Hopp til hovedinnhold
&Sageio

DATABEHANDLERAVTALE

Databehandleravtalen, i klar tekst.

v1.2.1 · Gjeldende fra publiseringsdato

Skrevet slik at personvernombudet ditt kan godkjenne den i én økt. Hvert vilkår, hver underdatabehandler og hvert sikkerhetstiltak dokumentert i sin helhet. Den signerte PDF-en bærer samme innhold.

Last ned DPA (PDF)

OMFANG OG ROLLER

Hvem gjør hva, med hvems data.

Under denne DPA-en er kunden behandlingsansvarlig, og Sageio opptrer som databehandler på vegne av kunden. Sageio behandler personopplysninger kun for å levere de avtalte tjenestene – møteoversettelse, transkripsjon og oppsummering i sanntid – og kun etter kundens dokumenterte instruksjoner. Denne DPA-en utgjør en del av abonnementsavtalen mellom Sageio og kunden; ved konflikt har DPA-en forrang i spørsmål om behandling av personopplysninger. Den gjelder for all behandling som utføres i forbindelse med Sageio-plattformen.

DATA SOM BEHANDLES

Hva vi behandler, og hvorfor vi kan.

DatakategoriFormål med behandlingenRettslig grunnlag (GDPR art. 6)Oppbevaring
MøtelydTale-til-tekst-transkripsjon og oversettelse under møtet.Art. 6(1)(b) — oppfyllelse av kontrakt.Strømmes for live-transkripsjon og behandles kun i minnet; skrives aldri til lagring. Brukes ikke til modelltrening.
Møtetranskripsjoner og oversettelserLagring og henting av medlemmer i kundens arbeidsområde.Art. 6(1)(b) — oppfyllelse av kontrakt.Beholdes til de slettes av kunden eller ved sletting av kontoen.
Sammendrag og oppgaverAI-genererte møteresultater avledet fra transkripsjonen.Art. 6(1)(b) — oppfyllelse av kontrakt.Følger transkripsjonens oppbevaring.
Kontoidentifikatorer (navn, e-post, rolle)Autentisering, tilgang til arbeidsområde og revisjonslogging.Art. 6(1)(b) — oppfyllelse av kontrakt.Kontoens varighet pluss 30 dager etter lukking.
Arbeidsområde- og bruksmetadataTjenestedrift, faktureringsavstemming og misbruksforebygging.Art. 6(1)(b) og art. 6(1)(f) — berettiget interesse i tjenesteintegritet.12 måneder fra generering.
RevisjonsloggerSikkerhetsovervåking og kundens tilgangsgjennomgang.Art. 6(1)(f) — berettiget interesse i sikkerhet.12 måneder fra generering.
FaktureringsidentifikatorerAbonnementsadministrasjon. Betalingskortdata behandles av LemonSqueezy som Merchant of Record og lagres ikke av Sageio.Art. 6(1)(b) — oppfyllelse av kontrakt.Kontoens varighet pluss 7 år for skatteregnskap.

UNDERDATABEHANDLERE

Hele kjeden av forvaring.

UnderdatabehandlerFormålBehandlingssted
Amazon Web ServicesSkyhosting, objektlagring, administrasjon av krypteringsnøkler.Kundevalgt region (standard: Singapore, Asia-Stillehavet). EU og USA på Enterprise-planer.
NeonAdministrert PostgreSQL-database for applikasjonsdata.Region tilpasset kundens primære AWS-region.
VercelHosting for markedsføringsnettsted og kundevendt webapplikasjon.Globalt edge-nettverk. Opprinnelse: kundevalgt region.
ClerkAutentisering, enkeltpålogging og identitetsadministrasjon.USA.
DeepgramTale-til-tekst-transkripsjon av møtelyd.USA.
OpenAITale-til-tekst-transkripsjon i sanntid av møtelyd (standardmotor for nye arbeidsområder) og transkripsjon av opplastede lydfiler.USA.
DeepLOversettelse av foreløpige transkripsjonssegmenter og endelig oversettelse for utvalgte målspråk.Tyskland (EU).
Google (Gemini API)Oversettelsesforbedring av ferdigstilte transkripsjonssegmenter; AI-genererte sammendrag og oppgaver.USA. Data brukes ikke til å trene Google-modeller i henhold til vilkårene for Gemini API på betalt nivå.
ResendLevering av transaksjonell e-post (konto- og tjenestevarsler; møtesammendrags-e-post sendt på brukerens forespørsel).USA.

Lemon Squeezy (et Stripe-selskap) er ikke en underdatabehandler: som Merchant of Record bestemmer det sine egne formål for betaling, skatt og fakturering, og opptrer som en uavhengig behandlingsansvarlig under sin egen personvernerklæring.

Plausible (informasjonskapselfri nettstedsanalyse) opererer kun på markedsføringsnettstedet vårt og behandler ikke personopplysninger på plattformen under denne DPA-en; det er opplyst i personvernerklæringen.

Slik evaluerer vi underdatabehandlere →

BEHANDLERFORPLIKTELSER

Artikkel 28, skrevet inn i kontrakten.

Disse forpliktelsene utgjør en del av DPA-en. Den engelske teksten er den autoritative versjonen; lokaliserte oversettelser vil følge den godkjente teksten.

Endringer av underdatabehandlere
Sageio vedlikeholder den gjeldende listen over underdatabehandlere på sageio.net/subprocessors. Sageio gir kunden minst 30 dagers varsel (på e-post eller via varsel i appen) før en underdatabehandler legges til eller erstattes. Kunden kan komme med innsigelser på rimelig databeskyttelsesgrunnlag innen varselperioden; hvis partene ikke kan løse innsigelsen, kan kunden si opp de berørte tjenestene og motta en forholdsmessig refusjon av forhåndsbetalte gebyrer for den ubrukte perioden. Sageio pålegger hver underdatabehandler databeskyttelsesforpliktelser tilsvarende denne DPA-en og forblir ansvarlig for deres utførelse.
Varsling om brudd på personopplysningssikkerheten
Sageio vil varsle kunden uten ugrunnet opphold, og uansett innen 24 timer etter å ha bekreftet et brudd på personopplysningssikkerheten som berører kundens personopplysninger, og vil gi den informasjonen som rimelig kreves for kundens forpliktelser etter artikkel 33–34 i GDPR, med oppdateringer etter hvert som etterforskningen skrider frem.
Sletting og retur
Ved oppsigelse eller utløp av tjenestene vil Sageio, etter kundens valg, slette eller returnere alle kundens personopplysninger innen 30 dager, og slette gjenværende kopier, unntatt der gjeldende lov krever oppbevaring. Personopplysninger i krypterte sikkerhetskopier slettes på den vanlige 30-dagers rotasjonssyklusen for sikkerhetskopier.
Bistand og revisjoner
Med hensyn til behandlingens art vil Sageio bistå kunden med egnede tekniske og organisatoriske tiltak ved håndtering av forespørsler fra registrerte, og med kundens forpliktelser etter artikkel 32–36 i GDPR, inkludert vurderinger av personvernkonsekvenser og forhåndsdrøftinger. Sageio vil gjøre tilgjengelig informasjon som rimelig er nødvendig for å påvise samsvar med artikkel 28 – inkludert sammendrag av penetrasjonstester og, når tilgjengelig, revisjonsrapporter – og vil tillate revisjoner, inkludert inspeksjoner, av kunden eller dens autoriserte revisor, ikke mer enn én gang per tolv måneder, med 30 dagers varsel, for kundens regning og underlagt taushetsplikt.
Taushetsplikt og instruksjoner
Sageio sikrer at personer som er autorisert til å behandle personopplysninger, er forpliktet til taushetsplikt. Sageio vil informere kunden uten ugrunnet opphold dersom en instruksjon etter selskapets oppfatning bryter med gjeldende databeskyttelseslov.
Kundens garantier
Kunden garanterer at den har etablert et rettslig grunnlag for behandlingen den instruerer under denne DPA-en, inkludert eventuelle varsler til og samtykker fra møtedeltakere som kreves etter gjeldende lov og – der møteinnhold tilfeldigvis inneholder særlige kategorier av personopplysninger – et vilkår etter artikkel 9(2) i GDPR. Sageio bruker ikke møteinnhold til å identifisere noen person ved stemme og oppretter ingen biometriske maler.
Varighet, gjeldende lov og ansvar
Denne DPA-en trer i kraft med, og varer i hele varigheten av, abonnementsavtalen; den er underlagt samme lov, og ansvarsbegrensningene i vilkårene for bruk gjelder for den, unntatt der ufravikelig databeskyttelseslov bestemmer noe annet.

SIKKERHETSTILTAK

Ingeniørarbeid møter forpliktelse.

Sageio implementerer tekniske og organisatoriske tiltak som er egnet for risikoen ved behandlingen, inkludert kryptering under overføring (TLS 1.3) og i hvile (AES-256-GCM), rollebasert tilgangskontroll, revisjonslogging, regelmessig penetrasjonstesting og en dokumentert prosess for hendelseshåndtering. Produksjonstilgang krever en eksplisitt forretningsmessig begrunnelse, er tidsbegrenset og loggføres. Den fullstendige katalogen over tiltak, inkludert gjeldende status for samsvarsprogrammet, er publisert på sikkerhetssiden og oppdateres etter hvert som programmet utvikler seg.

Les sikkerhetssiden →

INTERNASJONALE OVERFØRINGER

Data over landegrenser, lovlig flyttet.

Der personopplysninger overføres utenfor Det europeiske økonomiske samarbeidsområdet, Storbritannia eller andre jurisdiksjoner med tilsvarende restriksjoner, baserer Sageio seg på Europakommisjonens standard kontraktsklausuler (Modul to: behandlingsansvarlig-til-databehandler) og, der det er aktuelt, det britiske tillegget for internasjonal dataoverføring. For overføringer til jurisdiksjoner som omfattes av en tilstrekkelighetsbeslutning, baserer Sageio seg på den beslutningen. Underdatabehandlere er bundet til tilsvarende forpliktelser gjennom kontraktsmessig videreføring. Konsekvensvurderinger av overføringer gjennomføres for hver underdatabehandler som behandler personopplysninger utenfor dataeksportørens jurisdiksjon.

Standard kontraktsklausuler (Modul to: behandlingsansvarlig-til-databehandler) og det britiske tillegget for internasjonal dataoverføring er innlemmet i denne DPA-en ved henvisning. Vedlegg I (parter; beskrivelse av behandlingen) utgjøres av partenes opplysninger og tabellen «Data som behandles» ovenfor, som tilfeldigvis kan inneholde særlige kategorier av data i møteinnhold; Vedlegg II (tekniske og organisatoriske tiltak) av delen «Sikkerhetstiltak»; Vedlegg III (autoriserte underdatabehandlere) av tabellen «Underdatabehandlere». Ved konflikt har standard kontraktsklausuler forrang.

RETTIGHETER FOR REGISTRERTE

Dine brukeres rettigheter, våre forpliktelser.

  1. Rett til innsyn — bekreftelse og en kopi av personopplysninger som behandles.
  2. Rett til retting — korrigering av unøyaktige eller ufullstendige data.
  3. Rett til sletting — sletting innen 30 dager etter en gyldig forespørsel, underlagt lovbestemte oppbevaringskrav.
  4. Rett til begrensning — begrensning av behandling under definerte omstendigheter.
  5. Rett til dataportabilitet — eksport i et strukturert, maskinlesbart format.
  6. Rett til å protestere — inkludert mot behandling basert på berettiget interesse.
  7. Rett til å klage til relevant tilsynsmyndighet.

KONTAKT

Ekte mennesker, navngitte innbokser.

Sageio drives av 好客網路股份有限公司 (Unified Business No. 29041135), et selskap registrert i Taiwan. Registrert adresse: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Personvernkontakt: privacy@sageio.net.

Versjonshistorikk

  • v1.2.114. juni 2026Bekreftelse av Gemini på betalt nivå fullført (foreløpig merknad fjernet); underdatabehandlerforpliktelsen peker nå til den aktive /subprocessors-siden; tradisjonell kinesisk oversettelse av behandlerforpliktelsene og innlemmelsen av standard kontraktsklausuler lagt til.
  • v1.213. juni 2026Korrigering av underdatabehandlertabellen: OpenAI lagt til (tale-til-tekst i sanntid, standardmotor for nye arbeidsområder); DeepLs formål utvidet til endelig oversettelse for utvalgte språk; Resends formål inkluderer møtesammendrags-e-post; grunnlaget for Geminis vilkår korrigert til API på betalt nivå (bekreftelse pågår). Utsagn om konfigurerbart oppbevaringsvindu fjernet for å samsvare med gjeldende systematferd.
  • v1.113. juni 2026Artikkel 28-behandlerforpliktelser lagt til; underdatabehandlertabellen utvidet (DeepL, Resend); oppbevaringsoppføringer korrigert for å samsvare med systematferd; standard kontraktsklausuler og britisk tillegg innlemmet med vedleggsoversikt.
  • v1.0Gjeldende fra publiseringFørste publisering.