Lista podprocesorów — Attestia.eu
Wersją wiążącą jest wersja polska. Wersja angielska ma charakter informacyjny.
Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-04-22 Ostatnia aktualizacja / Last updated: 2026-04-22 Dokumenty powiązane:
- Regulamin § 10 + Załącznik nr 1 (DPA) — attestia.eu/terms
- Polityka Prywatności sekcja 6 — attestia.eu/privacy
- Bezpieczeństwo — attestia.eu/security
1. Czym jest lista podprocesorów
Na podstawie art. 28 ust. 2 i ust. 4 RODO oraz art. 5 DPA (Załącznik nr 1 do Regulaminu), Attestia jako podmiot przetwarzający udostępnia Organizacjom (administratorom danych) aktualną listę dalszych podmiotów przetwarzających (dalej: „podprocesorzy"), z których korzysta w związku ze świadczeniem Platformy.
Niniejsza strona jest jedynym wiążącym źródłem aktualnej listy podprocesorów. W przypadku rozbieżności między niniejszą listą a kopiami publikowanymi w innych miejscach (Polityka Prywatności, Regulamin), pierwszeństwo ma treść tej strony — z zastrzeżeniem, że Regulamin i Polityka Prywatności są aktualizowane równolegle.
Określenia pisane wielką literą mają znaczenie nadane im w Regulaminie.
2. Aktualna lista podprocesorów
| # | Podprocesor | Rola | Zakres danych | Lokalizacja | Transfer | DPA |
|---|---|---|---|---|---|---|
| 1 | Supabase (Pty) Ltd (via Amazon Web Services) | Hosting bazy danych, autentykacja, Dziennik audytu | Dane Kont, Dane Organizacji, Dokumenty Compliance, Dziennik audytu | UE — Frankfurt (eu-central-1) | W granicach EU/EOG | ✅ Zawarta |
| 2 | Microsoft Corporation (Azure OpenAI) | Przetwarzanie AI (Klasyfikacja Ryzyka, generowanie Dokumentów Compliance) | Opisy Systemów AI (pseudonimizowane — bez nazwy Organizacji i danych osobowych) | UE — Sweden Central (swedencentral) | W granicach EU/EOG; transient processing — brak retencji | ✅ Zawarta (Azure OpenAI Enterprise Agreement) |
| 3 | Vercel, Inc. | Hosting aplikacji (edge runtime) | Brak trwałego przechowywania danych osobowych | UE — węzły brzegowe (Frankfurt, Paryż) | W granicach EU/EOG | ✅ Zawarta |
| 4 | Stripe, Inc. (oraz Stripe Payments Europe, Ltd.) | Obsługa płatności — niezależny administrator danych płatniczych | Dane rozliczeniowe (nazwa firmy, adres, NIP, EU VAT), dane transakcji | Irlandia (EU) + USA | Transfery US na podstawie SCC + EU-U.S. Data Privacy Framework (DPF) | ✅ Zawarta |
| 5 | Resend, Inc. | Wysyłka wiadomości transakcyjnych (e-maile) | Adres e-mail Użytkownika, treść wiadomości transakcyjnej | USA | Standardowe Klauzule Umowne (SCC) — decyzja KE 2021/914 | ✅ Zawarta |
Liczba aktywnych podprocesorów: 5.
3. Opcjonalne zewnętrzne narzędzia uwierzytelniania
Poniższe narzędzia są uruchamiane wyłącznie gdy Użytkownik zdecyduje się z nich skorzystać przy rejestracji lub logowaniu (metoda alternatywna do e-mail + hasło). Jeśli Użytkownik korzysta wyłącznie z logowania e-mail + hasło, jego dane nie są udostępniane tym podmiotom.
| Dostawca | Rola | Lokalizacja | Transfer |
|---|---|---|---|
| Google LLC | OAuth — logowanie przez konto Google | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |
| GitHub, Inc. | OAuth — logowanie przez konto GitHub | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |
Zakres danych: identyfikator OAuth, adres e-mail (wyłącznie w zakresie niezbędnym do identyfikacji Konta). Scope ograniczony do email + profile.
4. Proces notyfikacji zmian listy
Zgodnie z art. 5 DPA (Załącznik nr 1 do Regulaminu):
-
Wyprzedzenie: o zamierzonym dodaniu lub zastąpieniu podprocesora Attestia poinformuje Organizacje z co najmniej 30-dniowym wyprzedzeniem przed datą planowanej zmiany.
-
Kanały powiadomień:
- drogą elektroniczną na adres e-mail Właściciela Konta,
- poprzez powiadomienie w panelu Platformy,
- poprzez aktualizację niniejszej strony (wraz z datą publikacji).
