Lista podprocesorów — Attestia.eu

Wersją wiążącą jest wersja polska. Wersja angielska ma charakter informacyjny.

Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-04-22 Ostatnia aktualizacja / Last updated: 2026-04-22 Dokumenty powiązane:


1. Czym jest lista podprocesorów

Na podstawie art. 28 ust. 2 i ust. 4 RODO oraz art. 5 DPA (Załącznik nr 1 do Regulaminu), Attestia jako podmiot przetwarzający udostępnia Organizacjom (administratorom danych) aktualną listę dalszych podmiotów przetwarzających (dalej: „podprocesorzy"), z których korzysta w związku ze świadczeniem Platformy.

Niniejsza strona jest jedynym wiążącym źródłem aktualnej listy podprocesorów. W przypadku rozbieżności między niniejszą listą a kopiami publikowanymi w innych miejscach (Polityka Prywatności, Regulamin), pierwszeństwo ma treść tej strony — z zastrzeżeniem, że Regulamin i Polityka Prywatności są aktualizowane równolegle.

Określenia pisane wielką literą mają znaczenie nadane im w Regulaminie.


2. Aktualna lista podprocesorów

#PodprocesorRolaZakres danychLokalizacjaTransferDPA
1Supabase (Pty) Ltd (via Amazon Web Services)Hosting bazy danych, autentykacja, Dziennik audytuDane Kont, Dane Organizacji, Dokumenty Compliance, Dziennik audytuUE — Frankfurt (eu-central-1)W granicach EU/EOG✅ Zawarta
2Microsoft Corporation (Azure OpenAI)Przetwarzanie AI (Klasyfikacja Ryzyka, generowanie Dokumentów Compliance)Opisy Systemów AI (pseudonimizowane — bez nazwy Organizacji i danych osobowych)UE — Sweden Central (swedencentral)W granicach EU/EOG; transient processing — brak retencji✅ Zawarta (Azure OpenAI Enterprise Agreement)
3Vercel, Inc.Hosting aplikacji (edge runtime)Brak trwałego przechowywania danych osobowychUE — węzły brzegowe (Frankfurt, Paryż)W granicach EU/EOG✅ Zawarta
4Stripe, Inc. (oraz Stripe Payments Europe, Ltd.)Obsługa płatności — niezależny administrator danych płatniczychDane rozliczeniowe (nazwa firmy, adres, NIP, EU VAT), dane transakcjiIrlandia (EU) + USATransfery US na podstawie SCC + EU-U.S. Data Privacy Framework (DPF)✅ Zawarta
5Resend, Inc.Wysyłka wiadomości transakcyjnych (e-maile)Adres e-mail Użytkownika, treść wiadomości transakcyjnejUSAStandardowe Klauzule Umowne (SCC) — decyzja KE 2021/914✅ Zawarta

Liczba aktywnych podprocesorów: 5.


3. Opcjonalne zewnętrzne narzędzia uwierzytelniania

Poniższe narzędzia są uruchamiane wyłącznie gdy Użytkownik zdecyduje się z nich skorzystać przy rejestracji lub logowaniu (metoda alternatywna do e-mail + hasło). Jeśli Użytkownik korzysta wyłącznie z logowania e-mail + hasło, jego dane nie są udostępniane tym podmiotom.

DostawcaRolaLokalizacjaTransfer
Google LLCOAuth — logowanie przez konto GoogleUSASCC + EU-U.S. Data Privacy Framework (DPF)
GitHub, Inc.OAuth — logowanie przez konto GitHubUSASCC + EU-U.S. Data Privacy Framework (DPF)

Zakres danych: identyfikator OAuth, adres e-mail (wyłącznie w zakresie niezbędnym do identyfikacji Konta). Scope ograniczony do email + profile.


4. Proces notyfikacji zmian listy

Zgodnie z art. 5 DPA (Załącznik nr 1 do Regulaminu):

  1. Wyprzedzenie: o zamierzonym dodaniu lub zastąpieniu podprocesora Attestia poinformuje Organizacje z co najmniej 30-dniowym wyprzedzeniem przed datą planowanej zmiany.

