DATA PROCESSING AGREEMENT
데이터 처리 계약, 쉽게 읽히도록.
v1.2.1 · 공개일부터 효력 발생
귀사의 DPO가 한 번에 검토하고 승인할 수 있도록 작성했습니다. 모든 조항, 하위 처리자, 안전장치를 빠짐없이 문서화했습니다. 서명된 PDF도 동일한 내용을 담고 있습니다.
SCOPE & ROLES
누가 무엇을, 누구의 데이터로 하는가.
본 DPA에 따라 고객은 데이터 컨트롤러이며 Sageio는 고객을 대신하는 프로세서로 행위합니다. Sageio는 계약된 서비스 — 실시간 회의 번역, 전사, 요약 — 를 제공하기 위해서만, 그리고 고객의 문서화된 지시에 따라서만 개인정보를 처리합니다. 본 DPA는 Sageio와 고객 간 구독 계약의 일부를 구성하며, 충돌이 발생할 경우 개인정보 처리에 관한 사항에 대해서는 DPA가 우선합니다. 본 계약은 Sageio 플랫폼과 관련하여 수행되는 모든 처리 활동에 적용됩니다.
DATA PROCESSED
무엇을 처리하며, 왜 처리할 수 있는가.
| 데이터 범주 | 처리 목적 | 법적 근거 (GDPR Art. 6) | 보관 기간 |
|---|---|---|---|
| 회의 오디오 | 회의 중 음성-텍스트 전사 및 번역. | Art. 6(1)(b) — 계약의 이행. | 실시간 전사를 위해 스트리밍되어 메모리에서만 처리되며, 저장소에 기록되지 않습니다. 모델 학습에 사용되지 않습니다. |
| 회의록 및 번역본 | 고객 워크스페이스 구성원에 의한 저장 및 조회. | Art. 6(1)(b) — 계약의 이행. | 고객이 삭제하거나 계정이 삭제될 때까지 보관. |
| 요약 및 액션 아이템 | 회의록에서 파생된 AI 생성 회의 결과물. | Art. 6(1)(b) — 계약의 이행. | 전사본의 보존 기간을 따릅니다. |
| 계정 식별자 (이름, 이메일, 역할) | 인증, 워크스페이스 접근, 감사 로깅. | Art. 6(1)(b) — 계약의 이행. | 계정 유지 기간 및 해지 후 30일. |
| 워크스페이스 및 사용 메타데이터 | 서비스 운영, 결제 정산, 남용 방지. | Art. 6(1)(b) 및 Art. 6(1)(f) — 서비스 무결성에 대한 정당한 이익. | 생성 시점부터 12개월. |
| 감사 로그 | 보안 모니터링 및 고객 접근 검토. | Art. 6(1)(f) — 보안에 대한 정당한 이익. | 생성 시점부터 12개월. |
| 결제 식별자 | 구독 관리. 결제 카드 데이터는 LemonSqueezy가 Merchant of Record로서 처리하며 Sageio는 저장하지 않습니다. | Art. 6(1)(b) — 계약의 이행. | 계정 유지 기간 및 세무 기록을 위한 7년. |
SUB-PROCESSORS
전체 관리 사슬.
| 하위 처리자 | 목적 | 처리 위치 |
|---|---|---|
| Amazon Web Services | 클라우드 호스팅, 오브젝트 스토리지, 암호화 키 관리. | 고객 선택 리전(기본값: 싱가포르, 아시아·태평양). Enterprise 플랜에서 EU·미국 지원. |
| Neon | 애플리케이션 데이터를 위한 관리형 PostgreSQL 데이터베이스. | 고객의 주 AWS 리전에 맞춘 리전. |
| Vercel | 마케팅 사이트 및 고객용 웹 애플리케이션 호스팅. | 글로벌 엣지 네트워크. 오리진: 고객이 선택한 리전. |
| Clerk | 인증, 싱글 사인온, 신원 관리. | 미국. |
| Deepgram | 회의 오디오의 음성-텍스트 전사. | 미국. |
| OpenAI | 회의 음성의 실시간 음성-텍스트 전사(신규 워크스페이스의 기본 엔진) 및 업로드된 오디오 파일의 전사. | 미국. |
| DeepL | 임시 전사 구간의 번역 및 일부 대상 언어의 최종 번역. | 독일(EU). |
| Google (Gemini API) | 확정 전사 구간의 번역 다듬기, AI 생성 요약 및 액션 아이템. | 미국. 유료 등급 Gemini API 약관에 따라 데이터를 Google 모델 학습에 사용하지 않음. |
| Resend | 트랜잭션 이메일 발송(계정 및 서비스 알림, 사용자의 요청에 따른 회의 요약 이메일 포함). | 미국. |
Lemon Squeezy(Stripe 계열사)는 부처리자가 아닙니다. Merchant of Record로서 결제·세무·인보이스의 처리 목적을 독자적으로 결정하는 독립 데이터 컨트롤러이며, 자체 개인정보처리방침이 적용됩니다.
Plausible(쿠키 없는 웹 분석)은 마케팅 사이트에서만 작동하며 본 DPA 적용 대상인 플랫폼 개인정보를 처리하지 않습니다. 개인정보처리방침에 공개되어 있습니다.
PROCESSOR COMMITMENTS
Article 28, written into the contract.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Sub-processor changes
- Sageio maintains the current sub-processor list at sageio.net/subprocessors. Sageio will give Customer at least 30 days' notice (by email or in-app notice) before adding or replacing a sub-processor. Customer may object on reasonable data-protection grounds within the notice period; if the parties cannot resolve the objection, Customer may terminate the affected services and receive a pro-rata refund of prepaid fees for the unused period. Sageio imposes data-protection obligations equivalent to this DPA on each sub-processor and remains liable for their performance.
