ДОДАТОК ДО УГОДИ ПРО ОБРОБКУ ДАНИХ

Останнє оновлення: 19 березня 2026 року

Цей Додаток до Угоди про Обробку Даних («DPA») є частиною Умов надання послуг («Угода») між Acira AI LLC («Обробник», «ми», «нас») та користувачем Послуг («Контролер», «ви») і доповнює Угоду щодо обробки персональних даних.

Цей DPA застосовується, коли ви використовуєте Послуги для створення, розміщення та публікації веб-сайтів, що збирають або обробляють персональні дані осіб, розташованих у Європейському економічному просторі («ЄЕП»), Великій Британії («UK») або Швейцарії, або у випадках, коли це вимагається чинним законодавством про захист даних.

Цей Додаток про обробку даних може бути перекладений іншими мовами для вашої зручності. У разі будь-якого конфлікту або невідповідності між англійською версією та будь-якою перекладеною версією, англійська версія матиме переважну силу.

ЗМІСТ

1. ВИЗНАЧЕННЯ
2. СФЕРА ЗАСТОСУВАННЯ ТА РОЛІ
3. ДЕТАЛІ ОБРОБКИ ДАНИХ
4. ЗОБОВ'ЯЗАННЯ ОБРОБНИКА
5. ЗОБОВ'ЯЗАННЯ КОНТРОЛЕРА
6. СУБОБРОБНИКИ
7. МІЖНАРОДНІ ПЕРЕДАЧІ ДАНИХ
8. ПРАВА СУБ'ЄКТІВ ДАНИХ
9. БЕЗПЕКА ДАНИХ
10. ПОВІДОМЛЕННЯ ПРО ПОРУШЕННЯ БЕЗПЕКИ ДАНИХ
11. АУДИТИ ТА ПЕРЕВІРКА ВІДПОВІДНОСТІ
12. ЗБЕРІГАННЯ ТА ВИДАЛЕННЯ ДАНИХ
13. СТРОК ДІЇ ТА ПРИПИНЕННЯ
14. ОБМЕЖЕННЯ ВІДПОВІДАЛЬНОСТІ
15. ЗВ'ЯЖІТЬСЯ З НАМИ

1. ВИЗНАЧЕННЯ

«Чинне законодавство про захист даних» означає всі закони та нормативні акти, що застосовуються до обробки персональних даних відповідно до цього DPA, включаючи (якщо застосовно) Загальний регламент про захист даних (EU) 2016/679 («GDPR»), UK GDPR, Швейцарський федеральний закон про захист даних («FADP») та Каліфорнійський закон про захист конфіденційності споживачів («CCPA»).

«Контролер» означає фізичну або юридичну особу, яка визначає цілі та засоби обробки персональних даних — у цьому контексті ви, користувач Послуг, що керує веб-сайтом через платформу.

«Суб'єкт даних» означає ідентифіковану або ідентифіковану фізичну особу, чиї персональні дані обробляються.

«Персональні дані» означають будь-яку інформацію, що стосується суб'єкта даних, яка обробляється через Послуги.

«Обробка» означає будь-яку операцію, що виконується над персональними даними, включаючи збір, запис, організацію, структурування, зберігання, адаптацію, пошук, консультування, використання, розкриття, поширення, обмеження, стирання або знищення.

«Обробник» означає фізичну або юридичну особу, яка обробляє персональні дані від імені Контролера — у цьому контексті Acira AI LLC.

«Субобробник» означає будь-яку третю сторону, залучену Обробником для обробки персональних даних від імені Контролера.

«Стандартні договірні положення» або «SCC» означають стандартні договірні положення для передачі персональних даних обробникам, що знаходяться у третіх країнах, прийняті Європейською комісією.

2. СФЕРА ЗАСТОСУВАННЯ ТА РОЛІ

2.1 Відносини обробки

Коли ви використовуєте Послуги для створення та управління веб-сайтом, який збирає персональні дані від відвідувачів вашого веб-сайту (через форми, облікові записи користувачів, взаємодії з чат-ботом, коментарі, відгуки або інші інтерактивні функції), ви виступаєте як Контролер, а ми — як Обробник таких персональних даних відвідувачів.