  2. Kanały powiadomień:

    • drogą elektroniczną na adres e-mail Właściciela Konta,
    • poprzez powiadomienie w panelu Platformy,
    • poprzez aktualizację niniejszej strony (wraz z datą publikacji).
  3. Prawo sprzeciwu:

    • Organizacja, która ma uzasadnione zastrzeżenia wobec nowego podprocesora, może wnieść sprzeciw w terminie 30 dni od otrzymania powiadomienia.
    • Strony podejmują negocjacje w celu znalezienia rozwiązania.
    • Jeśli rozwiązanie nie zostanie osiągnięte w terminie 30 dni od wniesienia sprzeciwu, Organizacja ma prawo wypowiedzieć umowę ze skutkiem natychmiastowym, z zachowaniem prawa do proporcjonalnego zwrotu opłaty za niewykorzystany Okres Rozliczeniowy.
  4. Forma wniesienia sprzeciwu: e-mail na adres privacy@attestia.eu z tematem [OBJECTION: SUB-PROCESSOR] i uzasadnieniem.

  5. Obowiązki wobec nowego podprocesora: Attestia zapewnia, że na każdego nowego podprocesora nałożone zostaną te same obowiązki ochrony danych, jakie wynikają z DPA (Załącznik nr 1 do Regulaminu) — w szczególności obowiązki wynikające z art. 28 ust. 3 RODO i Załącznika A (Środki techniczne i organizacyjne).


5. Transfery poza EOG

PodprocesorLokalizacjaMechanizm transferu
Resend, Inc.USASCC (decyzja KE 2021/914)
Stripe, Inc. (wybrane operacje)USASCC + EU-U.S. Data Privacy Framework (DPF)
Google LLC (OAuth — opcjonalnie)USASCC + EU-U.S. Data Privacy Framework (DPF)
GitHub, Inc. (OAuth — opcjonalnie)USASCC + EU-U.S. Data Privacy Framework (DPF)

Attestia NIE transferuje poza EOG:

  • Danych Organizacji (opisów Systemów AI, odpowiedzi na kwestionariusze, plików dowodowych),
  • wygenerowanych Dokumentów Compliance,
  • danych przetwarzanych przez Azure OpenAI (region Sweden Central, w granicach UE).

6. Odbiorcy niebędący podprocesorami

Następujące podmioty mogą otrzymywać dane w określonym zakresie, ale nie są podprocesorami w rozumieniu art. 28 RODO:

OdbiorcaZakresPodstawa prawna
Biuro rachunkoweDane fakturowe (księgowość)art. 6 ust. 1 lit. c RODO (ustawa o rachunkowości) + umowa o świadczenie usług księgowych
Kancelarie prawne i doradcyDane niezbędne do obrony/dochodzenia roszczeńart. 6 ust. 1 lit. f RODO (uzasadniony interes)
Organy publiczneDane w zakresie wynikającym z prawa (UODO, sąd, Urząd Skarbowy)art. 6 ust. 1 lit. c RODO

7. Procedura weryfikacji podprocesorów

Każdy nowy podprocesor przed wprowadzeniem na listę jest oceniany pod kątem:

  1. Zgodność z RODO — posiadanie DPA z Attestia zgodnego z art. 28 RODO, wraz z Załącznikiem środków technicznych i organizacyjnych (art. 32 RODO).
  2. Lokalizacja danych — preferencja dla regionów EU/EOG; transfery poza EOG tylko z adekwatnym mechanizmem (SCC / DPF / decyzja o adekwatności).
  3. Bezpieczeństwo — certyfikacje (ISO 27001, SOC 2), historia incydentów, postawa security.
  4. Finansowa stabilność — minimalizacja ryzyka supply-chain wynikającego z upadłości/wycofania z rynku.
  5. Interoperability — możliwość migracji do alternatywnego dostawcy bez utraty funkcjonalności compliance.

Wynik oceny jest dokumentowany w wewnętrznym rejestrze Attestia.


8. Historia zmian listy

DataWersjaZmianaPowód
2026-04-211.0-draftUtworzenie listy początkowej (Supabase, Microsoft Azure OpenAI, Vercel, Stripe, Resend)Start MVP

Zmiany w liście są archiwizowane i udostępniane na żądanie kierowane na privacy@attestia.eu.


9. Zapis do notyfikacji

Organizacje otrzymują notyfikacje o zmianach listy automatycznie na adres e-mail Właściciela Konta. Dodatkowo każda osoba zainteresowana (np. DPO klienta, compliance officer) może zapisać się na dedykowany kanał notyfikacji kierując zgłoszenie na privacy@attestia.eu z tematem [SUBPROCESSOR UPDATES SUBSCRIPTION].


10. Kontakt

Pytania dot. podprocesorówprivacy@attestia.eu
Wniesienie sprzeciwuprivacy@attestia.eu (temat: [OBJECTION: SUB-PROCESSOR])
Zapisz się na notyfikacjeprivacy@attestia.eu (temat: [SUBPROCESSOR UPDATES SUBSCRIPTION])
Adres pocztowyTrimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska