DATA PROCESSING AGREEMENT
Ang Data Processing Agreement, sa simpleng pagbasa.
v1.2.1 · Epektibo mula sa petsa ng paglalathala
Isinulat para maaprubahan ito ng iyong DPO sa isang upo. Bawat tuntunin, sub-processor, at safeguard ay dokumentado nang buo. Ang naka-sign na PDF ay may parehong nilalaman.
SAKLAW AT MGA ROLE
Sino ang gumagawa ng ano, gamit ang data ng kanino.
Sa ilalim ng DPA na ito, ang Customer ang data controller at ang Sageio ay kumikilos bilang processor sa ngalan ng Customer. Pinoproseso ng Sageio ang personal data para lang ihatid ang mga nakontratang serbisyo — real-time na salin ng meeting, transcription, at pagbubuod — at sa ilalim lamang ng dokumentadong tagubilin ng Customer. Bumubuo ang DPA na ito ng bahagi ng Subscription Agreement sa pagitan ng Sageio at ng Customer; sa kaso ng salungatan, nangingibabaw ang DPA sa mga usapin ng pagpoproseso ng personal data. Nalalapat ito sa lahat ng aktibidad ng pagpoproseso na isinasagawa kaugnay ng platform ng Sageio.
PINOPROSESONG DATA
Ano ang pinoproseso namin, at bakit namin maaari.
| Kategorya ng data | Layunin ng pagpoproseso | Legal na batayan (GDPR Art. 6) | Retention |
|---|---|---|---|
| Audio ng meeting | Speech-to-text na transcription at salin sa panahon ng meeting. | Art. 6(1)(b) — pagtupad sa kontrata. | Ini-stream para sa live na transcription at pinoproseso sa memory lang; hindi kailanman isinusulat sa storage. Hindi ginagamit para sa pagsasanay ng model. |
| Mga transcript at salin ng meeting | Pag-imbak at pagkuha ng mga miyembro ng workspace ng Customer. | Art. 6(1)(b) — pagtupad sa kontrata. | Itinatago hanggang burahin ng Customer o sa pagbura ng account. |
| Mga buod at action item | Mga output ng meeting na binuo ng AI mula sa transcript. | Art. 6(1)(b) — pagtupad sa kontrata. | Sumusunod sa retention ng transcript. |
| Mga identifier ng account (pangalan, email, role) | Authentication, access sa workspace, at audit logging. | Art. 6(1)(b) — pagtupad sa kontrata. | Tagal ng account dagdag ang 30 araw matapos isara. |
| Metadata ng workspace at paggamit | Operasyon ng serbisyo, pagtutugma ng billing, at pagpigil sa abuso. | Art. 6(1)(b) at Art. 6(1)(f) — lehitimong interes sa integridad ng serbisyo. | 12 buwan mula sa pagbuo. |
| Mga audit log | Pagsubaybay sa seguridad at pagsusuri ng access ng Customer. | Art. 6(1)(f) — lehitimong interes sa seguridad. | 12 buwan mula sa pagbuo. |
| Mga identifier ng billing | Pamamahala ng subscription. Ang data ng payment card ay pinoproseso ng LemonSqueezy bilang Merchant of Record at hindi iniimbak ng Sageio. | Art. 6(1)(b) — pagtupad sa kontrata. | Tagal ng account dagdag ang 7 taon para sa mga rekord ng buwis. |
MGA SUB-PROCESSOR
Ang buong chain ng custody.