2.2 Наша роль як Контролера

Ми діємо як незалежний Контролер щодо персональних даних, які ми збираємо для власних цілей, включаючи: інформацію про ваш обліковий запис, дані про виставлення рахунків, аналітику використання, загальні характеристики веб-сайту, отримані зі вмісту вашого веб-сайту (такі як галузь або тип бізнесу), та дані про роботу платформи. Обробка цих даних регулюється нашою Політикою конфіденційності та знаходиться за межами дії цього DPA.

2.3 Аналітика платформи

Ми збираємо базову аналітику відвідувачів веб-сайту з урахуванням принципів конфіденційності (як описано в Угоді). Для аналітичних даних ми виступаємо спільним контролером разом з вами. Ми розробили нашу аналітику таким чином, щоб мінімізувати збір персональних даних — ми не зберігаємо вихідні IP-адреси, а ідентифікатори відвідувачів щодня змінюються. Відповідні обов'язки кожного спільного контролера такі:

• Acira AI (Обробник/Спільний контролер): Визначає технічні засоби збору аналітики, включаючи те, які точки даних збираються, як обчислюються ідентифікатори відвідувачів (щоденні хеші), і як дані агрегуються. Ми несемо відповідальність за безпеку та цілісність аналітичної інфраструктури та за відповідь на загальні запити про роботу аналітики на платформі.
• Ви (Контролер/Спільний контролер): Визначаєте, чи використовувати аналітику на вашому веб-сайті (аналітика за замовчуванням увімкнена як частина Послуг). Ви несете відповідальність за розкриття інформації про збір аналітичних даних у політиці конфіденційності вашого веб-сайту та за відповіді на запити суб'єктів даних від відвідувачів вашого веб-сайту щодо їхніх аналітичних даних.
• Точка контакту для суб'єктів даних: Суб'єкти даних можуть звертатися до вас (власника веб-сайту) щодо аналітичних даних, зібраних на вашому веб-сайті. Якщо ми отримаємо запит від суб'єкта даних щодо аналітичних даних, ми спрямуємо його до вас, якщо ви не дасте нам інших вказівок. Для загальних запитів щодо платформи суб'єкти даних можуть звернутися до нас за адресою legal@acira.ai.

2.4 Суть домовленості про спільний контроль

Відповідно до статті 26(2) GDPR, суть домовленості про спільний контроль для аналітичних даних є такою: Ми (Acira AI) визначаємо технічні засоби та точки даних для збору; ви (оператор веб-сайту) визначаєте, чи використовувати аналітику на вашому веб-сайті. Кожен із нас несе відповідальність за свої відповідні зобов'язання відповідно до чинного законодавства про захист даних. Ви є основною контактною особою для відвідувачів вашого веб-сайту щодо аналітичних даних. Резюме цієї домовленості доступне суб'єктам даних через цей DPA та на https://www.acira.ai/dpa.

2.5 Призначення постачальника послуг відповідно до CCPA

Тією мірою, якою ми обробляємо персональну інформацію, що підпадає під дію Каліфорнійського закону про захист конфіденційності споживачів («CCPA»), від вашого імені, ми є вашим «постачальником послуг» у розумінні Cal. Civ. Code § 1798.140(ag). Ми не будемо:

• Продавати або ділитися (у розумінні цих термінів відповідно до CCPA) будь-якою персональною інформацією, яку ви надаєте нам;
• Зберігати, використовувати або розкривати персональну інформацію для будь-якої мети, крім бізнес-цілей, зазначених у цьому DPA та Угоді, або як інакше дозволено CCPA;
• Зберігати, використовувати або розкривати персональну інформацію поза межами прямих ділових відносин між вами і нами;
• Поєднувати персональну інформацію, отриману від вас, з персональною інформацією, яку ми отримуємо від або від імені іншої особи, або яку ми збираємо з наших власних взаємодій із споживачами, за винятком випадків, дозволених CCPA.

Ми можемо отримувати загальні, неідентифікуючі бізнес-характеристики (такі як класифікація галузі) зі вмісту вашого веб-сайту з метою надання відповідних рекомендацій щодо продуктів, як описано в Розділі 2.2. Це обмежене використання не є продажем, обміном або об'єднанням персональної інформації в розумінні CCPA.

