VERİ İŞLEME SÖZLEŞMESİ
Veri İşleme Sözleşmesi, anlaşılır bir dille.
v1.2.1 · Yayım tarihinden itibaren geçerlidir
DPO'nuzun tek oturuşta onaylayabileceği şekilde yazıldı. Her terim, alt işleyici ve güvence eksiksiz belgelendi. İmzalı PDF aynı içeriği taşır.
KAPSAM VE ROLLER
Kim, neyi, kimin verisiyle yapar.
Bu DPA kapsamında Müşteri, veri sorumlusudur ve Sageio, Müşteri adına bir veri işleyici olarak hareket eder. Sageio, kişisel verileri yalnızca sözleşmeli hizmetleri sunmak için — gerçek zamanlı toplantı çevirisi, yazıya dökme ve özetleme — ve yalnızca Müşterinin belgelenmiş talimatları doğrultusunda işler. Bu DPA, Sageio ile Müşteri arasındaki Abonelik Sözleşmesinin bir parçasını oluşturur; çakışma durumunda, kişisel veri işleme konularında DPA önceliklidir. Sageio platformuyla bağlantılı olarak yürütülen tüm işleme faaliyetleri için geçerlidir.
İŞLENEN VERİLER
Neyi işlediğimiz ve neden işleyebileceğimiz.
| Veri kategorisi | İşleme amacı | Hukuki dayanak (GDPR Madde 6) | Saklama |
|---|---|---|---|
| Toplantı sesi | Toplantı sırasında konuşmadan yazıya dökme ve çeviri. | Madde 6(1)(b) — sözleşmenin ifası. | Canlı yazıya dökme için akıtılır ve yalnızca bellekte işlenir; asla depolamaya yazılmaz. Model eğitimi için kullanılmaz. |
| Toplantı yazıları ve çevirileri | Müşterinin çalışma alanı üyeleri tarafından saklama ve erişim. | Madde 6(1)(b) — sözleşmenin ifası. | Müşteri tarafından silinene veya hesap silinene kadar saklanır. |
| Özetler ve eylem maddeleri | Yazıdan türetilen, yapay zekâ tarafından oluşturulmuş toplantı çıktıları. | Madde 6(1)(b) — sözleşmenin ifası. | Yazının saklama süresini izler. |
| Hesap tanımlayıcıları (ad, e-posta, rol) | Kimlik doğrulama, çalışma alanı erişimi ve denetim günlüğü. | Madde 6(1)(b) — sözleşmenin ifası. | Hesap süresi artı kapatıldıktan sonra 30 gün. |
| Çalışma alanı ve kullanım meta verileri | Hizmet işletimi, faturalandırma mutabakatı ve kötüye kullanım önleme. | Madde 6(1)(b) ve Madde 6(1)(f) — hizmet bütünlüğünde meşru menfaat. | Oluşturulmasından itibaren 12 ay. |
| Denetim günlükleri | Güvenlik izleme ve Müşteri erişim incelemesi. | Madde 6(1)(f) — güvenlikte meşru menfaat. | Oluşturulmasından itibaren 12 ay. |
| Faturalandırma tanımlayıcıları | Abonelik yönetimi. Ödeme kartı verileri, Merchant of Record olarak LemonSqueezy tarafından işlenir ve Sageio tarafından saklanmaz. | Madde 6(1)(b) — sözleşmenin ifası. | Hesap süresi artı vergi kayıtları için 7 yıl. |
ALT İŞLEYİCİLER
Tam sorumluluk zinciri.
| Alt işleyici | Amaç | İşleme konumu |
|---|---|---|
| Amazon Web Services | Bulut barındırma, nesne depolama, şifreleme anahtarı yönetimi. | Müşterinin seçtiği bölge (varsayılan: Singapur, Asya-Pasifik). Enterprise planlarında AB ve ABD. |
| Neon | Uygulama verileri için yönetilen PostgreSQL veritabanı. | Müşterinin birincil AWS bölgesiyle eşleştirilmiş bölge. |
| Vercel | Pazarlama sitesi ve müşteriye dönük web uygulaması için barındırma. | Küresel uç ağı. Köken: müşterinin seçtiği bölge. |
| Clerk | Kimlik doğrulama, tekli oturum açma ve kimlik yönetimi. | Amerika Birleşik Devletleri. |
| Deepgram | Toplantı sesinin konuşmadan yazıya dökülmesi. | Amerika Birleşik Devletleri. |
| OpenAI | Toplantı sesinin gerçek zamanlı konuşmadan yazıya dökülmesi (yeni çalışma alanları için varsayılan motor) ve yüklenen ses dosyalarının yazıya dökülmesi. | Amerika Birleşik Devletleri. |
| DeepL | Ara yazı segmentlerinin çevirisi ve seçili hedef diller için nihai çeviri. | Almanya (AB). |
| Google (Gemini API) | Sonlandırılmış yazı segmentlerinin çeviri iyileştirmesi; yapay zekâ tarafından oluşturulan özetler ve eylem maddeleri. | Amerika Birleşik Devletleri. Ücretli katman Gemini API koşulları uyarınca veriler Google modellerini eğitmek için kullanılmaz. |
| Resend | İşlemsel e-posta teslimi (hesap ve hizmet bildirimleri; kullanıcının talebi üzerine gönderilen toplantı özeti e-postaları). | Amerika Birleşik Devletleri. |
Lemon Squeezy (bir Stripe şirketi) bir alt işleyici değildir: Merchant of Record olarak ödeme, vergi ve faturalandırma için kendi amaçlarını belirler ve kendi gizlilik politikası kapsamında bağımsız bir veri sorumlusu olarak hareket eder.
