GAGNAVINNSLUSAMNINGUR
Gagnavinnslusamningurinn, í skýru máli.
v1.2.1 · Gildir frá útgáfudegi
Skrifaður svo persónuverndarfulltrúinn þinn geti samþykkt hann í einni setu. Sérhvert ákvæði, undirvinnsluaðili og varúðarráðstöfun skjalfest að fullu. Undirritaða PDF-skjalið ber sama efni.
GILDISSVIÐ OG HLUTVERK
Hver gerir hvað, með gögnum hvers.
Samkvæmt þessum DPA er viðskiptavinurinn ábyrgðaraðili gagna og Sageio starfar sem vinnsluaðili fyrir hönd viðskiptavinarins. Sageio vinnur persónuupplýsingar einungis til að veita umsamda þjónustu — rauntímafundaþýðingu, umritun og samantekt — og einungis samkvæmt skjalfestum fyrirmælum viðskiptavinarins. Þessi DPA er hluti af áskriftarsamningnum milli Sageio og viðskiptavinarins; ef ósamræmi kemur upp gildir DPA varðandi vinnslu persónuupplýsinga. Hann á við um alla vinnslustarfsemi sem fram fer í tengslum við Sageio-vettvanginn.
GÖGN UNNIN
Hvað við vinnum, og af hverju við megum.
| Flokkur gagna | Tilgangur vinnslu | Lagagrundvöllur (GDPR 6. gr.) | Varðveisla |
|---|---|---|---|
| Fundarhljóð | Umritun tals í texta og þýðing meðan á fundinum stendur. | 6. gr. (1)(b) — efndir samnings. | Streymt fyrir umritun í beinni og unnið aðeins í minni; aldrei skrifað í geymslu. Ekki notað til þjálfunar líkana. |
| Fundarumritanir og þýðingar | Geymsla og sókn af hálfu meðlima vinnusvæðis viðskiptavinarins. | 6. gr. (1)(b) — efndir samnings. | Varðveitt þar til viðskiptavinur eyðir eða við eyðingu reiknings. |
| Samantektir og aðgerðaliðir | Gervigreindarframleitt fundarefni dregið af umrituninni. | 6. gr. (1)(b) — efndir samnings. | Fylgir varðveislu umritunarinnar. |
| Reikningsauðkenni (nafn, tölvupóstur, hlutverk) | Auðkenning, aðgangur að vinnusvæði og endurskoðunarskráning. | 6. gr. (1)(b) — efndir samnings. | Tímalengd reikningsins auk 30 daga eftir lokun. |
| Vinnusvæðis- og notkunarlýsigögn | Rekstur þjónustu, innheimtuafstemming og varnir gegn misnotkun. | 6. gr. (1)(b) og 6. gr. (1)(f) — lögmætir hagsmunir af heilindum þjónustu. | 12 mánuðir frá myndun. |
| Endurskoðunarskrár | Öryggisvöktun og aðgangsyfirferð viðskiptavinar. | 6. gr. (1)(f) — lögmætir hagsmunir af öryggi. | 12 mánuðir frá myndun. |
| Innheimtuauðkenni | Áskriftarstjórnun. Greiðslukortagögn eru unnin af LemonSqueezy sem Merchant of Record og eru ekki geymd af Sageio. | 6. gr. (1)(b) — efndir samnings. | Tímalengd reikningsins auk 7 ára vegna skattskráa. |
UNDIRVINNSLUAÐILAR
Öll keðja vörslu.
| Undirvinnsluaðili | Tilgangur | Vinnslustaður |
|---|---|---|
| Amazon Web Services | Skýjahýsing, hlutageymsla, umsjón dulkóðunarlykla. | Svæði valið af viðskiptavini (sjálfgefið: Singapúr, Asía-Kyrrahaf). ESB og Bandaríkin á Enterprise-áskriftum. |
| Neon | Umsjáður PostgreSQL-gagnagrunnur fyrir forritsgögn. | Svæði samræmt aðal-AWS-svæði viðskiptavinarins. |
| Vercel | Hýsing fyrir markaðsvef og vefforrit fyrir viðskiptavini. | Alþjóðlegt jaðarnet. Uppruni: svæði valið af viðskiptavini. |
| Clerk | Auðkenning, einskráning og auðkennisstjórnun. | Bandaríkin. |
| Deepgram | Umritun fundarhljóðs í texta. | Bandaríkin. |
| OpenAI | Rauntímaumritun fundarhljóðs í texta (sjálfgefin vél fyrir ný vinnusvæði) og umritun upphlaðinna hljóðskráa. | Bandaríkin. |
| DeepL | Þýðing á bráðabirgðaumritunarbútum og lokaþýðing fyrir valin marktungumál. | Þýskaland (ESB). |
| Google (Gemini API) | Þýðingarfágun á fullgerðum umritunarbútum; gervigreindarframleiddar samantektir og aðgerðaliðir. | Bandaríkin. Gögn ekki notuð til að þjálfa Google-líkön samkvæmt skilmálum Gemini API á greiddu þrepi. |
| Resend | Afhending viðskiptatölvupósts (reiknings- og þjónustutilkynningar; fundarsamantektarpóstar sendir að beiðni notanda). | Bandaríkin. |
Lemon Squeezy (fyrirtæki í eigu Stripe) er ekki undirvinnsluaðili: sem Merchant of Record ákveður það eigin tilgang fyrir greiðslu, skatt og reikningagerð, og starfar sem sjálfstæður ábyrgðaraðili gagna samkvæmt eigin persónuverndarstefnu.