- Personal-data breach notification
- Sageio will notify Customer without undue delay, and in any event within 24 hours of confirming a personal-data breach affecting Customer personal data, and will provide the information reasonably required for Customer's obligations under Articles 33–34 GDPR, with updates as the investigation proceeds.
- Deletion and return
- Upon termination or expiry of the services, Sageio will, at Customer's choice, delete or return all Customer personal data within 30 days, and delete remaining copies, except where applicable law requires retention. Personal data in encrypted backups is purged on the standard 30-day backup rotation cycle.
- Assistance and audits
- Taking into account the nature of the processing, Sageio will assist Customer with appropriate technical and organizational measures in responding to data-subject requests, and with Customer's obligations under Articles 32–36 GDPR, including data-protection impact assessments and prior consultations. Sageio will make available information reasonably necessary to demonstrate compliance with Article 28 — including summaries of penetration tests and, when available, audit reports — and will allow audits, including inspections, by Customer or its mandated auditor, no more than once per twelve months, on 30 days' notice, at Customer's expense and subject to confidentiality.
- Confidentiality and instructions
- Sageio ensures that persons authorized to process personal data are committed to confidentiality. Sageio will inform Customer without undue delay if, in its opinion, an instruction infringes applicable data-protection law.
- Customer warranties
- Customer warrants that it has established a lawful basis for the processing it instructs under this DPA, including any notices to and consents from meeting participants required by applicable law and — where meeting content incidentally contains special categories of personal data — a condition under Article 9(2) GDPR. Sageio does not use meeting content to identify any person by voice and creates no biometric templates.
- Term, governing law, and liability
- This DPA takes effect with, and lasts for the duration of, the Subscription Agreement; it is governed by the same law, and the limitations of liability in the Terms of Service apply to it, except where mandatory data-protection law provides otherwise.
SECURITY MEASURES
엔지니어링이 만나는 약속.
Sageio는 처리 위험에 상응하는 기술적·조직적 조치를 시행하며, 여기에는 전송 중(TLS 1.3) 및 저장 중(AES-256-GCM) 암호화, 역할 기반 접근 통제, 감사 로깅, 정기 침투 테스트, 문서화된 사고 대응 절차가 포함됩니다. 프로덕션 접근은 명확한 업무상 정당성이 필요하며, 기한이 정해져 있고, 기록됩니다. 현재 컴플라이언스 프로그램 상태를 포함한 조치의 전체 목록은 보안 페이지에 공개되며 프로그램 진전에 따라 갱신됩니다.
INTERNATIONAL TRANSFERS
국경을 넘는 데이터, 적법한 이전.
개인정보가 유럽경제지역(EEA), 영국, 또는 동등한 제한이 있는 기타 관할권 밖으로 이전되는 경우, Sageio는 유럽위원회의 표준계약조항(Module Two: Controller-to-Processor)에 의거하며, 해당하는 경우 영국 국제 데이터 이전 부속서(UK IDTA)에 의거합니다. 적정성 결정의 적용을 받는 관할권으로의 이전에 대해서는 해당 결정에 의거합니다. 하위 처리자는 계약상 의무 전가를 통해 동등한 의무에 구속됩니다. 데이터 수출자의 관할권 밖에서 개인정보를 처리하는 각 하위 처리자에 대해 이전 영향 평가가 수행됩니다.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
DATA SUBJECT RIGHTS
귀사 사용자의 권리, 우리의 의무.
- 접근권 — 처리되는 개인정보에 대한 확인 및 사본.
- 정정권 — 부정확하거나 불완전한 데이터의 수정.
- 삭제권 — 유효한 요청 후 30일 이내 삭제, 단 법적 보관 요건을 따름.
- 처리 제한권 — 정해진 상황에서의 처리 제한.
- 데이터 이동권 — 구조화된 기계 판독 가능 형식으로 내보내기.
- 반대권 — 정당한 이익에 근거한 처리에 대한 반대 포함.
- 관할 감독기관에 민원을 제기할 권리.
CONTACT
실제 담당자, 지정된 연락처.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio는 대만에 등록된 好客網路股份有限公司(사업자 등록번호 29041135)가 운영합니다. 등록 주소: 臺北市信義區虎林街205號 (No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan). 개인정보 문의: privacy@sageio.net.
버전 기록
- v1.2.12026년 6월 14일Gemini 유료 등급 확인 완료(임시 주석 삭제); 부처리자 약정이 공개된 /subprocessors 페이지를 가리키도록 갱신; 처리자 약정 및 SCC 편입 조항의 번체 중국어판 추가.
- v1.2June 13, 2026부처리자 표 수정: OpenAI 추가(실시간 음성-텍스트 전사, 신규 워크스페이스 기본 엔진); DeepL 용도를 일부 언어의 최종 번역으로 확대; Resend 용도에 회의 요약 이메일 포함; Gemini 약관 근거를 유료 등급 API로 수정(확인 진행 중). 보존 기간 설정 가능 문구를 시스템 현황에 맞춰 삭제.
- v1.12026년 6월 13일Art 28 처리자 약정 조항 추가, 부처리자 표 확장(DeepL, Resend), 보존 기간 항목을 시스템 실제 동작에 맞게 수정, SCC 및 UK Addendum 편입과 Annex 매핑 추가.
- v1.0공개일부터 효력 발생최초 공개.