Dokument prawny

Umowa powierzenia przetwarzania danych (DPA)

Warunki powierzenia przetwarzania danych osobowych organizacji klienckich partnera oraz lista subprocesorów. Załącznik 2 do Regulaminu.

Wersja 0.9.3-draftTODO-LEGAL-REVIEWOstatnia zmiana: 13 lipca 2026

Status tego dokumentu

Poniżej znajduje się pełna treść dokumentu w wersji roboczej 0.9.3-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy paragrafów nie jest to jeszcze wiążąca treść dla użytkownika: dopiero człowiek, po przeglądzie kancelarii, zatwierdza wersję obowiązującą. Miejsca oznaczoneTODO-CONTENT to otwarte pytania i decyzje, które nie zostały jeszcze rozstrzygnięte - nie wypełniamy ich domysłem. Oznaczenie [docelowo: ...] wskazuje funkcję lub środek opisany jako stan docelowy - z zadaniem-właścicielem w backlogu - który nie jest jeszcze zbudowany; taka adnotacja nie jest częścią tekstu normatywnego.

Preambuła - łańcuch powierzenia (mapa ról)

Model biznesowy platformy jest trójstronny (white-label). Dane osobowe płyną w następującym łańcuchu: Organizacja kliencka (administrator danych swojego personelu i rejestrów SZBI) -> Partner - firma IT (podmiot przetwarzający organizacji, świadczący jej usługę wdrożenia/opieki SZBI) -> Supremeware Ltd (dalszy podmiot przetwarzający, dostawca narzędzia SaaS) -> Podprocesorzy (infrastruktura: VPS UE, e-mail transakcyjny UE, backup UE).

Wariant równoległy: dla danych wprowadzanych do Organizacji Własnej Partnera (jego własne SZBI) Partner występuje jako administrator, a Supremeware Ltd jako podmiot przetwarzający pierwszego stopnia.

Poza łańcuchem powierzenia: (a) dane kont Partnera i rozliczeniowe - Supremeware Ltd jako administrator (Polityka prywatności), (b) dane kupujących w procesie płatności - Paddle jako odrębny administrator (Merchant of Record).

TODO-CONTENT (kluczowe pytanie konstrukcyjne do radcy): czy niniejsza DPA, zawierana między Usługodawcą a Partnerem, wystarczy do umocowania całego łańcucha (Partner oświadcza, że działa z upoważnienia Organizacji - § 2 ust. 3), czy potrzebny jest dodatkowo wzorzec DPA Partner-Organizacja (dostarczamy go w pakiecie sales enablement - dokument 10) oraz czy Organizacje z bezpośrednim dostępem do Platformy powinny akceptować własny egzemplarz powierzenia przy pierwszym logowaniu.

§ 1. Definicje i przedmiot

  1. Terminy pisane wielką literą mają znaczenie nadane w Regulaminie platformy SZBIhub. Pojęcia “administrator”, “podmiot przetwarzający”, “przetwarzanie”, “dane osobowe”, “naruszenie ochrony danych osobowych” mają znaczenie z art. 4 RODO.
  2. Strony: Powierzający - Partner (działający jako administrator lub jako podmiot przetwarzający Organizacji - § 2 ust. 2-3) oraz Przetwarzający - Supremeware Ltd (Usługodawca).
  3. Przedmiot: Powierzający powierza Przetwarzającemu przetwarzanie danych osobowych opisanych w Załączniku A, wyłącznie w celu i zakresie niezbędnym do świadczenia Usługi zgodnie z Umową (art. 28 ust. 3 RODO).
  4. Niniejsza DPA jest zawierana na czas obowiązywania Umowy i wygasa wraz z zakończeniem usuwania lub zwrotu danych zgodnie z § 8.

§ 2. Role stron i status Powierzającego

  1. Charakter, cel i czas przetwarzania, rodzaje danych i kategorie osób określa Załącznik A.
  2. Dla danych Organizacji Własnej Partnera: Partner = administrator, Usługodawca = podmiot przetwarzający.
  3. Dla danych Organizacji klienckich: Partner oświadcza, że (a) łączy go z Organizacją umowa uprawniająca do przetwarzania jej danych w charakterze podmiotu przetwarzającego, (b) uzyskał zgodę Organizacji (ogólną lub szczegółową) na dalsze powierzenie przetwarzania Usługodawcy w zakresie niniejszej DPA, (c) przekaże Organizacji informacje o Usługodawcy i podprocesorach w zakresie wymaganym przez art. 28 RODO. W tym układzie Usługodawca działa jako dalszy podmiot przetwarzający, a obowiązki “administratora” opisane w DPA wykonuje wobec Usługodawcy Partner - w imieniu własnym lub Organizacji.
  4. Partner ponosi odpowiedzialność za zgodność z prawem poleceń wydawanych Usługodawcy oraz za istnienie ważnej podstawy przetwarzania po stronie Organizacji.