Plausible (vefgreining án vafrakaka) starfar aðeins á markaðsvefnum okkar og vinnur ekki persónuupplýsingar vettvangsins samkvæmt þessum DPA; það er upplýst í persónuverndarstefnunni.
SKULDBINDINGAR VINNSLUAÐILA
28. grein, skrifuð inn í samninginn.
Þessar skuldbindingar eru hluti af DPA. Enski textinn er gildandi útgáfan; staðfærðar þýðingar fylgja samþykkta textanum.
- Breytingar á undirvinnsluaðilum
- Sageio heldur við núverandi lista yfir undirvinnsluaðila á sageio.net/subprocessors. Sageio gefur viðskiptavini að minnsta kosti 30 daga fyrirvara (með tölvupósti eða tilkynningu í forriti) áður en undirvinnsluaðila er bætt við eða skipt út. Viðskiptavinur getur andmælt á réttmætum persónuverndargrundvelli innan fyrirvarans; ef aðilar geta ekki leyst andmælin getur viðskiptavinur sagt upp viðkomandi þjónustu og fengið hlutfallslega endurgreiðslu fyrirframgreiddra gjalda fyrir ónotaða tímabilið. Sageio leggur persónuverndarskuldbindingar jafngildar þessum DPA á hvern undirvinnsluaðila og ber áfram ábyrgð á frammistöðu þeirra.
- Tilkynning um öryggisbrest persónuupplýsinga
- Sageio tilkynnir viðskiptavini án ótilhlýðilegrar tafar, og í öllu falli innan 24 klukkustunda frá staðfestingu öryggisbrests persónuupplýsinga sem hefur áhrif á persónuupplýsingar viðskiptavinarins, og veitir þær upplýsingar sem eðlilega er krafist vegna skuldbindinga viðskiptavinarins samkvæmt 33.–34. gr. GDPR, með uppfærslum eftir því sem rannsókninni vindur fram.
- Eyðing og skil
- Við uppsögn eða lok þjónustunnar mun Sageio, að vali viðskiptavinarins, eyða eða skila öllum persónuupplýsingum viðskiptavinarins innan 30 daga, og eyða eftirstandandi afritum, nema þar sem gildandi lög krefjast varðveislu. Persónuupplýsingum í dulkóðuðum afritum er eytt á hefðbundinni 30 daga afritunarhringrás.
- Aðstoð og úttektir
- Að teknu tilliti til eðlis vinnslunnar mun Sageio aðstoða viðskiptavin með viðeigandi tæknilegum og skipulagslegum ráðstöfunum við að svara beiðnum skráðra einstaklinga, og við skuldbindingar viðskiptavinarins samkvæmt 32.–36. gr. GDPR, þar á meðal mati á áhrifum á persónuvernd og samráði fyrirfram. Sageio gerir aðgengilegar upplýsingar sem eðlilega eru nauðsynlegar til að sýna fram á að farið sé að 28. gr. — þar á meðal samantektir á innbrotsprófunum og, þegar þær eru tiltækar, úttektarskýrslur — og leyfir úttektir, þar á meðal skoðanir, af hálfu viðskiptavinarins eða úttektaraðila á hans vegum, ekki oftar en einu sinni á hverjum tólf mánuðum, með 30 daga fyrirvara, á kostnað viðskiptavinarins og með fyrirvara um trúnað.
- Trúnaður og fyrirmæli
- Sageio tryggir að einstaklingar sem hafa heimild til að vinna persónuupplýsingar séu bundnir trúnaði. Sageio upplýsir viðskiptavin án ótilhlýðilegrar tafar ef, að mati þess, fyrirmæli brjóta gegn gildandi persónuverndarlögum.
- Ábyrgðir viðskiptavinar
- Viðskiptavinur ábyrgist að hann hafi komið á lögmætum grundvelli fyrir þá vinnslu sem hann fyrirskipar samkvæmt þessum DPA, þar á meðal allar tilkynningar til og samþykki frá fundarþátttakendum sem gildandi lög krefjast og — þar sem fundarefni inniheldur fyrir tilviljun sérstaka flokka persónuupplýsinga — skilyrði samkvæmt 9. gr. (2) GDPR. Sageio notar ekki fundarefni til að bera kennsl á neinn eftir rödd og býr ekki til nein lífkennasnið.
- Gildistími, gildandi lög og ábyrgð
- Þessi DPA tekur gildi með, og gildir jafn lengi og, áskriftarsamningurinn; hann lýtur sömu lögum, og takmarkanir á ábyrgð í þjónustuskilmálunum gilda um hann, nema þar sem ófrávíkjanleg persónuverndarlög kveða á um annað.
ÖRYGGISRÁÐSTAFANIR
Verkfræði mætir skuldbindingu.
