Karagdagang Kasunduan sa Pagpoproseso ng Data

Huling na-update: Marso 19, 2026

Ang Karagdagang Kasunduang ito sa Pagpoproseso ng Data ("DPA") ay bumubuo ng bahagi ng Mga Tuntunin at Kundisyon ("Kasunduan") sa pagitan ng Acira AI LLC ("Processor," "kami," "namin") at ng gumagamit ng mga Serbisyo ("Controller," "ikaw") at dinaragdagan ang Kasunduan kaugnay ng pagpoproseso ng personal na data.

Nalalapat ang DPA na ito kapag ginagamit mo ang mga Serbisyo upang lumikha, mag-host, at mag-publish ng mga website na nangongolekta o nagpoproseso ng personal na data ng mga indibidwal na nasa European Economic Area ("EEA"), United Kingdom ("UK"), o Switzerland, o kung saan kinakailangan sa ibang paraan ng mga naaangkop na batas sa proteksyon ng data.

Ang DPA na ito ay maaaring isalin sa ibang mga wika para sa inyong kaginhawahan. Sa anumang pagkakasalungatan o hindi pagkakatugma sa pagitan ng bersiyong Ingles at anumang isinalin na bersyon, ang bersiyong Ingles ang mangingibabaw.

TALAAN NG NILALAMAN

1. MGA KAHULUGAN
2. SAKLAW AT MGA TUNGKULIN
3. MGA DETALYE NG PAGPOPROSESO NG DATA
4. MGA OBLIGASYON NG PROCESSOR
5. MGA OBLIGASYON NG CONTROLLER
6. MGA SUBPROCESSOR
7. MGA INTERNASYONAL NA PAGLILIPAT NG DATA
8. MGA KARAPATAN NG DATA SUBJECT
9. SEGURIDAD NG DATA
10. ABISO SA DATA BREACH
11. MGA AUDIT AT PAGPAPATUNAY NG PAGSUNOD
12. PAGPAPANATILI AT PAGBURA NG DATA
13. TAGAL AT PAGWAWAKAS
14. LIMITASYON NG PANANAGUTAN
15. MAKIPAG-UGNAYAN SA AMIN

1. MGA KAHULUGAN

"Naaangkop na Batas sa Proteksyon ng Data" ay nangangahulugang lahat ng batas at regulasyong naaangkop sa pagpoproseso ng personal na data sa ilalim ng DPA na ito, kabilang ang (kung naaangkop) General Data Protection Regulation (EU) 2016/679 ("GDPR"), UK GDPR, Swiss Federal Act on Data Protection ("FADP"), at California Consumer Privacy Act ("CCPA").

"Controller" ay nangangahulugang ang natural o legal na taong tumutukoy sa mga layunin at paraan ng pagpoproseso ng personal na data; sa kontekstong ito, ikaw, ang gumagamit ng mga Serbisyo na nagpapatakbo ng isang website sa pamamagitan ng platform.

"Data Subject" ay nangangahulugang isang natukoy o natutukoy na natural na tao na ang personal na data ay pinoproseso.

"Personal na Data" ay nangangahulugang anumang impormasyong nauugnay sa isang Data Subject na pinoproseso sa pamamagitan ng mga Serbisyo.

"Pagpoproseso" ay nangangahulugang anumang operasyong isinasagawa sa personal na data, kabilang ang pangongolekta, pagtatala, pag-oorganisa, pagbubuo ng istruktura, pag-iimbak, pag-aangkop, pagkuha, pagkonsulta, paggamit, pagbubunyag, pagpapalaganap, paghihigpit, pagbura, o pagsira.

"Processor" ay nangangahulugang isang natural o legal na taong nagpoproseso ng personal na data sa ngalan ng Controller; sa kontekstong ito, Acira AI LLC.

"Subprocessor" ay nangangahulugang anumang third party na inengganyo ng Processor upang magproseso ng personal na data sa ngalan ng Controller.

"Standard Contractual Clauses" o "SCCs" ay nangangahulugang ang mga standard contractual clauses para sa paglilipat ng personal na data sa mga processor na itinatag sa mga third country, gaya ng pinagtibay ng European Commission.

2. SAKLAW AT MGA TUNGKULIN

2.1 Relasyon sa Pagpoproseso

Kapag ginagamit mo ang mga Serbisyo upang lumikha at magpatakbo ng isang website na nangongolekta ng personal na data mula sa mga bisita ng iyong website (sa pamamagitan ng mga form, user account, chatbot interaction, komento, review, o iba pang interactive na feature), kumikilos ka bilang Controller at kami ay kumikilos bilang Processor ng personal na data ng bisitang iyon.

2.2 Ang Aming Tungkulin bilang Controller

Kami ay kumikilos bilang isang independiyenteng Controller para sa personal na data na aming kinokolekta para sa aming sariling layunin, kabilang ang: impormasyon ng iyong account, data ng pagsingil, analytics ng paggamit, pangkalahatang katangian ng website na nagmula sa nilalaman ng iyong website (tulad ng industriya o uri ng negosyo), at data ng operasyon ng platform. Ang pagproseso ng naturang data ay pinamamahalaan ng aming Patakaran sa Privacy at nasa labas ng saklaw ng DPA na ito.

