Lista podprocesorów / Sub-processors — Attestia.eu

Wersją wiążącą jest wersja polska. / The Polish version is legally binding.

Wersja / Version: 1.0 Data wejścia w życie / Effective date: 2026-05-01 Ostatnia aktualizacja listy / Last updated: 2026-05-01 URL publikacji / Published at: attestia.eu/subprocessors Dokumenty powiązane / Related documents:

Wersja polska (wiążąca)

1. Czym jest lista podprocesorów

Na podstawie art. 28 ust. 2 i ust. 4 RODO oraz art. 5 DPA (Załącznik nr 1 do Regulaminu), Attestia jako podmiot przetwarzający udostępnia Organizacjom (administratorom danych) aktualną listę dalszych podmiotów przetwarzających (dalej: „podprocesorzy"), z których korzysta w związku ze świadczeniem Platformy.

Niniejsza strona jest jedynym wiążącym źródłem aktualnej listy podprocesorów. W przypadku rozbieżności między niniejszą listą a kopiami publikowanymi w innych miejscach (Polityka Prywatności, Regulamin), pierwszeństwo ma treść tej strony — z zastrzeżeniem, że Regulamin i Polityka Prywatności są aktualizowane równolegle.

Określenia pisane wielką literą mają znaczenie nadane im w Regulaminie.

2. Aktualna lista podprocesorów

| # | Podprocesor | Rola | Zakres danych | Lokalizacja | Transfer | DPA | |---|---|---|---|---|---|---| | 1 | Supabase (Pty) Ltd (via Amazon Web Services) | Hosting bazy danych, autentykacja, Dziennik audytu | Dane Kont, Dane Organizacji, Dokumenty Compliance, Dziennik audytu | UE — Frankfurt (eu-central-1) | W granicach EU/EOG | ✅ Zawarta | | 2 | Microsoft Corporation (Azure OpenAI) | Przetwarzanie AI (Klasyfikacja Ryzyka, generowanie Dokumentów Compliance) | Opisy Systemów AI (pseudonimizowane — bez nazwy Organizacji i danych osobowych) | UE — Sweden Central (swedencentral) | W granicach EU/EOG; transient processing — brak retencji | ✅ Zawarta (Azure OpenAI Enterprise Agreement) | | 3 | Vercel, Inc. | Hosting aplikacji (edge runtime) | Brak trwałego przechowywania danych osobowych | UE — węzły brzegowe (Frankfurt, Paryż) | W granicach EU/EOG | ✅ Zawarta | | 4 | Stripe, Inc. (oraz Stripe Payments Europe, Ltd.) | Obsługa płatności — niezależny administrator danych płatniczych | Dane rozliczeniowe (nazwa firmy, adres, NIP, EU VAT), dane transakcji | Irlandia (EU) + USA | Transfery US na podstawie SCC + EU-U.S. Data Privacy Framework (DPF) | ✅ Zawarta | | 5 | Resend, Inc. | Wysyłka wiadomości transakcyjnych (e-maile) | Adres e-mail Użytkownika, treść wiadomości transakcyjnej | USA | Standardowe Klauzule Umowne (SCC) — decyzja KE 2021/914 | ✅ Zawarta |

Liczba aktywnych podprocesorów: 5.

3. Opcjonalne zewnętrzne narzędzia uwierzytelniania

Poniższe narzędzia są uruchamiane wyłącznie gdy Użytkownik zdecyduje się z nich skorzystać przy rejestracji lub logowaniu (metoda alternatywna do e-mail + hasło). Jeśli Użytkownik korzysta wyłącznie z logowania e-mail + hasło, jego dane nie są udostępniane tym podmiotom.

| Dostawca | Rola | Lokalizacja | Transfer | |---|---|---|---| | Google LLC | OAuth — logowanie przez konto Google | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | GitHub, Inc. | OAuth — logowanie przez konto GitHub | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |

Zakres danych: identyfikator OAuth, adres e-mail (wyłącznie w zakresie niezbędnym do identyfikacji Konta). Scope ograniczony do email + profile.

4. Proces notyfikacji zmian listy

Zgodnie z art. 5 DPA (Załącznik nr 1 do Regulaminu):

  1. Wyprzedzenie: o zamierzonym dodaniu lub zastąpieniu podprocesora Attestia poinformuje Organizacje z co najmniej 30-dniowym wyprzedzeniem przed datą planowanej zmiany.

  2. Kanały powiadomień:

    • drogą elektroniczną na adres e-mail Właściciela Konta,
    • poprzez powiadomienie w panelu Platformy,
    • poprzez aktualizację niniejszej strony (wraz z datą publikacji).

