Niniejsza lista obejmuje wszystkie usługi podmiotów trzecich, do których dane osobowe pochodzące z kont Dzierżawców mogą być przekazywane. Operator nie sprzedaje, nie udostępnia ani nie przekazuje danych osobowych Dzierżawców osobom trzecim do ich własnych celów komercyjnych.
| Adres rejestrowy | 101 Townsend St, San Francisco, CA 94107, USA |
| Cel | (a) Sieć dostarczania treści (CDN) i zapora aplikacji internetowych (WAF): wszystkie przychodzace żądania HTTP/S przechodzą przez globalną sieć brzegowa Cloudflare. (b) Cloudflare Tunnel (cloudflared): VPS Operatora łączy się wychodzącym połączeniem mTLS — VPS nie ma publicznych portów wejściowych. (c) Magazyn obiektów Cloudflare R2: pliki dowodowe i zaszyfrowane archiwa kopii zapasowych. |
| Przekazywane dane | (CDN/WAF/Tunnel) Adresy IP i nagłówki żądań — Cloudflare nie otrzymuje odszyfrowanej treści na poziomie aplikacji. (R2) Archiwa kopii zapasowych GPG-zaszyfrowane i pliki dowodowe — szyfrowanie po stronie klienta dla wrażliwych plików dowodowych. |
| Region danych | Jurysdykcja zasobnika R2: EU. CDN/WAF edge: globalny. Cloudflare zobowiązało się, że dane R2 z jurysdykcją EU nie będą przekazywane poza UE/EOG. |
| Kategorie danych | Adresy IP i ciągi user-agent (CDN/WAF); zaszyfrowane treści plików dowodowych (R2); zaszyfrowane archiwa kopii zapasowych (R2). |
| Poziom bezpieczeństwa | Certyfikat ISO 27001; audyt SOC 2 Type II; dostawca PCI DSS Level 1. Zaakceptowany Aneks do Przetwarzania Danych Cloudflare. Dane R2 szyfrowane AES-256; szyfrowanie po stronie klienta na wrażliwych plikach. |
| DPA / mechanizm transferu | Zaakceptowany Aneks DPA Cloudflare. Standardowe Klauzule Umowne (SCK — Moduł 2). Ocena Wpływu Transferu przeprowadzona. |
| Strona WWW | cloudflare.com |
| Aktywny | Tak — aktywny od uruchomienia Usługi. |
| Adres rejestrowy | 500 Ben Franklin Ct, San Mateo, CA 94401, USA |
| Cel | Zapasowy zaszyfrowany magazyn kopii zapasowych jako drugi dostawca w polityce 3-2-1. Cloudflare R2 jest podstawowym magazynem; Backblaze B2 jest zapasowym (poza siedzibą, inny dostawca). |
| Przekazywane dane | Archiwa plików zaszyfrowane GPG (AES-256) z bazy danych Postgres. Szyfrowanie stosowane na VPS przed transmisją. Backblaze otrzymuje wyłącznie zaszyfrowane dane i nie może ich odszyfrować. |
| Region danych | EU — region EU Backblaze (Amsterdam, Holandia). Archiwa kopii zapasowych przechowywane wyłącznie w regionie Amsterdam. |
| Kategorie danych | Wyłącznie zaszyfrowane archiwa kopii zapasowych. Backblaze nie może uzyskać dostępu do danych osobowych. |
| Poziom bezpieczeństwa | Audyt SOC 2 Type II. Dane szyfrowane przed transmisją. |
| DPA / mechanizm transferu | Zaakceptowana Umowa o Przetwarzaniu Danych Backblaze. SCK — Moduł 2. |
| Strona WWW | backblaze.com |
| Aktywny | Tak — aktywny od uruchomienia Usługi. |
| Adres rejestrowy | One Microsoft Way, Redmond, WA 98052, USA |
| Cel | Wychodzące transakcyjne powiadomienia e-mail. Operator utrzymuje jedną dzierżawę Microsoft 365 należącą do SaaS (Model A), z której wysyłane są wszystkie wiadomości generowane przez platformę: zatwierdzenia wyjątków, przypomnienia o terminach, alerty o zaległych zadaniach, e-maile z zaproszeniami i resetowania hasła. |
| Przekazywane dane | Adres e-mail odbiorcy; imię i nazwisko lub nazwa wyświetlana; treść powiadomienia (tytuł wyjątku lub incydentu, wymagane działanie, termin, link). Treść nie zawiera zawartości dziennika audytu, plików dowodowych ani pełnych opisów wyjątków. |
| Region danych | Dzierżawa M365 należąca do Operatora skonfigurowana w regionie EU. Przetwarzanie i przechowywanie poczty odbywa się w centrum danych EU Microsoft. |
| Kategorie danych | Adres e-mail odbiorcy; imię i nazwisko; treść powiadomienia jak opisano powyżej. |
| Poziom bezpieczeństwa | Certyfikat ISO 27001; SOC 2 Type II; ISO 27018 (Cloud Privacy). Aneks DPA Microsoft obejmuje to zastosowanie. |
| DPA / mechanizm transferu | Zaakceptowany Aneks DPA Microsoft Online Services. SCK — Moduł 2. Zobowiązanie do rezydencji danych EU. |
| Uwagi dot. Modelu B | Gdy Dzierżawca podłącza własną skrzynkę M365 (Model B — opcjonalna funkcja), e-mail jest wysyłany przez własną subskrypcję Microsoft Dzierżawcy; własna umowa Microsoft Dzierżawcy reguluje przetwarzanie. Model B: jeszcze nieaktywny. |
| Strona WWW | microsoft.com |
| Aktywny | Tak — Model A aktywny od uruchomienia Usługi. |
| Cel | Zarządzanie sekretami i broker szyfrowania kopertowego. Vault przechowuje: per-dzierżawca Klucze Szyfrowania Danych (DEK) dla R2; sekrety klientów OIDC; tokeny OAuth Microsoft Graph; sekrety TOTP; klucze API integracji. |
| Wdrożenie | Hostowany samodzielnie na tym samym VPS co aplikacja (OVHcloud, Warszawa, Polska). Żadne dane Vault nie opuszczają VPS Operatora poza dostępem administracyjnym przez Cloudflare Tunnel. |
| Dane osobowe | Vault przechowuje kryptograficzny materiał kluczowy — nie przechowuje bezpośrednio danych osobowych podmiotów danych. |
| Poziom bezpieczeństwa | Vault zamknięty przy uruchomieniu; klucze otwarcia Shamira (próg 3/5) poza VPS. Tokeny AppRole krótkotrwałe (TTL: [DO UZUPEŁNIENIA: potwierdzić TTL]). |
| Klasyfikacja | Hostowany samodzielnie; nie jest podwykonawcą będącym podmiotem trzecim. |
Dzierżawcy będą powiadamiani co najmniej 30 dni kalendarzowych przed aktywacją któregokolwiek z poniższych podwykonawców.
| Usługa | Siedziba | Warunek aktywacji | Cel | Kategorie danych |
|---|---|---|---|---|
| Stripe, Inc. | South San Francisco, CA, USA | Po aktywacji samoobsługowego rozliczenia (planowana faza 2) | Przetwarzanie kart płatniczych i samoobsługowe zarządzanie subskrypcją | Imię i nazwisko, e-mail, dane karty (przetwarzane przez Stripe, nieprzechowywane przez Operatora) |
| Polski dostawca VPS (np. OVHcloud Warszawa, Atman) | Polska | Po aktywacji płaszczyzny danych PL CyberZgodność EDU | Hosting dla Dzierżawców regionu PL | Wszystkie kategorie danych dla Dzierżawców regionu PL |
| Usługa śledzenia błędów (np. Sentry) | [DO UZUPEŁNIENIA] | Jeśli self-hosted nie będzie możliwy | Śledzenie błędów aplikacji | Adresy IP, user-agent, ślady stosu (reguły scrubbing skonfigurowane); preferencja: self-hosted |
| Data | Zmiana |
|---|---|
| 2026-05-15 | Opublikowano pełną wersję roboczą; Cloudflare, Backblaze, Microsoft (Graph API Model A) potwierdzone jako aktywni podwykonawcy. |
| 2026-05-14 | Opublikowano wstępny szkielet. |