ڈیٹا پروسیسنگ معاہدہ
ڈیٹا پروسیسنگ معاہدہ، سادہ پڑھائی میں۔
v1.2.1 · اشاعت کی تاریخ سے مؤثر
اس طرح لکھا گیا کہ آپ کا DPO اسے ایک نشست میں منظور کر سکے۔ ہر شرط، ذیلی پروسیسر، اور حفاظتی اقدام مکمل طور پر دستاویزی۔ دستخط شدہ PDF میں وہی مواد ہے۔
دائرہ کار اور کردار
کون کیاکرتا ہے، کس کے ڈیٹا کے ساتھ۔
اس DPA کے تحت، صارف ڈیٹا کنٹرولر ہے اور Sageio صارف کی جانب سے بطور پروسیسر کام کرتا ہے۔ Sageio ذاتی ڈیٹا کو صرف معاہدہ شدہ خدمات فراہم کرنے کے لیے پروسیس کرتا ہے — حقیقی وقت میں میٹنگ ترجمہ، نقل نویسی، اور خلاصہ سازی — اور صرف صارف کی دستاویزی ہدایات کے تحت۔ یہ DPA Sageio اور صارف کے درمیان سبسکرپشن معاہدے کا حصہ بنتا ہے؛ تنازع کی صورت میں، ذاتی ڈیٹا پروسیسنگ کے معاملات کے لیے DPA غالب رہتا ہے۔ یہ Sageio پلیٹ فارم کے سلسلے میں انجام دی جانے والی تمام پروسیسنگ سرگرمیوں پر لاگو ہوتا ہے۔
پروسیس کردہ ڈیٹا
ہم کیا پروسیس کرتے ہیں، اور کیوں کر سکتے ہیں۔
| ڈیٹا کی قسم | پروسیسنگ کا مقصد | قانونی بنیاد (GDPR Art. 6) | برقراری |
|---|---|---|---|
| میٹنگ آڈیو | میٹنگ کے دوران تقریر سے متن نقل نویسی اور ترجمہ۔ | Art. 6(1)(b) — معاہدے کی کارکردگی۔ | براہِ راست نقل کے لیے سٹریم کیا اور صرف میموری میں پروسیس کیا جاتا ہے؛ کبھی اسٹوریج میں نہیں لکھا جاتا۔ ماڈل تربیت کے لیے استعمال نہیں ہوتا۔ |
| میٹنگ نقلیں اور ترجمے | صارف کے ورک اسپیس اراکین کی طرف سے اسٹوریج اور بازیافت۔ | Art. 6(1)(b) — معاہدے کی کارکردگی۔ | صارف کی طرف سے حذف کیے جانے یا اکاؤنٹ حذف ہونے تک محفوظ۔ |
| خلاصے اور عملی نکات | نقل سے اخذ کردہ AI سے تیار میٹنگ آؤٹ پٹس۔ | Art. 6(1)(b) — معاہدے کی کارکردگی۔ | نقل کی برقراری کی پیروی کرتا ہے۔ |
| اکاؤنٹ شناخت کنندگان (نام، ای میل، کردار) | تصدیق، ورک اسپیس رسائی، اور آڈٹ لاگنگ۔ | Art. 6(1)(b) — معاہدے کی کارکردگی۔ | اکاؤنٹ کی مدت کے علاوہ بندش کے بعد 30 دن۔ |
| ورک اسپیس اور استعمال میٹاڈیٹا | سروس آپریشن، بلنگ مفاہمت، اور بدسلوکی کی روک تھام۔ | Art. 6(1)(b) اور Art. 6(1)(f) — سروس کی سالمیت میں جائز مفاد۔ | تخلیق سے 12 ماہ۔ |
| آڈٹ لاگز | سیکیورٹی نگرانی اور صارف رسائی جائزہ۔ | Art. 6(1)(f) — سیکیورٹی میں جائز مفاد۔ | تخلیق سے 12 ماہ۔ |