| Sub-processor | Layunin | Lokasyon ng pagpoproseso |
|---|---|---|
| Amazon Web Services | Cloud hosting, object storage, pamamahala ng encryption key. | Rehiyong pinili ng Customer (default: Singapore, Asia-Pacific). EU at US sa mga planong Enterprise. |
| Neon | Pinamamahalaang PostgreSQL database para sa application data. | Rehiyong tumutugma sa pangunahing AWS region ng Customer. |
| Vercel | Hosting para sa marketing site at customer-facing na web application. | Global edge network. Origin: rehiyong pinili ng customer. |
| Clerk | Authentication, single sign-on, at pamamahala ng identity. | Estados Unidos. |
| Deepgram | Speech-to-text na transcription ng audio ng meeting. | Estados Unidos. |
| OpenAI | Real-time na speech-to-text na transcription ng audio ng meeting (default engine para sa mga bagong workspace) at transcription ng mga na-upload na audio file. | Estados Unidos. |
| DeepL | Salin ng mga pansamantalang transcript segment at panghuling salin para sa mga piniling target na wika. | Alemanya (EU). |
| Google (Gemini API) | Pagpapahusay ng salin ng mga natapos na transcript segment; mga buod at action item na binuo ng AI. | Estados Unidos. Hindi ginagamit ang data para sanayin ang mga model ng Google ayon sa paid-tier na tuntunin ng Gemini API. |
| Resend | Paghahatid ng transactional email (mga abiso ng account at serbisyo; mga email ng buod ng meeting na ipinapadala sa kahilingan ng user). | Estados Unidos. |
Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.
Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.
MGA PANGAKO NG PROCESSOR
Artikulo 28, isinulat sa kontrata.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Mga pagbabago sa sub-processor
- Pinananatili ng Sageio ang kasalukuyang listahan ng sub-processor sa sageio.net/subprocessors. Magbibigay ang Sageio sa Customer ng hindi bababa sa 30 araw na abiso (sa pamamagitan ng email o in-app na abiso) bago magdagdag o magpalit ng sub-processor. Maaaring tumutol ang Customer sa makatwirang batayan ng data protection sa loob ng panahon ng abiso; kung hindi malutas ng mga partido ang pagtutol, maaaring wakasan ng Customer ang mga apektadong serbisyo at makatanggap ng pro-rata na refund ng mga prepaid na bayad para sa hindi nagamit na panahon. Ipinapataw ng Sageio ang mga obligasyon sa data protection na katumbas ng DPA na ito sa bawat sub-processor at nananatiling mananagot sa kanilang pagganap.
- Pag-abiso sa personal-data breach
- Aabisuhan ng Sageio ang Customer nang walang labis na pagkaantala, at sa anumang kaso sa loob ng 24 na oras matapos kumpirmahin ang isang personal-data breach na nakaaapekto sa personal data ng Customer, at magbibigay ng impormasyong makatwirang kinakailangan para sa mga obligasyon ng Customer sa ilalim ng Artikulo 33–34 GDPR, na may mga update habang nagpapatuloy ang imbestigasyon.
- Pagbura at pagbabalik
- Sa pagwawakas o pag-expire ng mga serbisyo, ang Sageio, ayon sa pinili ng Customer, ay buburahin o ibabalik ang lahat ng personal data ng Customer sa loob ng 30 araw, at buburahin ang natitirang mga kopya, maliban kung ang naaangkop na batas ay nangangailangan ng retention. Ang personal data sa mga naka-encrypt na backup ay pinuputol sa karaniwang 30-araw na backup rotation cycle.
- Tulong at mga audit
- Isinasaalang-alang ang katangian ng pagpoproseso, tutulungan ng Sageio ang Customer gamit ang naaangkop na teknikal at organisasyonal na hakbang sa pagtugon sa mga kahilingan ng data subject, at sa mga obligasyon ng Customer sa ilalim ng Artikulo 32–36 GDPR, kabilang ang mga data-protection impact assessment at paunang konsultasyon. Gagawing available ng Sageio ang impormasyong makatwirang kinakailangan upang ipakita ang pagsunod sa Artikulo 28 — kabilang ang mga buod ng penetration test at, kapag available, mga audit report — at papayagan ang mga audit, kabilang ang mga inspeksyon, ng Customer o ng mandato nitong auditor, hindi hihigit sa isang beses kada labindalawang buwan, sa 30 araw na abiso, sa gastos ng Customer at sumasailalim sa pagiging kumpidensyal.
- Pagiging kumpidensyal at mga tagubilin
- Tinitiyak ng Sageio na ang mga taong awtorisadong magproseso ng personal data ay nakatuon sa pagiging kumpidensyal. Aabisuhan ng Sageio ang Customer nang walang labis na pagkaantala kung, sa palagay nito, ang isang tagubilin ay lumalabag sa naaangkop na batas ng data protection.
- Mga garantiya ng Customer
- Ginagarantiya ng Customer na nakatatag ito ng lehitimong batayan para sa pagpoproseso na inuutos nito sa ilalim ng DPA na ito, kabilang ang anumang abiso sa at pahintulot mula sa mga kalahok ng meeting na kinakailangan ng naaangkop na batas at — kung saan ang nilalaman ng meeting ay hindi sinasadyang naglalaman ng mga espesyal na kategorya ng personal data — isang kondisyon sa ilalim ng Artikulo 9(2) GDPR. Hindi ginagamit ng Sageio ang nilalaman ng meeting para tukuyin ang sinuman sa pamamagitan ng boses at hindi gumagawa ng mga biometric template.
- Termino, namamahalang batas, at pananagutan
- Magkakabisa ang DPA na ito kasama, at tatagal sa tagal ng, Subscription Agreement; pinamamahalaan ito ng parehong batas, at nalalapat dito ang mga limitasyon ng pananagutan sa Mga Tuntunin ng Serbisyo, maliban kung saan ang mandatoryong batas ng data protection ay nagbibigay ng iba.
MGA SECURITY MEASURE
Nagtatagpo ang engineering at pangako.
Ipinapatupad ng Sageio ang mga teknikal at organisasyonal na hakbang na naaangkop sa panganib ng pagpoproseso, kabilang ang encryption habang dinadala (TLS 1.3) at habang nakaimbak (AES-256-GCM), role-based access control, audit logging, regular na penetration testing, at isang dokumentadong proseso ng incident response. Ang production access ay nangangailangan ng tahasang pagbibigay-katwiran sa negosyo, may takdang panahon, at naitatala. Ang kumpletong katalogo ng mga hakbang, kabilang ang kasalukuyang status ng compliance program, ay inilalathala sa Security page at ina-update habang nag-e-evolve ang programa.
MGA INTERNASYONAL NA PAGLILIPAT
Cross-border na data, ligal na inililipat.
Kung saan ang personal data ay inililipat sa labas ng European Economic Area, ng United Kingdom, o ng iba pang hurisdiksyong may katumbas na paghihigpit, umaasa ang Sageio sa Standard Contractual Clauses ng European Commission (Module Two: Controller-to-Processor) at, kung naaangkop, sa UK International Data Transfer Addendum. Para sa mga paglilipat sa mga hurisdiksyong saklaw ng adequacy decision, umaasa ang Sageio sa desisyong iyon. Ang mga sub-processor ay nakatali sa katumbas na mga obligasyon sa pamamagitan ng contractual flow-down. Ang mga transfer impact assessment ay isinasagawa para sa bawat sub-processor na nagpoproseso ng personal data sa labas ng hurisdiksyon ng data exporter.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
MGA KARAPATAN NG DATA SUBJECT
Mga karapatan ng iyong user, aming obligasyon.
- Karapatang ma-access — kumpirmasyon at isang kopya ng pinoprosesong personal data.
- Karapatan sa pagwawasto — pagtatama ng hindi tumpak o hindi kumpletong data.
- Karapatan sa pagbura — pagbura sa loob ng 30 araw ng isang balidong kahilingan, sumasailalim sa mga legal na kinakailangan sa retention.
- Karapatan sa paghihigpit — limitasyon ng pagpoproseso sa tinukoy na mga sitwasyon.
- Karapatan sa data portability — pag-export sa isang nakaayos, mababasa-ng-makina na format.
- Karapatang tumutol — kabilang sa pagpoproseso batay sa lehitimong interes.
- Karapatang maghain ng reklamo sa kaugnay na supervisory authority.
CONTACT
Tunay na mga tao, pinangalanang inbox.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
Version history
- v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
- v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
- v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
- v1.0Effective from publicationInitial publication.