  3. Prawo sprzeciwu:

    • Organizacja, która ma uzasadnione zastrzeżenia wobec nowego podprocesora, może wnieść sprzeciw w terminie 30 dni od otrzymania powiadomienia.
    • Strony podejmują negocjacje w celu znalezienia rozwiązania.
    • Jeśli rozwiązanie nie zostanie osiągnięte w terminie 30 dni od wniesienia sprzeciwu, Organizacja ma prawo wypowiedzieć umowę ze skutkiem natychmiastowym, z zachowaniem prawa do proporcjonalnego zwrotu opłaty za niewykorzystany Okres Rozliczeniowy.

  4. Forma wniesienia sprzeciwu: e-mail na adres privacy@attestia.eu z tematem [OBJECTION: SUB-PROCESSOR] i uzasadnieniem.

  5. Obowiązki wobec nowego podprocesora: Attestia zapewnia, że na każdego nowego podprocesora nałożone zostaną te same obowiązki ochrony danych, jakie wynikają z DPA (Załącznik nr 1 do Regulaminu) — w szczególności obowiązki wynikające z art. 28 ust. 3 RODO i Załącznika A (Środki techniczne i organizacyjne).

5. Transfery poza EOG

| Podprocesor | Lokalizacja | Mechanizm transferu | |---|---|---| | Resend, Inc. | USA | SCC (decyzja KE 2021/914) | | Stripe, Inc. (wybrane operacje) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | Google LLC (OAuth — opcjonalnie) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | GitHub, Inc. (OAuth — opcjonalnie) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |

Attestia NIE transferuje poza EOG:

  • Danych Organizacji (opisów Systemów AI, odpowiedzi na kwestionariusze, plików dowodowych),
  • wygenerowanych Dokumentów Compliance,
  • danych przetwarzanych przez Azure OpenAI (region Sweden Central, w granicach UE).

6. Odbiorcy niebędący podprocesorami

Następujące podmioty mogą otrzymywać dane w określonym zakresie, ale nie są podprocesorami w rozumieniu art. 28 RODO:

| Odbiorca | Zakres | Podstawa prawna | |---|---|---| | Biuro rachunkowe | Dane fakturowe (księgowość) | art. 6 ust. 1 lit. c RODO (ustawa o rachunkowości) + umowa o świadczenie usług księgowych | | Kancelarie prawne i doradcy | Dane niezbędne do obrony/dochodzenia roszczeń | art. 6 ust. 1 lit. f RODO (uzasadniony interes) | | Organy publiczne | Dane w zakresie wynikającym z prawa (UODO, sąd, Urząd Skarbowy) | art. 6 ust. 1 lit. c RODO |

7. Procedura weryfikacji podprocesorów

Każdy nowy podprocesor przed wprowadzeniem na listę jest oceniany pod kątem:

  1. Zgodność z RODO — posiadanie DPA z Attestia zgodnego z art. 28 RODO, wraz z Załącznikiem środków technicznych i organizacyjnych (art. 32 RODO).
  2. Lokalizacja danych — preferencja dla regionów EU/EOG; transfery poza EOG tylko z adekwatnym mechanizmem (SCC / DPF / decyzja o adekwatności).
  3. Bezpieczeństwo — certyfikacje (ISO 27001, SOC 2), historia incydentów, postawa security.
  4. Finansowa stabilność — minimalizacja ryzyka supply-chain wynikającego z upadłości/wycofania z rynku.
  5. Interoperability — możliwość migracji do alternatywnego dostawcy bez utraty funkcjonalności compliance.

Wynik oceny jest dokumentowany w wewnętrznym rejestrze Attestia.

8. Historia zmian listy (Changelog)

| Data | Wersja | Zmiana | Powód | |---|---|---|---| | 2026-04-21 | 1.0-draft | Utworzenie listy początkowej (Supabase, Microsoft Azure OpenAI, Vercel, Stripe, Resend) | Start MVP |

Zmiany w liście są archiwizowane i udostępniane na żądanie kierowane na privacy@attestia.eu.

9. Zapis do notyfikacji

Organizacje otrzymują notyfikacje o zmianach listy automatycznie na adres e-mail Właściciela Konta. Dodatkowo każda osoba zainteresowana (np. DPO klienta, compliance officer) może zapisać się na dedykowany kanał notyfikacji kierując zgłoszenie na privacy@attestia.eu z tematem [SUBPROCESSOR UPDATES SUBSCRIPTION].