| بلنگ شناخت کنندگان | سبسکرپشن انتظام۔ ادائیگی کارڈ ڈیٹا LemonSqueezy کے ذریعے بطور Merchant of Record پروسیس ہوتا ہے اور Sageio کی طرف سے محفوظ نہیں کیا جاتا۔ | Art. 6(1)(b) — معاہدے کی کارکردگی۔ | اکاؤنٹ کی مدت کے علاوہ ٹیکس ریکارڈ کے لیے 7 سال۔ |
ذیلی پروسیسرز
حفاظت کی مکمل زنجیر۔
| ذیلی پروسیسر | مقصد | پروسیسنگ مقام |
|---|---|---|
| Amazon Web Services | کلاؤڈ ہوسٹنگ، آبجیکٹ اسٹوریج، خفیہ کاری کلید انتظام۔ | صارف کے منتخب کردہ علاقے (ڈیفالٹ: سنگاپور، ایشیا-پیسیفک)۔ انٹرپرائز پلانز پر EU اور US۔ |
| Neon | ایپلیکیشن ڈیٹا کے لیے منتظم PostgreSQL ڈیٹابیس۔ | صارف کے بنیادی AWS علاقے سے مطابقت رکھنے والا علاقہ۔ |
| Vercel | مارکیٹنگ سائٹ اور صارف کا سامنا کرنے والی ویب ایپلیکیشن کے لیے ہوسٹنگ۔ | عالمی ایج نیٹ ورک۔ آرجن: صارف کا منتخب کردہ علاقہ۔ |
| Clerk | تصدیق، سنگل سائن آن، اور شناخت کا انتظام۔ | ریاستہائے متحدہ۔ |
| Deepgram | میٹنگ آڈیو کی تقریر سے متن نقل نویسی۔ | ریاستہائے متحدہ۔ |
| OpenAI | میٹنگ آڈیو کی حقیقی وقت میں تقریر سے متن نقل نویسی (نئے ورک اسپیس کے لیے ڈیفالٹ انجن) اور اپ لوڈ شدہ آڈیو فائلوں کی نقل نویسی۔ | ریاستہائے متحدہ۔ |
| DeepL | عبوری نقل کے حصوں کا ترجمہ اور منتخب ہدف زبانوں کے لیے حتمی ترجمہ۔ | جرمنی (EU)۔ |
| Google (Gemini API) | حتمی نقل کے حصوں کی ترجمہ تطہیر؛ AI سے تیار خلاصے اور عملی نکات۔ | ریاستہائے متحدہ۔ paid-tier Gemini API شرائط کے مطابق ڈیٹا Google ماڈلز کی تربیت کے لیے استعمال نہیں ہوتا۔ |
| Resend | لین دینی ای میل کی ترسیل (اکاؤنٹ اور سروس نوٹسز؛ صارف کی درخواست پر بھیجے گئے میٹنگ-خلاصہ ای میلز)۔ | ریاستہائے متحدہ۔ |
Lemon Squeezy (a Stripe company) is not a sub-processor: as Merchant of Record it determines its own purposes for payment, tax, and invoicing, and acts as an independent data controller under its own privacy policy.
Plausible (cookieless website analytics) operates only on our marketing site and does not process platform personal data under this DPA; it is disclosed in the Privacy Policy.
پروسیسر عہد
آرٹیکل 28، تحریری طور پر معاہدے میں۔
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- ذیلی پروسیسر تبدیلیاں
- Sageio موجودہ ذیلی پروسیسر فہرست sageio.net/subprocessors پر برقرار رکھتا ہے۔ Sageio کسی ذیلی پروسیسر کو شامل کرنے یا تبدیل کرنے سے پہلے صارف کو کم از کم 30 دن کی پیشگی اطلاع (ای میل یا ایپ کے اندر نوٹس کے ذریعے) دے گا۔ صارف نوٹس کی مدت کے اندر معقول ڈیٹا تحفظ کی بنیادوں پر اعتراض کر سکتا ہے؛ اگر فریقین اعتراض حل نہ کر سکیں، تو صارف متاثرہ خدمات ختم کر سکتا اور غیر استعمال شدہ مدت کے لیے پیشگی ادا شدہ فیسوں کی متناسب واپسی حاصل کر سکتا ہے۔ Sageio ہر ذیلی پروسیسر پر اس DPA کے مساوی ڈیٹا تحفظ ذمہ داریاں عائد کرتا ہے اور ان کی کارکردگی کے لیے ذمہ دار رہتا ہے۔
- ذاتی ڈیٹا کی خلاف ورزی کی اطلاع
- Sageio صارف کو بلا غیر ضروری تاخیر، اور بہر صورت صارف کے ذاتی ڈیٹا کو متاثر کرنے والی ذاتی ڈیٹا خلاف ورزی کی تصدیق کے 24 گھنٹے کے اندر اطلاع دے گا، اور Articles 33–34 GDPR کے تحت صارف کی ذمہ داریوں کے لیے معقول طور پر درکار معلومات فراہم کرے گا، تفتیش آگے بڑھنے کے ساتھ اپ ڈیٹس کے ساتھ۔
- حذف اور واپسی
- خدمات کی برخاستگی یا میعاد ختم ہونے پر، Sageio، صارف کے انتخاب پر، تمام صارف ذاتی ڈیٹا کو 30 دن کے اندر حذف یا واپس کرے گا، اور باقی ماندہ کاپیاں حذف کرے گا، سوائے جہاں قابلِ اطلاق قانون برقراری کا تقاضا کرے۔ خفیہ بیک اپس میں موجود ذاتی ڈیٹا معیاری 30 دن کے بیک اپ گردش دور پر صاف کیا جاتا ہے۔
- معاونت اور آڈٹس
- پروسیسنگ کی نوعیت کو مدِنظر رکھتے ہوئے، Sageio ڈیٹا سبجیکٹ درخواستوں کے جواب میں مناسب تکنیکی اور تنظیمی اقدامات کے ساتھ صارف کی معاونت کرے گا، اور Articles 32–36 GDPR کے تحت صارف کی ذمہ داریوں میں، بشمول ڈیٹا تحفظ اثرات کے جائزے اور پیشگی مشاورتیں۔ Sageio Article 28 کی تعمیل ثابت کرنے کے لیے معقول طور پر ضروری معلومات دستیاب کرے گا — بشمول penetration tests کے خلاصے اور، جب دستیاب ہو، آڈٹ رپورٹس — اور آڈٹس کی اجازت دے گا، بشمول معائنہ، صارف یا اس کے مجاز آڈیٹر کی طرف سے، بارہ ماہ میں ایک بار سے زیادہ نہیں، 30 دن کی اطلاع پر، صارف کے خرچ پر اور رازداری کے تابع۔
- رازداری اور ہدایات
- Sageio یقینی بناتا ہے کہ ذاتی ڈیٹا پروسیس کرنے کے مجاز افراد رازداری کے پابند ہیں۔ Sageio صارف کو بلا غیر ضروری تاخیر مطلع کرے گا اگر، اس کی رائے میں، کوئی ہدایت قابلِ اطلاق ڈیٹا تحفظ قانون کی خلاف ورزی کرتی ہے۔
- صارف کی ضمانتیں
- صارف ضمانت دیتا ہے کہ اس نے اس DPA کے تحت جس پروسیسنگ کی ہدایت دی ہے اس کے لیے ایک قانونی بنیاد قائم کی ہے، بشمول میٹنگ شرکاء کو کوئی بھی نوٹسز اور ان سے رضامندیاں جو قابلِ اطلاق قانون کے تحت درکار ہیں اور — جہاں میٹنگ مواد میں اتفاقاً ذاتی ڈیٹا کی خاص اقسام شامل ہوں — Article 9(2) GDPR کے تحت ایک شرط۔ Sageio میٹنگ مواد کو کسی شخص کی آواز سے شناخت کرنے کے لیے استعمال نہیں کرتا اور کوئی بایومیٹرک ٹیمپلیٹ نہیں بناتا۔
- مدت، حاکم قانون، اور ذمہ داری
- یہ DPA سبسکرپشن معاہدے کے ساتھ مؤثر ہوتا اور اس کی مدت تک قائم رہتا ہے؛ یہ اسی قانون کے تحت ہے، اور سروس کی شرائط میں ذمہ داری کی حدود اس پر لاگو ہوتی ہیں، سوائے جہاں لازمی ڈیٹا تحفظ قانون اس کے برعکس فراہم کرے۔
