Spring til hovedindhold
&Sageio

DATABEHANDLERAFTALE

Databehandleraftalen, i klar læsning.

v1.2.1 · Gældende fra udgivelsesdatoen

Skrevet så din DPO kan godkende den i ét hug. Hvert vilkår, hver underdatabehandler og hver sikkerhedsforanstaltning fuldt dokumenteret. Den underskrevne PDF har samme indhold.

Download DPA (PDF)

OMFANG & ROLLER

Hvem gør hvad, med hvis data.

Under denne DPA er kunden dataansvarlig, og Sageio fungerer som databehandler på kundens vegne. Sageio behandler kun personoplysninger for at levere de aftalte tjenester – mødeoversættelse i realtid, transskription og resumering – og kun efter kundens dokumenterede instrukser. Denne DPA udgør en del af abonnementsaftalen mellem Sageio og kunden; i tilfælde af konflikt har DPA'en forrang i spørgsmål om behandling af personoplysninger. Den gælder for alle behandlingsaktiviteter, der udføres i forbindelse med Sageio-platformen.

BEHANDLEDE DATA

Hvad vi behandler, og hvorfor vi må.

DatakategoriFormål med behandlingenRetsgrundlag (GDPR art. 6)Opbevaring
MødelydTale-til-tekst-transskription og oversættelse under mødet.Art. 6, stk. 1, litra b – opfyldelse af kontrakt.Streames til live-transskription og behandles kun i hukommelsen; skrives aldrig til lager. Bruges ikke til modeltræning.
Mødetransskriptioner og oversættelserLagring og fremfinding af kundens arbejdsområdemedlemmer.Art. 6, stk. 1, litra b – opfyldelse af kontrakt.Opbevares, indtil kunden sletter dem, eller ved sletning af kontoen.
Resuméer og opgaverAI-genererede mødeoutput afledt af transskriptionen.Art. 6, stk. 1, litra b – opfyldelse af kontrakt.Følger transskriptionens opbevaring.
Kontoidentifikatorer (navn, e-mail, rolle)Autentificering, adgang til arbejdsområde og revisionslogning.Art. 6, stk. 1, litra b – opfyldelse af kontrakt.Kontoens varighed plus 30 dage efter lukning.
Arbejdsområde- og brugsmetadataDrift af tjenesten, faktureringsafstemning og misbrugsforebyggelse.Art. 6, stk. 1, litra b og art. 6, stk. 1, litra f – legitim interesse i tjenestens integritet.12 måneder fra generering.
RevisionslogsSikkerhedsovervågning og kundens adgangsgennemgang.Art. 6, stk. 1, litra f – legitim interesse i sikkerhed.12 måneder fra generering.
FaktureringsidentifikatorerAbonnementsadministration. Betalingskortdata behandles af LemonSqueezy som Merchant of Record og opbevares ikke af Sageio.Art. 6, stk. 1, litra b – opfyldelse af kontrakt.Kontoens varighed plus 7 år for skattemæssige optegnelser.

UNDERDATABEHANDLERE

Hele kæden af varetægt.

UnderdatabehandlerFormålBehandlingssted
Amazon Web ServicesCloud-hosting, objektlager, administration af krypteringsnøgler.Kundevalgt region (standard: Singapore, Asien-Stillehavet). EU og USA på Enterprise-planer.
NeonAdministreret PostgreSQL-database til applikationsdata.Region matchet til kundens primære AWS-region.
VercelHosting til marketingsite og kundevendt webapplikation.Globalt edge-netværk. Origin: kundevalgt region.
ClerkAutentificering, single sign-on og identitetsstyring.USA.
DeepgramTale-til-tekst-transskription af mødelyd.USA.
OpenAITale-til-tekst-transskription af mødelyd i realtid (standardmotor for nye arbejdsområder) og transskription af uploadede lydfiler.USA.
DeepLOversættelse af foreløbige transskriptionssegmenter og endelig oversættelse for udvalgte målsprog.Tyskland (EU).
Google (Gemini API)Forfining af oversættelse af færdiggjorte transskriptionssegmenter; AI-genererede resuméer og opgaver.USA. Data bruges ikke til at træne Google-modeller i henhold til Gemini API-vilkårene for betalt niveau.
ResendLevering af transaktionelle e-mails (konto- og servicebeskeder; møderesumé-e-mails sendt på brugerens anmodning).USA.

