DATU APSTRĀDES LĪGUMS
Datu apstrādes līgums, vienkāršā lasījumā.
v1.2.1 · Spēkā no publicēšanas datuma
Uzrakstīts tā, lai jūsu DAO to varētu apstiprināt vienā piesēdienā. Katrs noteikums, apakšapstrādātājs un aizsardzības pasākums pilnībā dokumentēts. Parakstītais PDF satur to pašu saturu.
TVĒRUMS UN LOMAS
Kurš dara ko, ar kā datiem.
Saskaņā ar šo DPA klients ir datu pārzinis, un Sageio darbojas kā apstrādātājs klienta vārdā. Sageio apstrādā personas datus tikai, lai sniegtu līgumā noteiktos pakalpojumus — reāllaika sapulču tulkošanu, transkripciju un kopsavilkumu veidošanu — un tikai saskaņā ar klienta dokumentētajiem norādījumiem. Šis DPA ir daļa no Sageio un klienta abonementa līguma; pretrunu gadījumā DPA ir noteicošais personas datu apstrādes jautājumos. Tas attiecas uz visām apstrādes darbībām, kas tiek veiktas saistībā ar Sageio platformu.
APSTRĀDĀTIE DATI
Ko mēs apstrādājam un kāpēc mēs drīkstam.
| Datu kategorija | Apstrādes mērķis | Juridiskais pamats (GDPR 6. pants) | Saglabāšana |
|---|---|---|---|
| Sapulces audio | Runas pārvēršana tekstā un tulkošana sapulces laikā. | 6. panta 1. punkta b) apakšpunkts — līguma izpilde. | Straumēts tiešraides transkripcijai un apstrādāts tikai atmiņā; nekad netiek ierakstīts krātuvē. Netiek izmantots modeļu apmācībai. |
| Sapulču transkripcijas un tulkojumi | Glabāšana un izgūšana, ko veic klienta darbvietas dalībnieki. | 6. panta 1. punkta b) apakšpunkts — līguma izpilde. | Glabāts, līdz klients to izdzēš vai konts tiek dzēsts. |
| Kopsavilkumi un uzdevumi | AI ģenerēti sapulces rezultāti, kas iegūti no transkripcijas. | 6. panta 1. punkta b) apakšpunkts — līguma izpilde. | Seko transkripcijas saglabāšanai. |
| Konta identifikatori (vārds, e-pasts, loma) | Autentifikācija, piekļuve darbvietai un audita reģistrēšana. | 6. panta 1. punkta b) apakšpunkts — līguma izpilde. | Konta darbības laiks plus 30 dienas pēc slēgšanas. |
| Darbvietas un lietojuma metadati | Pakalpojuma darbība, norēķinu saskaņošana un ļaunprātīgas izmantošanas novēršana. | 6. panta 1. punkta b) un 6. panta 1. punkta f) apakšpunkts — leģitīma interese pakalpojuma integritātē. | 12 mēneši no izveides. |
| Audita žurnāli | Drošības uzraudzība un klienta piekļuves pārskatīšana. | 6. panta 1. punkta f) apakšpunkts — leģitīma interese drošībā. | 12 mēneši no izveides. |
| Norēķinu identifikatori | Abonementa pārvaldība. Maksājuma kartes datus apstrādā LemonSqueezy kā reģistrēts tirgotājs (Merchant of Record), un Sageio tos neglabā. | 6. panta 1. punkta b) apakšpunkts — līguma izpilde. | Konta darbības laiks plus 7 gadi nodokļu uzskaitei. |
APAKŠAPSTRĀDĀTĀJI
Pilna uzraudzības ķēde.
| Apakšapstrādātājs | Mērķis | Apstrādes vieta |
|---|---|---|
| Amazon Web Services | Mākoņa mitināšana, objektu krātuve, šifrēšanas atslēgu pārvaldība. | Klienta izvēlēts reģions (noklusējums: Singapūra, Āzija–Klusais okeāns). ES un ASV Enterprise plānos. |
| Neon | Pārvaldīta PostgreSQL datu bāze lietojumprogrammas datiem. | Reģions, kas atbilst klienta galvenajam AWS reģionam. |
| Vercel | Mārketinga vietnes un klientiem domātās tīmekļa lietojumprogrammas mitināšana. | Globāls malas tīkls. Izcelsme: klienta izvēlēts reģions. |
| Clerk | Autentifikācija, vienotā pieteikšanās un identitātes pārvaldība. | Amerikas Savienotās Valstis. |
| Deepgram | Sapulces audio runas pārvēršana tekstā. | Amerikas Savienotās Valstis. |
| OpenAI | Reāllaika sapulces audio runas pārvēršana tekstā (noklusējuma dzinis jaunām darbvietām) un augšupielādēto audio failu transkripcija. | Amerikas Savienotās Valstis. |
| DeepL | Starpposma transkripcijas segmentu tulkošana un galīgā tulkošana izvēlētajām mērķvalodām. | Vācija (ES). |
| Google (Gemini API) | Pabeigto transkripcijas segmentu tulkojuma pilnveidošana; AI ģenerēti kopsavilkumi un uzdevumi. | Amerikas Savienotās Valstis. Dati netiek izmantoti Google modeļu apmācībai saskaņā ar maksas līmeņa Gemini API noteikumiem. |
| Resend | Transakciju e-pastu piegāde (konta un pakalpojuma paziņojumi; sapulču kopsavilkumu e-pasti, kas tiek sūtīti pēc lietotāja pieprasījuma). | Amerikas Savienotās Valstis. |
Lemon Squeezy (Stripe uzņēmums) nav apakšapstrādātājs: kā reģistrēts tirgotājs (Merchant of Record) tas nosaka savus mērķus maksājumiem, nodokļiem un rēķinu izrakstīšanai un darbojas kā neatkarīgs datu pārzinis saskaņā ar savu privātuma politiku.
