้วยภาระหน้าที่การรักษาความลับ

10. การแจ้งเหตุการณ์ละเมิดข้อมูล

10.1 การแจ้งผู้ควบคุม

เราจะแจ้งคุณโดยไม่ชักช้าโดยไม่มีเหตุผลหลังจากยืนยันการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลที่ประมวลผลในนามของคุณ การแจ้งเตือนจะส่งไปยังข้อมูลการติดต่อที่เกี่ยวข้องกับบัญชีของคุณ

10.2 เนื้อหาการแจ้งเตือน

การแจ้งเหตุการณ์ละเมิดของเราจะรวมถึง ตามขอบเขตที่มีให้:

  1. คำอธิบายลักษณะของการละเมิด รวมถึงประเภทและจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่เกี่ยวข้อง
  2. ชื่อและข้อมูลการติดต่อของผู้ประสานงานด้านการคุ้มครองข้อมูลของเรา
  3. คำอธิบายผลที่อาจเกิดขึ้นจากการละเมิด
  4. คำอธิบายมาตรการที่ดำเนินการหรือที่เสนอเพื่อแก้ไขการละเมิดและบรรเทาผลกระทบ

10.3 ภาระหน้าที่ของคุณ

คุณรับผิดชอบในการแจ้งหน่วยงานกำกับดูแลที่เกี่ยวข้องและเจ้าของข้อมูลที่ได้รับผลกระทบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายคุ้มครองข้อมูลที่ใช้บังคับกำหนด เราจะร่วมมือกับคุณและให้ความช่วยเหลืออย่างสมเหตุสมผลเพื่อช่วยให้คุณปฏิบัติตามภาระหน้าที่การแจ้งการละเมิดของคุณ

11. การตรวจสอบและการยืนยันการปฏิบัติตาม

11.1 เอกสารการปฏิบัติตาม

เพื่อแสดงถึงการปฏิบัติตาม DPA ฉบับนี้ของเรา เราจะจัดให้มีสิ่งต่อไปนี้ตามคำร้องขอเป็นลายลักษณ์อักษรที่สมเหตุสมผล (ไม่เกินปีละหนึ่งครั้ง):

  1. รายงานการตรวจสอบจากบุคคลที่สามที่เกี่ยวข้อง ใบรับรอง หรือสรุปผลการประเมินความปลอดภัย;
  2. สรุปมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรปัจจุบันของเรา;
  3. ข้อมูลเกี่ยวกับกิจกรรมการประมวลผล ผู้ประมวลผลย่อย และแนวปฏิบัติด้านการคุ้มครองข้อมูลของเรา

ในกรณีที่เราพึ่งพาผู้ให้บริการโครงสร้างพื้นฐานของบุคคลที่สาม (เช่น AWS และ Cloudflare) ใบรับรองความปลอดภัยและเอกสารการปฏิบัติตามของพวกเขาสามารถเข้าถึงได้ผ่านโปรแกรมความน่าเชื่อถือและการปฏิบัติตามของแต่ละราย

11.2 การสอบถามเพิ่มเติม

หากเอกสารที่จัดให้ตามมาตรา 11.1 ไม่สามารถตอบข้อกังวลด้านการปฏิบัติตามของท่านได้อย่างสมเหตุสมผล ท่านสามารถส่งคำถามเป็นลายลักษณ์อักษรเฉพาะเจาะจงเกี่ยวกับแนวปฏิบัติด้านการคุ้มครองข้อมูลของเรา ซึ่งเราจะตอบกลับภายในกรอบเวลาที่สมเหตุสมผล

12. การเก็บรักษาและการลบข้อมูล

12.1 ระหว่างข้อตกลง

เราจะเก็บรักษาข้อมูลส่วนบุคคลที่ประมวลผลในนามของคุณตลอดระยะเวลาของข้อตกลงและตามคำสั่งของคุณผ่านบริการ ระยะเวลาการเก็บรักษาเฉพาะสำหรับข้อมูลผู้เยี่ยมชมรวมถึง:

  • การสนทนา chatbot บนเว็บไซต์ของคุณ: เก็บรักษาสามสิบ (30) วันนับจากการโต้ตอบครั้งล่าสุดในแต่ละการสนทนา การสนทนาถูกจัดเก็บภายในเซสชันผู้เยี่ยมชมบนโครงสร้างพื้นฐาน edge ของเว็บไซต์และจะถูกลบโดยอัตโนมัติเมื่อเซสชันหมดอายุเนื่องจากไม่มีกิจกรรม
  • แบบฟอร์มที่ส่งและเนื้อหาที่ผู้ใช้สร้าง บนเว็บไซต์ของคุณ: เก็บรักษาตลอดระยะเวลาของเว็บไซต์ที่เกี่ยวข้อง เว้นแต่คุณจะลบก่อนหน้าผ่านเครื่องมือแพลตฟอร์ม
  • ข้อมูลเซสชัน สำหรับผู้เยี่ยมชมเว็บไซต์ของคุณ: ถูกลบโดยอัตโนมัติหลังจากไม่มีกิจกรรม 30 วัน
  • เนื้อหาผู้เยี่ยมชมที่ลบแล้ว (แบบฟอร์มที่ส่ง ความคิดเห็น และเนื้อหาอื่นๆ ที่ผู้ใช้สร้างบนเว็บไซต์ของคุณ): เมื่อคุณลบเนื้อหาผู้เยี่ยมชมผ่านเครื่องมือแพลตฟอร์ม มันจะถูกย้ายไปยังสถานะการลบแบบนุ่มนวลและเก็บรักษาไว้สูงสุดสามสิบ (30) วันเพื่อสนับสนุนการกู้คืน หลังจากช่วงเวลานี้ เนื้อหาที่ถูกลบแบบนุ่มนวลจะถูกลบอย่างถาวร คุณสามารถลบเนื้อหาอย่างถาวรทันทีโดยการล้างออกจากคิวการกู้คืน
  • บันทึกการยกเลิกรับอีเมล บนเว็บไซต์ของคุณ: เก็บรักษาตลอดระยะเวลาของเว็บไซต์ที่เกี่ยวข้อง เว้นแต่ผู้รับจะสมัครรับใหม่ บันทึกการยกเลิกจะถูกลบเมื่อเว็บไซต์ถูกทำลาย
  • ข้อมูลการวิเคราะห์: เก็บรักษาตลอดระยะเวลาของเว็บไซต์ที่เกี่ยวข้อง (ขึ้นอยู่กับข้อจำกัดการเก็บรักษาตามแผน ข้อมูลการวิเคราะห์แผนฟรีเก็บรักษาเก้าสิบ (90) วัน)

12.2 เมื่อสิ้นสุด

เมื่อสิ้นสุดข้อตกลง หรือตามคำขอของคุณ เราจะลบข้อมูลส่วนบุคคลที่ประมวลผลในนามของคุณตามแนวทางการเก็บรักษาข้อมูลที่อธิบายไว้ในข้อตกลง (รวมถึงระยะเวลาผ่อนผันเจ็ด (7) วันสำหรับการลบบัญชีและเว็บไซต์) หลังจากระยะเวลาผ่อนผัน การลบเป็นการถาวรและไม่สามารถย้อนกลับได้

12.3 ข้อยกเว้น

เราอาจเก็บรักษาข้อมูลส่วนบุคคลตามขอบเขตที่กฎหมายที่ใช้บังคับกำหนด หรือในกรณีที่ข้อมูลถูกทำให้ไม่ระบุชื่อและไม่สามารถเชื่อมโยงกับเจ้าของข้อมูลได้อีกต่อไป

13. ระยะเวลาและการสิ้นสุด

DPA นี้มีผลบังคับใช้ในวันที่คุณยอมรับข้อตกลงและยังคงมีผลบังคับใช้ตราบเท่าที่เราประมวลผลข้อมูลส่วนบุคคลในนามของคุณ ภาระหน้าที่การรักษาความลับและการคุ้มครองข้อมูลที่กำหนดไว้ใน DPA นี้ยังคงมีผลบังคับใช้หลังจากสิ้นสุดข้อตกลง

14. การจำกัดความรับผิด

ความรับผิดของแต่ละฝ่ายภายใต้ DPA นี้อยู่ภายใต้การจำกัดความรับผิดที่กำหนดไว้ในข้อตกลง

15. การติดต่อ

สำหรับคำถามเกี่ยวกับ DPA นี้หรือเพื่อใช้สิทธิของคุณ ติดต่อเราที่:

Acira AI LLC
เรียน: การคุ้มครองข้อมูล
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
สหรัฐอเมริกา

โทรศัพท์: 888-389-1189
อีเมล: legal@acira.ai

ความเป็นส่วนตัวของคุณ สิ่งสำคัญของเรา

เราไม่ขายข้อมูลของคุณ ไม่ใช้คุกกี้ติดตาม — นั่นเป็นเหตุผลที่คุณจะไม่เห็นแบนเนอร์คุกกี้ที่นี่ เราเคารพ Global Privacy Control และสำหรับลูกค้าในสหภาพยุโรป ข้อมูลผู้เยี่ยมชมจะถูกจัดเก็บและประมวลผลภายในสหภาพยุโรปเท่านั้น

ดูว่าเราปกป้องข้อมูลของคุณอย่างไร
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

สร้างเว็บไซต์ที่สวยงามด้วย AI ไม่ต้องเขียนโค้ด

สร้างด้วยความภาคภูมิใจในสหรัฐอเมริกา

บริษัท
ราคาฟีเจอร์เกี่ยวกับเราเปรียบเทียบความเชื่อมั่นและความเป็นส่วนตัว
กฎหมาย
นโยบายความเป็นส่วนตัวข้อกำหนดและเงื่อนไขการใช้งานที่ยอมรับการประมวลผลข้อมูลผลกระทบการถ่ายโอน
การประมวลผลข้อมูลผลกระทบการถ่ายโอน

© 2026 Acira AI LLC. สงวนลิขสิทธิ์