§ 3. Obowiązki Przetwarzającego (art. 28 ust. 3 RODO)

Przetwarzający zobowiązuje się:

  1. przetwarzać dane wyłącznie na udokumentowane polecenie Powierzającego - za udokumentowane polecenia strony uznają: Umowę, niniejszą DPA oraz dyspozycje wydawane przez uprawnionych Użytkowników za pomocą funkcji Platformy (utworzenie, edycja, eksport, usunięcie danych); dotyczy to również przekazywania danych do państwa trzeciego, chyba że obowiązek taki nakłada na Przetwarzającego prawo Unii lub prawo państwa członkowskiego - wówczas poinformuje Powierzającego przed przetwarzaniem, o ile prawo tego nie zabrania;
  2. zapewnić, by osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy albo podlegały ustawowemu obowiązkowi zachowania tajemnicy;
  3. wdrożyć środki techniczne i organizacyjne wymagane na mocy art. 32 RODO, co najmniej w zakresie opisanym w Załączniku C;
  4. przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie - § 4);
  5. w miarę możliwości i biorąc pod uwagę charakter przetwarzania, pomagać Powierzającemu - poprzez odpowiednie środki techniczne i organizacyjne (w tym funkcje eksportu, wyszukiwania, korekty i usuwania danych na Platformie [w zakresie trwałego usuwania docelowo: F4.E3.T1]) - w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (rozdział III RODO); żądania skierowane bezpośrednio do Przetwarzającego będą przekazywane Powierzającemu bez zbędnej zwłoki;
  6. pomagać Powierzającemu wywiązać się z obowiązków z art. 32-36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków), uwzględniając charakter przetwarzania i dostępne Przetwarzającemu informacje;
  7. po zakończeniu świadczenia usług - zależnie od decyzji Powierzającego - usunąć lub zwrócić dane osobowe oraz usunąć istniejące kopie (tryb: § 8), chyba że prawo Unii lub państwa członkowskiego nakazuje ich przechowywanie;
  8. udostępniać Powierzającemu wszelkie informacje niezbędne do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwiać audyty i przyczyniać się do nich (tryb: § 6);
  9. niezwłocznie informować Powierzającego, jeżeli jego zdaniem wydane polecenie narusza RODO lub inne przepisy o ochronie danych.

§ 4. Podpowierzenie (podprocesorzy)

  1. Powierzający wyraża ogólną zgodę (art. 28 ust. 2 RODO) na korzystanie przez Przetwarzającego z podprocesorów wymienionych w Załączniku B (lista publikowana także na stronie /security).
  2. O zamierzonych zmianach listy (dodanie lub zastąpienie podprocesora) Przetwarzający informuje Powierzającego co najmniej 30 dni przed zmianą (e-mail na adres Konta + aktualizacja strony /security).
  3. Powierzający może w terminie 30 dni od powiadomienia wnieść uzasadniony sprzeciw. Wobec architektury usługi (jedna wspólna infrastruktura dla wszystkich klientów) strony przyjmują następujący skutek sprzeciwu: jeżeli Przetwarzający nie zaproponuje rozwiązania alternatywnego, Powierzający może wypowiedzieć Umowę w zakresie objętym zmianą przed jej wejściem w życie, z proporcjonalnym zwrotem opłat za niewykorzystany okres; dalsze korzystanie po wejściu zmiany w życie oznacza jej akceptację.
  4. Przetwarzający nakłada na każdego podprocesora - w drodze umowy - te same obowiązki ochrony danych, jakie przyjął w niniejszej DPA (w szczególności art. 32 RODO), i pozostaje w pełni odpowiedzialny wobec Powierzającego za wykonanie obowiązków przez podprocesorów (art. 28 ust. 4 RODO).

