Compliance · Article 11.8
Podprzetwarzający: kogo używa Clozo, gdzie trafiają dane i dlaczego to bezpieczne
Clozo używa 10 podprzetwarzających do świadczenia usług (zgodnie z §6 Polityki Prywatności); 6 ma siedzibę w UE, 5 w USA z aktywną certyfikacją Ramowych Zasad Ochrony Danych UE-USA + Standardowe Klauzule Umowne + uzupełniające środki udokumentowane w naszej Ocenie Skutków Transferu. Crisp dodany w BATCH-2026-05-07-003 BUG-001.
Nowoczesne SaaS działa na infrastrukturze podmiotów trzecich. Pytanie dla RODO nie brzmi „czy używasz podmiotów trzecich?" ale „czy kontrolujesz relację i dokumentujesz zabezpieczenia?" Clozo utrzymuje opublikowaną listę każdego podprzetwarzającego, danych które otrzymuje i mechanizmu prawnego dla transferów poza UE. Ten artykuł omawia listę, kategorie i ramy Schrems II, które regulują transfery do USA.
Why this works this way
Pełna lista podprzetwarzających (odzwierciedla docs/compliance/RoPA.md „Lista Podprzetwarzających" i §6 Polityki Prywatności — 10 wpisów):
| # | Podprzetwarzający | Funkcja | Region | Mechanizm transferu |
|---|---|---|---|---|
| 1 | Stripe Payments Europe Ltd + Stripe Inc. | Rozliczenia subskrypcji + przetwarzanie płatności (administrator po stronie UE w Irlandii; procesor po stronie USA dla niektórych operacji) | Irlandia (główny) + USA (Delaware) | Wewnętrzny UE + DPF UE-USA + SKU Moduł 2 |
| 2 | Railway Corp. | Backend + Celery + hosting PostgreSQL | UE (region: europe-west4, Holandia) | DPF UE-USA + SKU (płaszczyzna kontrolna w USA) |
| 3 | Cloudflare Inc. | Edge CDN, DDoS, Workers (frontend, strona marketingowa, admin) | Globalny edge z routingiem regionu UE dla ruchu przychodzącego | DPF UE-USA + SKU |
| 4 | PostHog Inc. | Analityka produktu — pozyskiwanie na serwerach UE (eu.i.posthog.com) | Siedziba UK; instancja UE hostowana we Frankfurcie, Niemcy | Decyzja o adekwatności UK + SKU |
| 5 | Google Ireland Ltd + Google LLC | Google Ads + atrybucja konwersji GA4 | Irlandia (administrator) → USA (procesor) | DPF UE-USA + SKU Google |
| 6 | Resend Inc. | Dostarczanie e-maili transakcyjnych | USA (Delaware), z infrastrukturą dostarczania EU-Frankfurt | DPF UE-USA + SKU Moduł 2 + DPA Resend |
| 7 | Gotenberg | Renderowanie PDF — self-hosted na Railway | UE (w Railway) | Wewnętrzny UE |
| 8 | Cloudflare R2 | Przechowywanie obiektów dla PDF-ów i XML e-faktur | Region EOG | Wewnętrzny UE |
| 9 | Crisp IM SAS + Crisp IM, Inc | Czat wsparcia klientów (bramkowany zgodą) | Francja (główny) + USA | DPF UE-USA + SKU |
| 10 | Sentry (Functional Software, Inc.) | Monitorowanie błędów | Region UE (de.sentry.io) | Wewnętrzny UE (z awaryjną opcją USA pod SKU jeśli instancja UE zawiedzie) |
Ramy Schrems II. Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie Komisarz ds. Ochrony Danych vs Facebook Ireland i Maximillian Schrems (Sprawa C-311/18, 2020) obalił Tarczę Prywatności UE-USA, orzekając, że prawo nadzoru USA (konkretnie FISA Sekcja 702 i Rozkaz Wykonawczy 12333) nie zapewnia ochrony „zasadniczo równoważnej" RODO dla danych osobowych UE transferowanych do USA. Dwie konsekwencje:
1. SKU (Standardowe Klauzule Umowne) pozostają ważnym mechanizmem prawnym — Decyzja (UE) 2021/914 opublikowała nowe modułowe SKU w 2021 — ale administrator musi ocenić czy importer może w praktyce spełniać ochronę równoważną RODO biorąc pod uwagę lokalne prawo nadzoru. Ta ocena to Ocena Skutków Transferu (TIA). 2. Uzupełniające środki (szyfrowanie, pseudonimizacja, minimalizacja danych) mogą być potrzebne tam gdzie lokalne prawo w przeciwnym razie umożliwiałoby nieproporcjonalny dostęp.
