⚠  PROJEKT — niezweryfikowany prawnie. Wymaga akceptacji przed publikacją.

Lista Podwykonawców (Podmiotów Przetwarzających)

Produkt: Exceptao / paraKSCol / CyberZgodność EDU  ·  Ostatnia aktualizacja: 2026-05-15

Podmiot będący administratorem: [Nazwa spółki — zob. /legal/imprint]
Powiadamianie o zmianach: Dzierżawcy są powiadamiani co najmniej 30 dni kalendarzowych przed dodaniem lub zastąpieniem podwykonawcy — e-mailem i przez aktualizację niniejszej strony, zgodnie z art. 28 ust. 2 RODO i §6 DPA.

Niniejsza lista obejmuje wszystkie usługi podmiotów trzecich, do których dane osobowe pochodzące z kont Dzierżawców mogą być przekazywane. Operator nie sprzedaje, nie udostępnia ani nie przekazuje danych osobowych Dzierżawców osobom trzecim do ich własnych celów komercyjnych.

Aktywni podwykonawcy

1. Cloudflare, Inc.

Adres rejestrowy101 Townsend St, San Francisco, CA 94107, USA
Cel(a) Sieć dostarczania treści (CDN) i zapora aplikacji internetowych (WAF): wszystkie przychodzace żądania HTTP/S przechodzą przez globalną sieć brzegowa Cloudflare. (b) Cloudflare Tunnel (cloudflared): VPS Operatora łączy się wychodzącym połączeniem mTLS — VPS nie ma publicznych portów wejściowych. (c) Magazyn obiektów Cloudflare R2: pliki dowodowe i zaszyfrowane archiwa kopii zapasowych.
Przekazywane dane(CDN/WAF/Tunnel) Adresy IP i nagłówki żądań — Cloudflare nie otrzymuje odszyfrowanej treści na poziomie aplikacji. (R2) Archiwa kopii zapasowych GPG-zaszyfrowane i pliki dowodowe — szyfrowanie po stronie klienta dla wrażliwych plików dowodowych.
Region danychJurysdykcja zasobnika R2: EU. CDN/WAF edge: globalny. Cloudflare zobowiązało się, że dane R2 z jurysdykcją EU nie będą przekazywane poza UE/EOG.
Kategorie danychAdresy IP i ciągi user-agent (CDN/WAF); zaszyfrowane treści plików dowodowych (R2); zaszyfrowane archiwa kopii zapasowych (R2).
Poziom bezpieczeństwaCertyfikat ISO 27001; audyt SOC 2 Type II; dostawca PCI DSS Level 1. Zaakceptowany Aneks do Przetwarzania Danych Cloudflare. Dane R2 szyfrowane AES-256; szyfrowanie po stronie klienta na wrażliwych plikach.
DPA / mechanizm transferuZaakceptowany Aneks DPA Cloudflare. Standardowe Klauzule Umowne (SCK — Moduł 2). Ocena Wpływu Transferu przeprowadzona.
Strona WWWcloudflare.com
AktywnyTak — aktywny od uruchomienia Usługi.

2. Backblaze, Inc.

Adres rejestrowy500 Ben Franklin Ct, San Mateo, CA 94401, USA
CelZapasowy zaszyfrowany magazyn kopii zapasowych jako drugi dostawca w polityce 3-2-1. Cloudflare R2 jest podstawowym magazynem; Backblaze B2 jest zapasowym (poza siedzibą, inny dostawca).
Przekazywane daneArchiwa plików zaszyfrowane GPG (AES-256) z bazy danych Postgres. Szyfrowanie stosowane na VPS przed transmisją. Backblaze otrzymuje wyłącznie zaszyfrowane dane i nie może ich odszyfrować.
Region danychEU — region EU Backblaze (Amsterdam, Holandia). Archiwa kopii zapasowych przechowywane wyłącznie w regionie Amsterdam.
Kategorie danychWyłącznie zaszyfrowane archiwa kopii zapasowych. Backblaze nie może uzyskać dostępu do danych osobowych.
Poziom bezpieczeństwaAudyt SOC 2 Type II. Dane szyfrowane przed transmisją.
DPA / mechanizm transferuZaakceptowana Umowa o Przetwarzaniu Danych Backblaze. SCK — Moduł 2.
Strona WWWbackblaze.com
AktywnyTak — aktywny od uruchomienia Usługi.