§ 5. Zgłaszanie naruszeń ochrony danych

  1. Przetwarzający zawiadamia Powierzającego o stwierdzonym naruszeniu ochrony danych osobowych dotyczącym danych powierzonych bez zbędnej zwłoki, nie później niż w ciągu 48 godzin od stwierdzenia naruszenia (kanał: e-mail na adres Konta oraz - dla zdarzeń krytycznych - komunikat na Platformie, a po uruchomieniu publicznej strony statusu także na tej stronie [docelowo: OP-5.4 - strona statusu w przygotowaniu]). TODO-CONTENT: 48 h to decyzja biznesowa draftu (ma zostawić administratorowi zapas w ramach jego własnego terminu 72 h z art. 33 RODO) - radca potwierdzi lub skoryguje.
  2. Zawiadomienie zawiera co najmniej informacje odpowiadające art. 33 ust. 3 RODO w zakresie znanym Przetwarzającemu: charakter naruszenia, kategorie i przybliżoną liczbę osób oraz wpisów danych, możliwe konsekwencje, środki zastosowane lub proponowane, punkt kontaktowy. Informacje mogą być przekazywane sukcesywnie (art. 33 ust. 4 RODO stosuje się odpowiednio).
  3. Ocena obowiązku zgłoszenia naruszenia organowi (art. 33 RODO) i zawiadomienia osób (art. 34 RODO) należy do administratora; Przetwarzający nie zgłasza naruszeń organowi w imieniu Powierzającego, chyba że strony odrębnie tak uzgodnią na piśmie.
  4. Przetwarzający dokumentuje naruszenia dotyczące danych powierzonych i współpracuje przy ich wyjaśnianiu.

§ 6. Audyt i kontrola

  1. Powierzający może realizować prawo audytu (art. 28 ust. 3 lit. h RODO) w następującej kolejności środków: (a) pisemne pytania i kwestionariusze (odpowiedź do 14 Dni Roboczych), (b) udostępnienie dokumentacji środków (Załącznik C, opis architektury /security, wyniki testów odtwarzania kopii), (c) audyt bezpośredni - zapowiedziany co najmniej 14 dni wcześniej, w Dni Robocze, nie częściej niż raz na 12 miesięcy (chyba że audyt jest następstwem naruszenia), prowadzony w sposób nienaruszający danych innych klientów Przetwarzającego i tajemnic jego przedsiębiorstwa; audytor podpisuje zobowiązanie poufności.
  2. Koszty audytu bezpośredniego ponosi Powierzający; Przetwarzający może obciążyć Powierzającego udokumentowanym, rozsądnym kosztem zaangażowania przekraczającego 8 roboczogodzin. TODO-CONTENT: dopuszczalność ograniczeń audytu (częstotliwość, koszty) do potwierdzenia przez radcę.
  3. Audyt u podprocesora odbywa się w granicach, jakie umowa Przetwarzającego z podprocesorem przewiduje dla klientów Przetwarzającego.

§ 7. Transfery poza EOG

  1. Dane powierzone są przechowywane w Unii Europejskiej (Załącznik B - lokalizacje).
  2. Dostęp administracyjny do systemów może następować z Polski i ze Zjednoczonego Królestwa (siedziba Przetwarzającego). Transfer do Zjednoczonego Królestwa opiera się na decyzji adekwatności Komisji Europejskiej (art. 45 RODO; decyzja odnowiona 19.12.2025, ważna do 27.12.2031 - wykaz: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
  3. Inne transfery poza EOG nie następują; ewentualne przyszłe wymagałyby mechanizmu z art. 46 RODO (np. standardowe klauzule umowne) i trybu zmiany listy podprocesorów z § 4.

§ 8. Zakończenie przetwarzania

  1. Po zakończeniu Umowy Przetwarzający: (a) utrzymuje dane w trybie tylko-do-odczytu przez 90 dni w celu umożliwienia Powierzającemu (lub - za jego pośrednictwem - Organizacjom) eksportu danych (ZIP), (b) po upływie tego okresu trwale usuwa dane powierzone ze środowisk produkcyjnych, (c) usuwa dane z kopii zapasowych w cyklu ich rotacji zgodnie z Polityką retencji danych, do czasu usunięcia utrzymując ochronę kopii. W ścieżce zaległości płatniczych okres 90 dni liczy się od dnia zawieszenia Konta i nie sumuje się z okresem zawieszenia (jedna drabinka retencji - § 18 ust. 1 pkt 5 i § 20 ust. 3 Regulaminu). [docelowo: F4.E3.T1 (eksport ZIP, purge) + F4.E1.T3 (automatyka kopii)]
  2. Na pisemne żądanie Powierzającego złożone przed upływem 90 dni Przetwarzający usunie dane wcześniej. [docelowo: F4.E3.T1 - do czasu zbudowania mechaniki realizacja ręczna przez Przetwarzającego]
  3. Przetwarzający może zachować dane, których przechowywania wymaga prawo Unii lub państwa członkowskiego - wyłącznie w wymaganym zakresie i czasie oraz z zachowaniem poufności.
  4. Na żądanie Powierzający otrzyma pisemne potwierdzenie usunięcia.