2.3 Analytics ng Platform

Nangongolekta kami ng basic, privacy-friendly na analytics sa mga bisita ng website (gaya ng inilalarawan sa Kasunduan). Para sa analytics data, kumikilos kami bilang joint controller kasama mo. Dinisenyo namin ang aming analytics upang mabawasan ang pangongolekta ng personal na data; hindi kami nag-iimbak ng raw na mga IP address, at ang mga visitor identifier ay umiikot araw-araw. Ang kani-kanilang responsibilidad ng bawat joint controller ay ang mga sumusunod:

• Acira AI (Processor/Joint Controller): Tinutukoy ang mga teknikal na paraan ng pangongolekta ng analytics, kabilang kung anong mga data point ang kinokolekta, kung paano kinukuwenta ang mga visitor identifier (mga hash na umiikot araw-araw), at kung paano inia-aggregate ang data. Responsable kami para sa seguridad at integridad ng analytics infrastructure at para sa pagtugon sa mga pangkalahatang tanong tungkol sa kung paano gumagana ang analytics sa platform.
• Ikaw (Controller/Joint Controller): Tinutukoy mo kung gagamit ng analytics sa iyong website (naka-enable ang analytics bilang default bilang bahagi ng mga Serbisyo). Responsable ka sa pagbubunyag ng pangongolekta ng analytics data sa privacy policy ng iyong website at sa pagtugon sa mga kahilingan ng Data Subject mula sa mga bisita ng iyong website tungkol sa kanilang analytics data.
• Punto ng pakikipag-ugnayan para sa mga Data Subject: Maaaring makipag-ugnayan sa iyo ang mga Data Subject (ang may-ari ng website) tungkol sa analytics data na nakolekta sa iyong website. Kung makatanggap kami ng kahilingan mula sa isang Data Subject tungkol sa analytics data, ididirekta namin sila sa iyo maliban kung iba ang iyong itagubilin sa amin. Para sa mga pangkalahatang tanong tungkol sa platform, maaaring makipag-ugnayan ang mga Data Subject sa amin sa legal@acira.ai.

2.4 Diwa ng Kaayusan ng Joint Controller

Alinsunod sa Artikulo 26(2) ng GDPR, ang diwa ng kaayusang ito ng joint controller para sa analytics data ay ang mga sumusunod: Kami (Acira AI) ang tumutukoy sa mga teknikal na paraan at mga data point na kinokolekta; ikaw (ang operator ng website) ang tumutukoy kung ginagamit ang analytics sa iyong website. Bawat isa sa atin ay responsable sa kani-kaniyang obligasyon sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data. Ikaw ang pangunahing punto ng pakikipag-ugnayan para sa mga bisita ng iyong website tungkol sa analytics data. Ang buod ng kaayusang ito ay ginagawang available sa mga Data Subject sa pamamagitan ng DPA na ito at sa https://www.acira.ai/dpa.

2.5 Designation bilang Service Provider sa ilalim ng CCPA

Hangga't nagpoproseso kami ng personal na impormasyon na saklaw ng California Consumer Privacy Act ("CCPA") sa iyong ngalan, kami ang iyong "service provider" gaya ng inilalarawan sa Cal. Civ. Code § 1798.140(ag). Hindi namin:

• Ibebenta o ibabahagi (ayon sa kahulugan ng mga terminong iyon sa ilalim ng CCPA) ang anumang personal na impormasyong ibinibigay mo sa amin;
• Pananatilihin, gagamitin, o ibubunyag ang personal na impormasyon para sa anumang layunin maliban sa mga layunin ng negosyo na tinukoy sa DPA na ito at sa Kasunduan, o kung pinapahintulutan man ng CCPA sa ibang paraan;
• Pananatilihin, gagamitin, o ibubunyag ang personal na impormasyon sa labas ng direktang relasyon sa negosyo sa pagitan mo at namin;
• Pagsasamahin ang personal na impormasyong natanggap mula sa iyo sa personal na impormasyong natatanggap namin mula sa o sa ngalan ng ibang tao o na kinokolekta namin mula sa aming sariling pakikipag-ugnayan sa mga consumer, maliban kung pinapahintulutan ng CCPA.

Maaari naming kunin ang pangkalahatan, hindi nagpapakilalang mga katangian ng negosyo (tulad ng klasipikasyon ng industriya) mula sa nilalaman ng iyong website para sa layunin ng pagbibigay ng mga kaugnay na rekomendasyon ng produkto, gaya ng inilarawan sa Seksyon 2.2. Ang limitadong paggamit na ito ay hindi bumubuo ng pagbebenta, pagbabahagi, o pagsasama ng personal na impormasyon sa kahulugan ng CCPA.

Pinatutunayan namin na naiintindihan namin at susunod kami sa mga paghihigpit na ito.

2.6 Pagtatasa sa Kinatawan sa ilalim ng Swiss FADP

Ang Artikulo 14 ng Swiss Federal Act on Data Protection ("FADP") ay nangangailangan sa isang non-Swiss private controller na magtalaga ng isang kinatawan sa Switzerland lamang kapag lahat ng apat sa sumusunod na pinagsama-samang kundisyon ay natutugunan: (1) ang pagpoproseso ay may kaugnayan sa pag-aalok ng mga kalakal o serbisyo sa, o pagsubaybay sa pag-uugali ng, mga tao sa Switzerland; (2) ang pagpoproseso ay nasa malaking saklaw; (3) ang pagpoproseso ay nagaganap nang regular; at (4) ang pagpoproseso ay nagdudulot ng mataas na panganib sa personality rights o fundamental rights ng mga data subject.

Tinasa namin ang aming mga aktibidad sa pagpoproseso laban sa mga kundisyong ito at natukoy na habang natutugunan ang mga kundisyon (1) at (3), ang mga natitirang kundisyon ay hindi natutugunan sa mga sumusunod na dahilan:

• Hindi malakihang saklaw: Kami ay isang maliit na SaaS platform. Limitado ang dami ng personal na data ng mga residente ng Switzerland na pinoproseso sa pamamagitan ng aming mga Serbisyo at hindi ito bumubuo ng pagpoproseso sa malaking saklaw sa kahulugan ng Artikulo 14 FADP.
• Hindi mataas ang panganib: Ang personal na data na pinoproseso namin sa ngalan ng mga operator ng website ay pangunahing binubuo ng mga pseudonymized na analytics identifier (mga hash na umiikot araw-araw), basic na visitor metadata (bansa, uri ng device, browser), nilalaman ng pagsusumite ng form, at mga mensahe ng chatbot. Hindi kami nagpoproseso ng mga espesyal na kategorya ng personal na data (Artikulo 5(c) FADP), at hindi rin kami nagsasagawa ng profiling na may mataas na panganib sa mga data subject. Ipinahiwatig ng Swiss Federal Data Protection and Information Commissioner ("FDPIC") na ang obligasyong ito ay pangunahing nakatuon sa malalaking internet platform at social network na nagpapatakbo mula sa ibang bansa, na hindi naglalarawan sa aming mga Serbisyo.

Batay sa pagtatasang ito, napagpasyahan namin na hindi kinakailangan sa ngayon na magtalaga kami ng isang kinatawan sa Switzerland sa ilalim ng Artikulo 14 FADP. Muling tatasahin namin ang pasyang ito pana-panahon, kabilang na kapag may materyal na pagbabago sa saklaw o kalikasan ng aming mga aktibidad sa pagpoproseso na nakaaapekto sa mga residente ng Switzerland.

3. MGA DETALYE NG PAGPOPROSESO NG DATA

3.1 Paksa at Tagal

Ang pagpoproseso ng personal na data sa ilalim ng DPA na ito ay ginagawa para sa layuning ibigay ang mga Serbisyo gaya ng inilalarawan sa Kasunduan at magpapatuloy sa tagal ng Kasunduan.

3.2 Kalikasan at Layunin ng Pagpoproseso

Pinoproseso namin ang personal na data upang:

• I-host at ihatid ang nilalaman ng iyong website
• I-store at pamahalaan ang data na isinumite sa pamamagitan ng mga form at interactive na feature ng iyong website
• Panatilihin ang mga user account at session para sa mga protektadong bahagi ng iyong website
• Maghatid ng mga komunikasyon sa email sa iyong ngalan
• I-forward ang mga email na natanggap sa iyong custom domain email addresses
• Paganahin ang mga AI chatbot na pag-uusap sa mga bisita ng iyong website
• Bumuo ng mga paglalarawan at metadata na pinapagana ng AI para sa mga na-upload na file
• I-convert ang mga na-upload na file sa mga web-optimized na format
• Magbigay ng analytics ng bisita
• Pagkuha ng pangkalahatang mga katangian ng website (tulad ng industriya o uri ng negosyo) upang magbigay ng mga kaugnay na rekomendasyon ng platform
• Tuklasin at pigilan ang spam at pang-aabuso (kabilang ang proof-of-work bot challenges)
• Magsagawa ng content moderation sa mga na-upload na file
• Suriin ang nilalaman ng website habang inilalathala para sa pagsunod sa mga content policy ng platform
• Pamahalaan ang mga kagustuhan sa pag-opt-out ng email para sa mga tatanggap ng email ng iyong website
• Padaliin ang mga real-time na komunikasyon sa channel sa iyong website sa pamamagitan ng mga koneksyong WebSocket (ang mga mensahe ay ephemeral at hindi pinananatili)
• Panatilihin ang error at diagnostic logs para sa pagiging maaasahan ng platform at troubleshooting (maaaring kabilang ang mga IP address at request metadata; pinananatili nang hanggang tatlumpung (30) araw)

3.3 Mga Uri ng Personal na Data

Ang mga uri ng personal na data na pinoproseso ay nakadepende sa kung ano ang kinokolekta mo sa pamamagitan ng iyong website, na maaaring kabilang ang:

• Mga pangalan at impormasyon sa pakikipag-ugnayan
• Mga email address
• Mga mensahe at pagsusumite ng form
• Mga file upload na isinumite ng mga bisita ng website (tulad ng mga larawan at dokumento)
• Nilalaman ng pag-uusap sa chatbot (mga mensahe ng bisita at mga tugon ng AI)
• Mga kredensyal ng user account (na nakaimbak sa hashed na anyo)
• Data ng session
• Mga IP address (hindi iniimbak sa analytics — tanging isang hash na umiikot araw-araw ang iniimbak; iniimbak bilang metadata kasama ng mga pagsusumite ng form at mga pag-uusap sa chatbot; pansamantalang ginagamit at hina-hash para sa bot challenge verification; pansamantalang iniimbak para sa rate limiting nang hanggang pitong (7) araw at awtomatikong nililinis)
• Impormasyon tungkol sa browser at device
• Data ng lokasyon (antas ng bansa at rehiyon, mula sa IP)
• Mga rekord ng pag-opt-out ng email (naka-imbak bilang mga cryptographic hash ng mga email address ng tatanggap; hindi naka-imbak sa raw na anyo)
• Mga resulta ng klasipikasyon ng spam (kung ang isang submission ay natukoy bilang spam)
• Data ng error at diagnostic log (mga IP address, request path, at detalye ng error; pinananatili nang hanggang tatlumpung (30) araw at awtomatikong nililinis)

3.4 Mga Kategorya ng Data Subject

• Mga bisita ng iyong website
• Mga user na lumilikha ng mga account sa iyong website
• Mga user na nagsusumite ng mga form o nakikipag-ugnayan sa mga chatbot sa iyong website
• Mga user na nagsusumite ng mga komento, review, o iba pang kontribusyon sa iyong website

4. MGA OBLIGASYON NG PROCESSOR

Kami ay:

1. Magpoproseso ng personal na data ayon lamang sa iyong mga dokumentadong tagubilin, maliban kung kinakailangan ng naaangkop na batas (kung saan ipapaalam namin sa iyo ang legal na kinakailangang iyon bago magproseso, maliban kung ipinagbabawal ng batas);
2. Titiyakin na ang mga taong awtorisadong magproseso ng personal na data ay nangako sa pagiging kumpidensyal o nasa ilalim ng naaangkop na legal na obligasyon ng pagiging kumpidensyal;
3. Magpapatupad ng naaangkop na teknikal at organisasyonal na mga hakbang sa seguridad gaya ng inilalarawan sa Seksyon 9;
4. Susunod sa mga kundisyon para sa pag-engage ng mga subprocessor gaya ng itinakda sa Seksyon 6;
5. Tutulungan ka, isinasaalang-alang ang kalikasan ng pagpoproseso, sa pagtugon sa mga kahilingan mula sa mga Data Subject na gumagamit ng kanilang mga karapatan sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data;
6. Tutulungan ka sa pagtiyak ng pagsunod sa iyong mga obligasyon sa ilalim ng Artikulo 32-36 ng GDPR (seguridad, abiso sa paglabag, data protection impact assessments, at prior consultation), isinasaalang-alang ang kalikasan ng pagpoproseso at ang impormasyong available sa amin. Kung ang paggamit mo ng mga Serbisyo ay kinabibilangan ng high-risk na pagpoproseso na maaaring mangailangan ng Data Protection Impact Assessment (DPIA), magbibigay kami sa iyo ng impormasyon tungkol sa aming mga aktibidad sa pagpoproseso, mga teknikal at organisasyonal na hakbang, at mga subprocessor upang suportahan ang iyong pagtatasa;
7. Tutulungan ka sa pagtupad sa iyong mga obligasyon sa ilalim ng Artikulo 22 ng GDPR (automated individual decision-making) sa pamamagitan ng pagbibigay ng impormasyon tungkol sa anumang automated na pagpoproseso na isinasagawa sa iyong ngalan, kabilang ang content moderation, spam detection, at proteksyon laban sa bot, at sa pamamagitan ng pagpapadali ng human review ng mga automated na desisyon kapag hiniling;
8. Ipapaalam sa iyo kung, sa aming palagay, ang isang tagubilin mula sa iyo ay lumalabag sa Naaangkop na Batas sa Proteksyon ng Data;
9. Sa iyong pagpili, buburahin o ibabalik ang lahat ng personal na data pagkatapos ng pagtatapos ng pagbibigay ng mga Serbisyo, at buburahin ang mga umiiral na kopya maliban kung ang pag-iimbak ay kinakailangan ng naaangkop na batas;
10. Gagawing available sa iyo ang lahat ng impormasyong kinakailangan upang maipakita ang pagsunod sa mga obligasyong itinakda sa DPA na ito at mag-aambag sa pagpapatunay ng pagsunod gaya ng inilalarawan sa Seksyon 11.

5. MGA OBLIGASYON NG CONTROLLER

Ikaw ay:

1. Titiyakin na ang iyong pangongolekta at pagpoproseso ng personal na data sa pamamagitan ng iyong website ay sumusunod sa lahat ng Naaangkop na Batas sa Proteksyon ng Data;
2. Magbibigay ng naaangkop na mga privacy notice sa mga bisita ng iyong website na naglalarawan sa iyong mga kasanayan sa pangongolekta ng data, kabilang ang pagbubunyag ng platform-level analytics, AI-powered chatbot interactions, spam detection, at bot protection;
3. Kukunin ang lahat ng kinakailangang pahintulot o magtatatag ng ibang legal na batayan para sa pagpoproseso ng personal na data sa pamamagitan ng iyong website;
4. Titiyakin na ang iyong mga tagubilin sa amin tungkol sa pagpoproseso ng personal na data ay sumusunod sa Naaangkop na Batas sa Proteksyon ng Data;
5. Mananagot sa katumpakan, kalidad, at legalidad ng personal na data na ibinigay sa amin sa pamamagitan ng iyong website.

Sa paggamit ng mga Serbisyo, inuutusan mo kami na isagawa ang mga sumusunod na aktibidad sa pagpoproseso sa iyong ngalan bilang bahagi ng standard na operasyon ng platform: content moderation ng mga na-upload na file, pagsusuri ng content policy ng nailathalang nilalaman ng website, spam detection sa mga pagsusumite ng form, bot protection sa pamamagitan ng proof-of-work challenges, at AI-powered chatbot interactions sa mga bisita ng iyong website. Ang mga aktibidad na ito ay mga dokumentadong tagubilin sa ilalim ng Artikulo 28(3)(a) ng GDPR.

6. MGA SUBPROCESSOR

6.1 Mga Awtorisadong Subprocessor

Nagbibigay ka ng pangkalahatang awtorisasyon para sa amin na mag-engage ng mga subprocessor upang tumulong sa pagbibigay ng mga Serbisyo. Ang aming mga kasalukuyang subprocessor ay nakalista sa ibaba at sa https://www.acira.ai/dpa.

6.2 Kasalukuyang Listahan ng Subprocessor

6.3 Mga Pagbabago sa Mga Subprocessor

Aabisuhan ka namin tungkol sa anumang nilayon na mga pagbabago sa listahan ng mga subprocessor para sa mga Serbisyong kasalukuyan mong ginagamit sa pamamagitan ng pag-update ng listahan ng mga subprocessor sa https://www.acira.ai/dpa nang hindi bababa sa labing-apat (14) na araw bago magsimulang mag-process ng personal na data ang bagong subprocessor. Kapag nagpakilala kami ng mga bagong feature o serbisyo na kinasasangkutan ng karagdagang mga subprocessor, ang mga subprocessor na iyon ay ihahayag sa oras na maging available ang feature o serbisyo; ang iyong paggamit ng bagong feature o serbisyo ay bumubuo ng pagtanggap ng mga inihahatag na subprocessor nito. Responsibilidad mo ang pana-panahong suriin ang listahan ng mga subprocessor para sa mga pagbabago. Kung mayroon kang makatuwirang pagtutol sa isang bagong subprocessor na nagpoproseso ng data para sa mga kasalukuyang Serbisyo, maaari kang mag-abiso sa amin nang nakasulat sa loob ng labing-apat (14) na araw mula nang mai-publish ang pagbabago. Makikipagtulungan kami sa iyo nang bukas at tapat upang matugunan ang iyong mga alalahanin. Kung hindi namin malutas ang pagtutol sa iyong makatwirang kasiyahan, maaari mong wakasan ang Kasunduan sa pamamagitan ng pagbibigay ng nakasulat na abiso.

6.4 Mga Obligasyon ng Subprocessor

Makikipagkasundo kami nang nakasulat sa bawat subprocessor na nagpapataw ng mga obligasyon sa proteksyon ng data na hindi bababa sa antas ng proteksyong itinakda sa DPA na ito. Nananatili kaming mananagot sa mga kilos at pagkukulang ng aming mga subprocessor sa parehong lawak na para bang kami mismo ang direktang nagsasagawa ng mga serbisyo.

7. MGA INTERNASYONAL NA PAGLILIPAT NG DATA

7.1 Mga Mekanismo ng Paglilipat

Ang mga Serbisyo ay pangunahing naka-host sa United States. Ang personal na data na pinoproseso sa pamamagitan ng mga Serbisyo ay maaaring ilipat sa at iproseso sa United States at iba pang mga bansa kung saan nagpapatakbo ang aming mga subprocessor. Ang mga provider ng AI inference (Fireworks AI at xAI) ay nagpoproseso ng data sa United States. Maaaring magproseso ang BrightData ng data sa Israel at iba pang mga lokasyon sa buong mundo. Pinoproseso ng Cloudflare ang data sa mga edge location sa buong mundo.