سیکیورٹی اقدامات
انجینئرنگ کا ملاپ عہدسے۔
Sageio پروسیسنگ کے خطرے کے لیے مناسب تکنیکی اور تنظیمی اقدامات نافذ کرتا ہے، بشمول آمدورفت میں (TLS 1.3) اور آرام میں (AES-256-GCM) خفیہ کاری، کردار پر مبنی رسائی کنٹرول، آڈٹ لاگنگ، باقاعدہ penetration testing، اور ایک دستاویزی واقعاتی ردِعمل عمل۔ پروڈکشن رسائی کے لیے واضح کاروباری جواز درکار ہے، یہ وقت کی پابند ہے، اور لاگ کی جاتی ہے۔ اقدامات کی مکمل فہرست، بشمول موجودہ تعمیل پروگرام کی حیثیت، سیکیورٹی صفحے پر شائع کی جاتی ہے اور پروگرام کے ارتقا کے ساتھ اپ ڈیٹ کی جاتی ہے۔
بین الاقوامی منتقلیاں
سرحد پار ڈیٹا، قانونی طور پر منتقل۔
جہاں ذاتی ڈیٹا یورپی اقتصادی علاقے، برطانیہ، یا مساوی پابندیوں والے دیگر دائرہ اختیار سے باہر منتقل کیا جاتا ہے، Sageio یورپی کمیشن کی Standard Contractual Clauses (Module Two: Controller-to-Processor) پر اور، جہاں قابلِ اطلاق ہو، UK International Data Transfer Addendum پر انحصار کرتا ہے۔ مناسبت کے فیصلے سے ڈھکے دائرہ اختیار میں منتقلیوں کے لیے، Sageio اس فیصلے پر انحصار کرتا ہے۔ ذیلی پروسیسرز معاہداتی flow-down کے ذریعے مساوی ذمہ داریوں کے پابند ہیں۔ ڈیٹا برآمد کنندہ کے دائرہ اختیار سے باہر ذاتی ڈیٹا پروسیس کرنے والے ہر ذیلی پروسیسر کے لیے منتقلی اثرات کے جائزے کیے جاتے ہیں۔
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
ڈیٹا سبجیکٹ کے حقوق
آپ کے صارفین کے حقوق، ہماری ذمہ داریاں۔
- رسائی کا حق — پروسیس کردہ ذاتی ڈیٹا کی تصدیق اور ایک کاپی۔
- تصحیح کا حق — غلط یا نامکمل ڈیٹا کی درستی۔
- حذف کا حق — درست درخواست کے 30 دن کے اندر حذف، قانونی برقراری تقاضوں کے تابع۔
- پابندی کا حق — متعین حالات میں پروسیسنگ کی حد بندی۔
- ڈیٹا پورٹیبلٹی کا حق — منظم، مشین سے پڑھنے کے قابل فارمیٹ میں برآمد۔
- اعتراض کا حق — بشمول جائز مفاد پر مبنی پروسیسنگ پر۔
- متعلقہ نگران اتھارٹی کے پاس شکایت درج کرانے کا حق۔
رابطہ
اصل لوگ، نامزد ان باکسز۔
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
ورژن کی تاریخ
- v1.2.1June 14, 2026Gemini paid-tier confirmation completed (interim note removed); sub-processor commitment now points to the live /subprocessors page; Traditional Chinese translation of the processor commitments and SCC incorporation added.
- v1.2June 13, 2026Sub-processor table correction: OpenAI added (real-time speech-to-text, default engine for new workspaces); DeepL purpose extended to final translation for selected languages; Resend purpose includes meeting-summary emails; Gemini terms basis corrected to paid-tier API (confirmation in progress). Configurable-retention-window statements removed to match current system behavior.
- v1.1June 13, 2026Article 28 processor commitments added; sub-processor table expanded (DeepL, Resend); retention entries corrected to match system behavior; SCCs and UK Addendum incorporated with Annex mapping.
- v1.0Effective from publicationInitial publication.