§ 9. Odpowiedzialność i wynagrodzenie

  1. Odpowiedzialność stron z tytułu niniejszej DPA podlega ograniczeniom z § 16 Regulaminu, z zastrzeżeniem bezwzględnie obowiązujących przepisów (w tym art. 82 RODO w relacji do osób, których dane dotyczą). TODO-CONTENT: pytanie do radcy - czy roszczenia związane z ochroną danych objąć osobnym limitem (super-cap), oraz jak ukształtować regres między stronami przy odpowiedzialności z art. 82 RODO.
  2. Wynagrodzenie za przetwarzanie jest zawarte w opłacie za Usługę; pomoc wykraczającą poza standardowe funkcje Platformy i obowiązki z § 3 (np. niestandardowe analizy na potrzeby DPIA Powierzającego) strony mogą odrębnie uzgodnić za wynagrodzeniem.

§ 10. Postanowienia końcowe

  1. W razie sprzeczności DPA z Regulaminem, w zakresie ochrony danych pierwszeństwo ma DPA.
  2. Zmiany DPA następują w trybie § 21 Regulaminu, z zastrzeżeniem trybu zmiany listy podprocesorów (§ 4).
  3. Prawo właściwe: jak w Regulaminie (ZAŁOŻENIE ROBOCZE: prawo polskie; do decyzji z radcą). TODO-CONTENT: radca potwierdzi, czy wybór prawa dla DPA powinien podążać za Regulaminem.

Załącznik A - opis przetwarzania (art. 28 ust. 3 RODO)

Element Opis
Przedmiot przetwarzania Hosting i obsługa danych wprowadzanych do Platformy w środowiskach Organizacji (Własnych i klienckich)
Czas trwania Okres obowiązywania Umowy + okres eksportu i usuwania (§ 8)
Charakter przetwarzania Zbieranie (poprzez formularze Platformy), przechowywanie, porządkowanie, wyświetlanie, modyfikowanie, generowanie dokumentów, eksport, usuwanie; kopie zapasowe
Cel przetwarzania Świadczenie Usługi: prowadzenie dokumentacji i rejestrów SZBI, obsługa terminów, szkoleń i raportów zgodności
Kategorie osób Personel i współpracownicy Organizacji; osoby kontaktowe dostawców Organizacji; osoby wskazane w rejestrach (np. zgłaszający incydent, właściciele aktywów i ryzyk); uczestnicy szkoleń
Rodzaje danych Dane identyfikacyjne i kontaktowe (imię, nazwisko, służbowy e-mail, telefon), stanowisko i rola, przypisania w rejestrach (aktywa, ryzyka, incydenty, dostawcy), dane szkoleniowe (status, wyniki, certyfikaty), wpisy dziennika zdarzeń, treści dokumentów w zakresie wprowadzonym przez Powierzającego lub Organizację
Dane wyłączone Dane szczególnych kategorii (art. 9 RODO) i dane karne (art. 10 RODO) - ich wprowadzanie jest umownie zabronione (§ 11 ust. 1 pkt 7 Regulaminu); Platforma nie jest do nich przeznaczona

Załącznik B - lista podprocesorów (stan na 2026-07-13; wybór dostawców: decyzje D-R2-10 [poz. 1-2] i D-R3-4 [poz. 3] na podstawie rekomendacji docs/paddle-kyb/06-decyzja-subprocesorzy.md)

Zasada: hosting danych w UE; zmiany listy w trybie § 4 (30 dni uprzedzenia); lista publikowana także na stronie /security.

Lista podprocesorów (poz. 1-4) jest renderowana w tabeli na końcu tej strony - ta sama, jedna kolekcja subprocessors zasila tę tabelę i stronę /security. Poz. 1 (hosting - OVHcloud, Warszawa), poz. 2 (e-mail transakcyjny - Scaleway TEM) i poz. 3 (storage kopii zapasowych - Scaleway Object Storage) są wybrane/zatwierdzone (poz. 1-2: D-R2-10, 2026-07-12; poz. 3: D-R3-4, 2026-07-13) - zawarcie DPA z dostawcami i wdrożenie kopii zapasowych pozostają zadaniem człowieka przed startem produkcyjnym; kopie zapasowe NIE są jeszcze wykonywane. Poz. 4 (Cloudflare) czeka na potwierdzenie architektoniczne, czy ruch aplikacji przejdzie przez proxy CF.