EU Data Residency: Para sa mga operator ng website na natukoy bilang mga residente ng EU, ginagamit namin ang mga sumusunod na hakbang sa data residency upang mabawasan ang mga paglipat ng personal na datos ng mga bisita sa labas ng European Union:

• Storage: Ang datos ng mga bisita sa persistent edge storage — kabilang ang mga pagsusumite ng form, mga pag-uusap sa chatbot, session data, at user table data — ay jurisdictionally limitado sa European Union. Ang datos na ito ay eksklusibong iniimbak sa mga EU data center.
• Awtomatikong pagprosesong nakatuon sa bisita: Ang mga operasyong awtomatikong na-trigger ng aktibidad ng bisita — kabilang ang mga abiso sa pagsusumite ng nilalaman at transaksyonal na paghahatid ng email — ay pinoproseso sa loob ng European Union at hindi dumadaan sa imprastraktura ng US.
• Platform management access: Kapag ina-access mo ang visitor data ng iyong website sa pamamagitan ng platform dashboard o conversational interface (halimbawa, pagtingin sa mga pagsusumite ng form o pamamahala ng mga user record), ang datos na ito ay maaaring iproseso sa pamamagitan ng aming US-based infrastructure upang matupad ang iyong kahilingan. Ang mga paglipat na ito ay on-demand, sinimulan mo (ang Controller), at protektado ng mga mekanismo ng paglipat at mga karagdagang hakbang na inilalarawan sa ibaba.
• Iba pang US-based processing: Ang analytics data at datos na pinoproseso ng aming US-based cloud infrastructure para sa content moderation at AI inference ay maaari pa ring ilipat sa Estados Unidos alinsunod sa mga mekanismo ng paglipat sa ibaba.

Para sa mga paglilipat ng personal na data mula sa EEA, UK, o Switzerland patungo sa mga bansang hindi kinikilalang nagbibigay ng sapat na antas ng proteksyon ng data, umaasa kami sa:

1. Standard Contractual Clauses (SCCs): Isinasama namin sa pamamagitan ng reference ang Standard Contractual Clauses ng European Commission sa DPA na ito: Module One (Controller to Controller) para sa analytics data kung saan kumikilos kami bilang joint controller (tingnan ang Seksyon 2.3), at Module Two (Controller to Processor) para sa lahat ng iba pang personal na data na pinoproseso sa iyong ngalan. Available ang SCCs sa https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. UK International Data Transfer Addendum: Para sa mga paglilipat mula sa UK, nalalapat ang UK Addendum sa EU SCCs.
3. Swiss Data Transfer Mechanisms: Para sa mga paglilipat mula sa Switzerland, nalalapat ang SCCs na may mga pagbabagong kinakailangan ng Swiss FADP.

7.2 Mga Karagdagang Hakbang

Ipinatutupad namin ang mga sumusunod na karagdagang hakbang upang protektahan ang nailipat na personal na data:

• Encryption ng data habang nasa transit (TLS/SSL) at habang nakaimbak
• Mga kontrol sa access at mekanismo ng authentication
• Mga regular na security assessment
• Mga kasanayan sa data minimization (hal., mga hash ng bisita na umiikot araw-araw sa halip na raw IP storage)
• Jurisdictional na data residency para sa mga operator ng website na residente ng EU (persistent storage at automated na processing na nakaharap sa mga bisita ay limitado sa EU)
• EU-based na compute at email infrastructure para sa mga awtomatikong operasyong nakatuon sa bisita (mga abiso sa pagsusumite ng nilalaman at transaksyonal na paghahatid ng email na pinoproseso sa European Union para sa mga operator ng website na residente sa EU)

7.3 Pagtatasa ng Epekto ng Paglilipat

Ang mga karagdagang hakbang na ito ay batay sa aming pagtatasa sa mga batas at praktika ng mga bansang patutunguhan, isinasaalang-alang ang kalikasan ng naililipat na data, ang mekanismo ng paglilipat na ginagamit, at ang mga teknikal at organisasyonal na pananggalang na ipinatutupad. Tinatasa namin na ang mga karagdagang hakbang na inilalarawan sa itaas, kasama ng mga pangakong nasa SCCs, ay nagbibigay ng sapat na antas ng proteksyon para sa naililipat na personal na data. Available ang aming Transfer Impact Assessment sa https://www.acira.ai/tia.

7.4 Canadian Data Transfers

Para sa mga paglilipat ng personal na data mula sa Canada, umaasa kami sa mga sumusunod na pananggalang upang matiyak na ang personal na data na inililipat sa labas ng Canada ay tumatanggap ng maihahambing na antas ng proteksyon gaya ng kinakailangan sa ilalim ng Personal Information Protection and Electronic Documents Act (PIPEDA) at naaangkop na provincial privacy legislation (kabilang ang Alberta's PIPA, British Columbia's PIPA, at Quebec's Act respecting the protection of personal information in the private sector):

1. Mga proteksiyong kontraktwal: Mga nakasulat na data processing agreement sa bawat subprocessor na nagpapataw ng mga obligasyong protektahan ang personal na data sa pamantayang naaayon sa batas sa privacy ng Canada, kabilang ang mga kinakailangan para sa naaangkop na mga security safeguard, limitasyon sa paggamit, abiso sa breach, at access ng data subject.
2. Mga teknikal na pananggalang: Ang parehong encryption, pseudonymization, access control, at data minimization measures na inilalarawan sa Seksyon 7.2 ay nalalapat sa Canadian data transfers.
3. Mga organisasyonal na pananggalang: Due diligence sa subprocessor, mga obligasyon ng pagiging kumpidensyal para sa mga tauhan, at dokumentadong incident response procedures gaya ng inilalarawan sa DPA na ito.

