СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ
Споразумението за обработка на данни, в ясен прочит.
v1.2.1 · В сила от датата на публикуване
Написано така, че вашият DPO да може да го одобри наведнъж. Всеки термин, подизпълнител и предпазна мярка, документирани изцяло. Подписаният PDF носи същото съдържание.
ОБХВАТ И РОЛИ
Кой прави какво, с чии данни.
Съгласно това DPA Клиентът е администратор на данни, а Sageio действа като обработващ от името на Клиента. Sageio обработва лични данни единствено за да достави договорените услуги — превод на срещи в реално време, транскрипция и обобщаване — и само по документираните указания на Клиента. Това DPA е част от Споразумението за абонамент между Sageio и Клиента; в случай на противоречие DPA има предимство по въпросите на обработката на лични данни. То се прилага за всички дейности по обработка, извършвани във връзка с платформата Sageio.
ОБРАБОТВАНИ ДАННИ
Какво обработваме и защо имаме право.
| Категория данни | Цел на обработката | Правно основание (GDPR чл. 6) | Запазване |
|---|---|---|---|
| Звук от срещата | Транскрипция реч в текст и превод по време на срещата. | Чл. 6(1)(б) — изпълнение на договор. | Предава се поточно за транскрипция на живо и се обработва само в паметта; никога не се записва в хранилище. Не се използва за обучение на модели. |
| Транскрипции и преводи от срещи | Съхранение и достъп от членовете на работното пространство на Клиента. | Чл. 6(1)(б) — изпълнение на договор. | Запазват се до изтриване от Клиента или при изтриване на акаунта. |
| Обобщения и задачи | Генерирани от AI резултати от срещата, извлечени от транскрипцията. | Чл. 6(1)(б) — изпълнение на договор. | Следва запазването на транскрипцията. |
| Идентификатори на акаунт (име, имейл, роля) | Удостоверяване, достъп до работното пространство и одитно журналиране. | Чл. 6(1)(б) — изпълнение на договор. | Срокът на акаунта плюс 30 дни след закриване. |
| Метаданни за работно пространство и употреба | Работа на услугата, равняване на таксуването и предотвратяване на злоупотреби. | Чл. 6(1)(б) и чл. 6(1)(е) — законен интерес от целостта на услугата. | 12 месеца от генерирането. |
| Одитни логове | Мониторинг на сигурността и преглед на достъпа от Клиента. | Чл. 6(1)(е) — законен интерес от сигурността. | 12 месеца от генерирането. |
| Идентификатори за таксуване | Управление на абонамента. Данните за платежни карти се обработват от LemonSqueezy като търговец по запис (Merchant of Record) и не се съхраняват от Sageio. | Чл. 6(1)(б) — изпълнение на договор. | Срокът на акаунта плюс 7 години за данъчни записи. |
ПОДИЗПЪЛНИТЕЛИ
Пълната верига на попечителство.
| Подизпълнител | Цел | Място на обработка |
|---|---|---|
| Amazon Web Services | Облачен хостинг, обектно хранилище, управление на ключове за шифроване. | Избран от клиента регион (по подразбиране: Сингапур, Азиатско-тихоокеански). ЕС и САЩ при плановете Enterprise. |
| Neon | Управлявана PostgreSQL база данни за данните на приложението. | Регион, съответстващ на основния AWS регион на Клиента. |
| Vercel | Хостинг за маркетинговия сайт и уеб приложението за клиенти. | Глобална edge мрежа. Произход: избран от клиента регион. |
| Clerk | Удостоверяване, единен вход (single sign-on) и управление на идентичността. | Съединени щати. |
| Deepgram | Транскрипция реч в текст на звука от срещата. | Съединени щати. |
| OpenAI | Транскрипция реч в текст в реално време на звука от срещата (енджин по подразбиране за нови работни пространства) и транскрипция на качени аудио файлове. | Съединени щати. |
| DeepL | Превод на междинни сегменти от транскрипцията и окончателен превод за избрани целеви езици. | Германия (ЕС). |
| Google (Gemini API) | Прецизиране на превода на финализирани сегменти от транскрипцията; генерирани от AI обобщения и задачи. | United States. Data not used to train Google models per paid-tier Gemini API terms. |
| Resend | Доставка на транзакционни имейли (известия за акаунт и услуга; имейли с обобщение на срещата, изпращани по заявка на потребителя). | Съединени щати. |
Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.
Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.
АНГАЖИМЕНТИ НА ОБРАБОТВАЩИЯ
Член 28, записан в договора.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Промени в подизпълнителите
- Sageio поддържа актуалния списък с подизпълнители на sageio.net/subprocessors. Sageio ще уведоми Клиента поне 30 дни предварително (по имейл или известие в приложението), преди да добави или замени подизпълнител. Клиентът може да възрази на разумни основания, свързани със защитата на данните, в рамките на срока за уведомяване; ако страните не могат да разрешат възражението, Клиентът може да прекрати засегнатите услуги и да получи пропорционално възстановяване на предплатените такси за неизползвания период. Sageio налага на всеки подизпълнител задължения за защита на данните, еквивалентни на това DPA, и остава отговорен за тяхното изпълнение.