-
Prawo sprzeciwu:
- Organizacja, która ma uzasadnione zastrzeżenia wobec nowego podprocesora, może wnieść sprzeciw w terminie 30 dni od otrzymania powiadomienia.
- Strony podejmują negocjacje w celu znalezienia rozwiązania.
- Jeśli rozwiązanie nie zostanie osiągnięte w terminie 30 dni od wniesienia sprzeciwu, Organizacja ma prawo wypowiedzieć umowę ze skutkiem natychmiastowym, z zachowaniem prawa do proporcjonalnego zwrotu opłaty za niewykorzystany Okres Rozliczeniowy.
-
Forma wniesienia sprzeciwu: e-mail na adres privacy@attestia.eu z tematem
[OBJECTION: SUB-PROCESSOR]i uzasadnieniem. -
Obowiązki wobec nowego podprocesora: Attestia zapewnia, że na każdego nowego podprocesora nałożone zostaną te same obowiązki ochrony danych, jakie wynikają z DPA (Załącznik nr 1 do Regulaminu) — w szczególności obowiązki wynikające z art. 28 ust. 3 RODO i Załącznika A (Środki techniczne i organizacyjne).
5. Transfery poza EOG
| Podprocesor | Lokalizacja | Mechanizm transferu |
|---|---|---|
| Resend, Inc. | USA | SCC (decyzja KE 2021/914) |
| Stripe, Inc. (wybrane operacje) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |
| Google LLC (OAuth — opcjonalnie) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |
| GitHub, Inc. (OAuth — opcjonalnie) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |
Attestia NIE transferuje poza EOG:
- Danych Organizacji (opisów Systemów AI, odpowiedzi na kwestionariusze, plików dowodowych),
- wygenerowanych Dokumentów Compliance,
- danych przetwarzanych przez Azure OpenAI (region Sweden Central, w granicach UE).
6. Odbiorcy niebędący podprocesorami
Następujące podmioty mogą otrzymywać dane w określonym zakresie, ale nie są podprocesorami w rozumieniu art. 28 RODO:
| Odbiorca | Zakres | Podstawa prawna |
|---|---|---|
| Biuro rachunkowe | Dane fakturowe (księgowość) | art. 6 ust. 1 lit. c RODO (ustawa o rachunkowości) + umowa o świadczenie usług księgowych |
| Kancelarie prawne i doradcy | Dane niezbędne do obrony/dochodzenia roszczeń | art. 6 ust. 1 lit. f RODO (uzasadniony interes) |
| Organy publiczne | Dane w zakresie wynikającym z prawa (UODO, sąd, Urząd Skarbowy) | art. 6 ust. 1 lit. c RODO |
7. Procedura weryfikacji podprocesorów
Każdy nowy podprocesor przed wprowadzeniem na listę jest oceniany pod kątem:
- Zgodność z RODO — posiadanie DPA z Attestia zgodnego z art. 28 RODO, wraz z Załącznikiem środków technicznych i organizacyjnych (art. 32 RODO).
- Lokalizacja danych — preferencja dla regionów EU/EOG; transfery poza EOG tylko z adekwatnym mechanizmem (SCC / DPF / decyzja o adekwatności).
- Bezpieczeństwo — certyfikacje (ISO 27001, SOC 2), historia incydentów, postawa security.
- Finansowa stabilność — minimalizacja ryzyka supply-chain wynikającego z upadłości/wycofania z rynku.
- Interoperability — możliwość migracji do alternatywnego dostawcy bez utraty funkcjonalności compliance.
Wynik oceny jest dokumentowany w wewnętrznym rejestrze Attestia.
8. Historia zmian listy
| Data | Wersja | Zmiana | Powód |
|---|---|---|---|
| 2026-04-21 | 1.0-draft | Utworzenie listy początkowej (Supabase, Microsoft Azure OpenAI, Vercel, Stripe, Resend) | Start MVP |
Zmiany w liście są archiwizowane i udostępniane na żądanie kierowane na privacy@attestia.eu.
9. Zapis do notyfikacji
Organizacje otrzymują notyfikacje o zmianach listy automatycznie na adres e-mail Właściciela Konta. Dodatkowo każda osoba zainteresowana (np. DPO klienta, compliance officer) może zapisać się na dedykowany kanał notyfikacji kierując zgłoszenie na privacy@attestia.eu z tematem [SUBPROCESSOR UPDATES SUBSCRIPTION].
10. Kontakt
| Pytania dot. podprocesorów | privacy@attestia.eu |
| Wniesienie sprzeciwu | privacy@attestia.eu (temat: [OBJECTION: SUB-PROCESSOR]) |
| Zapisz się na notyfikacje | privacy@attestia.eu (temat: [SUBPROCESSOR UPDATES SUBSCRIPTION]) |
| Adres pocztowy | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska |