TIETOJENKÄSITTELYSOPIMUS
Tietojenkäsittelysopimus, selkeästi luettavana.
v1.2.1 · Voimassa julkaisupäivästä alkaen
Kirjoitettu niin, että tietosuojavastaavasi voi hyväksyä sen yhdeltä istumalta. Jokainen ehto, alikäsittelijä ja suojatoimi dokumentoituna täydellisesti. Allekirjoitettu PDF sisältää saman sisällön.
LAAJUUS & ROOLIT
Kuka tekee mitä, ja kenen datalla.
Tämän DPA:n nojalla Asiakas on rekisterinpitäjä ja Sageio toimii käsittelijänä Asiakkaan puolesta. Sageio käsittelee henkilötietoja vain toimittaakseen sovitut palvelut – reaaliaikaisen palaverikäännöksen, litteroinnin ja yhteenvedon – ja vain Asiakkaan dokumentoitujen ohjeiden mukaisesti. Tämä DPA muodostaa osan Sageion ja Asiakkaan välisestä Tilaussopimuksesta; ristiriitatilanteessa DPA on etusijalla henkilötietojen käsittelyä koskevissa asioissa. Se koskee kaikkia Sageio-alustaan liittyen suoritettavia käsittelytoimia.
KÄSITELTÄVÄ DATA
Mitä käsittelemme, ja miksi saatamme.
| Datakategoria | Käsittelyn tarkoitus | Oikeusperuste (GDPR art. 6) | Säilytys |
|---|---|---|---|
| Palaveriääni | Puheen muuntaminen tekstiksi ja kääntäminen palaverin aikana. | Art. 6(1)(b) — sopimuksen täytäntöönpano. | Striimataan live-litterointia varten ja käsitellään vain muistissa; ei koskaan kirjoiteta tallennustilaan. Ei käytetä mallien koulutukseen. |
| Palaverin litteroinnit & käännökset | Asiakkaan työtilan jäsenten suorittama tallennus ja haku. | Art. 6(1)(b) — sopimuksen täytäntöönpano. | Säilytetään, kunnes Asiakas poistaa ne tai tili poistetaan. |
| Yhteenvedot & tehtävät | Litteroinnista johdetut tekoälyn tuottamat palaveritulokset. | Art. 6(1)(b) — sopimuksen täytäntöönpano. | Noudattaa litteroinnin säilytystä. |
| Tilin tunnisteet (nimi, sähköposti, rooli) | Todentaminen, työtilan käyttöoikeus ja auditlokitus. | Art. 6(1)(b) — sopimuksen täytäntöönpano. | Tilin kesto plus 30 päivää sulkemisen jälkeen. |
| Työtilan & käytön metatiedot | Palvelun toiminta, laskutuksen täsmäytys ja väärinkäytön estäminen. | Art. 6(1)(b) ja art. 6(1)(f) — oikeutettu etu palvelun eheydessä. | 12 kuukautta luomisesta. |
| Auditlokit | Tietoturvavalvonta ja Asiakkaan käyttöoikeuksien tarkastelu. | Art. 6(1)(f) — oikeutettu etu tietoturvassa. | 12 kuukautta luomisesta. |
| Laskutustunnisteet | Tilauksen hallinta. Maksukorttitiedot käsittelee LemonSqueezy Merchant of Record -toimijana, eikä Sageio tallenna niitä. | Art. 6(1)(b) — sopimuksen täytäntöönpano. | Tilin kesto plus 7 vuotta verotusta varten. |
ALIKÄSITTELIJÄT
Täydellinen huoltoketju.