- Уведомяване за нарушение на сигурността на лични данни
- Sageio ще уведоми Клиента без неоправдано забавяне и във всеки случай в рамките на 24 часа от потвърждаването на нарушение на сигурността на лични данни, засягащо лични данни на Клиента, и ще предостави информацията, разумно необходима за задълженията на Клиента съгласно членове 33–34 от GDPR, с актуализации в хода на разследването.
- Изтриване и връщане
- При прекратяване или изтичане на услугите Sageio ще изтрие или върне, по избор на Клиента, всички лични данни на Клиента в рамките на 30 дни и ще изтрие останалите копия, освен когато приложимото право изисква запазване. Личните данни в шифрованите резервни копия се изчистват при стандартния 30-дневен цикъл на ротация на резервните копия.
- Съдействие и одити
- Като се вземе предвид естеството на обработката, Sageio ще съдейства на Клиента с подходящи технически и организационни мерки при отговор на заявки от субекти на данни, както и със задълженията на Клиента съгласно членове 32–36 от GDPR, включително оценки на въздействието върху защитата на данните и предварителни консултации. Sageio ще предостави информацията, разумно необходима за доказване на съответствие с член 28 — включително резюмета на тестове за проникване и, когато са налични, одитни доклади — и ще позволи одити, включително проверки, от Клиента или негов упълномощен одитор, не повече от веднъж на дванадесет месеца, при 30-дневно предизвестие, за сметка на Клиента и при спазване на конфиденциалност.
- Конфиденциалност и указания
- Sageio гарантира, че лицата, упълномощени да обработват лични данни, са поели задължение за конфиденциалност. Sageio ще информира Клиента без неоправдано забавяне, ако по негово мнение дадено указание нарушава приложимото право за защита на данните.
- Гаранции на Клиента
- Клиентът гарантира, че е установил законно основание за обработката, която указва съгласно това DPA, включително всякакви уведомления до и съгласия от участниците в срещата, изисквани от приложимото право, и — когато съдържанието на срещата инцидентно съдържа специални категории лични данни — условие съгласно член 9(2) от GDPR. Sageio не използва съдържанието на срещите, за да идентифицира лице по глас, и не създава биометрични шаблони.
- Срок, приложимо право и отговорност
- Това DPA влиза в сила със Споразумението за абонамент и продължава за неговия срок; то се урежда от същото право, а ограниченията на отговорността в Условията за ползване се прилагат към него, освен когато задължителното право за защита на данните предвижда друго.
МЕРКИ ЗА СИГУРНОСТ
Инженерството среща ангажимента.
Sageio прилага технически и организационни мерки, подходящи за риска от обработката, включително шифроване при преноса (TLS 1.3) и в покой (AES-256-GCM), контрол на достъпа на база роли, одитно журналиране, редовни тестове за проникване и документиран процес за реакция при инциденти. Достъпът до продукция изисква изрична бизнес обосновка, е ограничен във времето и се журналира. Пълният каталог от мерки, включително текущия статус на програмата за съответствие, е публикуван на страницата „Сигурност“ и се актуализира с развитието на програмата.
МЕЖДУНАРОДНИ ТРАНСФЕРИ
Трансгранични данни, прехвърлени законно.
Когато лични данни се прехвърлят извън Европейското икономическо пространство, Обединеното кралство или други юрисдикции с еквивалентни ограничения, Sageio разчита на Стандартните договорни клаузи на Европейската комисия (Модул Две: администратор към обработващ) и, когато е приложимо, на Допълнението за международен трансфер на данни на Обединеното кралство. За трансфери към юрисдикции, обхванати от решение за адекватност, Sageio разчита на това решение. Подизпълнителите са обвързани с еквивалентни задължения чрез договорно прехвърляне. За всеки подизпълнител, обработващ лични данни извън юрисдикцията на износителя на данни, се извършват оценки на въздействието на трансфера.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
ПРАВА НА СУБЕКТИТЕ НА ДАННИ
Правата на вашите потребители, нашите задължения.
- Право на достъп — потвърждение и копие на обработваните лични данни.
- Право на коригиране — поправка на неточни или непълни данни.
- Право на изтриване — изтриване в рамките на 30 дни от валидна заявка, при спазване на законовите изисквания за запазване.
- Право на ограничаване — ограничаване на обработката при определени обстоятелства.
- Право на преносимост на данните — експорт в структуриран, машинночетим формат.
- Право на възражение — включително срещу обработка на основание законен интерес.
- Право на жалба до съответния надзорен орган.
КОНТАКТ
Истински хора, именувани пощи.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
История на версиите
- v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
- v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
- v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
- v1.0Effective from publicationInitial publication.