Przejdź do treści głównej
&Sageio

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

Umowa o powierzeniu przetwarzania danych, w przystępnej formie.

v1.2.1 · Obowiązuje od daty publikacji

Napisana tak, by Twój inspektor ochrony danych zatwierdził ją za jednym posiedzeniem. Każdy warunek, podmiot przetwarzający i zabezpieczenie udokumentowane w całości. Podpisany plik PDF zawiera tę samą treść.

Pobierz DPA (PDF)

ZAKRES I ROLE

Kto robi co, i czyimi danymi.

Na mocy niniejszej DPA Klient jest administratorem danych, a Sageio działa jako podmiot przetwarzający w imieniu Klienta. Sageio przetwarza dane osobowe wyłącznie w celu świadczenia zakontraktowanych usług — tłumaczenia spotkań w czasie rzeczywistym, transkrypcji i podsumowywania — i tylko na podstawie udokumentowanych instrukcji Klienta. Niniejsza DPA stanowi część Umowy subskrypcyjnej między Sageio a Klientem; w razie sprzeczności DPA ma pierwszeństwo w kwestiach przetwarzania danych osobowych. Ma zastosowanie do wszystkich czynności przetwarzania prowadzonych w związku z platformą Sageio.

PRZETWARZANE DANE

Co przetwarzamy i dlaczego możemy.

Kategoria danychCel przetwarzaniaPodstawa prawna (art. 6 GDPR)Okres przechowywania
Dźwięk ze spotkaniaTranskrypcja mowy na tekst i tłumaczenie podczas spotkania.Art. 6 ust. 1 lit. b) — wykonanie umowy.Strumieniowany na potrzeby transkrypcji na żywo i przetwarzany wyłącznie w pamięci; nigdy nie zapisywany na nośniku. Nieużywany do trenowania modeli.
Transkrypcje i tłumaczenia spotkańPrzechowywanie i pobieranie przez członków przestrzeni roboczej Klienta.Art. 6 ust. 1 lit. b) — wykonanie umowy.Przechowywane do momentu usunięcia przez Klienta lub usunięcia konta.
Podsumowania i zadaniaWygenerowane przez AI wyniki spotkania powstałe na podstawie transkrypcji.Art. 6 ust. 1 lit. b) — wykonanie umowy.Zgodnie z okresem przechowywania transkrypcji.
Identyfikatory konta (imię i nazwisko, e-mail, rola)Uwierzytelnianie, dostęp do przestrzeni roboczej i rejestrowanie audytu.Art. 6 ust. 1 lit. b) — wykonanie umowy.Czas trwania konta plus 30 dni po jego zamknięciu.
Metadane przestrzeni roboczej i użytkowaniaDziałanie usługi, rozliczanie i zapobieganie nadużyciom.Art. 6 ust. 1 lit. b) oraz art. 6 ust. 1 lit. f) — prawnie uzasadniony interes w integralności usługi.12 miesięcy od wygenerowania.
Dzienniki audytuMonitorowanie bezpieczeństwa i przegląd dostępu przez Klienta.Art. 6 ust. 1 lit. f) — prawnie uzasadniony interes w bezpieczeństwie.12 miesięcy od wygenerowania.
Identyfikatory rozliczenioweZarządzanie subskrypcją. Dane kart płatniczych są przetwarzane przez LemonSqueezy jako Merchant of Record i nie są przechowywane przez Sageio.Art. 6 ust. 1 lit. b) — wykonanie umowy.Czas trwania konta plus 7 lat na potrzeby dokumentacji podatkowej.

PODMIOTY PRZETWARZAJĄCE

Pełny łańcuch powierzenia.

Podmiot przetwarzającyCelLokalizacja przetwarzania
Amazon Web ServicesHosting w chmurze, pamięć obiektowa, zarządzanie kluczami szyfrowania.Region wybrany przez Klienta (domyślnie: Singapur, Azja-Pacyfik). UE i USA w planach Enterprise.
NeonZarządzana baza danych PostgreSQL dla danych aplikacji.Region dopasowany do podstawowego regionu AWS Klienta.
VercelHosting strony marketingowej i aplikacji webowej dla klientów.Globalna sieć brzegowa. Origin: region wybrany przez Klienta.
ClerkUwierzytelnianie, logowanie jednokrotne i zarządzanie tożsamością.Stany Zjednoczone.
DeepgramTranskrypcja mowy na tekst dźwięku ze spotkania.Stany Zjednoczone.
OpenAITranskrypcja mowy na tekst dźwięku ze spotkania w czasie rzeczywistym (domyślny silnik dla nowych przestrzeni roboczych) oraz transkrypcja przesłanych plików audio.Stany Zjednoczone.
DeepLTłumaczenie roboczych fragmentów transkrypcji oraz tłumaczenie końcowe dla wybranych języków docelowych.Niemcy (UE).
Google (Gemini API)Doprecyzowanie tłumaczenia sfinalizowanych fragmentów transkrypcji; wygenerowane przez AI podsumowania i zadania.Stany Zjednoczone. Dane nieużywane do trenowania modeli Google zgodnie z warunkami płatnego poziomu Gemini API.
ResendDostarczanie e-maili transakcyjnych (zawiadomienia o koncie i usłudze; e-maile z podsumowaniem spotkania wysyłane na żądanie użytkownika).Stany Zjednoczone.

