УГОВОР О ОБРАДИ ПОДАТАКА
Уговор о обради података, у јасном читању.
v1.2.1 · Важи од датума објаве
Написано тако да га ваш DPO може одобрити у једном седењу. Сваки услов, подобрађивач и заштитна мера потпуно документовани. Потписани PDF носи исти садржај.
ОБИМ И УЛОГЕ
Ко ради шта, с чијим подацима.
Према овом DPA-у, Клијент је руковалац података, а Sageio делује као обрађивач у име Клијента. Sageio обрађује личне податке само да би испоручио уговорене услуге — превод састанака у реалном времену, транскрипцију и резимирање — и само према документованим упутствима Клијента. Овај DPA чини део Уговора о претплати између Sageio-а и Клијента; у случају сукоба, DPA преовлађује за питања обраде личних података. Примењује се на све активности обраде спроведене у вези с Sageio платформом.
ОБРАЂЕНИ ПОДАЦИ
Шта обрађујемо, и зашто смемо.
| Категорија података | Сврха обраде | Правни основ (GDPR чл. 6) | Чување |
|---|---|---|---|
| Аудио састанка | Транскрипција говора у текст и превод током састанка. | Чл. 6(1)(б) — извршење уговора. | Стримује се за транскрипцију уживо и обрађује само у меморији; никада се не уписује у складиште. Не користи се за обуку модела. |
| Транскрипти и преводи састанака | Складиштење и преузимање од стране чланова радног простора Клијента. | Чл. 6(1)(б) — извршење уговора. | Чувају се док их Клијент не избрише или до брисања налога. |
| Резимеи и акционе тачке | AI генерисани резултати састанака изведени из транскрипта. | Чл. 6(1)(б) — извршење уговора. | Прати чување транскрипта. |
| Идентификатори налога (име, имејл, улога) | Аутентификација, приступ радном простору и ревизорско бележење. | Чл. 6(1)(б) — извршење уговора. | Трајање налога плус 30 дана након затварања. |
| Метаподаци радног простора и коришћења | Рад услуге, усаглашавање наплате и спречавање злоупотребе. | Чл. 6(1)(б) и чл. 6(1)(ф) — легитимни интерес у интегритету услуге. | 12 месеци од генерисања. |
| Ревизорски дневници | Безбедносни надзор и преглед приступа Клијента. | Чл. 6(1)(ф) — легитимни интерес у безбедности. | 12 месеци од генерисања. |
| Идентификатори наплате | Управљање претплатом. Податке платних картица обрађује LemonSqueezy као продавац од евиденције и Sageio их не чува. | Чл. 6(1)(б) — извршење уговора. | Трајање налога плус 7 година за пореске евиденције. |
ПОДОБРАЂИВАЧИ
Цео ланац старања.
| Подобрађивач | Сврха | Локација обраде |
|---|---|---|
| Amazon Web Services | Хостовање у облаку, складиште објеката, управљање кључевима за шифровање. | Регион који бира клијент (подразумевано: Сингапур, Азија-Пацифик). ЕУ и САД на Enterprise плановима. |
| Neon | Управљана PostgreSQL база података за податке апликације. | Регион усклађен с примарним AWS регионом Клијента. |
| Vercel | Хостовање маркетиншког сајта и веб апликације окренуте клијентима. | Глобална edge мрежа. Извор: регион који бира клијент. |
| Clerk | Аутентификација, јединствена пријава и управљање идентитетом. | Сједињене Америчке Државе. |
| Deepgram | Транскрипција говора у текст аудиа састанка. | Сједињене Америчке Државе. |
| OpenAI | Транскрипција говора у текст аудиа састанка у реалном времену (подразумевани мотор за нове радне просторе) и транскрипција отпремљених аудио датотека. | Сједињене Америчке Државе. |
| DeepL | Превод привремених сегмената транскрипта и коначни превод за изабране циљне језике. | Немачка (ЕУ). |
| Google (Gemini API) | Дотеривање превода финализованих сегмената транскрипта; AI генерисани резимеи и акционе тачке. | United States. Data not used to train Google models per paid-tier Gemini API terms. |
| Resend | Испорука трансакцијских имејлова (обавештења о налогу и услузи; имејлови с резимеима састанка послати на захтев корисника). | Сједињене Америчке Државе. |
Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.
Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.
ОБАВЕЗЕ ОБРАЂИВАЧА
Члан 28, уписан у уговор.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Промене подобрађивача
- Sageio одржава тренутну листу подобрађивача на sageio.net/subprocessors. Sageio ће дати Клијенту најмање 30 дана унапред обавештење (имејлом или у апликацији) пре додавања или замене подобрађивача. Клијент може уложити приговор на разумним основама заштите података унутар периода обавештавања; ако стране не могу да реше приговор, Клијент може раскинути погођене услуге и добити сразмерну рефундацију унапред плаћених накнада за неискоришћени период. Sageio намеће обавезе заштите података еквивалентне овом DPA-у сваком подобрађивачу и остаје одговоран за њихов рад.
- Обавештавање о повреди личних података
- Sageio ће обавестити Клијента без непотребног одлагања, а у сваком случају у року од 24 сата од потврде повреде личних података која погађа личне податке Клијента, и пружиће информације разумно потребне за обавезе Клијента према члановима 33–34 GDPR-а, с исправкама како истрага напредује.
- Брисање и враћање
- По раскиду или истеку услуга, Sageio ће, по избору Клијента, избрисати или вратити све личне податке Клијента у року од 30 дана, и избрисати преостале копије, осим где важећи закон захтева чување. Лични подаци у шифрованим резервним копијама бришу се у стандардном 30-дневном циклусу ротације резервних копија.
- Помоћ и ревизије
- Узимајући у обзир природу обраде, Sageio ће помоћи Клијенту одговарајућим техничким и организационим мерама у одговарању на захтеве субјеката података, и са обавезама Клијента према члановима 32–36 GDPR-а, укључујући процене утицаја на заштиту података и претходне консултације. Sageio ће учинити доступним информације разумно потребне за демонстрацију усклађености с чланом 28 — укључујући резимее тестова продора и, када су доступни, ревизорске извештаје — и дозволиће ревизије, укључујући инспекције, од стране Клијента или његовог овлашћеног ревизора, не више од једном у дванаест месеци, уз обавештење од 30 дана, о трошку Клијента и уз поверљивост.
- Поверљивост и упутства
- Sageio обезбеђује да су особе овлашћене за обраду личних података обавезане на поверљивост. Sageio ће обавестити Клијента без непотребног одлагања ако, по његовом мишљењу, упутство крши важећи закон о заштити података.
- Гаранције Клијента
- Клијент гарантује да је успоставио законски основ за обраду коју налаже према овом DPA-у, укључујући сва обавештења и сагласности учесника састанка које захтева важећи закон и — где садржај састанка случајно садржи посебне категорије личних података — услов према члану 9(2) GDPR-а. Sageio не користи садржај састанка да идентификује било коју особу по гласу и не креира биометријске шаблоне.
- Рок, меродавно право и одговорност
- Овај DPA ступа на снагу с Уговором о претплати и траје колико и он; уређен је истим правом, а ограничења одговорности у Условима коришћења се на њега примењују, осим где обавезујући закон о заштити података предвиђа другачије.
БЕЗБЕДНОСНЕ МЕРЕ
Инжењеринг среће посвећеност.
Sageio примењује техничке и организационе мере примерене ризику обраде, укључујући шифровање у преносу (TLS 1.3) и у мировању (AES-256-GCM), контролу приступа засновану на улогама, ревизорско бележење, редовно тестирање продора и документован процес реаговања на инциденте. Приступ продукцији захтева изричито пословно оправдање, временски је ограничен и бележи се. Комплетан каталог мера, укључујући тренутни статус програма усклађености, објављен је на страници Безбедност и ажурира се како програм еволуира.
МЕЂУНАРОДНИ ПРЕНОСИ
Прекогранични подаци, законито премештени.
Где се лични подаци преносе ван Европског економског простора, Уједињеног Краљевства или других јурисдикција с еквивалентним ограничењима, Sageio се ослања на стандардне уговорне клаузуле Европске комисије (Модул Два: руковалац ка обрађивачу) и, где је применљиво, на британски Додатак о међународном преносу података. За преносе у јурисдикције обухваћене одлуком о адекватности, Sageio се ослања на ту одлуку. Подобрађивачи су обавезани еквивалентним обавезама кроз уговорно преношење. Процене утицаја преноса спроводе се за сваког подобрађивача који обрађује личне податке ван јурисдикције извозника података.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
ПРАВА СУБЈЕКТА ПОДАТАКА
Права ваших корисника, наше обавезе.
- Право приступа — потврда и копија обрађених личних података.
- Право на исправку — исправка нетачних или непотпуних података.
- Право на брисање — брисање у року од 30 дана од важећег захтева, уз законске захтеве за чување.
- Право на ограничење — ограничавање обраде у дефинисаним околностима.
- Право на преносивост података — извоз у структурисаном, машински читљивом формату.
- Право на приговор — укључујући на обраду засновану на легитимном интересу.
- Право на подношење притужбе релевантном надзорном органу.
КОНТАКТ
Прави људи, именована сандучад.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
Историја верзија
- v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
- v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
- v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
- v1.0Effective from publicationInitial publication.