Ми підтверджуємо, що розуміємо ці обмеження та дотримуватимемося їх.

2.6 Оцінка представника відповідно до швейцарського FADP

Стаття 14 Швейцарського федерального закону про захист даних («FADP») вимагає від не-швейцарського приватного контролера призначити представника у Швейцарії лише тоді, коли виконуються всі чотири з наступних кумулятивних умов: (1) обробка пов'язана з пропозицією товарів або послуг особам у Швейцарії або моніторингом їхньої поведінки; (2) обробка здійснюється у великому масштабі; (3) обробка здійснюється регулярно; та (4) обробка становить високий ризик для особистих прав або основних прав суб'єктів даних.

Ми оцінили наші операції з обробки щодо цих умов і визначили, що хоча умови (1) і (3) виконуються, решта умов не виконується з таких причин:

• Не у великому масштабі: Ми є невеликою SaaS-платформою. Обсяг персональних даних резидентів Швейцарії, що обробляються через наші Послуги, є обмеженим і не становить обробки у великому масштабі в розумінні статті 14 FADP.
• Не високий ризик: Персональні дані, які ми обробляємо від імені операторів веб-сайтів, складаються переважно з псевдонімізованих ідентифікаторів аналітики (щоденних хешів), базових метаданих відвідувачів (країна, тип пристрою, браузер), вмісту форм та повідомлень чат-боту. Ми не обробляємо особливі категорії персональних даних (стаття 5(c) FADP) і не займаємося профілюванням з високим ризиком для суб'єктів даних. Федеральний уповноважений Швейцарії із захисту даних та інформації («FDPIC») зазначив, що це зобов'язання спрямоване насамперед на великі інтернет-платформи та соціальні мережі, що діють з-за кордону, що не відповідає характеристикам наших Послуг.

На підставі цієї оцінки ми дійшли висновку, що наразі ми не зобов'язані призначати представника у Швейцарії відповідно до статті 14 FADP. Ми будемо регулярно переглядати це рішення, у тому числі при суттєвих змінах у масштабі або характері нашої обробки, що зачіпає резидентів Швейцарії.

3. ДЕТАЛІ ОБРОБКИ ДАНИХ

3.1 Предмет та строки

Обробка персональних даних відповідно до цього DPA здійснюється з метою надання Послуг, описаних в Угоді, і продовжується протягом строку дії Угоди.

3.2 Характер та мета обробки

Ми обробляємо персональні дані для:

• Розміщення та обслуговування контенту вашого веб-сайту
• Зберігання та управління даними, поданими через форми та інтерактивні функції вашого веб-сайту
• Ведення облікових записів користувачів та сесій для захищених зон вашого веб-сайту
• Доставки електронних листів від вашого імені
• Пересилки електронних листів, отриманих на адреси вашого власного домену
• Забезпечення роботи чат-бота зі штучним інтелектом для спілкування з відвідувачами вашого веб-сайту
• Генерації описів та метаданих для завантажених файлів за допомогою ШІ
• Конвертації завантажених файлів у веб-оптимізовані формати
• Надання аналітики відвідувачів
• Отримання загальних характеристик веб-сайту (таких як галузь або тип бізнесу) для надання відповідних рекомендацій платформи
• Виявлення та запобігання спаму та зловживанням (включаючи бот-виклики з підтвердженням роботи)
• Виконання модерації вмісту завантажених файлів
• Перевірки вмісту веб-сайту під час публікації на відповідність політикам контенту платформи
• Керувати налаштуваннями відмови від електронної пошти для одержувачів електронної пошти вашого веб-сайту
• Забезпечення комунікацій у реальному часі на вашому веб-сайті через WebSocket-з'єднання (повідомлення є тимчасовими і не зберігаються)
• Ведення журналів помилок та діагностики для надійності платформи та усунення несправностей (може включати IP-адреси та метадані запитів; зберігається до тридцяти (30) днів)