3. Microsoft Corporation (Graph API — Model A)

Adres rejestrowyOne Microsoft Way, Redmond, WA 98052, USA
CelWychodzące transakcyjne powiadomienia e-mail. Operator utrzymuje jedną dzierżawę Microsoft 365 należącą do SaaS (Model A), z której wysyłane są wszystkie wiadomości generowane przez platformę: zatwierdzenia wyjątków, przypomnienia o terminach, alerty o zaległych zadaniach, e-maile z zaproszeniami i resetowania hasła.
Przekazywane daneAdres e-mail odbiorcy; imię i nazwisko lub nazwa wyświetlana; treść powiadomienia (tytuł wyjątku lub incydentu, wymagane działanie, termin, link). Treść nie zawiera zawartości dziennika audytu, plików dowodowych ani pełnych opisów wyjątków.
Region danychDzierżawa M365 należąca do Operatora skonfigurowana w regionie EU. Przetwarzanie i przechowywanie poczty odbywa się w centrum danych EU Microsoft.
Kategorie danychAdres e-mail odbiorcy; imię i nazwisko; treść powiadomienia jak opisano powyżej.
Poziom bezpieczeństwaCertyfikat ISO 27001; SOC 2 Type II; ISO 27018 (Cloud Privacy). Aneks DPA Microsoft obejmuje to zastosowanie.
DPA / mechanizm transferuZaakceptowany Aneks DPA Microsoft Online Services. SCK — Moduł 2. Zobowiązanie do rezydencji danych EU.
Uwagi dot. Modelu BGdy Dzierżawca podłącza własną skrzynkę M365 (Model B — opcjonalna funkcja), e-mail jest wysyłany przez własną subskrypcję Microsoft Dzierżawcy; własna umowa Microsoft Dzierżawcy reguluje przetwarzanie. Model B: jeszcze nieaktywny.
Strona WWWmicrosoft.com
AktywnyTak — Model A aktywny od uruchomienia Usługi.

Komponenty hostowane samodzielnie (nie są podwykonawcami)

HashiCorp Vault (hostowany samodzielnie)

CelZarządzanie sekretami i broker szyfrowania kopertowego. Vault przechowuje: per-dzierżawca Klucze Szyfrowania Danych (DEK) dla R2; sekrety klientów OIDC; tokeny OAuth Microsoft Graph; sekrety TOTP; klucze API integracji.
WdrożenieHostowany samodzielnie na tym samym VPS co aplikacja (OVHcloud, Warszawa, Polska). Żadne dane Vault nie opuszczają VPS Operatora poza dostępem administracyjnym przez Cloudflare Tunnel.
Dane osoboweVault przechowuje kryptograficzny materiał kluczowy — nie przechowuje bezpośrednio danych osobowych podmiotów danych.
Poziom bezpieczeństwaVault zamknięty przy uruchomieniu; klucze otwarcia Shamira (próg 3/5) poza VPS. Tokeny AppRole krótkotrwałe (TTL: [DO UZUPEŁNIENIA: potwierdzić TTL]).
KlasyfikacjaHostowany samodzielnie; nie jest podwykonawcą będącym podmiotem trzecim.

Planowani / warunkowi podwykonawcy (jeszcze nieaktywni)

Dzierżawcy będą powiadamiani co najmniej 30 dni kalendarzowych przed aktywacją któregokolwiek z poniższych podwykonawców.

UsługaSiedzibaWarunek aktywacjiCelKategorie danych
Stripe, Inc.South San Francisco, CA, USAPo aktywacji samoobsługowego rozliczenia (planowana faza 2)Przetwarzanie kart płatniczych i samoobsługowe zarządzanie subskrypcjąImię i nazwisko, e-mail, dane karty (przetwarzane przez Stripe, nieprzechowywane przez Operatora)
Polski dostawca VPS (np. OVHcloud Warszawa, Atman)PolskaPo aktywacji płaszczyzny danych PL CyberZgodność EDUHosting dla Dzierżawców regionu PLWszystkie kategorie danych dla Dzierżawców regionu PL
Usługa śledzenia błędów (np. Sentry)[DO UZUPEŁNIENIA]Jeśli self-hosted nie będzie możliwyŚledzenie błędów aplikacjiAdresy IP, user-agent, ślady stosu (reguły scrubbing skonfigurowane); preferencja: self-hosted

Proces zmian podwykonawców

  1. Operator ocenia proponowanego podwykonawcę pod kątem wymogów art. 28 RODO, adekwatności bezpieczeństwa i minimalizacji danych.
  2. Operator negocjuje DPA z podwykonawcą.
  3. Operator aktualizuje niniejszą stronę o szczegóły nowego podwykonawcy.
  4. Operator wysyła powiadomienie e-mail do wszystkich Administratorów Dzierżawców co najmniej 30 dni przed przetwarzaniem przez nowego podwykonawcę.
  5. Dzierżawcy mogą wnieść sprzeciw w 30-dniowym okresie powiadomienia zgodnie z §6.3 DPA.

Dziennik zmian

DataZmiana
2026-05-15Opublikowano pełną wersję roboczą; Cloudflare, Backblaze, Microsoft (Graph API Model A) potwierdzone jako aktywni podwykonawcy.
2026-05-14Opublikowano wstępny szkielet.