Lemon Squeezy (et Stripe-selskab) er ikke en underdatabehandler: som Merchant of Record fastlægger selskabet sine egne formål for betaling, skat og fakturering og handler som selvstændig dataansvarlig under sin egen privatlivspolitik.

Plausible (cookieløs webstedsanalyse) kører kun på vores marketingsite og behandler ikke personoplysninger på platformen under denne DPA; det er oplyst i privatlivspolitikken.

Sådan vurderer vi underdatabehandlere →

DATABEHANDLERENS FORPLIGTELSER

Artikel 28, skrevet ind i kontrakten.

Disse forpligtelser udgør en del af DPA'en. Den engelske tekst er den gældende version; lokaliserede oversættelser følger den underskrevne tekst.

Ændringer af underdatabehandlere
Sageio vedligeholder den aktuelle liste over underdatabehandlere på sageio.net/subprocessors. Sageio giver kunden mindst 30 dages varsel (via e-mail eller besked i appen), før en underdatabehandler tilføjes eller udskiftes. Kunden kan gøre indsigelse på rimelige databeskyttelsesmæssige grunde inden for varslingsperioden; hvis parterne ikke kan løse indsigelsen, kan kunden opsige de berørte tjenester og modtage en forholdsmæssig refusion af forudbetalte gebyrer for den uudnyttede periode. Sageio pålægger hver underdatabehandler databeskyttelsesforpligtelser svarende til denne DPA og forbliver ansvarlig for deres ydelse.
Underretning om brud på persondatasikkerheden
Sageio underretter kunden uden unødig forsinkelse, og under alle omstændigheder inden for 24 timer efter at have bekræftet et brud på persondatasikkerheden, der berører kundens personoplysninger, og leverer de oplysninger, der med rimelighed kræves til kundens forpligtelser efter GDPR-artikel 33–34, med opdateringer efterhånden som undersøgelsen skrider frem.
Sletning og tilbagelevering
Ved ophør eller udløb af tjenesterne vil Sageio efter kundens valg slette eller tilbagelevere alle kundens personoplysninger inden for 30 dage og slette resterende kopier, undtagen hvor gældende lov kræver opbevaring. Personoplysninger i krypterede backups slettes på den almindelige 30-dages backup-rotationscyklus.
Bistand og audits
Under hensyntagen til behandlingens karakter vil Sageio bistå kunden med passende tekniske og organisatoriske foranstaltninger i besvarelsen af anmodninger fra registrerede og med kundens forpligtelser efter GDPR-artikel 32–36, herunder konsekvensanalyser vedrørende databeskyttelse og forudgående høringer. Sageio stiller oplysninger til rådighed, der med rimelighed er nødvendige for at påvise overholdelse af artikel 28 – herunder resuméer af penetrationstests og, når de er tilgængelige, auditrapporter – og tillader audits, herunder inspektioner, foretaget af kunden eller dennes bemyndigede auditor, højst én gang pr. tolv måneder, med 30 dages varsel, for kundens regning og underlagt fortrolighed.
Fortrolighed og instrukser
Sageio sikrer, at personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed. Sageio informerer kunden uden unødig forsinkelse, hvis en instruks efter Sageios opfattelse er i strid med gældende databeskyttelseslovgivning.
Kundens garantier
Kunden garanterer, at den har etableret et lovligt grundlag for den behandling, den instruerer om under denne DPA, herunder enhver underretning til og ethvert samtykke fra mødedeltagere, der kræves efter gældende lov, og – hvor mødeindhold tilfældigt indeholder særlige kategorier af personoplysninger – en betingelse efter GDPR-artikel 9, stk. 2. Sageio bruger ikke mødeindhold til at identificere nogen person via stemme og opretter ingen biometriske skabeloner.
Varighed, lovvalg og ansvar
Denne DPA træder i kraft sammen med og varer i hele abonnementsaftalens løbetid; den er underlagt samme lov, og ansvarsbegrænsningerne i servicevilkårene gælder for den, undtagen hvor ufravigelig databeskyttelseslovgivning bestemmer andet.

SIKKERHEDSFORANSTALTNINGER

Teknik møder forpligtelse.

Sageio implementerer tekniske og organisatoriske foranstaltninger, der er passende i forhold til behandlingens risiko, herunder kryptering under overførsel (TLS 1.3) og i hvile (AES-256-GCM), rollebaseret adgangsstyring, revisionslogning, regelmæssig penetrationstest og en dokumenteret proces for hændelseshåndtering. Produktionsadgang kræver en eksplicit forretningsmæssig begrundelse, er tidsbegrænset og logges. Det fulde katalog af foranstaltninger, inklusive den aktuelle status for compliance-programmet, offentliggøres på sikkerhedssiden og opdateres, efterhånden som programmet udvikler sig.

Læs sikkerhedssiden →

INTERNATIONALE OVERFØRSLER

Grænseoverskridende data, lovligt flyttet.

Hvor personoplysninger overføres uden for Det Europæiske Økonomiske Samarbejdsområde, Storbritannien eller andre jurisdiktioner med tilsvarende restriktioner, baserer Sageio sig på Europa-Kommissionens standardkontraktbestemmelser (modul to: dataansvarlig-til-databehandler) og, hvor det er relevant, det britiske International Data Transfer Addendum. For overførsler til jurisdiktioner omfattet af en tilstrækkelighedsafgørelse baserer Sageio sig på den afgørelse. Underdatabehandlere er bundet til tilsvarende forpligtelser gennem kontraktlig videreførelse. Der gennemføres konsekvensanalyser af overførsler for hver underdatabehandler, der behandler personoplysninger uden for dataeksportørens jurisdiktion.

Standardkontraktbestemmelserne (modul to: dataansvarlig-til-databehandler) og det britiske International Data Transfer Addendum er indarbejdet i denne DPA ved henvisning. Bilag I (parter; beskrivelse af behandlingen) udgøres af parternes oplysninger og tabellen "Behandlede data" ovenfor, som tilfældigt kan omfatte særlige kategorier af data indeholdt i mødeindhold; bilag II (tekniske og organisatoriske foranstaltninger) af afsnittet "Sikkerhedsforanstaltninger"; bilag III (autoriserede underdatabehandlere) af tabellen "Underdatabehandlere". I tilfælde af konflikt har standardkontraktbestemmelserne forrang.

REGISTREREDES RETTIGHEDER

Dine brugeres rettigheder, vores forpligtelser.

  1. Ret til indsigt – bekræftelse og en kopi af de behandlede personoplysninger.
  2. Ret til berigtigelse – rettelse af unøjagtige eller ufuldstændige data.
  3. Ret til sletning – sletning inden for 30 dage efter en gyldig anmodning, med forbehold for lovpligtige opbevaringskrav.
  4. Ret til begrænsning – begrænsning af behandlingen under bestemte omstændigheder.
  5. Ret til dataportabilitet – eksport i et struktureret, maskinlæsbart format.
  6. Ret til indsigelse – herunder mod behandling baseret på legitim interesse.
  7. Ret til at indgive en klage til den relevante tilsynsmyndighed.

KONTAKT

Rigtige mennesker, navngivne indbakker.

Sageio drives af 好客網路股份有限公司 (Unified Business No. 29041135), et selskab registreret i Taiwan. Registreret adresse: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privatlivskontakt: privacy@sageio.net.

Versionshistorik

  • v1.2.114. juni 2026Bekræftelse af Geminis betalte niveau fuldført (foreløbig note fjernet); forpligtelsen om underdatabehandlere peger nu på den aktive /subprocessors-side; traditionel kinesisk oversættelse af databehandlerens forpligtelser og indarbejdelse af standardkontraktbestemmelserne tilføjet.
  • v1.213. juni 2026Rettelse af tabellen over underdatabehandlere: OpenAI tilføjet (tale-til-tekst i realtid, standardmotor for nye arbejdsområder); DeepLs formål udvidet til endelig oversættelse for udvalgte sprog; Resends formål omfatter møderesumé-e-mails; grundlaget for Geminis vilkår rettet til API for betalt niveau (bekræftelse i gang). Udsagn om konfigurerbart opbevaringsvindue fjernet for at matche systemets nuværende adfærd.
  • v1.113. juni 2026Databehandlerforpligtelser efter artikel 28 tilføjet; tabellen over underdatabehandlere udvidet (DeepL, Resend); opbevaringsposter rettet til at matche systemets adfærd; standardkontraktbestemmelser og britisk tillæg indarbejdet med bilagsoversigt.
  • v1.0Gældende fra udgivelseFørste udgivelse.