3.3 Типи персональних даних

Типи персональних даних, що обробляються, залежать від того, що ви збираєте через свій веб-сайт, і можуть включати:

• Імена та контактну інформацію
• Адреси електронної пошти
• Повідомлення та форми
• Завантаження файлів відвідувачами веб-сайту (наприклад, зображення та документи)
• Вміст розмов з чат-ботом (повідомлення відвідувачів та відповіді ШІ)
• Облікові дані користувачів (зберігаються у хешованому вигляді)
• Дані сесій
• IP-адреси (не зберігаються в аналітиці — зберігається лише щоденний хеш; зберігаються як метадані разом із поданими формами та розмовами з чат-ботом; тимчасово використовуються та хешуються для перевірки бот-виклику; тимчасово зберігаються для обмеження швидкості до семи (7) днів та автоматично видаляються)
• Інформація про браузер та пристрій
• Дані про місцезнаходження (на рівні країни та регіону, отримані з IP)
• Записи про відмову від електронної пошти (зберігаються як криптографічні хеші адрес електронної пошти одержувачів; не зберігаються у необробленій формі)
• Результати класифікації спаму (чи було подання визначено як спам)
• Дані журналів помилок та діагностики (IP-адреси, шляхи запитів та деталі помилок; зберігаються до тридцяти (30) днів та автоматично видаляються)

3.4 Категорії суб'єктів даних

• Відвідувачі вашого веб-сайту
• Користувачі, які створюють облікові записи на вашому веб-сайті
• Користувачі, які подають форми або взаємодіють з чат-ботами на вашому веб-сайті
• Користувачі, які залишають коментарі, відгуки або інші матеріали на вашому веб-сайті

4. ЗОБОВ'ЯЗАННЯ ОБРОБНИКА

Ми зобов'язуємося:

1. Обробляти персональні дані лише відповідно до ваших задокументованих інструкцій, якщо інше не вимагається чинним законодавством (у такому випадку ми повідомимо вас про цю правову вимогу перед обробкою, якщо законодавство не забороняє цього);
2. Забезпечити, щоб особи, уповноважені на обробку персональних даних, взяли на себе зобов'язання дотримуватися конфіденційності або перебували під відповідним законодавчим зобов'язанням щодо конфіденційності;
3. Вжити відповідних технічних та організаційних заходів безпеки, описаних у Розділі 9;
4. Дотримуватися умов залучення субобробників, викладених у Розділі 6;
5. З урахуванням характеру обробки, надавати вам допомогу у відповідях на запити суб'єктів даних, які реалізують свої права відповідно до чинного законодавства про захист даних;
6. З урахуванням характеру обробки та наявної у нас інформації, надавати вам допомогу у забезпеченні дотримання ваших зобов'язань відповідно до статей 32–36 GDPR (безпека, повідомлення про порушення, оцінка впливу на захист даних та попередня консультація). У випадках, коли використання вами Послуг пов'язане з обробкою з високим ризиком, що може потребувати оцінки впливу на захист даних (DPIA), ми надамо вам інформацію про наші операції з обробки, технічні та організаційні заходи та субобробників для підтримки вашої оцінки;
7. Надавати вам допомогу у виконанні ваших зобов'язань відповідно до статті 22 GDPR (автоматизоване індивідуальне прийняття рішень), надаючи інформацію про будь-яку автоматизовану обробку, що здійснюється від вашого імені, включаючи модерацію контенту, виявлення спаму та захист від ботів, та сприяючи перегляду автоматизованих рішень людиною на запит;
8. Повідомляти вас, якщо, на нашу думку, інструкція від вас порушує чинне законодавство про захист даних;
9. На ваш вибір, видалити або повернути всі персональні дані після закінчення надання Послуг та видалити існуючі копії, якщо зберігання не вимагається чинним законодавством;
10. Надавати вам всю необхідну інформацію для демонстрації дотримання зобов'язань, передбачених у цьому DPA, та сприяти перевірці відповідності, як описано в Розділі 11.

5. ЗОБОВ'ЯЗАННЯ КОНТРОЛЕРА

Ви зобов'язуєтеся:

1. Забезпечити, щоб збір та обробка персональних даних через ваш веб-сайт відповідали всьому чинному законодавству про захист даних;
2. Надавати відповідні повідомлення про конфіденційність відвідувачам вашого веб-сайту, що описують ваші практики збору даних, включаючи розкриття аналітики рівня платформи, взаємодій з чат-ботом на основі ШІ, виявлення спаму та захисту від ботів;
3. Отримати всі необхідні згоди або встановити іншу правову підставу для обробки персональних даних через ваш веб-сайт;
4. Забезпечити, щоб ваші інструкції нам щодо обробки персональних даних відповідали чинному законодавству про захист даних;
5. Нести відповідальність за точність, якість та законність персональних даних, наданих нам через ваш веб-сайт.

Використовуючи Послуги, ви доручаєте нам виконувати від вашого імені такі операції обробки як частину стандартних операцій платформи: модерація вмісту завантажених файлів, перевірка опублікованого контенту веб-сайту на відповідність політиці контенту, виявлення спаму у поданих формах, захист від ботів за допомогою викликів з підтвердженням роботи, та взаємодії з чат-ботом на основі ШІ з відвідувачами вашого веб-сайту. Ці дії є задокументованими інструкціями відповідно до статті 28(3)(a) GDPR.

6. СУБОБРОБНИКИ

6.1 Уповноважені субобробники

Ви надаєте нам загальний дозвіл на залучення субобробників для надання допомоги у наданні Послуг. Наші поточні субобробники перелічені нижче та на https://www.acira.ai/dpa.

6.2 Поточний перелік субобробників

6.3 Зміни до субобробників

Ми повідомлятимемо вас про будь-які заплановані зміни у списку підобробників для Послуг, якими ви зараз користуєтесь, шляхом оновлення списку підобробників на https://www.acira.ai/dpa щонайменше за чотирнадцять (14) днів до того, як новий підобробник почне обробляти персональні дані. Коли ми впроваджуємо нові функції або послуги, що передбачають залучення додаткових підобробників, ці підобробники будуть розкриті на момент, коли відповідна функція або послуга стане доступною; ваше використання нової функції або послуги означає прийняття розкритих підобробників. Ви несете відповідальність за регулярний перегляд списку підобробників щодо змін. Якщо у вас є обґрунтоване заперечення проти обробки даних новим підобробником для наявних Послуг, ви можете повідомити нас у письмовій формі протягом чотирнадцяти (14) днів після публікації відповідної зміни. Ми будемо сумлінно співпрацювати з вами для вирішення ваших concerns. Якщо ми не зможемо вирішити заперечення до вашого обґрунтованого задоволення, ви можете розірвати Угоду, надавши письмове повідомлення.

6.4 Зобов'язання субобробників

Ми укладатимемо письмові угоди з кожним субобробником, що передбачають зобов'язання щодо захисту даних не менш захисні, ніж передбачені цим DPA. Ми залишаємося відповідальними за дії та бездіяльність наших субобробників тією ж мірою, якою ми несли б відповідальність, якби надавали послуги безпосередньо.

7. МІЖНАРОДНІ ПЕРЕДАЧІ ДАНИХ

7.1 Механізми передачі

Послуги переважно розміщені в США. Персональні дані, що обробляються через Послуги, можуть передаватися до США та інших країн, де діють наші субобробники, та оброблятися там. AI-провайдери інференції (Fireworks AI та xAI) обробляють дані в США. BrightData може обробляти дані в Ізраїлі та інших місцях по всьому світу. Cloudflare обробляє дані в edge-локаціях по всьому світу.

Резидентність даних у ЄС: Для операторів сайтів, ідентифікованих як резиденти ЄС, ми застосовуємо наступні заходи резидентності даних для мінімізації передачі персональних даних відвідувачів за межі Європейського Союзу:

• Зберігання: Дані відвідувачів у постійному edge-сховищі — включаючи подання форм, розмови чат-бота, дані сесій та дані таблиць користувачів — юрисдикційно обмежені Європейським Союзом. Ці дані зберігаються виключно в центрах обробки даних ЄС.
• Автоматизована обробка, орієнтована на відвідувачів: Операції, що автоматично запускаються активністю відвідувачів — включаючи сповіщення про надсилання контенту та транзакційну доставку електронної пошти — обробляються в межах Європейського Союзу і не проходять через інфраструктуру США.
• Доступ до управління платформою: Коли ви отримуєте доступ до даних відвідувачів вашого сайту через панель управління платформою або розмовний інтерфейс (наприклад, переглядаєте подання форм або керуєте записами користувачів), ці дані можуть оброблятися через нашу інфраструктуру в США для виконання вашого запиту. Ці передачі здійснюються за запитом, ініціюються вами (Контролером) та захищені механізмами передачі та додатковими заходами, описаними нижче.
• Інша обробка в США: Аналітичні дані та дані, що обробляються нашою хмарною інфраструктурою в США для модерації контенту та AI-інференції, все ще можуть передаватися до Сполучених Штатів відповідно до механізмів передачі, описаних нижче.

Для передачі персональних даних з ЄЕП, UK або Швейцарії до країн, не визнаних такими, що забезпечують належний рівень захисту даних, ми покладаємося на:

1. Стандартні договірні положення (SCC): Ми включаємо Стандартні договірні положення Європейської комісії до цього DPA шляхом посилання: Модуль перший (Контролер до Контролера) для аналітичних даних, де ми виступаємо спільним контролером (див. Розділ 2.3), та Модуль другий (Контролер до Обробника) для всіх інших персональних даних, що обробляються від вашого імені. SCC доступні на https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Доповнення UK до міжнародної передачі даних: Для передачі з UK застосовується Доповнення UK до EU SCC.
3. Швейцарські механізми передачі даних: Для передачі зі Швейцарії SCC застосовуються з модифікаціями, що вимагаються швейцарським FADP.

7.2 Додаткові заходи

Ми вживаємо наступних додаткових заходів для захисту переданих персональних даних:

• Шифрування даних при передачі (TLS/SSL) та в стані спокою
• Механізми контролю доступу та автентифікації
• Регулярні оцінки безпеки
• Практики мінімізації даних (наприклад, щоденні хеші відвідувачів замість зберігання вихідних IP)
• Юрисдикційна резидентність даних для операторів сайтів, які є резидентами ЄС (постійне сховище та автоматизована обробка для відвідувачів обмежені ЄС)
• Розташована в ЄС обчислювальна та поштова інфраструктура для автоматизованих операцій, орієнтованих на відвідувачів (сповіщення про надсилання контенту та транзакційна доставка електронної пошти, що обробляються в Європейському Союзі для операторів веб-сайтів, які проживають в ЄС)

7.3 Оцінка впливу передачі

Ці додаткові заходи ґрунтуються на нашій оцінці законів та практик країн-одержувачів, з урахуванням характеру переданих даних, використовуваного механізму передачі та наявних технічних та організаційних заходів захисту. Ми оцінили, що описані вище додаткові заходи разом із зобов'язаннями в SCC забезпечують належний рівень захисту для переданих персональних даних. Наша Оцінка впливу передачі доступна на https://www.acira.ai/tia.

7.4 Передача даних до Канади

Для передачі персональних даних з Канади ми покладаємося на такі захисні заходи, щоб забезпечити, що персональні дані, передані за межі Канади, отримують порівнянний рівень захисту, що вимагається відповідно до Закону про захист персональної інформації та електронні документи (PIPEDA) та чинного провінційного законодавства про конфіденційність (включаючи PIPA Альберти, PIPA Британської Колумбії та Квебекський закон про захист персональної інформації у приватному секторі):

1. Договірний захист: Письмові угоди про обробку даних з кожним субобробником, що зобов'язують захищати персональні дані відповідно до стандарту, сумісного з канадським законодавством про конфіденційність, включаючи вимоги щодо відповідних заходів безпеки, обмежень використання, повідомлення про порушення та доступу суб'єктів даних.
2. Технічні захисні заходи: Ті самі заходи шифрування, псевдонімізації, контролю доступу та мінімізації даних, описані в Розділі 7.2, застосовуються до передачі даних до Канади.
3. Організаційні захисні заходи: Перевірка субобробників, зобов'язання щодо конфіденційності для персоналу та задокументовані процедури реагування на інциденти, як описано в цьому DPA.