Sageio innleiðir tæknilegar og skipulagslegar ráðstafanir sem hæfa áhættu vinnslunnar, þar á meðal dulkóðun á flutningi (TLS 1.3) og í geymslu (AES-256-GCM), hlutverkamiðaða aðgangsstýringu, endurskoðunarskráningu, reglulegar innbrotsprófanir og skjalfest ferli viðbragða við atvikum. Aðgangur að framleiðslukerfi krefst skýrs viðskiptarökstuðnings, er tímabundinn og skráður. Heildaryfirlit yfir ráðstafanir, þar á meðal núverandi stöðu regluvörsluáætlunar, er birt á öryggissíðunni og uppfært eftir því sem áætlunin þróast.
ALÞJÓÐLEGIR FLUTNINGAR
Gögn yfir landamæri, flutt með lögmætum hætti.
Þar sem persónuupplýsingar eru fluttar út fyrir Evrópska efnahagssvæðið, Bretland eða önnur lögsagnarumdæmi með jafngildum takmörkunum, reiðir Sageio sig á stöðluð samningsákvæði framkvæmdastjórnar Evrópusambandsins (eining tvö: ábyrgðaraðili til vinnsluaðila) og, þar sem við á, breska viðaukann um alþjóðlegan gagnaflutning. Fyrir flutninga til lögsagnarumdæma sem falla undir fullnægjandiákvörðun reiðir Sageio sig á þá ákvörðun. Undirvinnsluaðilar eru bundnir jafngildum skuldbindingum með samningslegu áframhaldi. Mat á áhrifum flutnings er framkvæmt fyrir hvern undirvinnsluaðila sem vinnur persónuupplýsingar utan lögsagnarumdæmis gagnaútflytjandans.
Stöðluðu samningsákvæðin (eining tvö: ábyrgðaraðili til vinnsluaðila) og breski viðaukinn um alþjóðlegan gagnaflutning eru felld inn í þennan DPA með tilvísun. Viðauki I (aðilar; lýsing á vinnslu) er myndaður af upplýsingum aðila og töflunni „Gögn unnin“ hér að ofan, sem getur fyrir tilviljun innihaldið sérstaka flokka gagna sem felast í fundarefni; viðauki II (tæknilegar og skipulagslegar ráðstafanir) af hlutanum „Öryggisráðstafanir“; viðauki III (heimilaðir undirvinnsluaðilar) af töflunni „Undirvinnsluaðilar“. Ef ósamræmi kemur upp gilda stöðluðu samningsákvæðin.
RÉTTINDI SKRÁÐRA EINSTAKLINGA
Réttindi notenda þinna, réttindi, skuldbindingar okkar.
- Réttur til aðgangs — staðfesting og afrit af unnnum persónuupplýsingum.
- Réttur til leiðréttingar — leiðrétting á ónákvæmum eða ófullkomnum gögnum.
- Réttur til eyðingar — eyðing innan 30 daga frá gildri beiðni, með fyrirvara um lagalegar varðveislukröfur.
- Réttur til takmörkunar — takmörkun vinnslu við skilgreindar aðstæður.
- Réttur til gagnaflutnings — útflutningur á skipulögðu, tölvulesanlegu sniði.
- Réttur til andmæla — þar á meðal gegn vinnslu sem byggir á lögmætum hagsmunum.
- Réttur til að leggja fram kvörtun hjá viðeigandi eftirlitsyfirvaldi.
TENGILIÐUR
Alvöru fólk, nefnd pósthólf.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio er rekið af 好客網路股份有限公司 (Unified Business No. 29041135), fyrirtæki skráð í Taívan. Skráð heimilisfang: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Persónuverndartengiliður: privacy@sageio.net.
Útgáfusaga
- v1.2.114. júní 2026Staðfestingu á greiddu þrepi Gemini lokið (bráðabirgðaathugasemd fjarlægð); skuldbinding undirvinnsluaðila vísar nú á virku /subprocessors-síðuna; hefðbundinni kínverskri þýðingu á skuldbindingum vinnsluaðila og innfellingu staðlaðra samningsákvæða bætt við.
- v1.213. júní 2026Leiðrétting á töflu undirvinnsluaðila: OpenAI bætt við (rauntímaumritun tals í texta, sjálfgefin vél fyrir ný vinnusvæði); tilgangur DeepL útvíkkaður í lokaþýðingu fyrir valin tungumál; tilgangur Resend nær yfir fundarsamantektarpósta; grundvöllur skilmála Gemini leiðréttur í API á greiddu þrepi (staðfesting í gangi). Yfirlýsingar um stillanlegan varðveislutíma fjarlægðar til að samræmast núverandi hegðun kerfis.
- v1.113. júní 2026Skuldbindingum vinnsluaðila samkvæmt 28. gr. bætt við; tafla undirvinnsluaðila stækkuð (DeepL, Resend); varðveislufærslur leiðréttar til að samræmast hegðun kerfis; stöðluð samningsákvæði og breski viðaukinn felld inn með viðaukakortlagningu.
- v1.0Gildir frá útgáfuFyrsta útgáfa.