⚠ PROJEKT — niezweryfikowany prawnie. Wymaga akceptacji przed publikacjÄ….
Lista podwykonawców
RODO Art. 28 ust. 2 · Ostatnia aktualizacja: 2026-05-15 · Wersja: 1.0
Niniejszy dokument wymienia dalszych podmiotów przetwarzających (podwykonawców) zaangażowanych przez Operatora platformy CyberZgodność EDU przy świadczeniu Usługi. Zgodnie z Umową Powierzenia Danych (DPA, art. 7) Operator powiadomi Dzierżawców o wszelkich planowanych zmianach z co najmniej 30-dniowym wyprzedzeniem.
Aktywni podwykonawcy
Cloudflare, Inc.
| Siedziba | 101 Townsend St, San Francisco, CA 94107, USA |
| Cel przetwarzania | Sieć CDN i WAF (ochrona przed atakami); Cloudflare Tunnel (bezpieczny tunel do VPS bez otwartych portów); Cloudflare R2 (object storage dla kopii zapasowych, region EU); Cloudflare Pages (hosting strony marketingowej) |
| Kategorie danych | Adresy IP użytkowników, nagłówki HTTP, metadane żądań; zaszyfrowane bloki kopii zapasowych (bez dostępu do klucza) |
| Kraj przetwarzania | UE/EOG (dane kierowane przez EU PoP); siedziba US |
| Gwarancje transferu | Standardowe Klauzule Umowne (SCC, art. 46 ust. 2 lit. c RODO); Cloudflare DPA; ramy EU–US Data Privacy Framework |
| DPA z Cloudflare | cloudflare.com/cloudflare-customer-dpa |
| Polityka prywatności | cloudflare.com/privacypolicy |
Backblaze, Inc.
| Siedziba | 500 Ben Franklin Ct, San Mateo, CA 94401, USA |
| Cel przetwarzania | Drugorzędne kopie zapasowe (Backblaze B2, region EU Amsterdam) w ramach polityki 3-2-1. Kopie są szyfrowane AES-256-GCM przed opuszczeniem VPS — Backblaze nie ma dostępu do klucza szyfrowania. |
| Kategorie danych | Zaszyfrowane bloki danych bazy danych i plików (brak dostępu Backblaze do treści) |
| Kraj przetwarzania | UE (Amsterdam); siedziba US |
| Gwarancje transferu | SCC; dane szyfrowane end-to-end (klucze tylko na VPS i w Vault) |
| Polityka prywatności | backblaze.com/company/privacy.html |
Microsoft Corporation
| Siedziba | One Microsoft Way, Redmond, WA 98052, USA |
| Cel przetwarzania | Wysyłanie powiadomień e-mail przez Microsoft Graph API (Microsoft 365 — Model A: jeden dzierżawca M365 dla całej platformy) |
| Kategorie danych | Adres e-mail odbiorcy, treść powiadomienia (bez danych uwierzytelniania) |
| Kraj przetwarzania | UE (centra danych EU dla klientów w UE); siedziba US |
| Gwarancje transferu | SCC; Microsoft DPA; Microsoft EU Data Boundary |
| DPA z Microsoft | Microsoft DPA |
Infrastruktura własna (nie jest podwykonawcą)
HashiCorp Vault jest obsługiwany przez Operatora na własnym VPS w UE (OVHcloud, Warszawa, Polska) i nie jest dalszym podmiotem przetwarzającym w rozumieniu art. 28 RODO. Vault przechowuje klucze szyfrowania (KEK per dzierżawca); nigdy nie przechowuje zaszyfrowanych danych Klientów.
VPS (OVHcloud) — centrum danych Warszawa, Polska. OVHcloud dostarcza infrastrukturę IaaS i nie przetwarza danych Klientów poza hostem wirtualnym. Umowa powierzenia z OVHcloud [DO UZUPEŁNIENIA: potwierdzić i dodać link do DPA OVHcloud jeśli wymagane przez audytora].
Planowani podwykonawcy
| Podmiot | Planowany cel | Status |
|---|
| Stripe, Inc. | Płatności kartowe (rozliczenia SaaS) | W ocenie; powiadomienie 30 dni przed wdrożeniem |
| Atlassian (Jira Cloud) | Integracja zadań kontrolnych z Jira (opcjonalna integracja per Dzierżawca) | Dostępna; wymaga aktywacji przez Dzierżawcę |
Procedura powiadamiania o zmianach
Zgodnie z DPA art. 7 Operator:
- Wysyła powiadomienie e-mail do kontaktu administracyjnego każdego aktywnego Dzierżawcy z co najmniej 30-dniowym wyprzedzeniem.
- Aktualizuje niniejszy dokument z datemą zmiany i wersją.
- Dzierżawca ma 14 dni na wniesienie pisemnego sprzeciwu. Brak sprzeciwu = akceptacja.
Dziennik zmian podwykonawców
| Data | Zmiana | Powiadomienie wysyłane |
|---|
| 2026-05-15 | Pierwotna lista (Cloudflare, Backblaze, Microsoft) | N/D — pierwsza publikacja |