Sinusubaybayan namin ang mga pag-unlad sa batas sa privacy ng Canada, kabilang ang iminungkahing Consumer Privacy Protection Act (CPPA), at ia-update namin ang aming mga mekanismo ng paglilipat kung kinakailangan.

8. MGA KARAPATAN NG DATA SUBJECT

8.1 Tulong sa Mga Kahilingan

Tutulungan ka namin sa pagtugon sa mga kahilingan mula sa mga Data Subject na gumagamit ng kanilang mga karapatan sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data, kabilang ang mga karapatan sa pag-access, pagwawasto, pagbura, paghihigpit, portability, at pagtutol.

8.2 Abiso

Kung makatanggap kami ng kahilingan nang direkta mula sa isang Data Subject tungkol sa personal na data na pinoproseso sa iyong ngalan, aabisuhan ka namin kaagad at hindi kami tutugon sa kahilingan nang wala ang iyong mga tagubilin, maliban kung kinakailangan ng naaangkop na batas.

8.3 Mga Tool ng Platform

Nagbibigay kami ng mga tool sa loob ng mga Serbisyo upang tulungan kang tuparin ang mga kahilingan ng Data Subject, kabilang ang:

• Access sa at pamamahala ng data na nakaimbak sa mga database ng iyong website
• Pagbura ng mga indibidwal na tala mula sa mga database ng iyong website
• Kapag hiniling, maaari kaming magbigay ng mga data export sa ZIP format upang tumulong sa mga obligasyon sa data portability

9. SEGURIDAD NG DATA

9.1 Mga Hakbang sa Seguridad

Ipinatutupad at pinananatili namin ang naaangkop na mga teknikal at organisasyonal na hakbang upang protektahan ang personal na data laban sa hindi awtorisado o labag sa batas na pagpoproseso at laban sa aksidenteng pagkawala, pagkasira, o pinsala. Kabilang sa mga hakbang na ito ang:

• Encryption: Data na naka-encrypt habang nasa transit sa pamamagitan ng TLS/SSL at habang nakaimbak gamit ang industry-standard encryption
• Access Control: Role-based access controls, multi-factor authentication para sa administrasyon ng platform, least-privilege access policies
• Infrastructure Security: Managed cloud infrastructure na may automated security patching, DDoS protection, at Web Application Firewall (WAF)
• Data Isolation: Per-website data isolation sa pamamagitan ng mga dedikadong storage instance
• Monitoring: Automated security monitoring, intrusion detection, at structured logging
• Credential Security: Lahat ng API key at secret ay nakaimbak sa mga dedikadong secrets management service; ang mga password ng user ay hina-hash gamit ang matitibay na cryptographic algorithm na may per-user salts
• Bot Protection: Mga proof-of-work challenge system upang pigilan ang automated na pang-aabuso

9.2 Pagiging Kumpidensyal

Tinitiyak namin na ang lahat ng tauhang awtorisadong magproseso ng personal na data ay nakatali sa mga obligasyon ng pagiging kumpidensyal.

10. ABISO SA DATA BREACH

10.1 Abiso sa Controller

Aabisuhan ka namin nang walang hindi kinakailangang pagkaantala matapos makumpirma ang isang personal na data breach na nakaaapekto sa personal na data na pinoproseso sa iyong ngalan. Ipapadala ang abiso sa impormasyong pangkontak na nauugnay sa iyong account.

10.2 Nilalaman ng Abiso

Ang aming abiso sa breach ay isasama, hangga't available:

1. Isang paglalarawan ng kalikasan ng breach, kabilang ang mga kategorya at tinatayang bilang ng mga Data Subject at mga tala na sangkot;
2. Ang pangalan at mga detalye ng pakikipag-ugnayan ng aming data protection contact;
3. Isang paglalarawan ng mga malamang na kahihinatnan ng breach;
4. Isang paglalarawan ng mga hakbang na ginawa o iminungkahi upang tugunan ang breach at mabawasan ang mga epekto nito.

10.3 Iyong Mga Obligasyon

Ikaw ang responsable sa pag-abiso sa nauugnay na supervisory authority at mga apektadong Data Subject tungkol sa isang personal na data breach gaya ng kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data. Makikipagtulungan kami sa iyo at magbibigay ng makatwirang tulong upang matulungan kang sumunod sa iyong mga obligasyon sa pag-abiso ng breach.