Plausible (bezsīkfailu vietnes analītika) darbojas tikai mūsu mārketinga vietnē un neapstrādā platformas personas datus saskaņā ar šo DPA; tas ir atklāts privātuma politikā.
APSTRĀDĀTĀJA SAISTĪBAS
28. pants, ierakstīts līgumā.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Apakšapstrādātāju izmaiņas
- Sageio uztur pašreizējo apakšapstrādātāju sarakstu vietnē sageio.net/subprocessors. Sageio paziņos klientam vismaz 30 dienas iepriekš (pa e-pastu vai lietotnē) pirms apakšapstrādātāja pievienošanas vai aizstāšanas. Klients var iebilst pamatotu datu aizsardzības apsvērumu dēļ paziņojuma periodā; ja puses nevar atrisināt iebildumu, klients var izbeigt skartos pakalpojumus un saņemt proporcionālu iepriekš samaksāto maksu atmaksu par neizmantoto periodu. Sageio uzliek katram apakšapstrādātājam šim DPA līdzvērtīgus datu aizsardzības pienākumus un paliek atbildīgs par to izpildi.
- Paziņojums par personas datu aizsardzības pārkāpumu
- Sageio paziņos klientam bez nepamatotas kavēšanās un jebkurā gadījumā 24 stundu laikā pēc personas datu aizsardzības pārkāpuma apstiprināšanas, kas ietekmē klienta personas datus, un sniegs informāciju, kas pamatoti nepieciešama klienta pienākumiem saskaņā ar GDPR 33.–34. pantu, ar atjauninājumiem izmeklēšanas gaitā.
- Dzēšana un atgriešana
- Pēc pakalpojumu izbeigšanas vai termiņa beigām Sageio pēc klienta izvēles 30 dienu laikā dzēsīs vai atgriezīs visus klienta personas datus un dzēsīs atlikušās kopijas, izņemot gadījumus, kad piemērojamie tiesību akti prasa saglabāšanu. Personas dati šifrētajās dublējumkopijās tiek izdzēsti standarta 30 dienu dublēšanas rotācijas ciklā.
- Palīdzība un auditi
- Ņemot vērā apstrādes raksturu, Sageio palīdzēs klientam ar atbilstošiem tehniskajiem un organizatoriskajiem pasākumiem, atbildot uz datu subjektu pieprasījumiem, un ar klienta pienākumiem saskaņā ar GDPR 32.–36. pantu, tostarp datu aizsardzības ietekmes novērtējumiem un iepriekšējām konsultācijām. Sageio darīs pieejamu informāciju, kas pamatoti nepieciešama, lai pierādītu atbilstību 28. pantam — tostarp ielaušanās testu kopsavilkumus un, ja pieejami, audita atskaites — un atļaus auditus, tostarp pārbaudes, ko veic klients vai tā pilnvarotais auditors, ne biežāk kā reizi divpadsmit mēnešos, ar 30 dienu paziņojumu, par klienta līdzekļiem un ar konfidencialitātes nosacījumu.
- Konfidencialitāte un norādījumi
- Sageio nodrošina, ka personas, kuras pilnvarotas apstrādāt personas datus, ir apņēmušās ievērot konfidencialitāti. Sageio bez nepamatotas kavēšanās informēs klientu, ja pēc tā ieskata norādījums pārkāpj piemērojamos datu aizsardzības tiesību aktus.
- Klienta garantijas
- Klients garantē, ka tas ir izveidojis likumīgu pamatu apstrādei, ko tas norāda saskaņā ar šo DPA, tostarp jebkādiem paziņojumiem sapulces dalībniekiem un to piekrišanai, ko prasa piemērojamie tiesību akti, un — ja sapulces saturs nejauši ietver īpašas kategorijas personas datus — nosacījumu saskaņā ar GDPR 9. panta 2. punktu. Sageio neizmanto sapulces saturu, lai identificētu kādu personu pēc balss, un neveido biometriskas veidnes.
- Termiņš, piemērojamie tiesību akti un atbildība
- Šis DPA stājas spēkā līdz ar abonementa līgumu un ir spēkā tā darbības laikā; to regulē tie paši tiesību akti, un uz to attiecas pakalpojumu sniegšanas noteikumos noteiktie atbildības ierobežojumi, izņemot gadījumus, kad obligātie datu aizsardzības tiesību akti nosaka citādi.