| Alikäsittelijä | Tarkoitus | Käsittelysijainti |
|---|---|---|
| Amazon Web Services | Pilvi-isännöinti, objektitallennus, salausavainten hallinta. | Asiakkaan valitsema alue (oletus: Singapore, Aasian-Tyynenmeren alue). EU ja US Enterprise-paketeissa. |
| Neon | Hallinnoitu PostgreSQL-tietokanta sovellusdatalle. | Alue sovitettuna Asiakkaan ensisijaiseen AWS-alueeseen. |
| Vercel | Markkinointisivuston ja asiakkaille suunnatun verkkosovelluksen isännöinti. | Globaali reunaverkko. Lähde: asiakkaan valitsema alue. |
| Clerk | Todentaminen, kertakirjautuminen ja identiteetinhallinta. | Yhdysvallat. |
| Deepgram | Palaveriäänen puheen muuntaminen tekstiksi. | Yhdysvallat. |
| OpenAI | Palaveriäänen reaaliaikainen puheen muuntaminen tekstiksi (oletusmoottori uusille työtiloille) ja ladattujen äänitiedostojen litterointi. | Yhdysvallat. |
| DeepL | Väliaikaisten litterointisegmenttien kääntäminen ja lopullinen käännös valituille kohdekielille. | Saksa (EU). |
| Google (Gemini API) | Valmiiden litterointisegmenttien käännöksen hienosäätö; tekoälyn tuottamat yhteenvedot ja tehtävät. | Yhdysvallat. Dataa ei käytetä Googlen mallien kouluttamiseen maksullisen tason Gemini API -ehtojen mukaisesti. |
| Resend | Transaktiosähköpostien toimitus (tili- ja palveluilmoitukset; palaverin yhteenvetosähköpostit lähetetty käyttäjän pyynnöstä). | Yhdysvallat. |
Lemon Squeezy (Stripe-yhtiö) ei ole alikäsittelijä: Merchant of Record -toimijana se määrittää omat tarkoituksensa maksulle, verolle ja laskutukselle ja toimii itsenäisenä rekisterinpitäjänä oman tietosuojaselosteensa nojalla.
Plausible (evästeetön verkkosivuston analytiikka) toimii vain markkinointisivustollamme eikä käsittele alustan henkilötietoja tämän DPA:n nojalla; se on ilmoitettu tietosuojaselosteessa.
KÄSITTELIJÄN SITOUMUKSET
Artikla 28, kirjoitettuna sopimukseen.
Nämä sitoumukset muodostavat osan DPA:sta. Englanninkielinen teksti on virallinen versio; lokalisoidut käännökset noudattavat hyväksyttyä tekstiä.
- Alikäsittelijöiden muutokset
- Sageio ylläpitää ajantasaista alikäsittelijälistaa osoitteessa sageio.net/subprocessors. Sageio antaa Asiakkaalle vähintään 30 päivän ennakkoilmoituksen (sähköpostitse tai sovelluksen sisäisellä ilmoituksella) ennen alikäsittelijän lisäämistä tai korvaamista. Asiakas voi vastustaa perustelluin tietosuojaperustein ilmoitusajan kuluessa; jos osapuolet eivät pysty ratkaisemaan vastalausetta, Asiakas voi irtisanoa asianomaiset palvelut ja saada suhteellisen palautuksen ennakkoon maksetuista maksuista käyttämättömältä ajalta. Sageio asettaa kullekin alikäsittelijälle tätä DPA:ta vastaavat tietosuojavelvoitteet ja pysyy vastuussa niiden suorituksesta.
- Henkilötietojen tietoturvaloukkauksen ilmoittaminen
- Sageio ilmoittaa Asiakkaalle ilman aiheetonta viivytystä, ja joka tapauksessa 24 tunnin kuluessa Asiakkaan henkilötietoja koskevan henkilötietojen tietoturvaloukkauksen vahvistamisesta, ja toimittaa Asiakkaan GDPR:n artiklojen 33–34 mukaisten velvoitteiden kohtuudella edellyttämät tiedot, päivityksin tutkinnan edetessä.
- Poistaminen ja palauttaminen
- Palveluiden irtisanomisen tai päättymisen yhteydessä Sageio Asiakkaan valinnan mukaan joko poistaa tai palauttaa kaikki Asiakkaan henkilötiedot 30 päivän kuluessa ja poistaa jäljelle jääneet kopiot, paitsi milloin sovellettava laki edellyttää säilyttämistä. Salatuissa varmuuskopioissa olevat henkilötiedot poistetaan tavanomaisen 30 päivän varmuuskopiokierron yhteydessä.
- Avustaminen ja auditoinnit
- Käsittelyn luonne huomioon ottaen Sageio avustaa Asiakasta asianmukaisin teknisin ja organisatorisin toimenpitein rekisteröidyn pyyntöihin vastaamisessa ja Asiakkaan GDPR:n artiklojen 32–36 mukaisten velvoitteiden täyttämisessä, mukaan lukien tietosuojaa koskevat vaikutustenarvioinnit ja ennakkokuulemiset. Sageio asettaa saataville tiedot, jotka ovat kohtuudella tarpeen artiklan 28 noudattamisen osoittamiseksi – mukaan lukien tunkeutumistestien yhteenvedot ja, kun saatavilla, auditointiraportit – ja sallii auditoinnit, mukaan lukien tarkastukset, Asiakkaan tai sen valtuuttaman auditoijan toimesta enintään kerran kahdessatoista kuukaudessa, 30 päivän ennakkoilmoituksella, Asiakkaan kustannuksella ja luottamuksellisuuden alaisena.
- Luottamuksellisuus ja ohjeet
- Sageio varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen. Sageio ilmoittaa Asiakkaalle ilman aiheetonta viivytystä, jos sen mielestä ohje rikkoo sovellettavaa tietosuojalakia.
- Asiakkaan takuut
- Asiakas takaa, että se on vahvistanut lainmukaisen perusteen tämän DPA:n nojalla ohjeistamalleen käsittelylle, mukaan lukien sovellettavan lain edellyttämät ilmoitukset palaverin osallistujille ja heidän suostumuksensa sekä – milloin palaverisisältö satunnaisesti sisältää erityisiä henkilötietoryhmiä – GDPR:n artiklan 9(2) mukainen edellytys. Sageio ei käytä palaverisisältöä kenenkään tunnistamiseen äänen perusteella eikä luo biometrisiä malleja.
- Voimassaolo, sovellettava laki ja vastuu
- Tämä DPA tulee voimaan Tilaussopimuksen kanssa ja kestää sen voimassaolon ajan; siihen sovelletaan samaa lakia, ja käyttöehtojen vastuunrajoitukset koskevat sitä, paitsi milloin pakottava tietosuojalaki säätää toisin.
TIETOTURVATOIMENPITEET
Insinöörityö kohtaa sitoumuksen.
Sageio toteuttaa käsittelyn riskiin nähden asianmukaiset tekniset ja organisatoriset toimenpiteet, mukaan lukien salaus siirron aikana (TLS 1.3) ja levossa (AES-256-GCM), roolipohjainen pääsynhallinta, auditlokitus, säännöllinen tunkeutumistestaus ja dokumentoitu häiriönhallintaprosessi. Tuotantopääsy edellyttää nimenomaista liiketoiminnallista perustelua, on aikarajattu ja lokitetaan. Toimenpiteiden täydellinen luettelo, mukaan lukien nykyinen vaatimustenmukaisuusohjelman tila, julkaistaan Tietoturva-sivulla ja päivitetään ohjelman kehittyessä.
KANSAINVÄLISET SIIRROT
Rajat ylittävä data, lainmukaisesti siirrettynä.
Milloin henkilötietoja siirretään Euroopan talousalueen, Yhdistyneen kuningaskunnan tai muiden vastaavin rajoituksin varustettujen lainkäyttöalueiden ulkopuolelle, Sageio nojaa Euroopan komission vakiosopimuslausekkeisiin (Moduuli kaksi: rekisterinpitäjältä käsittelijälle) ja, milloin sovellettavissa, Yhdistyneen kuningaskunnan kansainväliseen tiedonsiirtolisäykseen. Siirroissa lainkäyttöalueille, joita koskee riittävyyspäätös, Sageio nojaa kyseiseen päätökseen. Alikäsittelijät on sidottu vastaaviin velvoitteisiin sopimuksellisen ketjuttamisen kautta. Kullekin tietojen viejän lainkäyttöalueen ulkopuolella henkilötietoja käsittelevälle alikäsittelijälle suoritetaan siirron vaikutustenarviointi.
Vakiosopimuslausekkeet (Moduuli kaksi: rekisterinpitäjältä käsittelijälle) ja Yhdistyneen kuningaskunnan kansainvälinen tiedonsiirtolisäys sisällytetään tähän DPA:han viittauksella. Liite I (osapuolet; käsittelyn kuvaus) muodostuu osapuolten tiedoista ja yllä olevasta "Käsiteltävä data" -taulukosta, joka voi satunnaisesti sisältää palaverisisältöön sisältyviä erityisiä tietoryhmiä; Liite II (tekniset ja organisatoriset toimenpiteet) "Tietoturvatoimenpiteet"-osiosta; Liite III (valtuutetut alikäsittelijät) "Alikäsittelijät"-taulukosta. Ristiriitatilanteessa vakiosopimuslausekkeet ovat etusijalla.
REKISTERÖIDYN OIKEUDET
Käyttäjiesi oikeudet, meidän velvoitteemme.
- Oikeus saada pääsy tietoihin — vahvistus ja kopio käsiteltävistä henkilötiedoista.
- Oikeus oikaisuun — epätarkkojen tai puutteellisten tietojen korjaaminen.
- Oikeus poistamiseen — poistaminen 30 päivän kuluessa pätevästä pyynnöstä, lakisääteisten säilytysvaatimusten alaisena.
- Oikeus käsittelyn rajoittamiseen — käsittelyn rajoittaminen määritellyissä olosuhteissa.
- Oikeus tietojen siirrettävyyteen — vienti jäsennellyssä, koneellisesti luettavassa muodossa.
- Oikeus vastustaa — mukaan lukien oikeutettuun etuun perustuvan käsittelyn vastustaminen.
- Oikeus tehdä valitus asianomaiselle valvontaviranomaiselle.
YHTEYSTIEDOT
Oikeita ihmisiä, nimettyjä postilaatikoita.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageiota operoi 好客網路股份有限公司 (Unified Business No. 29041135), Taiwanissa rekisteröity yhtiö. Rekisteröity osoite: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Tietosuoja-yhteystieto: privacy@sageio.net.
Versiohistoria
- v1.2.114. kesäkuuta 2026Gemini maksullisen tason vahvistus suoritettu (väliaikainen huomautus poistettu); alikäsittelijäsitoumus osoittaa nyt elävälle /subprocessors-sivulle; käsittelijän sitoumusten ja vakiosopimuslausekkeiden sisällyttämisen perinteisen kiinan käännös lisätty.
- v1.213. kesäkuuta 2026Alikäsittelijätaulukon korjaus: OpenAI lisätty (reaaliaikainen puhe tekstiksi, oletusmoottori uusille työtiloille); DeepLin tarkoitus laajennettu lopulliseen käännökseen valituille kielille; Resendin tarkoitus sisältää palaverin yhteenvetosähköpostit; Geminin ehtojen peruste korjattu maksullisen tason API:ksi (vahvistus käynnissä). Määritettävää säilytysikkunaa koskevat lausunnot poistettu vastaamaan nykyistä järjestelmän käyttäytymistä.
- v1.113. kesäkuuta 2026Artiklan 28 käsittelijän sitoumukset lisätty; alikäsittelijätaulukkoa laajennettu (DeepL, Resend); säilytysmerkinnät korjattu vastaamaan järjestelmän käyttäytymistä; vakiosopimuslausekkeet ja UK-lisäys sisällytetty liitekartoituksella.
- v1.0Voimassa julkaisustaEnsimmäinen julkaisu.