Ми відстежуємо розвиток канадського законодавства про конфіденційність, включаючи запропонований Закон про захист конфіденційності споживачів (CPPA), та оновлюватимемо наші механізми передачі за необхідності.

8. ПРАВА СУБ'ЄКТІВ ДАНИХ

8.1 Допомога із запитами

Ми будемо надавати вам допомогу у відповідях на запити суб'єктів даних, які реалізують свої права відповідно до чинного законодавства про захист даних, включаючи права на доступ, виправлення, видалення, обмеження, переносимість та заперечення.

8.2 Повідомлення

Якщо ми отримаємо запит безпосередньо від суб'єкта даних щодо персональних даних, що обробляються від вашого імені, ми негайно повідомимо вас і не відповідатимемо на запит без ваших інструкцій, якщо це не вимагається чинним законодавством.

8.3 Інструменти платформи

Ми надаємо інструменти в межах Послуг для допомоги у виконанні запитів суб'єктів даних, включаючи:

• Доступ до даних, що зберігаються в базах даних вашого веб-сайту, та управління ними
• Видалення окремих записів з баз даних вашого веб-сайту
• На запит, ми можемо надати експорт даних у форматі ZIP для допомоги у виконанні зобов'язань щодо переносимості даних

9. БЕЗПЕКА ДАНИХ

9.1 Заходи безпеки

Ми впроваджуємо та підтримуємо відповідні технічні та організаційні заходи для захисту персональних даних від несанкціонованої або незаконної обробки та від випадкової втрати, знищення або пошкодження. Ці заходи включають:

• Шифрування: Дані шифруються при передачі за допомогою TLS/SSL та в стані спокою із використанням галузевого стандарту шифрування
• Контроль доступу: Рольовий контроль доступу, багатофакторна автентифікація для адміністрування платформи, політики доступу з мінімальними привілеями
• Безпека інфраструктури: Керована хмарна інфраструктура з автоматизованим виправленням безпеки, захистом від DDoS та брандмауером веб-додатків (WAF)
• Ізоляція даних: Ізоляція даних для кожного веб-сайту через виділені екземпляри сховища
• Моніторинг: Автоматизований моніторинг безпеки, виявлення вторгнень та структуроване журналювання
• Безпека облікових даних: Усі API-ключі та секрети зберігаються у спеціалізованих сервісах управління секретами; паролі користувачів хешуються з використанням надійних криптографічних алгоритмів з індивідуальними солями для кожного користувача
• Захист від ботів: Системи викликів з підтвердженням роботи для запобігання автоматизованим зловживанням

9.2 Конфіденційність

Ми забезпечуємо, щоб усі особи, уповноважені на обробку персональних даних, були пов'язані зобов'язаннями щодо конфіденційності.

10. ПОВІДОМЛЕННЯ ПРО ПОРУШЕННЯ БЕЗПЕКИ ДАНИХ

10.1 Повідомлення Контролера

Ми повідомимо вас без невиправданої затримки після підтвердження порушення безпеки персональних даних, що зачіпає персональні дані, що обробляються від вашого імені. Повідомлення буде надіслане на контактну інформацію, пов'язану з вашим обліковим записом.

10.2 Зміст повідомлення

Наше повідомлення про порушення міститиме, у міру наявності:

1. Опис характеру порушення, включаючи категорії та приблизну кількість суб'єктів даних та записів;
2. Ім'я та контактні дані нашого контакту з питань захисту даних;
3. Опис можливих наслідків порушення;
4. Опис вжитих або запропонованих заходів для усунення порушення та пом'якшення його наслідків.

10.3 Ваші зобов'язання

Ви несете відповідальність за повідомлення відповідного наглядового органу та постраждалих суб'єктів даних про порушення безпеки персональних даних відповідно до вимог чинного законодавства про захист даних. Ми будемо співпрацювати з вами та надавати розумну допомогу для дотримання ваших зобов'язань щодо повідомлення про порушення.