Poza listą podprocesorów:

  • Paddle.com Market Limited (Londyn) - Merchant of Record; przetwarza dane rozliczeniowe kupującego jako ODRĘBNY ADMINISTRATOR (paddle.com/privacy); nie przetwarza danych Organizacji. TODO-CONTENT: kwalifikację potwierdzi radca.
  • Plausible (self-host) i GlitchTip (self-host) - planowane narzędzia analityki odwiedzin i monitoringu błędów. Na dzień tej wersji ŻADNE z tych narzędzi nie działa - dziś nie zbieramy statystyk. Możemy je w przyszłości uruchomić wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy wcześniej zaktualizujemy odpowiednie polityki (prywatności, cookies). Kwalifikacja prawna pozostaje bez zmian: narzędzia utrzymywane samodzielnie na naszej infrastrukturze nie będą odrębnymi podmiotami przetwarzającymi i nie wejdą na listę podprocesorów. Założenie projektowe dla error-trackingu: bez danych osobowych w zdarzeniach.

Załącznik C - środki techniczne i organizacyjne (art. 32 RODO)

  1. Izolacja klientów: architektura multi-tenant z separacją danych per partner i per organizacja, wymuszaną w warstwie aplikacji (globalne filtry zapytań, blokada zapisu między najemcami, automatyczne testy izolacji); docelowo dodatkowo zabezpieczenia na poziomie wierszy bazy danych (row-level security) zgodnie z harmonogramem wdrożenia fazy hardeningu [docelowo: F4.E2.T3]; alarmowanie prób zapisu między najemcami [docelowo: F4.E4.T2 - dziś próba zapisu jest blokowana wyjątkiem, alerting w budowie].
  2. Szyfrowanie: TLS dla transmisji; szyfrowanie danych w spoczynku (dyski/wolumeny) oraz kopie zapasowe szyfrowane przed przekazaniem do storage [docelowo: F4.E1.T3 / konfiguracja środowiska produkcyjnego].
  3. Kontrola dostępu: dostęp rolowy (RBAC) na Platformie; uwierzytelnianie wieloskładnikowe; zasada minimalnych uprawnień dla dostępu administracyjnego; imienny dostęp administracyjny wyłącznie dla personelu Przetwarzającego; sekrety w magazynie konfiguracji, rotowane.
  4. Rozliczalność: dziennik zdarzeń (audit log) w trybie tylko-do-dopisywania, obejmujący operacje na danych i działania administracyjne; rejestrowanie akceptacji dokumentów prawnych (kto, kiedy, wersja) [docelowo: F4.E3.T2 - mechanizm akceptacji w budowie].
  5. Ciągłość działania: kopie zapasowe wykonywane automatycznie z monitorowaniem skuteczności (alarm przy braku kopii) [docelowo: F4.E1.T3 + F4.E4.T2]; okresowe testy odtwarzania [docelowo: F4.E1.T3]; infrastruktura statusowa niezależna od produkcyjnej [docelowo: OP-5.4].
  6. Bezpieczeństwo wytwarzania: środowiska produkcyjne oddzielone od testowych; przegląd zależności; monitorowanie błędów bez danych osobowych w zdarzeniach; zarządzanie podatnościami i polityka zgłaszania podatności (/security, security.txt).
  7. Organizacja: jednoosobowy operator z udokumentowanymi procedurami (runbook), listą operacji zastrzeżonych dla człowieka i sealed instructions na wypadek niedostępności; personel i współpracownicy zobowiązani do poufności.
  8. Minimalizacja: zakaz danych szczególnych kategorii; retencja zgodnie z Polityką retencji danych; eksport i usuwanie danych dostępne jako funkcje Platformy.

TODO-CONTENT: Załącznik C opisuje stan docelowy zgodny z blueprintem technicznym; przed publikacją produkcyjną founder potwierdza, które środki są już wdrożone (część fazy F4 - hardening, RLS, retencja - nie jest jeszcze zbudowana). Publikacja opisu środków niewdrożonych jako “wdrożonych” byłaby wprowadzeniem w błąd - wersję publikowaną należy zsynchronizować ze stanem faktycznym.

Źródła i odwołania

  • Obowiązki podmiotu przetwarzającego dane osobowe na zlecenie administratora - w tym zakres udokumentowanych poleceń, poufność, środki bezpieczeństwa, podpowierzenie i pomoc administratorowi - wynikają z art. 28 RODO.
    ref

    RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

    art. 28

    Zobacz źródło →TODO-LEGAL-REVIEW
  • Administrator zgłasza naruszenie ochrony danych osobowych właściwemu organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin od stwierdzenia naruszenia.
    ref

    RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679

    art. 33 ust. 1

    Zobacz źródło →TODO-LEGAL-REVIEW
  • Przekazywanie danych osobowych do Zjednoczonego Królestwa odbywa się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony, odnowionej 19 grudnia 2025 r. i obowiązującej do 27 grudnia 2031 r.
    ref

    RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679; decyzja wykonawcza Komisji Europejskiej ws. odpowiedniego stopnia ochrony danych osobowych zapewnianego przez Zjednoczone Królestwo

    art. 45

    Zobacz źródło →TODO-LEGAL-REVIEW

Załącznik B - lista podprocesorów (stan na 2026-07-13)

Podmioty objęte ogólną zgodą Powierzającego z § 4 (art. 28 ust. 2 RODO). Ta sama lista, w kontekście architektury, jest publikowana na stronie /security. Sloty oznaczone TODO-CONTENT czekają na decyzję założyciela - nazwy dostawcy nie wpisuje implementer (blueprint-nis2-www.md sekcja 3.2).

#PodmiotRolaLokalizacja przetwarzaniaZakres danychStatus
1OVHcloud (OVH Groupe SAS)Hosting aplikacji i bazy danych (VPS).UE - Polska (Warszawa)Wszystkie dane powierzone.ZATWIERDZONY (D-R2-10, 2026-07-12); wdrożenie przed startem produkcyjnym
2Scaleway TEM (Scaleway SAS)Wysyłka e-mail transakcyjnych.UE - Francja (brak transferów poza UE)Adres e-mail, imię/nazwisko odbiorcy, treść powiadomienia.ZATWIERDZONY (D-R2-10, 2026-07-12); wdrożenie przed startem produkcyjnym
3Scaleway Object Storage (Scaleway SAS)Przechowywanie zaszyfrowanych kopii zapasowych.Francja - UEKopie wszystkich danych powierzonych (zaszyfrowane).Wybrany decyzją założyciela 2026-07-13; zawarcie DPA z dostawcą i wdrożenie kopii zapasowych = przed startem produkcyjnym; kopie zapasowe NIE są jeszcze wykonywane
4Cloudflare, Inc.TODO-CONTENTTODO-CONTENT: potwierdzić zakres (DNS i hosting strony statycznej www; czy ruch aplikacji przechodzi przez proxy CF?).DNS / CDN strony publicznej.wg konfiguracji (dziś: DNS + hosting statycznej strony www)Strona publiczna nie zawiera danych powierzonych; jeżeli proxy obejmie aplikację - metadane ruchu.DO POTWIERDZENIA architektonicznie przed startem produkcyjnym (czy ruch aplikacji przejdzie przez proxy CF)

Poza listą podprocesorów

Podmioty i oprogramowanie, których Załącznik B świadomie nie zalicza do podprocesorów - w brzmieniu źródła DPA:

  • Paddle.com Market Limited (Londyn)TODO-CONTENT

    Merchant of Record; przetwarza dane rozliczeniowe kupującego jako ODRĘBNY ADMINISTRATOR (paddle.com/privacy); nie przetwarza danych Organizacji.

    TODO-CONTENT: kwalifikację (odrębny administrator, nie podprocesor) potwierdzi radca - poz. D-2 rejestru niepewności DPA.

  • Plausible (self-host)

    Planowane narzędzie analityki odwiedzin strony publicznej - cookieless, zbiorcze statystyki bez profilowania. Na dzień tej wersji NIE działa: dziś nie zbieramy żadnych statystyk odwiedzin. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; przed uruchomieniem zaktualizujemy Politykę prywatności i Politykę cookies.

  • GlitchTip (self-host)

    Planowane narzędzie monitoringu błędów aplikacji. Na dzień tej wersji NIE działa. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; założenie projektowe dla error-trackingu: bez danych osobowych w zdarzeniach.