DROŠĪBAS PASĀKUMI
Inženierija satiek saistības.
Sageio īsteno tehniskos un organizatoriskos pasākumus, kas atbilst apstrādes riskam, tostarp šifrēšanu pārsūtīšanā (TLS 1.3) un miera stāvoklī (AES-256-GCM), uz lomām balstītu piekļuves kontroli, audita reģistrēšanu, regulāru ielaušanās testēšanu un dokumentētu incidentu reaģēšanas procesu. Produkcijas piekļuve prasa skaidru biznesa pamatojumu, ir laika ziņā ierobežota un tiek reģistrēta. Pilnais pasākumu katalogs, tostarp pašreizējais atbilstības programmas statuss, ir publicēts drošības lapā un tiek atjaunināts, programmai attīstoties.
STARPTAUTISKA PĀRSŪTĪŠANA
Pārrobežu dati, likumīgi pārvietoti.
Ja personas dati tiek pārsūtīti ārpus Eiropas Ekonomikas zonas, Apvienotās Karalistes vai citām jurisdikcijām ar līdzvērtīgiem ierobežojumiem, Sageio paļaujas uz Eiropas Komisijas standarta līguma klauzulām (otrais modulis: pārzinis–apstrādātājs) un attiecīgā gadījumā uz Apvienotās Karalistes Starptautiskās datu pārsūtīšanas papildinājumu. Pārsūtīšanai uz jurisdikcijām, uz kurām attiecas aizsardzības līmeņa pietiekamības lēmums, Sageio paļaujas uz šo lēmumu. Apakšapstrādātāji ir saistīti ar līdzvērtīgiem pienākumiem caur līgumisku tālāknodošanu. Pārsūtīšanas ietekmes novērtējumi tiek veikti katram apakšapstrādātājam, kas apstrādā personas datus ārpus datu eksportētāja jurisdikcijas.
SLK (otrais modulis: pārzinis–apstrādātājs) un Apvienotās Karalistes Starptautiskās datu pārsūtīšanas papildinājums ir iekļauti šajā DPA ar atsauci. I pielikumu (puses; apstrādes apraksts) veido pušu dati un iepriekš redzamā tabula "Apstrādātie dati", kas var nejauši ietvert īpašas kategorijas datus, kas atrodas sapulces saturā; II pielikumu (tehniskie un organizatoriskie pasākumi) veido sadaļa "Drošības pasākumi"; III pielikumu (pilnvarotie apakšapstrādātāji) veido tabula "Apakšapstrādātāji". Pretrunu gadījumā SLK ir noteicošās.
DATU SUBJEKTU TIESĪBAS
Jūsu lietotāju tiesības, mūsu pienākumi.
- Tiesības piekļūt — apstiprinājums un apstrādāto personas datu kopija.
- Tiesības labot — neprecīzu vai nepilnīgu datu labošana.
- Tiesības tikt dzēstam — dzēšana 30 dienu laikā pēc derīga pieprasījuma, ievērojot juridiskās saglabāšanas prasības.
- Tiesības ierobežot — apstrādes ierobežošana noteiktos apstākļos.
- Tiesības uz datu pārnesamību — eksports strukturētā, mašīnlasāmā formātā.
- Tiesības iebilst — tostarp pret apstrādi, kas balstīta uz leģitīmu interesi.
- Tiesības iesniegt sūdzību attiecīgajai uzraudzības iestādei.
KONTAKTI
Īsti cilvēki, nosauktas iesūtnes.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
Versiju vēsture
- v1.2.12026. gada 14. jūnijsPabeigts Gemini maksas līmeņa apstiprinājums (starpposma piezīme noņemta); apakšapstrādātāju saistība tagad norāda uz aktīvo /subprocessors lapu; pievienots apstrādātāja saistību un SLK iekļaušanas tulkojums tradicionālajā ķīniešu valodā.
- v1.22026. gada 13. jūnijsApakšapstrādātāju tabulas labojums: pievienots OpenAI (reāllaika runas pārvēršana tekstā, noklusējuma dzinis jaunām darbvietām); DeepL mērķis paplašināts līdz galīgajai tulkošanai izvēlētajām valodām; Resend mērķis ietver sapulču kopsavilkumu e-pastus; Gemini noteikumu pamats labots uz maksas līmeņa API (apstiprinājums norisinās). Konfigurējamu saglabāšanas logu paziņojumi noņemti, lai atbilstu pašreizējai sistēmas darbībai.
- v1.12026. gada 13. jūnijsPievienotas 28. panta apstrādātāja saistības; paplašināta apakšapstrādātāju tabula (DeepL, Resend); saglabāšanas ieraksti laboti, lai atbilstu sistēmas darbībai; SLK un Apvienotās Karalistes papildinājums iekļauti ar pielikumu kartēšanu.
- v1.0Spēkā no publicēšanasSākotnējā publikācija.