11. АУДИТИ ТА ПЕРЕВІРКА ВІДПОВІДНОСТІ

11.1 Документація відповідності

Для демонстрації нашої відповідності цьому DPA ми надамо вам за обґрунтованим письмовим запитом (до одного разу на рік) наступне:

1. Відповідні аудиторські звіти третіх сторін, сертифікати або резюме оцінок безпеки;
2. Резюме наших поточних технічних та організаційних заходів безпеки;
3. Інформацію про нашу діяльність з обробки даних, субпроцесорів та практики захисту даних.

Коли ми покладаємось на сторонніх постачальників інфраструктури (таких як AWS та Cloudflare), їхні сертифікати безпеки та документація відповідності доступні через відповідні програми довіри та відповідності.

11.2 Додаткові запити

Якщо документація, надана відповідно до Розділу 11.1, не вирішує обґрунтовано ваші питання відповідності, ви можете надіслати конкретні письмові запитання щодо наших практик захисту даних, на які ми відповімо в розумний термін.

12. ЗБЕРІГАННЯ ТА ВИДАЛЕННЯ ДАНИХ

12.1 Протягом дії Угоди

Ми зберігатимемо персональні дані, що обробляються від вашого імені, протягом строку дії Угоди та відповідно до ваших інструкцій через Послуги. Конкретні строки зберігання даних відвідувачів включають:

• Розмови з чат-ботом на вашому веб-сайті: Зберігаються тридцять (30) днів з моменту останньої взаємодії в кожній розмові. Розмови зберігаються в сесіях відвідувачів в edge-інфраструктурі веб-сайту та автоматично видаляються після закінчення терміну дії сесії через неактивність.
• Подання форм та контент, створений користувачами на вашому веб-сайті: Зберігаються протягом існування відповідного веб-сайту, якщо ви не видалите їх раніше через інструменти платформи.
• Дані сесій відвідувачів вашого веб-сайту: Автоматично видаляються після 30 днів неактивності.
• Видалений контент відвідувачів (подання форм, коментарі та інший контент, створений користувачами на вашому веб-сайті): Коли ви видаляєте контент відвідувачів через інструменти платформи, він переходить у стан м'якого видалення та зберігається до тридцяти (30) днів для підтримки відновлення. Після цього терміну м'яко видалений контент видаляється назавжди. Ви можете негайно остаточно видалити контент, очистивши його з черги відновлення.
• Записи про відмову від електронної пошти на вашому веб-сайті: Зберігаються протягом терміну дії пов'язаного веб-сайту, якщо одержувач не підпишеться повторно. Записи про відмову видаляються при знищенні веб-сайту.
• Аналітичні дані: Зберігаються протягом існування відповідного веб-сайту (відповідно до обмежень зберігання на основі тарифного плану; аналітичні дані безкоштовного плану зберігаються дев'яносто (90) днів).

12.2 Після припинення

Після припинення дії Угоди або за вашим запитом ми видалимо персональні дані, що обробляються від вашого імені, відповідно до практик зберігання даних, описаних в Угоді (включаючи пільговий період сім (7) днів для видалення облікових записів та веб-сайтів). Після закінчення пільгового періоду видалення є остаточним і незворотним.

12.3 Винятки

Ми можемо зберігати персональні дані у тій мірі, яка вимагається чинним законодавством, або якщо дані було знеособлено і вони більше не можуть бути пов'язані з суб'єктом даних.

13. СТРОК ДІЇ ТА ПРИПИНЕННЯ

Цей DPA набирає чинності з дати прийняття вами Угоди і залишається в силі до тих пір, поки ми обробляємо персональні дані від вашого імені. Зобов'язання щодо конфіденційності та захисту даних, викладені в цьому DPA, зберігають силу після припинення дії Угоди.

14. ОБМЕЖЕННЯ ВІДПОВІДАЛЬНОСТІ

Відповідальність кожної зі сторін за цим DPA обмежується обмеженнями відповідальності, викладеними в Угоді.

15. ЗВ'ЯЖІТЬСЯ З НАМИ

З питань щодо цього DPA або для реалізації ваших прав зверніться до нас:

Acira AI LLC
Кому: Захист даних
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Телефон: 888-389-1189
Електронна пошта: legal@acira.ai