PHỤ LỤC XỬ LÝ DỮ LIỆU

Cập nhật lần cuối: Ngày 19 tháng 3 năm 2026

Phụ lục Xử lý Dữ liệu này ("DPA") là một phần của Điều khoản và Điều kiện ("Thỏa thuận") giữa Acira AI LLC ("Bên xử lý", "chúng tôi") và người dùng Dịch vụ ("Bên kiểm soát", "bạn"), và bổ sung Thỏa thuận về việc xử lý dữ liệu cá nhân.

DPA này áp dụng khi bạn sử dụng Dịch vụ để tạo, lưu trữ và xuất bản các trang web thu thập hoặc xử lý dữ liệu cá nhân của các cá nhân tại Khu vực Kinh tế Châu Âu ("EEA"), Vương quốc Anh ("UK") hoặc Thụy Sĩ, hoặc khi có yêu cầu theo luật bảo vệ dữ liệu hiện hành.

DPA này có thể được dịch sang các ngôn ngữ khác để thuận tiện cho bạn. Trong trường hợp có bất kỳ xung đột hoặc không nhất quán nào giữa phiên bản tiếng Anh và bất kỳ phiên bản dịch nào, phiên bản tiếng Anh sẽ được ưu tiên áp dụng.

MỤC LỤC

1. ĐỊNH NGHĨA
2. PHẠM VI VÀ VAI TRÒ
3. CHI TIẾT XỬ LÝ DỮ LIỆU
4. NGHĨA VỤ CỦA BÊN XỬ LÝ
5. NGHĨA VỤ CỦA BÊN KIỂM SOÁT
6. BÊN XỬ LÝ PHỤ
7. CHUYỂN DỮ LIỆU QUỐC TẾ
8. QUYỀN CỦA CHỦ THỂ DỮ LIỆU
9. BẢO MẬT DỮ LIỆU
10. THÔNG BÁO VI PHẠM DỮ LIỆU
11. Kiểm toán và Xác minh Tuân thủ
12. LƯU GIỮ VÀ XÓA DỮ LIỆU
13. THỜI HẠN VÀ CHẤM DỨT
14. GIỚI HẠN TRÁCH NHIỆM
15. LIÊN HỆ VỚI CHÚNG TÔI

1. ĐỊNH NGHĨA

"Luật Bảo vệ Dữ liệu Hiện hành" có nghĩa là tất cả các luật và quy định áp dụng cho việc xử lý dữ liệu cá nhân theo DPA này, bao gồm (nếu có) Quy định Bảo vệ Dữ liệu Chung (EU) 2016/679 ("GDPR"), UK GDPR, Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu ("FADP") và Đạo luật Quyền riêng tư của Người tiêu dùng California ("CCPA").

"Bên kiểm soát" có nghĩa là thể nhân hoặc pháp nhân xác định mục đích và phương tiện xử lý dữ liệu cá nhân — trong bối cảnh này là bạn, người dùng Dịch vụ vận hành trang web thông qua nền tảng.

"Chủ thể dữ liệu" có nghĩa là thể nhân đã được xác định hoặc có thể xác định được có dữ liệu cá nhân được xử lý.

"Dữ liệu cá nhân" có nghĩa là bất kỳ thông tin nào liên quan đến Chủ thể dữ liệu được xử lý thông qua Dịch vụ.

"Xử lý" có nghĩa là bất kỳ hoạt động nào được thực hiện trên dữ liệu cá nhân, bao gồm thu thập, ghi chép, tổ chức, cấu trúc hóa, lưu trữ, điều chỉnh, truy xuất, tham khảo, sử dụng, tiết lộ, phổ biến, hạn chế, xóa hoặc tiêu hủy.

"Bên xử lý" có nghĩa là thể nhân hoặc pháp nhân xử lý dữ liệu cá nhân thay mặt Bên kiểm soát — trong bối cảnh này là Acira AI LLC.

"Bên xử lý phụ" có nghĩa là bất kỳ bên thứ ba nào được Bên xử lý thuê để xử lý dữ liệu cá nhân thay mặt Bên kiểm soát.

"Điều khoản Hợp đồng Tiêu chuẩn" hoặc "SCCs" có nghĩa là các điều khoản hợp đồng tiêu chuẩn để chuyển dữ liệu cá nhân đến các bên xử lý được thành lập tại các nước thứ ba, được Ủy ban Châu Âu thông qua.

2. PHẠM VI VÀ VAI TRÒ

2.1 Quan hệ Xử lý

Khi bạn sử dụng Dịch vụ để tạo và vận hành một trang web thu thập dữ liệu cá nhân từ khách truy cập trang web của bạn (thông qua biểu mẫu, tài khoản người dùng, tương tác chatbot, bình luận, đánh giá hoặc các tính năng tương tác khác), bạn đóng vai trò là Bên kiểm soát và chúng tôi đóng vai trò là Bên xử lý dữ liệu cá nhân của khách truy cập đó.

2.2 Vai trò của Chúng tôi với tư cách là Bên kiểm soát

Chúng tôi hoạt động với tư cách là Bên kiểm soát độc lập đối với dữ liệu cá nhân mà chúng tôi thu thập cho mục đích riêng, bao gồm: thông tin tài khoản của bạn, dữ liệu thanh toán, phân tích sử dụng, đặc điểm chung của trang web được rút ra từ nội dung trang web của bạn (chẳng hạn như ngành hoặc loại hình kinh doanh), và dữ liệu vận hành nền tảng. Việc xử lý dữ liệu này được điều chỉnh bởi Chính sách Quyền riêng tư của chúng tôi và nằm ngoài phạm vi của DPA này.