Ramowe Zasady Ochrony Danych UE-USA (DPF), obowiązujące od 10 lipca 2023 (Decyzja Wykonawcza Komisji (UE) 2023/1795), przywracają adekwatność dla uczestniczących importerów z USA. Firmy certyfikują się w Departamencie Handlu USA; certyfikaty są wymienione na https://www.dataprivacyframework.gov/list. Wszyscy pięciu podprzetwarzających Clozo z USA utrzymują aktywną certyfikację DPF na datę wersji dokumentu.
Podejście Clozo do TIA (pełny dokument na docs/compliance/TIA_us_subprocessors.md):
Dla każdego podprzetwarzającego USA stosujemy sześcioetapową metodologię Zaleceń EROD 01/2020:
1. Znaj swoje transfery: udokumentowane w tabeli powyżej z wolumenem + celem + podstawą prawną.
2. Zidentyfikuj narzędzie transferu: DPF (główne) + SKU Moduł 2 (zapasowe) + DPA specyficzne dla podprzetwarzającego.
3. Oceń skuteczność: przegląd per importer pod kątem ekspozycji FISA 702 / EO 12333 / CLOUD Act.
4. Przyjmij uzupełniające środki: pseudonimizacja (haszowanie SHA-256 dla Google), minimalizacja danych (brak danych osobowych ponad to co konieczne), szyfrowanie w spoczynku i w tranzycie, limity retencji.
5. Kroki proceduralne: podpisz DPA, weryfikuj aktywną certyfikację DPF rocznie, dokumentuj TIA, aktualizuj pole recipients RoPA, aktualizuj s5/s6 Polityki Prywatności.
6. Ponowna ocena: wyzwalana przez wyrok Schrems-III, wycofanie DPF lub zmianę podprzetwarzającego.
Kluczowe oceny per importer (z TIA):
- Stripe: nie wyznaczony jako Dostawca Usług Komunikacji Elektronicznej na mocy FISA 702 (to procesor płatności na mocy Bank Secrecy Act). Ryzyko NISKIE. DPF + SKU wystarczające. - Resend: usługa e-mailowa — może być potencjalnie sklasyfikowana jako ECSP, ale wolumen jest mały + treść jest transakcyjna (bez marketingu, bez targetowania). Ryzyko NISKIE ze środkami uzupełniającymi. - Google: historycznie wymieniony w dyrektywach FISA 702. Środki zaradcze: wysyłamy tylko identyfikatory zahaszowane SHA-256 + ID kliknięć + wartości transakcji — nieodwracalne bez tekstu jawnego, pseudonimowe, zagregowane. Consent Mode v2 dołączone do każdego przesyłu. Ogółem: DPF + SKU + pseudonimizacja = „zasadniczo równoważna ochrona". - PostHog: pozyskiwanie jest na serwerach UE; tylko wsparcie operacyjne (debugowanie, dyżur) może przechodzić przez USA. Tylko pseudonimowe ID. Ogółem: DPF + SKU + jurysdykcja pozyskiwania UE = adekwatne. - Cloudflare: potencjalnie sklasyfikowane jako ECSP dla FISA 702 (rola CDN). Środki zaradcze: minimalizacja danych (tylko IP + ścieżka + kod statusu, bez treści). Raporty przejrzystości pokazują ~0 nakazów FISA dla niezwiązanych z USA właściwości o małym wolumenie. Ogółem: DPF + SKU + minimalizacja krawędziowa adekwatne.
Proces nowego podprzetwarzającego (Art. 28(2)): Warunki Clozo przyznają ogólną zgodę na używanie podprzetwarzających. Gdy dodajemy nowego:
1. Aktualizujemy listę podprzetwarzających w tym artykule + RoPA.md + s5/s6 Polityki Prywatności.
2. Powiadamiamy wszystkich istniejących klientów e-mailem co najmniej 30 dni z wyprzedzeniem.
3. Okno 30 dni to Twój okres sprzeciwu — jeśli sprzeciwiasz się z uzasadnionych podstaw, możesz rozwiązać umowę z zwrotem wszelkich opłaconych z góry opłat.
4. Aktualizujemy pole recipients odpowiedniego wiersza ProcessingActivity w produkcji.
Troubleshooting
Keep reading
Compliance
GDPR: what Clozo stores about you, why, and for how long
Clozo runs 13 distinct processing activities under GDPR Art. 30. Each one has a documented purpose, a lawful basis under Art. 6(1), a recipient list, and a retention window. This article is the user-facing summary of our Records of Processing Activities.
Compliance
Data-subject requests: how clients exercise GDPR rights and what you must do
Articles 15–22 GDPR give your clients the right to access, correct, port, or erase the personal data you hold about them. As a controller of *your* clients' data, you have one month to respond. Clozo's tooling helps you answer each request efficiently.