Lemon Squeezy (spółka Stripe) nie jest podmiotem przetwarzającym: jako Merchant of Record samodzielnie określa cele przetwarzania na potrzeby płatności, podatków i fakturowania oraz działa jako niezależny administrator danych na podstawie własnej polityki prywatności.

Plausible (analityka witryny bez plików cookie) działa wyłącznie na naszej stronie marketingowej i nie przetwarza danych osobowych platformy w ramach niniejszej DPA; jest ujawnione w Polityce prywatności.

Jak oceniamy podmioty przetwarzające →

ZOBOWIĄZANIA PODMIOTU PRZETWARZAJĄCEGO

Artykuł 28, wpisany do umowy.

Te zobowiązania stanowią część DPA. Wiążąca jest wersja angielska; tłumaczenia lokalne będą zgodne z zatwierdzonym tekstem.

Zmiany podmiotów przetwarzających
Sageio utrzymuje aktualną listę podmiotów przetwarzających pod adresem sageio.net/subprocessors. Sageio powiadomi Klienta z co najmniej 30-dniowym wyprzedzeniem (e-mailem lub powiadomieniem w aplikacji) przed dodaniem lub zmianą podmiotu przetwarzającego. Klient może wnieść sprzeciw z uzasadnionych powodów ochrony danych w okresie wypowiedzenia; jeśli strony nie zdołają rozwiązać sprzeciwu, Klient może wypowiedzieć usługi, których to dotyczy, i otrzymać proporcjonalny zwrot opłat uiszczonych z góry za niewykorzystany okres. Sageio nakłada na każdy podmiot przetwarzający obowiązki ochrony danych równoważne niniejszej DPA i pozostaje odpowiedzialne za ich działanie.
Powiadomienie o naruszeniu ochrony danych osobowych
Sageio powiadomi Klienta bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od potwierdzenia naruszenia ochrony danych osobowych dotyczącego danych osobowych Klienta, i dostarczy informacje rozsądnie wymagane do wypełnienia obowiązków Klienta wynikających z art. 33–34 GDPR, wraz z aktualizacjami w miarę postępu dochodzenia.
Usunięcie i zwrot
Po rozwiązaniu lub wygaśnięciu usług Sageio, według wyboru Klienta, usunie lub zwróci wszystkie dane osobowe Klienta w ciągu 30 dni oraz usunie pozostałe kopie, z wyjątkiem przypadków, gdy obowiązujące prawo wymaga ich zachowania. Dane osobowe w szyfrowanych kopiach zapasowych są usuwane w ramach standardowego 30-dniowego cyklu rotacji kopii zapasowych.
Pomoc i audyty
Uwzględniając charakter przetwarzania, Sageio będzie wspierać Klienta odpowiednimi środkami technicznymi i organizacyjnymi w odpowiadaniu na żądania osób, których dane dotyczą, oraz w wypełnianiu obowiązków Klienta wynikających z art. 32–36 GDPR, w tym ocen skutków dla ochrony danych i uprzednich konsultacji. Sageio udostępni informacje rozsądnie niezbędne do wykazania zgodności z art. 28 — w tym podsumowania testów penetracyjnych oraz, gdy będą dostępne, raporty z audytów — i umożliwi audyty, w tym inspekcje, przez Klienta lub upoważnionego przez niego audytora, nie częściej niż raz na dwanaście miesięcy, z 30-dniowym wyprzedzeniem, na koszt Klienta i z zachowaniem poufności.
Poufność i instrukcje
Sageio zapewnia, że osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania poufności. Sageio poinformuje Klienta bez zbędnej zwłoki, jeśli w jego opinii instrukcja narusza obowiązujące prawo ochrony danych.
Oświadczenia Klienta
Klient oświadcza, że ustalił zgodną z prawem podstawę przetwarzania, które zleca na mocy niniejszej DPA, w tym wszelkie zawiadomienia wobec uczestników spotkań i zgody od nich wymagane na mocy obowiązującego prawa oraz — gdy treść spotkania zawiera incydentalnie szczególne kategorie danych osobowych — warunek na mocy art. 9 ust. 2 GDPR. Sageio nie wykorzystuje treści spotkań do identyfikacji jakiejkolwiek osoby po głosie i nie tworzy żadnych szablonów biometrycznych.
Okres obowiązywania, prawo właściwe i odpowiedzialność
Niniejsza DPA wchodzi w życie wraz z Umową subskrypcyjną i obowiązuje przez czas jej trwania; podlega temu samemu prawu, a ograniczenia odpowiedzialności zawarte w Warunkach korzystania z usługi mają do niej zastosowanie, z wyjątkiem przypadków, gdy bezwzględnie obowiązujące prawo ochrony danych stanowi inaczej.

ŚRODKI BEZPIECZEŃSTWA

Inżynieria spotyka zobowiązanie.

Sageio wdraża środki techniczne i organizacyjne odpowiednie do ryzyka przetwarzania, w tym szyfrowanie podczas przesyłania (TLS 1.3) i w spoczynku (AES-256-GCM), kontrolę dostępu opartą na rolach, rejestrowanie audytu, regularne testy penetracyjne oraz udokumentowany proces reagowania na incydenty. Dostęp produkcyjny wymaga wyraźnego uzasadnienia biznesowego, jest ograniczony czasowo i rejestrowany. Pełny katalog środków, wraz z bieżącym stanem programu zgodności, jest publikowany na stronie Bezpieczeństwo i aktualizowany w miarę rozwoju programu.

Przeczytaj stronę Bezpieczeństwo →

TRANSFERY MIĘDZYNARODOWE

Dane transgraniczne, przenoszone zgodnie z prawem.

Gdy dane osobowe są przekazywane poza Europejski Obszar Gospodarczy, Wielką Brytanię lub inne jurysdykcje o równoważnych ograniczeniach, Sageio opiera się na Standardowych Klauzulach Umownych Komisji Europejskiej (Moduł drugi: administrator–podmiot przetwarzający) oraz, w stosownych przypadkach, na brytyjskim Aneksie o międzynarodowym transferze danych (UK International Data Transfer Addendum). W przypadku transferów do jurysdykcji objętych decyzją stwierdzającą odpowiedni stopień ochrony Sageio opiera się na tej decyzji. Podmioty przetwarzające są związane równoważnymi obowiązkami poprzez umowne przeniesienie zobowiązań. Dla każdego podmiotu przetwarzającego dane osobowe poza jurysdykcją eksportera danych przeprowadzane są oceny skutków transferu.

SCC (Moduł drugi: administrator–podmiot przetwarzający) oraz brytyjski Aneks o międzynarodowym transferze danych (UK International Data Transfer Addendum) zostają włączone do niniejszej DPA przez odniesienie. Załącznik I (strony; opis przetwarzania) tworzą dane stron oraz powyższa tabela „Przetwarzane dane”, która może incydentalnie obejmować szczególne kategorie danych zawarte w treści spotkań; Załącznik II (środki techniczne i organizacyjne) tworzy sekcja „Środki bezpieczeństwa”; Załącznik III (upoważnione podmioty przetwarzające) tworzy tabela „Podmioty przetwarzające”. W razie sprzeczności pierwszeństwo mają SCC.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Prawa Twoich użytkowników, nasze obowiązki.

  1. Prawo dostępu — potwierdzenie i kopia przetwarzanych danych osobowych.
  2. Prawo do sprostowania — poprawienie nieprawidłowych lub niekompletnych danych.
  3. Prawo do usunięcia — usunięcie w ciągu 30 dni od ważnego żądania, z zastrzeżeniem prawnych wymogów retencji.
  4. Prawo do ograniczenia — ograniczenie przetwarzania w określonych okolicznościach.
  5. Prawo do przenoszenia danych — eksport w uporządkowanym, nadającym się do odczytu maszynowego formacie.
  6. Prawo do sprzeciwu — w tym wobec przetwarzania opartego na prawnie uzasadnionym interesie.
  7. Prawo do wniesienia skargi do właściwego organu nadzorczego.

KONTAKT

Prawdziwi ludzie, imienne skrzynki.

Sageio jest prowadzone przez 好客網路股份有限公司 (Unified Business No. 29041135), spółkę zarejestrowaną na Tajwanie. Adres siedziby: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Kontakt w sprawach prywatności: privacy@sageio.net.

Historia wersji

  • v1.2.114 czerwca 2026Ukończono potwierdzenie płatnego poziomu Gemini (usunięto notatkę tymczasową); zobowiązanie dotyczące podmiotów przetwarzających odsyła teraz do aktywnej strony /subprocessors; dodano tłumaczenie zobowiązań podmiotu przetwarzającego i włączenia SCC na chiński tradycyjny.
  • v1.213 czerwca 2026Korekta tabeli podmiotów przetwarzających: dodano OpenAI (transkrypcja mowy na tekst w czasie rzeczywistym, domyślny silnik dla nowych przestrzeni roboczych); cel DeepL rozszerzony o tłumaczenie końcowe dla wybranych języków; cel Resend obejmuje e-maile z podsumowaniem spotkania; podstawa warunków Gemini skorygowana na płatny poziom API (potwierdzenie w toku). Usunięto stwierdzenia o konfigurowalnym oknie retencji, by odpowiadały bieżącemu działaniu systemu.
  • v1.113 czerwca 2026Dodano zobowiązania podmiotu przetwarzającego z art. 28; rozszerzono tabelę podmiotów przetwarzających (DeepL, Resend); skorygowano wpisy retencji, by odpowiadały działaniu systemu; włączono SCC i brytyjski Aneks wraz z odwzorowaniem załączników.
  • v1.0Obowiązuje od publikacjiPierwsza publikacja.