2.3 Phân tích Nền tảng

Chúng tôi thu thập các phân tích cơ bản, thân thiện với quyền riêng tư về khách truy cập trang web (như được mô tả trong Thỏa thuận). Đối với dữ liệu phân tích, chúng tôi đóng vai trò là đồng kiểm soát với bạn. Chúng tôi đã thiết kế hệ thống phân tích để giảm thiểu việc thu thập dữ liệu cá nhân — chúng tôi không lưu trữ địa chỉ IP thô và số nhận dạng khách truy cập được thay đổi hàng ngày. Trách nhiệm của từng đồng kiểm soát như sau:

• Acira AI (Bên xử lý/Đồng kiểm soát): Xác định các phương tiện kỹ thuật thu thập phân tích, bao gồm dữ liệu nào được thu thập, cách tính toán số nhận dạng khách truy cập (hàm băm thay đổi hàng ngày) và cách dữ liệu được tổng hợp. Chúng tôi chịu trách nhiệm về bảo mật và tính toàn vẹn của cơ sở hạ tầng phân tích và trả lời các câu hỏi chung về cách hoạt động của phân tích trên nền tảng.
• Bạn (Bên kiểm soát/Đồng kiểm soát): Xác định có sử dụng phân tích trên trang web của bạn hay không (phân tích được bật theo mặc định như một phần của Dịch vụ). Bạn có trách nhiệm tiết lộ việc thu thập dữ liệu phân tích trong chính sách quyền riêng tư của trang web và trả lời các yêu cầu của Chủ thể dữ liệu từ khách truy cập trang web của bạn liên quan đến dữ liệu phân tích của họ.
• Đầu mối liên hệ cho Chủ thể dữ liệu: Chủ thể dữ liệu có thể liên hệ với bạn (chủ trang web) về dữ liệu phân tích được thu thập trên trang web của bạn. Nếu chúng tôi nhận được yêu cầu từ Chủ thể dữ liệu liên quan đến dữ liệu phân tích, chúng tôi sẽ chuyển hướng họ đến bạn trừ khi bạn có hướng dẫn khác. Đối với các câu hỏi chung về nền tảng, Chủ thể dữ liệu có thể liên hệ với chúng tôi tại legal@acira.ai.

2.4 Bản chất của Thỏa thuận Đồng kiểm soát

Theo Điều 26(2) của GDPR, bản chất của thỏa thuận đồng kiểm soát đối với dữ liệu phân tích như sau: Chúng tôi (Acira AI) xác định các phương tiện kỹ thuật và điểm dữ liệu được thu thập; bạn (người vận hành trang web) xác định có sử dụng phân tích trên trang web của bạn hay không. Mỗi bên chịu trách nhiệm về các nghĩa vụ tương ứng của mình theo Luật Bảo vệ Dữ liệu Hiện hành. Bạn là đầu mối liên hệ chính cho khách truy cập trang web của bạn về dữ liệu phân tích. Tóm tắt về thỏa thuận này được cung cấp cho Chủ thể dữ liệu thông qua DPA này và tại https://www.acira.ai/dpa.

2.5 Chỉ định Nhà cung cấp Dịch vụ theo CCPA

Trong phạm vi chúng tôi xử lý thông tin cá nhân thuộc Đạo luật Quyền riêng tư của Người tiêu dùng California ("CCPA") thay mặt bạn, chúng tôi là "nhà cung cấp dịch vụ" của bạn theo định nghĩa tại Cal. Civ. Code § 1798.140(ag). Chúng tôi sẽ không:

• Bán hoặc chia sẻ (theo nghĩa được định nghĩa trong CCPA) bất kỳ thông tin cá nhân nào bạn cung cấp cho chúng tôi;
• Lưu giữ, sử dụng hoặc tiết lộ thông tin cá nhân cho bất kỳ mục đích nào ngoài các mục đích kinh doanh được quy định trong DPA và Thỏa thuận này, hoặc ngoài phạm vi được CCPA cho phép;
• Lưu giữ, sử dụng hoặc tiết lộ thông tin cá nhân ngoài mối quan hệ kinh doanh trực tiếp giữa bạn và chúng tôi;
• Kết hợp thông tin cá nhân nhận được từ bạn với thông tin cá nhân mà chúng tôi nhận được từ hoặc thay mặt cho người khác hoặc thu thập từ các tương tác của chúng tôi với người tiêu dùng, ngoại trừ những trường hợp được CCPA cho phép.

Chúng tôi có thể rút ra các đặc điểm kinh doanh chung, không nhận dạng (chẳng hạn như phân loại ngành) từ nội dung trang web của bạn nhằm mục đích cung cấp các đề xuất sản phẩm liên quan, như được mô tả trong Mục 2.2. Việc sử dụng hạn chế này không cấu thành việc bán, chia sẻ hoặc kết hợp thông tin cá nhân theo nghĩa của CCPA.

Chúng tôi xác nhận rằng chúng tôi hiểu và sẽ tuân thủ các hạn chế này.

