Lista podmiotów przetwarzających (subprocesorów)
Data aktualizacji: 23.06.2026 r.
Niniejsza lista stanowi uzupełnienie Polityki Prywatności (pkt 5) i jest na bieżąco aktualizowana. Powierzenie danych odbywa się na podstawie umów powierzenia (DPA). Do dostawców OCR/AI przekazywane są wyłącznie dane spseudonimizowane i zminimalizowane.
| Podmiot | Usługa / rola | Zakres danych | Lokalizacja | Podstawa transferu |
|---|---|---|---|---|
| Google Cloud / AWS | hosting, infrastruktura | wszystkie kategorie (szyfrowane) | UE (region) / USA (podmiot z grupy) | DPF / SCC |
| OneSignal | powiadomienia push | tokeny push, identyfikatory urządzenia/subskrypcji, dane o zaangażowaniu (dostarczenie/otwarcia); adresy IP niezbierane dla UE/EOG i UK (ustawienie domyślne); bez danych o lokalizacji; bez wyników badań i danych o zdrowiu | USA | DPA + SCC (plan płatny) / DPF |
| Stripe | operator płatności (subskrypcje, rozliczenia) | dane rozliczeniowe i subskrypcyjne (dane karty przetwarzane po stronie Stripe) | USA / UE | DPF / SCC |
| Google Analytics | analityka (po wyrażeniu zgody) | identyfikatory cookies, adres IP (skrócony) | USA | DPF |
| Meta (Pixel) | pomiar marketingowy (po wyrażeniu zgody) | identyfikatory cookies | USA | DPF |
| [• dostawca OCR / AI] | OCR i analiza AI/LLM | spseudonimizowane wartości liczbowe (bez danych identyfikujących: imię, nazwisko, PESEL) | [•] | [• DPA + SCC / DPF — zakaz trenowania na danych] |
| [• dostawca poczty transakcyjnej] | poczta i komunikacja transakcyjna | adres e-mail, treść wiadomości transakcyjnych | [•] | [•] |
Legenda: DPA — umowa powierzenia przetwarzania; SCC — Standardowe Klauzule Umowne; DPF — EU-US Data Privacy Framework; „[•]" — wartość do uzupełnienia.