11. MGA AUDIT AT PAGPAPATUNAY NG PAGSUNOD

11.1 Dokumentasyon ng Pagsunod

Upang ipakita ang aming pagsunod sa DPA na ito, aming ibibigay sa iyo, sa makatwirang nakasulat na kahilingan (hanggang isang beses bawat taon), ang mga sumusunod:

1. Mga kaugnay na ulat ng audit ng third-party, mga sertipikasyon o mga buod ng pagsusuri ng seguridad;
2. Buod ng aming kasalukuyang mga teknikal at organisasyonal na mga hakbang sa seguridad;
3. Impormasyon tungkol sa aming mga aktibidad sa pagproseso, mga sub-processor at mga kasanayan sa proteksyon ng data.

Kung umaasa kami sa mga third-party na tagapagbigay ng imprastraktura (tulad ng AWS at Cloudflare), ang kanilang mga sertipikasyon sa seguridad at dokumentasyon ng pagsunod ay makukuha sa pamamagitan ng kanilang kani-kanilang mga programa ng tiwala at pagsunod.

11.2 Karagdagang mga Tanong

Kung ang dokumentasyong ibinigay sa ilalim ng Seksyon 11.1 ay hindi makatwirang tumutugon sa iyong mga alalahanin sa pagsunod, maaari kang magsumite ng mga tiyak na nakasulat na tanong tungkol sa aming mga kasanayan sa proteksyon ng data, na aming sasagutin sa loob ng makatwirang takdang panahon.

12. PAGPAPANATILI AT PAGBURA NG DATA

12.1 Habang May Bisa ang Kasunduan

Pananatilihin namin ang personal na data na pinoproseso sa iyong ngalan sa tagal ng Kasunduan at alinsunod sa iyong mga tagubilin sa pamamagitan ng mga Serbisyo. Kabilang sa mga partikular na panahon ng pagpapanatili para sa visitor data ang:

• Mga pag-uusap sa chatbot sa iyong website: Pinananatili nang tatlumpung (30) araw mula sa huling interaksyon sa bawat pag-uusap. Ang mga pag-uusap ay iniimbak sa loob ng mga visitor session sa edge infrastructure ng website at awtomatikong binubura kapag nag-expire ang session dahil sa hindi aktibidad.
• Mga pagsusumite ng form at nilalamang ginawa ng user sa iyong website: Pinananatili sa tagal ng kaugnay na website, maliban kung buburahin mo sila nang mas maaga sa pamamagitan ng mga tool ng platform.
• Data ng session para sa mga bisita ng iyong website: Awtomatikong binubura pagkalipas ng 30 araw ng hindi aktibidad.
• Naburang nilalaman ng bisita (mga pagsusumite ng form, komento, at iba pang nilalamang ginawa ng user sa iyong website): Kapag binura mo ang nilalaman ng bisita sa pamamagitan ng mga tool ng platform, inililipat ito sa soft-delete state at pinananatili nang hanggang tatlumpung (30) araw upang suportahan ang pagbawi. Pagkatapos ng panahong ito, permanenteng inaalis ang soft-deleted na nilalaman. Maaari mong permanenteng burahin kaagad ang nilalaman sa pamamagitan ng pag-purge nito mula sa recovery queue.
• Mga rekord ng pag-opt-out ng email sa iyong website: Pinapanatili sa tagal ng kaugnay na website, maliban kung mag-subscribe muli ang tatanggap. Ang mga rekord ng pag-opt-out ay tinatanggal kapag nawasak ang website.
• Analytics data: Pinananatili sa tagal ng kaugnay na website (nakadepende sa plan-based retention limits; ang analytics data ng free plan ay pinananatili nang siyamnapung (90) araw).

12.2 Sa Pagwawakas

Sa pagwawakas ng Kasunduan, o kapag hiniling mo, buburahin namin ang personal na data na pinoproseso sa iyong ngalan alinsunod sa mga kasanayan sa pagpapanatili ng data na inilalarawan sa Kasunduan (kabilang ang pitong (7) araw na grace period para sa mga pagbura ng account at website). Pagkatapos ng grace period, ang pagbura ay permanente at hindi na mababawi.

12.3 Mga Eksepsyon

Maaari naming panatilihin ang personal na data sa lawak na kinakailangan ng naaangkop na batas, o kung ang data ay na-anonymize at hindi na maaaring iugnay sa isang Data Subject.

13. TAGAL AT PAGWAWAKAS

Nagkakabisa ang DPA na ito sa petsa kung kailan mo tinatanggap ang Kasunduan at nananatiling may bisa hangga't pinoproseso namin ang personal na data sa iyong ngalan. Ang mga obligasyon sa pagiging kumpidensyal at proteksyon ng data na nakasaad sa DPA na ito ay nananatili kahit matapos ang pagwawakas ng Kasunduan.

14. LIMITASYON NG PANANAGUTAN

Ang pananagutan ng bawat partido sa ilalim ng DPA na ito ay napapailalim sa mga limitasyon ng pananagutan na itinakda sa Kasunduan.

15. MAKIPAG-UGNAYAN SA AMIN

Para sa mga tanong tungkol sa DPA na ito o upang gamitin ang iyong mga karapatan, makipag-ugnayan sa amin sa:

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Telepono: 888-389-1189
Email: legal@acira.ai