Plausible (çerezsiz web sitesi analizi) yalnızca pazarlama sitemizde çalışır ve bu DPA kapsamında platform kişisel verilerini işlemez; Gizlilik Politikasında açıklanmıştır.
İŞLEYİCİ TAAHHÜTLERİ
Madde 28, sözleşmeye yazılmış.
Bu taahhütler DPA'nın bir parçasını oluşturur. İngilizce metin bağlayıcı sürümdür; yerelleştirilmiş çeviriler onaylanmış metni izleyecektir.
- Alt işleyici değişiklikleri
- Sageio, güncel alt işleyici listesini sageio.net/subprocessors adresinde tutar. Sageio, bir alt işleyici eklemeden veya değiştirmeden önce Müşteriye en az 30 gün önceden bildirimde bulunur (e-posta veya uygulama içi bildirim ile). Müşteri, bildirim süresi içinde makul veri koruma gerekçeleriyle itiraz edebilir; taraflar itirazı çözemezse, Müşteri etkilenen hizmetleri feshedebilir ve kullanılmayan dönem için önceden ödenen ücretlerin orantılı iadesini alabilir. Sageio, her alt işleyiciye bu DPA'ya eşdeğer veri koruma yükümlülükleri yükler ve performanslarından sorumlu kalır.
- Kişisel veri ihlali bildirimi
- Sageio, Müşteri kişisel verilerini etkileyen bir kişisel veri ihlalini doğruladıktan sonra gereksiz gecikme olmaksızın ve her halükârda 24 saat içinde Müşteriyi bilgilendirir ve Müşterinin GDPR Madde 33–34 kapsamındaki yükümlülükleri için makul ölçüde gereken bilgileri, araştırma ilerledikçe güncellemelerle birlikte sağlar.
- Silme ve iade
- Hizmetlerin feshi veya sona ermesi üzerine Sageio, Müşterinin tercihine göre, tüm Müşteri kişisel verilerini 30 gün içinde siler veya iade eder ve geçerli yasanın saklamayı gerektirdiği durumlar haricinde kalan kopyaları siler. Şifreli yedeklerdeki kişisel veriler, standart 30 günlük yedek döngüsünde temizlenir.
- Destek ve denetimler
- İşlemenin niteliğini dikkate alarak Sageio, veri sahibi taleplerine yanıt verirken ve Müşterinin GDPR Madde 32–36 kapsamındaki yükümlülüklerinde — veri koruma etki değerlendirmeleri ve ön danışmalar dahil — uygun teknik ve organizasyonel önlemlerle Müşteriye yardımcı olur. Sageio, Madde 28 ile uyumu göstermek için makul ölçüde gerekli bilgileri — sızma testlerinin özetleri ve mevcut olduğunda denetim raporları dahil — kullanıma sunar ve Müşteri veya yetkilendirdiği denetçi tarafından, on iki ayda bir defadan fazla olmamak üzere, 30 gün önceden bildirimle, Müşterinin masrafıyla ve gizlilik koşuluna tabi olarak denetimlere, incelemeler dahil, izin verir.
- Gizlilik ve talimatlar
- Sageio, kişisel verileri işlemeye yetkili kişilerin gizliliğe bağlı olmasını sağlar. Sageio, görüşüne göre bir talimatın geçerli veri koruma yasasını ihlal etmesi durumunda Müşteriyi gereksiz gecikme olmaksızın bilgilendirir.
- Müşteri garantileri
- Müşteri, bu DPA kapsamında talimat verdiği işleme için, toplantı katılımcılarına yönelik geçerli yasanın gerektirdiği bildirimler ve onlardan alınan onaylar dahil — ve toplantı içeriğinin tesadüfen özel nitelikli kişisel veri içermesi durumunda GDPR Madde 9(2) kapsamında bir koşul dahil — hukuki bir dayanak oluşturduğunu garanti eder. Sageio, herhangi bir kişiyi sesinden tanımlamak için toplantı içeriğini kullanmaz ve biyometrik şablonlar oluşturmaz.
- Süre, geçerli hukuk ve sorumluluk
- Bu DPA, Abonelik Sözleşmesiyle birlikte yürürlüğe girer ve onun süresi boyunca geçerli kalır; aynı hukuka tabidir ve Hizmet Koşullarındaki sorumluluk sınırlamaları, zorunlu veri koruma yasasının aksini öngördüğü durumlar haricinde buna uygulanır.