2.6 Đánh giá Đại diện theo FADP Thụy Sĩ

Điều 14 của Đạo luật Liên bang Thụy Sĩ về Bảo vệ Dữ liệu ("FADP") yêu cầu bên kiểm soát tư nhân không phải Thụy Sĩ phải chỉ định đại diện tại Thụy Sĩ chỉ khi tất cả bốn điều kiện tích lũy sau đây được đáp ứng: (1) việc xử lý liên quan đến việc cung cấp hàng hóa hoặc dịch vụ cho, hoặc giám sát hành vi của, những người tại Thụy Sĩ; (2) việc xử lý ở quy mô lớn; (3) việc xử lý diễn ra thường xuyên; và (4) việc xử lý gây ra rủi ro cao đối với quyền nhân thân hoặc quyền cơ bản của chủ thể dữ liệu.

Chúng tôi đã đánh giá các hoạt động xử lý của mình theo các điều kiện này và xác định rằng trong khi các điều kiện (1) và (3) được đáp ứng, các điều kiện còn lại không được thỏa mãn vì những lý do sau:

• Không phải quy mô lớn: Chúng tôi là một nền tảng SaaS nhỏ. Khối lượng dữ liệu cá nhân của người dân Thụy Sĩ được xử lý thông qua Dịch vụ của chúng tôi còn hạn chế và không cấu thành xử lý ở quy mô lớn theo nghĩa của Điều 14 FADP.
• Không có rủi ro cao: Dữ liệu cá nhân mà chúng tôi xử lý thay mặt các nhà vận hành trang web chủ yếu bao gồm số nhận dạng phân tích được mã hóa giả danh (hàm băm thay đổi hàng ngày), siêu dữ liệu khách truy cập cơ bản (quốc gia, loại thiết bị, trình duyệt), nội dung gửi biểu mẫu và tin nhắn chatbot. Chúng tôi không xử lý các loại dữ liệu cá nhân đặc biệt (Điều 5(c) FADP), và không thực hiện việc lập hồ sơ có rủi ro cao đối với chủ thể dữ liệu. Ủy viên Bảo vệ Dữ liệu và Thông tin Liên bang Thụy Sĩ ("FDPIC") đã chỉ ra rằng nghĩa vụ này chủ yếu nhắm vào các nền tảng internet lớn và mạng xã hội hoạt động từ nước ngoài, điều này không mô tả Dịch vụ của chúng tôi.

Dựa trên đánh giá này, chúng tôi kết luận rằng hiện tại chúng tôi không bắt buộc phải chỉ định đại diện tại Thụy Sĩ theo Điều 14 FADP. Chúng tôi sẽ định kỳ đánh giá lại kết luận này, bao gồm khi có những thay đổi quan trọng về quy mô hoặc tính chất của các hoạt động xử lý của chúng tôi ảnh hưởng đến người dân Thụy Sĩ.

3. CHI TIẾT XỬ LÝ DỮ LIỆU

3.1 Đối tượng và Thời hạn

Việc xử lý dữ liệu cá nhân theo DPA này được thực hiện nhằm mục đích cung cấp Dịch vụ như được mô tả trong Thỏa thuận và sẽ tiếp tục trong suốt thời hạn của Thỏa thuận.

3.2 Tính chất và Mục đích Xử lý

Chúng tôi xử lý dữ liệu cá nhân để:

• Lưu trữ và phục vụ nội dung trang web của bạn
• Lưu trữ và quản lý dữ liệu được gửi qua các biểu mẫu và tính năng tương tác của trang web
• Duy trì tài khoản người dùng và phiên làm việc cho các khu vực được bảo vệ của trang web
• Gửi thông tin liên lạc qua email thay mặt bạn
• Chuyển tiếp email nhận được tại địa chỉ email tên miền tùy chỉnh của bạn
• Cung cấp cuộc trò chuyện chatbot AI với khách truy cập trang web của bạn
• Tạo mô tả và siêu dữ liệu được hỗ trợ bởi AI cho các tệp đã tải lên
• Chuyển đổi các tệp đã tải lên sang định dạng tối ưu cho web
• Cung cấp phân tích khách truy cập
• Rút ra đặc điểm chung của trang web (chẳng hạn như ngành hoặc loại hình kinh doanh) để cung cấp các đề xuất nền tảng liên quan
• Phát hiện và ngăn chặn spam và lạm dụng (bao gồm cả thử thách bot bằng bằng chứng công việc)
• Thực hiện kiểm duyệt nội dung trên các tệp đã tải lên
• Xem xét nội dung trang web trong quá trình xuất bản để đảm bảo tuân thủ chính sách nội dung nền tảng
• Quản lý tùy chọn hủy đăng ký email cho người nhận email của trang web của bạn
• Tạo điều kiện cho các kênh liên lạc thời gian thực trên trang web của bạn thông qua kết nối WebSocket (tin nhắn là tạm thời và không được lưu trữ lâu dài)
• Duy trì nhật ký lỗi và chẩn đoán để đảm bảo độ tin cậy của nền tảng và khắc phục sự cố (có thể bao gồm địa chỉ IP và siêu dữ liệu yêu cầu; được lưu giữ tối đa ba mươi (30) ngày)

3.3 Loại Dữ liệu Cá nhân

Các loại dữ liệu cá nhân được xử lý phụ thuộc vào những gì bạn thu thập qua trang web của mình, có thể bao gồm:

• Tên và thông tin liên hệ
• Địa chỉ email
• Tin nhắn và gửi biểu mẫu
• Tệp tải lên do khách truy cập trang web gửi (chẳng hạn như hình ảnh và tài liệu)
• Nội dung cuộc trò chuyện chatbot (tin nhắn của khách truy cập và phản hồi AI)
• Thông tin xác thực tài khoản người dùng (được lưu trữ ở dạng băm)
• Dữ liệu phiên làm việc
• Địa chỉ IP (không được lưu trữ trong phân tích — chỉ lưu trữ hàm băm thay đổi hàng ngày; được lưu trữ như siêu dữ liệu cùng với gửi biểu mẫu và cuộc trò chuyện chatbot; được sử dụng tạm thời và băm để xác minh thử thách bot; được lưu trữ tạm thời để giới hạn tốc độ tối đa bảy (7) ngày và tự động xóa)
• Thông tin trình duyệt và thiết bị
• Dữ liệu vị trí (cấp quốc gia và khu vực, được suy ra từ IP)
• Hồ sơ hủy đăng ký email (được lưu trữ dưới dạng băm mật mã của địa chỉ email người nhận; không được lưu trữ ở dạng thô)
• Kết quả phân loại spam (liệu một lần gửi có được xác định là spam hay không)
• Dữ liệu nhật ký lỗi và chẩn đoán (địa chỉ IP, đường dẫn yêu cầu và chi tiết lỗi; được lưu giữ tối đa ba mươi (30) ngày và tự động xóa)

3.4 Danh mục Chủ thể Dữ liệu

• Khách truy cập trang web của bạn
• Người dùng tạo tài khoản trên trang web của bạn
• Người dùng gửi biểu mẫu hoặc tương tác với chatbot trên trang web của bạn
• Người dùng gửi bình luận, đánh giá hoặc các đóng góp khác trên trang web của bạn

4. NGHĨA VỤ CỦA BÊN XỬ LÝ

Chúng tôi sẽ:

1. Chỉ xử lý dữ liệu cá nhân theo các hướng dẫn có tài liệu của bạn, trừ khi luật hiện hành yêu cầu (trong trường hợp đó, chúng tôi sẽ thông báo cho bạn về yêu cầu pháp lý đó trước khi xử lý, trừ khi luật pháp cấm);
2. Đảm bảo rằng những người được ủy quyền xử lý dữ liệu cá nhân đã cam kết bảo mật hoặc chịu nghĩa vụ bảo mật theo luật định phù hợp;
3. Thực hiện các biện pháp bảo mật kỹ thuật và tổ chức phù hợp như được mô tả trong Phần 9;
4. Tuân thủ các điều kiện để thuê bên xử lý phụ như quy định tại Phần 6;
5. Hỗ trợ bạn, có tính đến tính chất của việc xử lý, trong việc trả lời các yêu cầu từ Chủ thể dữ liệu thực hiện quyền của họ theo Luật Bảo vệ Dữ liệu Hiện hành;
6. Hỗ trợ bạn trong việc đảm bảo tuân thủ các nghĩa vụ của bạn theo Điều 32-36 của GDPR (bảo mật, thông báo vi phạm, đánh giá tác động bảo vệ dữ liệu và tham vấn trước), có tính đến tính chất xử lý và thông tin chúng tôi có. Khi việc sử dụng Dịch vụ của bạn liên quan đến việc xử lý rủi ro cao có thể yêu cầu Đánh giá Tác động Bảo vệ Dữ liệu (DPIA), chúng tôi sẽ cung cấp cho bạn thông tin về các hoạt động xử lý, biện pháp kỹ thuật và tổ chức của chúng tôi, cũng như các bên xử lý phụ để hỗ trợ đánh giá của bạn;
7. Hỗ trợ bạn thực hiện các nghĩa vụ theo Điều 22 của GDPR (ra quyết định tự động đối với cá nhân) bằng cách cung cấp thông tin về bất kỳ xử lý tự động nào được thực hiện thay mặt bạn, bao gồm kiểm duyệt nội dung, phát hiện spam và bảo vệ bot, và bằng cách tạo điều kiện cho việc xem xét của con người đối với các quyết định tự động theo yêu cầu;
8. Thông báo cho bạn nếu theo quan điểm của chúng tôi, một hướng dẫn từ bạn vi phạm Luật Bảo vệ Dữ liệu Hiện hành;
9. Theo lựa chọn của bạn, xóa hoặc trả lại tất cả dữ liệu cá nhân sau khi kết thúc việc cung cấp Dịch vụ, và xóa các bản sao hiện có trừ khi luật hiện hành yêu cầu lưu trữ;
10. Cung cấp cho bạn tất cả thông tin cần thiết để chứng minh việc tuân thủ các nghĩa vụ được quy định trong DPA này và đóng góp vào xác minh tuân thủ như được mô tả trong Phần 11.

5. NGHĨA VỤ CỦA BÊN KIỂM SOÁT

Bạn sẽ:

1. Đảm bảo rằng việc thu thập và xử lý dữ liệu cá nhân của bạn thông qua trang web tuân thủ tất cả các Luật Bảo vệ Dữ liệu Hiện hành;
2. Cung cấp thông báo quyền riêng tư phù hợp cho khách truy cập trang web mô tả các thực hành thu thập dữ liệu của bạn, bao gồm việc tiết lộ phân tích cấp nền tảng, tương tác chatbot được hỗ trợ bởi AI, phát hiện spam và bảo vệ bot;
3. Có được tất cả các sự đồng ý cần thiết hoặc thiết lập cơ sở pháp lý khác cho việc xử lý dữ liệu cá nhân thông qua trang web của bạn;
4. Đảm bảo rằng các hướng dẫn của bạn cho chúng tôi liên quan đến việc xử lý dữ liệu cá nhân tuân thủ Luật Bảo vệ Dữ liệu Hiện hành;
5. Chịu trách nhiệm về tính chính xác, chất lượng và tính hợp pháp của dữ liệu cá nhân được cung cấp cho chúng tôi thông qua trang web của bạn.

Bằng cách sử dụng Dịch vụ, bạn hướng dẫn chúng tôi thực hiện các hoạt động xử lý sau đây thay mặt bạn như một phần của hoạt động nền tảng tiêu chuẩn: kiểm duyệt nội dung của các tệp đã tải lên, xem xét chính sách nội dung của nội dung trang web đã xuất bản, phát hiện spam trên các gửi biểu mẫu, bảo vệ bot thông qua các thử thách bằng chứng công việc, và tương tác chatbot được hỗ trợ bởi AI với khách truy cập trang web của bạn. Các hoạt động này là hướng dẫn có tài liệu theo Điều 28(3)(a) của GDPR.

6. BÊN XỬ LÝ PHỤ

6.1 Bên Xử lý Phụ Được Ủy quyền

Bạn cấp ủy quyền chung cho chúng tôi thuê các bên xử lý phụ để hỗ trợ cung cấp Dịch vụ. Các bên xử lý phụ hiện tại của chúng tôi được liệt kê bên dưới và tại https://www.acira.ai/dpa.

6.2 Danh sách Bên Xử lý Phụ Hiện tại

6.3 Thay đổi đối với Bên Xử lý Phụ

Chúng tôi sẽ thông báo cho bạn về bất kỳ thay đổi dự kiến nào đối với danh sách nhà xử lý phụ cho các Dịch vụ bạn hiện đang sử dụng bằng cách cập nhật danh sách nhà xử lý phụ tại https://www.acira.ai/dpa ít nhất mười bốn (14) ngày trước khi nhà xử lý phụ mới bắt đầu xử lý dữ liệu cá nhân. Khi chúng tôi giới thiệu các tính năng hoặc dịch vụ mới liên quan đến các nhà xử lý phụ bổ sung, các nhà xử lý phụ đó sẽ được tiết lộ vào thời điểm tính năng hoặc dịch vụ đó có sẵn; việc bạn sử dụng tính năng hoặc dịch vụ mới đồng nghĩa với việc chấp nhận các nhà xử lý phụ đã được tiết lộ. Bạn có trách nhiệm định kỳ xem xét danh sách nhà xử lý phụ để kiểm tra các thay đổi. Nếu bạn có phản đối hợp lý đối với một nhà xử lý phụ mới xử lý dữ liệu cho các Dịch vụ hiện có, bạn có thể thông báo cho chúng tôi bằng văn bản trong vòng mười bốn (14) ngày kể từ khi thay đổi được công bố. Chúng tôi sẽ làm việc với bạn một cách thiện chí để giải quyết các mối lo ngại của bạn. Nếu chúng tôi không thể giải quyết sự phản đối một cách hợp lý theo mong muốn của bạn, bạn có thể chấm dứt Thỏa thuận bằng cách cung cấp thông báo bằng văn bản.

6.4 Nghĩa vụ của Bên Xử lý Phụ

Chúng tôi sẽ ký kết các thỏa thuận bằng văn bản với từng bên xử lý phụ áp đặt các nghĩa vụ bảo vệ dữ liệu không kém bảo vệ hơn những gì được quy định trong DPA này. Chúng tôi vẫn chịu trách nhiệm về các hành động và thiếu sót của các bên xử lý phụ ở mức độ tương tự như khi chúng tôi trực tiếp thực hiện các dịch vụ.

7. CHUYỂN DỮ LIỆU QUỐC TẾ

7.1 Cơ chế Chuyển dữ liệu

Dịch vụ được lưu trữ chủ yếu tại Hoa Kỳ. Dữ liệu cá nhân được xử lý thông qua Dịch vụ có thể được chuyển đến và xử lý tại Hoa Kỳ và các quốc gia khác nơi các bên xử lý phụ của chúng tôi hoạt động. Các nhà cung cấp suy luận AI (Fireworks AI và xAI) xử lý dữ liệu tại Hoa Kỳ. BrightData có thể xử lý dữ liệu tại Israel và các địa điểm khác trên toàn cầu. Cloudflare xử lý dữ liệu tại các vị trí edge trên toàn thế giới.

Lưu trú Dữ liệu EU: Đối với các nhà điều hành trang web được xác định là cư dân EU, chúng tôi áp dụng các biện pháp lưu trú dữ liệu sau đây để giảm thiểu việc chuyển dữ liệu cá nhân của khách truy cập ra ngoài Liên minh Châu Âu:

• Lưu trữ: Dữ liệu khách truy cập trong bộ lưu trữ biên bền vững — bao gồm các biểu mẫu đã gửi, cuộc hội thoại chatbot, dữ liệu phiên và dữ liệu bảng người dùng — được giới hạn về mặt pháp lý trong Liên minh Châu Âu. Dữ liệu này được lưu trữ độc quyền trong các trung tâm dữ liệu EU.
• Xử lý tự động hướng đến khách truy cập: Các hoạt động được kích hoạt tự động bởi hoạt động của khách truy cập — bao gồm thông báo gửi nội dung và giao nhận email giao dịch — được xử lý trong Liên minh Châu Âu và không đi qua cơ sở hạ tầng của Hoa Kỳ.
• Quyền truy cập quản lý nền tảng: Khi bạn truy cập dữ liệu khách truy cập trang web của mình thông qua bảng điều khiển nền tảng hoặc giao diện hội thoại (ví dụ: xem các biểu mẫu đã gửi hoặc quản lý hồ sơ người dùng), dữ liệu này có thể được xử lý thông qua hạ tầng của chúng tôi tại Hoa Kỳ để đáp ứng yêu cầu của bạn. Các chuyển giao này theo yêu cầu, được bạn (Bên kiểm soát) khởi xướng, và được bảo vệ bởi các cơ chế chuyển giao và biện pháp bổ sung được mô tả bên dưới.
• Xử lý khác tại Hoa Kỳ: Dữ liệu phân tích và dữ liệu được xử lý bởi hạ tầng đám mây tại Hoa Kỳ của chúng tôi cho kiểm duyệt nội dung và suy luận AI vẫn có thể được chuyển đến Hoa Kỳ theo các cơ chế chuyển giao bên dưới.

Đối với việc chuyển dữ liệu cá nhân từ EEA, UK hoặc Thụy Sĩ đến các quốc gia không được công nhận là cung cấp mức độ bảo vệ dữ liệu đầy đủ, chúng tôi dựa vào:

1. Điều khoản Hợp đồng Tiêu chuẩn (SCCs): Chúng tôi kết hợp Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban Châu Âu vào DPA này bằng cách tham chiếu: Mô-đun Một (Bên kiểm soát đến Bên kiểm soát) cho dữ liệu phân tích nơi chúng tôi đóng vai trò là đồng kiểm soát (xem Phần 2.3), và Mô-đun Hai (Bên kiểm soát đến Bên xử lý) cho tất cả dữ liệu cá nhân khác được xử lý thay mặt bạn. SCCs có tại https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Phụ lục Chuyển dữ liệu Quốc tế của UK: Đối với việc chuyển từ UK, Phụ lục UK của EU SCCs được áp dụng.
3. Cơ chế Chuyển dữ liệu của Thụy Sĩ: Đối với việc chuyển từ Thụy Sĩ, SCCs được áp dụng với các sửa đổi theo yêu cầu của FADP Thụy Sĩ.

7.2 Biện pháp Bổ sung

Chúng tôi thực hiện các biện pháp bổ sung sau để bảo vệ dữ liệu cá nhân được chuyển:

• Mã hóa dữ liệu khi truyền (TLS/SSL) và khi lưu trữ
• Kiểm soát truy cập và cơ chế xác thực
• Đánh giá bảo mật định kỳ
• Thực hành tối thiểu hóa dữ liệu (ví dụ: hàm băm khách truy cập thay đổi hàng ngày thay vì lưu trữ IP thô)
• Lưu trú dữ liệu theo pháp lý cho các nhà điều hành trang web cư trú tại EU (lưu trữ bền vững và xử lý tự động hướng đến khách truy cập được giới hạn trong EU)
• Cơ sở hạ tầng tính toán và email đặt tại EU cho các hoạt động tự động hướng đến khách truy cập (thông báo gửi nội dung và giao nhận email giao dịch được xử lý tại Liên minh Châu Âu cho các nhà điều hành trang web cư trú tại EU)

7.3 Đánh giá Tác động Chuyển dữ liệu

Các biện pháp bổ sung này được xây dựng dựa trên đánh giá của chúng tôi về luật pháp và thực tiễn của các quốc gia đích, có tính đến tính chất của dữ liệu được chuyển, cơ chế chuyển được sử dụng và các biện pháp bảo vệ kỹ thuật và tổ chức hiện có. Chúng tôi đã đánh giá rằng các biện pháp bổ sung được mô tả ở trên, cùng với các cam kết trong SCCs, cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân được chuyển. Đánh giá Tác động Chuyển dữ liệu của chúng tôi có tại https://www.acira.ai/tia.

7.4 Chuyển Dữ liệu Canada

Đối với việc chuyển dữ liệu cá nhân từ Canada, chúng tôi dựa vào các biện pháp bảo vệ sau để đảm bảo rằng dữ liệu cá nhân được chuyển ra ngoài Canada nhận được mức độ bảo vệ tương đương theo yêu cầu của Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA) và luật quyền riêng tư tỉnh hiện hành (bao gồm PIPA của Alberta, PIPA của British Columbia và Đạo luật tôn trọng việc bảo vệ thông tin cá nhân trong khu vực tư nhân của Quebec):

1. Bảo vệ hợp đồng: Các thỏa thuận xử lý dữ liệu bằng văn bản với từng bên xử lý phụ áp đặt nghĩa vụ bảo vệ dữ liệu cá nhân theo tiêu chuẩn phù hợp với luật quyền riêng tư Canada, bao gồm các yêu cầu về biện pháp bảo vệ bảo mật phù hợp, hạn chế sử dụng, thông báo vi phạm và quyền truy cập của chủ thể dữ liệu.
2. Biện pháp bảo vệ kỹ thuật: Các biện pháp mã hóa, mã hóa giả danh, kiểm soát truy cập và tối thiểu hóa dữ liệu tương tự được mô tả trong Phần 7.2 áp dụng cho việc chuyển dữ liệu Canada.
3. Biện pháp bảo vệ tổ chức: Thẩm định bên xử lý phụ, nghĩa vụ bảo mật của nhân viên và các quy trình phản hồi sự cố có tài liệu như được mô tả trong DPA này.

