Transfer Impact Assessment (TIA) — Streszczenie
Ostatnia aktualizacja: 13 maja 2026 r.
W następstwie wyroku TSUE w sprawie Schrems II (C-311/18, lipiec 2020), administratorzy przekazujący dane osobowe do państw trzecich muszą udokumentować Transfer Impact Assessment zgodnie z art. 44-49 RODO oraz Zaleceniami 01/2020 EDPB. Ta strona to publiczne streszczenie wewnętrznego TIA Clozo; pełna wersja jest dostępna na żądanie na legal@useclozo.com dla inspektorów AEPD i osób, których dane dotyczą.
Podmioty przetwarzające objęte tym TIA
Cztery podmioty przetwarzające z siedzibą w USA: Resend Inc. (transakcyjne e-maile), Anthropic PBC (poprawa tekstu przez AI, używana jako podstawowa funkcja usługi na podstawie Art. 6(1)(b) RODO — dane osobowe usuwane przed transmisją, zgoda nie jest wymagana), Cloudflare Inc. (CDN + bezpieczeństwo brzegowe + magazyn R2), PostHog Inc. (analiza produktu zależna od zgody) oraz Functional Software, Inc. (Sentry — monitorowanie błędów, region UE, podpisane SKU). Uwaga: Stripe Payments Europe Ltd. (Irlandia, UE) jest podmiotem importującym dane dla płatności — brak transferu do państwa trzeciego; dalsze przetwarzanie w USA podlega własnej sieci SKU Stripe, ocenianej corocznie. Każdy działa z aktywną certyfikacją EU-US Data Privacy Framework (DPF), Standardowymi Klauzulami Umownymi (SKU, Decyzja Wykonawcza (UE) 2021/914 z 4 czerwca 2021 r.) lub obiema. Pełna lista wraz z krajem, mechanizmem przekazywania i kategoriami danych jest publikowana na /subprocessors.
Podmioty przetwarzające bez wymogu TIA
Crisp IM SAS (Francja), Geoapify GmbH (Niemcy), Gotenberg (samodzielnie hostowany na Railway UE), VIES (instytucja UE): wszystkie działają w obrębie UE/EOG — TIA niewymagane. Sentry korzysta z regionu UE tam, gdzie jest dostępny.
Sześciostopniowa metodologia EDPB
(1) Znać przekazywanie — każdy importer z USA udokumentowany wraz z kategoriami danych i wolumenem; (2) Zidentyfikować narzędzie przekazywania — DPF jako główne, SKU jako zapasowe; (3) Ocenić prawo państwa trzeciego — US FISA 702 + EO 12333 + CLOUD Act analizowane na importera; (4) Zidentyfikować dodatkowe środki — szyfrowanie w transmisji (TLS 1.3) i w spoczynku (odpowiednik AES-256), usuwanie PII przed transmisją do Anthropic (apps/common/ai_scrub), minimalizacja danych; (5) Wdrożyć środki proceduralne i umowne — DPA podpisane z każdym amerykańskim podmiotem przetwarzającym; (6) Ponownie ocenić w odpowiednich odstępach — coroczny przegląd plus przy każdym wyroku Schrems-III, wycofaniu DPF lub zmianie podmiotu przetwarzającego.
Wniosek
Certyfikacja DPF plus SKU Moduł 2/3 plus wymienione środki dodatkowe zapewniają poziom ochrony zasadniczo równoważny z art. 46 RODO. Ryzyko rezydualne (dostęp władz USA poprzez FISA 702) jest materialnie zmniejszone dla konkretnych przekazań realizowanych przez Clozo, ponieważ (a) dane Anthropic są oczyszczane z PII przed transmisją, (b) Stripe nie jest dostawcą usług łączności elektronicznej w rozumieniu FISA 702, (c) treść transakcyjnych e-maili przez Resend jest niereklamowa i ma niski wolumen, (d) ruch Cloudflare jest rejestrowany tylko jako metadane bez czystego treści biznesowej. Anthropic NIE jest certyfikowany EU-US DPF — SKU stanowią jego jedyny mechanizm przekazywania, udokumentowany w DPA §7 i Polityce prywatności §6.
Poproś o pełen TIA
Inspektorzy AEPD oraz osoby, których dane dotyczą, korzystające z praw z art. 15 RODO mogą poprosić o pełen wewnętrzny dokument TIA na adres legal@useclozo.com. Pełen dokument zawiera modele zagrożeń per importer, raporty przejrzystości oraz status weryfikacji prawnej. Wewnętrzny TIA podlega przeglądowi przez hiszpańskiego DPO/prawnika (cel 2026-Q3) przed przejściem ze statusu PROJEKT do AKTYWNY.
Powrót do logowania·Polityka prywatności·Umowa powierzenia·Podmioty przetwarzające·Warunki świadczenia usług·Nota prawna