GÜVENLİK ÖNLEMLERİ
Mühendislik, taahhütle buluşur.
Sageio, aktarım sırasında (TLS 1.3) ve beklemede (AES-256-GCM) şifreleme, role dayalı erişim denetimi, denetim günlüğü, düzenli sızma testi ve belgelenmiş bir olay müdahale süreci dahil olmak üzere işlemenin riskine uygun teknik ve organizasyonel önlemler uygular. Üretim erişimi açık bir iş gerekçesi gerektirir, süreyle sınırlıdır ve günlüğe kaydedilir. Mevcut uyumluluk program durumu dahil tam önlem kataloğu, Güvenlik sayfasında yayımlanır ve program geliştikçe güncellenir.
ULUSLARARASI AKTARIMLAR
Sınır ötesi veriler, yasal olarak taşınan.
Kişisel verilerin Avrupa Ekonomik Alanı, Birleşik Krallık veya eşdeğer kısıtlamalara sahip diğer yargı bölgelerinin dışına aktarıldığı durumlarda Sageio, Avrupa Komisyonu'nun Standart Sözleşme Maddelerine (Modül İki: Veri Sorumlusundan Veri İşleyiciye) ve uygun olduğunda Birleşik Krallık Uluslararası Veri Aktarımı Ekine dayanır. Bir yeterlilik kararı kapsamındaki yargı bölgelerine yapılan aktarımlar için Sageio o karara dayanır. Alt işleyiciler, sözleşmesel aktarım yoluyla eşdeğer yükümlülüklere bağlıdır. Veri ihracatçısının yargı bölgesi dışında kişisel veri işleyen her alt işleyici için aktarım etki değerlendirmeleri yapılır.
SCC'ler (Modül İki: Veri Sorumlusundan Veri İşleyiciye) ve Birleşik Krallık Uluslararası Veri Aktarımı Eki, atıf yoluyla bu DPA'ya dahil edilmiştir. Ek I (taraflar; işlemenin tanımı) tarafların ayrıntıları ve yukarıdaki "İşlenen veriler" tablosuyla oluşturulur; bu tablo toplantı içeriğinde yer alan özel nitelikli verileri tesadüfen içerebilir; Ek II (teknik ve organizasyonel önlemler) "Güvenlik önlemleri" bölümüyle; Ek III (yetkili alt işleyiciler) "Alt işleyiciler" tablosuyla oluşturulur. Çakışma durumunda SCC'ler önceliklidir.
VERİ SAHİBİ HAKLARI
Kullanıcılarınızın hakları, bizim yükümlülüklerimiz.
- Erişim hakkı — işlenen kişisel verilerin teyidi ve bir kopyası.
- Düzeltme hakkı — yanlış veya eksik verilerin düzeltilmesi.
- Silme hakkı — yasal saklama gerekliliklerine tabi olarak, geçerli bir talepten itibaren 30 gün içinde silme.
- Kısıtlama hakkı — belirli durumlarda işlemenin sınırlandırılması.
- Veri taşınabilirliği hakkı — yapılandırılmış, makine tarafından okunabilir bir biçimde dışa aktarma.
- İtiraz hakkı — meşru menfaate dayalı işleme dahil.
- İlgili denetim makamına şikâyette bulunma hakkı.
İLETİŞİM
Gerçek insanlar, adlı gelen kutuları.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio, Tayvan'da kayıtlı bir şirket olan 好客網路股份有限公司 (Unified Business No. 29041135) tarafından işletilmektedir. Kayıtlı adres: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Gizlilik iletişimi: privacy@sageio.net.
Sürüm geçmişi
- v1.2.114 Haziran 2026Gemini ücretli katman teyidi tamamlandı (ara not kaldırıldı); alt işleyici taahhüdü artık canlı /subprocessors sayfasına işaret ediyor; işleyici taahhütlerinin ve SCC dahil edilmesinin Geleneksel Çince çevirisi eklendi.
- v1.213 Haziran 2026Alt işleyici tablosu düzeltmesi: OpenAI eklendi (gerçek zamanlı konuşmadan yazıya, yeni çalışma alanları için varsayılan motor); DeepL amacı seçili diller için nihai çeviriyi kapsayacak şekilde genişletildi; Resend amacı toplantı özeti e-postalarını içerir; Gemini koşul dayanağı ücretli katman API'sine düzeltildi (teyit devam ediyor). Mevcut sistem davranışıyla eşleşmesi için yapılandırılabilir saklama penceresi ifadeleri kaldırıldı.
- v1.113 Haziran 2026Madde 28 işleyici taahhütleri eklendi; alt işleyici tablosu genişletildi (DeepL, Resend); saklama girdileri sistem davranışına uyacak şekilde düzeltildi; SCC'ler ve Birleşik Krallık Eki, Ek eşlemesiyle dahil edildi.
- v1.0Yayımdan itibaren geçerliİlk yayım.