Chúng tôi theo dõi những phát triển trong luật quyền riêng tư Canada, bao gồm Đạo luật Bảo vệ Quyền riêng tư của Người tiêu dùng (CPPA) được đề xuất, và sẽ cập nhật các cơ chế chuyển của chúng tôi theo yêu cầu.

8. QUYỀN CỦA CHỦ THỂ DỮ LIỆU

8.1 Hỗ trợ xử lý Yêu cầu

Chúng tôi sẽ hỗ trợ bạn trong việc trả lời các yêu cầu từ Chủ thể dữ liệu thực hiện quyền của họ theo Luật Bảo vệ Dữ liệu Hiện hành, bao gồm quyền truy cập, chỉnh sửa, xóa, hạn chế, di chuyển và phản đối.

8.2 Thông báo

Nếu chúng tôi nhận được yêu cầu trực tiếp từ Chủ thể dữ liệu liên quan đến dữ liệu cá nhân được xử lý thay mặt bạn, chúng tôi sẽ thông báo kịp thời cho bạn và sẽ không trả lời yêu cầu mà không có hướng dẫn của bạn, trừ khi luật hiện hành yêu cầu.

8.3 Công cụ Nền tảng

Chúng tôi cung cấp các công cụ trong Dịch vụ để giúp bạn thực hiện các yêu cầu của Chủ thể dữ liệu, bao gồm:

• Truy cập và quản lý dữ liệu được lưu trữ trong cơ sở dữ liệu trang web của bạn
• Xóa các bản ghi riêng lẻ khỏi cơ sở dữ liệu trang web của bạn
• Theo yêu cầu, chúng tôi có thể cung cấp xuất dữ liệu ở định dạng ZIP để hỗ trợ các nghĩa vụ về khả năng di chuyển dữ liệu

9. BẢO MẬT DỮ LIỆU

9.1 Biện pháp Bảo mật

Chúng tôi thực hiện và duy trì các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân khỏi bị xử lý trái phép hoặc bất hợp pháp và khỏi bị mất mát, hủy hoại hoặc hư hỏng do sự cố. Các biện pháp này bao gồm:

• Mã hóa: Dữ liệu được mã hóa khi truyền qua TLS/SSL và khi lưu trữ bằng mã hóa tiêu chuẩn công nghiệp
• Kiểm soát Truy cập: Kiểm soát truy cập dựa trên vai trò, xác thực đa yếu tố cho quản trị nền tảng, chính sách truy cập với đặc quyền tối thiểu
• Bảo mật Cơ sở Hạ tầng: Cơ sở hạ tầng đám mây được quản lý với vá lỗi bảo mật tự động, bảo vệ DDoS và Tường lửa Ứng dụng Web (WAF)
• Cách ly Dữ liệu: Cách ly dữ liệu theo từng trang web thông qua các phiên bản lưu trữ riêng
• Giám sát: Giám sát bảo mật tự động, phát hiện xâm nhập và ghi nhật ký có cấu trúc
• Bảo mật Thông tin Xác thực: Tất cả khóa API và bí mật được lưu trữ trong các dịch vụ quản lý bí mật chuyên dụng; mật khẩu người dùng được băm bằng các thuật toán mật mã mạnh với muối cho mỗi người dùng
• Bảo vệ Bot: Hệ thống thử thách bằng chứng công việc để ngăn chặn lạm dụng tự động

9.2 Bảo mật

Chúng tôi đảm bảo rằng tất cả nhân viên được ủy quyền xử lý dữ liệu cá nhân đều bị ràng buộc bởi nghĩa vụ bảo mật.

10. THÔNG BÁO VI PHẠM DỮ LIỆU

10.1 Thông báo cho Bên Kiểm soát

Chúng tôi sẽ thông báo cho bạn không chậm trễ quá mức sau khi xác nhận vi phạm dữ liệu cá nhân ảnh hưởng đến dữ liệu cá nhân được xử lý thay mặt bạn. Thông báo sẽ được gửi đến thông tin liên hệ liên kết với tài khoản của bạn.

10.2 Nội dung Thông báo

Thông báo vi phạm của chúng tôi sẽ bao gồm, trong phạm vi có thể:

1. Mô tả về tính chất của vi phạm, bao gồm các loại và số lượng gần đúng của Chủ thể dữ liệu và các bản ghi liên quan;
2. Tên và chi tiết liên hệ của đầu mối bảo vệ dữ liệu của chúng tôi;
3. Mô tả về các hậu quả có thể xảy ra của vi phạm;
4. Mô tả về các biện pháp đã thực hiện hoặc đề xuất để giải quyết vi phạm và giảm thiểu tác động của nó.

10.3 Nghĩa vụ của Bạn

Bạn có trách nhiệm thông báo cho cơ quan giám sát có liên quan và các Chủ thể dữ liệu bị ảnh hưởng về vi phạm dữ liệu cá nhân theo yêu cầu của Luật Bảo vệ Dữ liệu Hiện hành. Chúng tôi sẽ hợp tác với bạn và cung cấp hỗ trợ hợp lý để giúp bạn tuân thủ các nghĩa vụ thông báo vi phạm của mình.

11. Kiểm toán và Xác minh Tuân thủ

11.1 Tài liệu tuân thủ

Để chứng minh sự tuân thủ của chúng tôi với DPA này, chúng tôi sẽ cung cấp cho bạn, theo yêu cầu bằng văn bản hợp lý (tối đa một lần mỗi năm), những nội dung sau:

1. Các báo cáo kiểm toán bên thứ ba liên quan, chứng nhận hoặc tóm tắt đánh giá bảo mật;
2. Tóm tắt các biện pháp bảo mật kỹ thuật và tổ chức hiện tại của chúng tôi;
3. Thông tin về các hoạt động xử lý, bên xử lý phụ và thực tiễn bảo vệ dữ liệu của chúng tôi.

Khi chúng tôi dựa vào các nhà cung cấp cơ sở hạ tầng bên thứ ba (như AWS và Cloudflare), các chứng nhận bảo mật và tài liệu tuân thủ của họ có sẵn thông qua các chương trình tin cậy và tuân thủ tương ứng.

11.2 Câu hỏi bổ sung

Nếu tài liệu được cung cấp theo Mục 11.1 không giải quyết hợp lý các mối quan ngại về tuân thủ của bạn, bạn có thể gửi các câu hỏi bằng văn bản cụ thể về thực tiễn bảo vệ dữ liệu của chúng tôi, mà chúng tôi sẽ trả lời trong khung thời gian hợp lý.

12. LƯU GIỮ VÀ XÓA DỮ LIỆU

12.1 Trong thời hạn Thỏa thuận

Chúng tôi sẽ lưu giữ dữ liệu cá nhân được xử lý thay mặt bạn trong suốt thời hạn của Thỏa thuận và theo các hướng dẫn của bạn thông qua Dịch vụ. Các kỳ lưu giữ cụ thể cho dữ liệu khách truy cập bao gồm:

• Cuộc trò chuyện chatbot trên trang web của bạn: Được lưu giữ trong ba mươi (30) ngày kể từ lần tương tác cuối cùng trong mỗi cuộc trò chuyện. Các cuộc trò chuyện được lưu trữ trong các phiên khách truy cập trên cơ sở hạ tầng edge của trang web và tự động bị xóa khi phiên hết hạn do không hoạt động.
• Gửi biểu mẫu và nội dung do người dùng tạo ra trên trang web của bạn: Được lưu giữ trong suốt thời gian tồn tại của trang web liên quan, trừ khi bạn xóa sớm hơn thông qua các công cụ nền tảng.
• Dữ liệu phiên làm việc cho khách truy cập trang web của bạn: Tự động bị xóa sau 30 ngày không hoạt động.
• Nội dung khách truy cập đã xóa (gửi biểu mẫu, bình luận và nội dung do người dùng tạo ra khác trên trang web của bạn): Khi bạn xóa nội dung khách truy cập thông qua các công cụ nền tảng, nó sẽ chuyển sang trạng thái xóa mềm và được lưu giữ tối đa ba mươi (30) ngày để hỗ trợ phục hồi. Sau kỳ này, nội dung xóa mềm sẽ bị xóa vĩnh viễn. Bạn có thể xóa vĩnh viễn nội dung ngay lập tức bằng cách xóa khỏi hàng đợi phục hồi.
• Hồ sơ hủy đăng ký email trên trang web của bạn: Được giữ lại trong suốt thời gian tồn tại của trang web liên quan, trừ khi người nhận đăng ký lại. Hồ sơ hủy đăng ký sẽ bị xóa khi trang web bị hủy.
• Dữ liệu phân tích: Được lưu giữ trong suốt thời gian tồn tại của trang web liên quan (theo giới hạn lưu giữ dựa trên gói; dữ liệu phân tích của gói miễn phí được lưu giữ chín mươi (90) ngày).

12.2 Khi Chấm dứt

Khi Thỏa thuận chấm dứt hoặc theo yêu cầu của bạn, chúng tôi sẽ xóa dữ liệu cá nhân được xử lý thay mặt bạn theo các thực hành lưu giữ dữ liệu được mô tả trong Thỏa thuận (bao gồm kỳ ân hạn bảy (7) ngày cho việc xóa tài khoản và trang web). Sau kỳ ân hạn, việc xóa là vĩnh viễn và không thể đảo ngược.

12.3 Ngoại lệ

Chúng tôi có thể lưu giữ dữ liệu cá nhân trong phạm vi luật hiện hành yêu cầu, hoặc khi dữ liệu đã được ẩn danh hóa và không còn có thể liên kết với Chủ thể dữ liệu.

13. THỜI HẠN VÀ CHẤM DỨT

DPA này có hiệu lực kể từ ngày bạn chấp nhận Thỏa thuận và vẫn có hiệu lực miễn là chúng tôi xử lý dữ liệu cá nhân thay mặt bạn. Các nghĩa vụ bảo mật và bảo vệ dữ liệu được quy định trong DPA này vẫn còn hiệu lực sau khi Thỏa thuận chấm dứt.

14. GIỚI HẠN TRÁCH NHIỆM

Trách nhiệm của mỗi bên theo DPA này phải tuân theo các giới hạn trách nhiệm được quy định trong Thỏa thuận.

15. LIÊN HỆ VỚI CHÚNG TÔI

Đối với các câu hỏi về DPA này hoặc để thực hiện quyền của bạn, vui lòng liên hệ với chúng tôi tại:

Acira AI LLC
Người nhận: Bảo vệ Dữ liệu
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Điện thoại: 888-389-1189
Email: legal@acira.ai