УГОДА ПРО ОБРОБКУ ДАНИХ

Угода про обробку даних, простими словами.

v1.2.1 · Чинна з дати публікації

Написана так, щоб ваш DPO міг затвердити її за один раз. Кожен термін, субобробник і запобіжний захід задокументовані повністю. Підписаний PDF містить той самий зміст.

Завантажити DPA (PDF)

СФЕРА ДІЇ ТА РОЛІ

Хто робить що, і з чиїми даними.

Згідно з цією DPA Клієнт є контролером даних, а Sageio діє як обробник від імені Клієнта. Sageio обробляє персональні дані лише для надання контрактних послуг — перекладу зустрічей у реальному часі, транскрибування та формування підсумків — і лише за задокументованими інструкціями Клієнта. Ця DPA є частиною Угоди про підписку між Sageio та Клієнтом; у разі суперечності DPA має переважну силу в питаннях обробки персональних даних. Вона застосовується до всіх дій з обробки, що виконуються у зв'язку з платформою Sageio.

ОБРОБЛЮВАНІ ДАНІ

Що ми обробляємо та чому маємо право.

Категорія даних	Мета обробки	Правова підстава (GDPR, ст. 6)	Зберігання
Аудіо зустрічі	Транскрибування мовлення в текст і переклад під час зустрічі.	Ст. 6(1)(b) — виконання контракту.	Передається потоком для транскрибування наживо й обробляється лише в пам'яті; ніколи не записується у сховище. Не використовується для навчання моделей.
Транскрипти та переклади зустрічей	Зберігання та доступ учасників робочого простору Клієнта.	Ст. 6(1)(b) — виконання контракту.	Зберігається до видалення Клієнтом або до видалення акаунта.
Підсумки та завдання	AI-згенеровані результати зустрічі, отримані з транскрипту.	Ст. 6(1)(b) — виконання контракту.	Відповідає зберіганню транскрипту.
Ідентифікатори акаунта (ім'я, email, роль)	Автентифікація, доступ до робочого простору та журналювання аудиту.	Ст. 6(1)(b) — виконання контракту.	Термін дії акаунта плюс 30 днів після закриття.
Метадані робочого простору та використання	Робота сервісу, узгодження виставлення рахунків і запобігання зловживанням.	Ст. 6(1)(b) та ст. 6(1)(f) — законний інтерес у цілісності сервісу.	12 місяців з моменту створення.
Журнали аудиту	Моніторинг безпеки та перегляд доступу Клієнтом.	Ст. 6(1)(f) — законний інтерес у безпеці.	12 місяців з моменту створення.
Платіжні ідентифікатори	Керування підпискою. Дані платіжних карток обробляє LemonSqueezy як Merchant of Record, і Sageio їх не зберігає.	Ст. 6(1)(b) — виконання контракту.	Термін дії акаунта плюс 7 років для податкових записів.

СУБОБРОБНИКИ

Повний ланцюг відповідальності.

Субобробник	Мета	Місце обробки
Amazon Web Services	Хмарний хостинг, об'єктне сховище, керування ключами шифрування.	Регіон, обраний Клієнтом (за замовчуванням: Сінгапур, Азійсько-Тихоокеанський регіон). ЄС та США на тарифах Enterprise.
Neon	Керована база даних PostgreSQL для даних застосунку.	Регіон, узгоджений з основним регіоном AWS Клієнта.
Vercel	Хостинг маркетингового сайту та клієнтського вебзастосунку.	Глобальна edge-мережа. Джерело: регіон, обраний клієнтом.
Clerk	Автентифікація, єдиний вхід та керування ідентифікацією.	Сполучені Штати.
Deepgram	Транскрибування мовлення в текст з аудіо зустрічі.	Сполучені Штати.
OpenAI	Транскрибування мовлення в текст у реальному часі з аудіо зустрічі (рушій за замовчуванням для нових робочих просторів) та транскрибування завантажених аудіофайлів.	Сполучені Штати.
DeepL	Переклад проміжних сегментів транскрипту та фінальний переклад для обраних цільових мов.	Німеччина (ЄС).
Google (Gemini API)	Уточнення перекладу фіналізованих сегментів транскрипту; AI-згенеровані підсумки та завдання.	Сполучені Штати. Дані не використовуються для навчання моделей Google згідно з умовами платного рівня Gemini API.
Resend	Доставка транзакційної електронної пошти (повідомлення щодо акаунта та сервісу; листи з підсумками зустрічей надсилаються на запит користувача).	Сполучені Штати.

Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.

Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.

Як ми оцінюємо субобробників →

ЗОБОВ'ЯЗАННЯ ОБРОБНИКА

Стаття 28, прописана в контракті.

These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.

Зміни субобробників: Sageio веде актуальний список субобробників за адресою sageio.net/subprocessors. Sageio повідомить Клієнта щонайменше за 30 днів (електронною поштою або сповіщенням у застосунку) перед додаванням чи заміною субобробника. Клієнт може заперечити з обґрунтованих підстав захисту даних протягом строку повідомлення; якщо сторони не можуть розв'язати заперечення, Клієнт може припинити відповідні послуги та отримати пропорційне повернення передплачених сум за невикористаний період. Sageio накладає на кожного субобробника зобов'язання щодо захисту даних, еквівалентні цій DPA, і залишається відповідальним за їхню роботу.
Сповіщення про порушення персональних даних: Sageio повідомить Клієнта без невиправданої затримки і в будь-якому разі протягом 24 годин після підтвердження порушення персональних даних, що стосується персональних даних Клієнта, і надасть інформацію, обґрунтовано потрібну для виконання Клієнтом своїх обов'язків за статтями 33–34 GDPR, з оновленнями в міру розслідування.
Видалення та повернення: Після припинення або закінчення строку послуг Sageio, на вибір Клієнта, видалить або поверне всі персональні дані Клієнта протягом 30 днів і видалить решту копій, за винятком випадків, коли чинне законодавство вимагає зберігання. Персональні дані в зашифрованих резервних копіях очищаються в межах стандартного 30-денного циклу ротації резервних копій.
Сприяння та аудити: Зважаючи на характер обробки, Sageio сприятиме Клієнту відповідними технічними та організаційними заходами у відповіді на запити суб'єктів даних, а також у виконанні обов'язків Клієнта за статтями 32–36 GDPR, зокрема оцінок впливу на захист даних і попередніх консультацій. Sageio надаватиме інформацію, обґрунтовано необхідну для підтвердження відповідності статті 28, — зокрема резюме тестів на проникнення та, за наявності, звіти аудиту, — і дозволятиме аудити, зокрема інспекції, з боку Клієнта або його уповноваженого аудитора, не частіше ніж раз на дванадцять місяців, з повідомленням за 30 днів, за рахунок Клієнта та за умови дотримання конфіденційності.
Конфіденційність та інструкції: Sageio забезпечує, що особи, уповноважені обробляти персональні дані, зобов'язані дотримуватися конфіденційності. Sageio без невиправданої затримки повідомить Клієнта, якщо, на його думку, інструкція порушує чинне законодавство про захист даних.
Гарантії Клієнта: Клієнт гарантує, що встановив законну підставу для обробки, яку доручає за цією DPA, зокрема будь-які повідомлення учасникам зустрічі та згоди від них, потрібні за чинним законодавством, а також — коли вміст зустрічі випадково містить особливі категорії персональних даних — умову за статтею 9(2) GDPR. Sageio не використовує вміст зустрічі для ідентифікації будь-якої особи за голосом і не створює біометричних шаблонів.
Строк, застосовне право та відповідальність: Ця DPA набуває чинності разом з Угодою про підписку й діє протягом усього її строку; вона регулюється тим самим правом, і до неї застосовуються обмеження відповідальності, передбачені Умовами надання послуг, за винятком випадків, коли імперативне законодавство про захист даних передбачає інше.

ЗАХОДИ БЕЗПЕКИ

Інженерія зустрічає зобов'язання.

Sageio впроваджує технічні та організаційні заходи, відповідні ризику обробки, зокрема шифрування під час передавання (TLS 1.3) та в стані спокою (AES-256-GCM), контроль доступу на основі ролей, журналювання аудиту, регулярне тестування на проникнення та задокументований процес реагування на інциденти. Доступ до продакшну вимагає чіткого бізнес-обґрунтування, обмежений у часі та фіксується. Повний каталог заходів, зокрема поточний статус програми відповідності, опубліковано на сторінці «Безпека» й оновлюється в міру розвитку програми.

Прочитати сторінку «Безпека» →

МІЖНАРОДНІ ПЕРЕДАЧІ

Транскордонні дані, переміщені законно.

Коли персональні дані передаються за межі Європейського економічного простору, Сполученого Королівства чи інших юрисдикцій з еквівалентними обмеженнями, Sageio покладається на Стандартні договірні положення Європейської Комісії (Модуль другий: контролер-обробнику) і, де застосовно, на Додаток про міжнародну передачу даних Сполученого Королівства. Для передач до юрисдикцій, охоплених рішенням про адекватність, Sageio покладається на таке рішення. Субобробники зв'язані еквівалентними зобов'язаннями через договірне перенесення умов. Для кожного субобробника, що обробляє персональні дані за межами юрисдикції експортера даних, проводяться оцінки впливу передачі.

The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.

ПРАВА СУБ'ЄКТА ДАНИХ

Права ваших користувачів, наші обов'язки.

Право на доступ — підтвердження та копія оброблюваних персональних даних.
Право на виправлення — корекція неточних або неповних даних.
Право на стирання — видалення протягом 30 днів після дійсного запиту, з урахуванням вимог щодо законного зберігання.
Право на обмеження — обмеження обробки за визначених обставин.
Право на перенесення даних — експорт у структурованому, машиночитному форматі.
Право на заперечення — зокрема щодо обробки на підставі законного інтересу.
Право подати скаргу до відповідного наглядового органу.

КОНТАКТИ

Реальні люди, іменні скриньки.

Privacy: privacy@sageio.net
Security: security@sageio.net

Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.

Історія версій

v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
v1.0Effective from publicationInitial publication.