10. Kontakt

| | | |---|---| | Pytania dot. podprocesorów | privacy@attestia.eu | | Wniesienie sprzeciwu | privacy@attestia.eu (temat: [OBJECTION: SUB-PROCESSOR]) | | Zapisz się na notyfikacje | privacy@attestia.eu (temat: [SUBPROCESSOR UPDATES SUBSCRIPTION]) | | Adres pocztowy | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warszawa, Polska |

English version (for information)

In case of any discrepancy between the Polish and English versions, the Polish version shall prevail.

1. What is the sub-processor list

Pursuant to Art. 28(2) and (4) GDPR and Art. 5 of the DPA (Annex 1 to the Terms), Attestia — as a processor — provides Organisations (controllers) with the current list of further processors ("sub-processors") engaged in connection with delivery of the Platform.

This page is the sole binding source of the current sub-processor list. In case of discrepancy between this list and copies published elsewhere (Privacy Policy, Terms), this page prevails — noting that the Terms and Privacy Policy are updated in parallel.

Capitalised terms have the meaning given in the Terms.

2. Current sub-processor list

| # | Sub-processor | Role | Data scope | Location | Transfer | DPA | |---|---|---|---|---|---|---| | 1 | Supabase (Pty) Ltd (via Amazon Web Services) | Database hosting, authentication, Audit Log | Account data, Organisation Data, Compliance Documents, Audit Log | EU — Frankfurt (eu-central-1) | Within EU/EEA | ✅ Signed | | 2 | Microsoft Corporation (Azure OpenAI) | AI processing (Risk Classification, Compliance Document generation) | AI System descriptions (pseudonymised — no Organisation name, no personal data) | EU — Sweden Central (swedencentral) | Within EU/EEA; transient processing — no retention | ✅ Signed (Azure OpenAI Enterprise Agreement) | | 3 | Vercel, Inc. | Application hosting (edge runtime) | No persistent personal data | EU — edge nodes (Frankfurt, Paris) | Within EU/EEA | ✅ Signed | | 4 | Stripe, Inc. (and Stripe Payments Europe, Ltd.) | Payment processing — independent controller of payment data | Billing details (company name, address, VAT, EU VAT), transaction data | Ireland (EU) + USA | US transfers under SCC + EU-U.S. Data Privacy Framework (DPF) | ✅ Signed | | 5 | Resend, Inc. | Transactional email delivery | User email address, transactional message content | USA | Standard Contractual Clauses (SCC) — Commission Decision 2021/914 | ✅ Signed |

Active sub-processors: 5.

3. Optional external authentication tools

The tools below are engaged only if the User chooses to use them at registration or login (alternative to email + password). If the User uses only email + password, their data is not shared with these providers.

| Provider | Role | Location | Transfer | |---|---|---|---| | Google LLC | OAuth — login via Google account | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | GitHub, Inc. | OAuth — login via GitHub account | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |

Data scope: OAuth identifier, email address (only to the extent necessary for Account identification). Scope limited to email + profile.

4. Change notification process

Under Art. 5 of the DPA (Annex 1 to the Terms):

  1. Notice period: Attestia will notify Organisations of any intended addition or replacement of a sub-processor with at least 30 days' notice before the planned change.

  2. Notification channels:

    • via email to the Account Owner,
    • via in-app notification,
    • via update to this page (with publication date).

  3. Right to object:

    • An Organisation with reasonable objections may object within 30 days of receipt of the notification.
    • The parties negotiate a solution.
    • If no solution is reached within 30 days of the objection, the Organisation has the right to terminate the contract with immediate effect, with a proportional refund of the fee for the unused Billing Period.

  4. Form of objection: email to privacy@attestia.eu with subject [OBJECTION: SUB-PROCESSOR] and justification.

  5. Obligations on new sub-processors: Attestia ensures that every new sub-processor is bound by the same data-protection obligations as those in the DPA (Annex 1 to the Terms) — in particular Art. 28(3) GDPR obligations and Annex A (Technical and Organisational Measures).

5. Transfers outside the EEA

| Sub-processor | Location | Transfer mechanism | |---|---|---| | Resend, Inc. | USA | SCC (Commission Decision 2021/914) | | Stripe, Inc. (selected operations) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | Google LLC (OAuth — optional) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) | | GitHub, Inc. (OAuth — optional) | USA | SCC + EU-U.S. Data Privacy Framework (DPF) |

Attestia does NOT transfer outside the EEA:

  • Organisation Data (AI System descriptions, questionnaire answers, evidence files),
  • generated Compliance Documents,
  • data processed by Azure OpenAI (Sweden Central region, within the EU).

6. Recipients who are not sub-processors

The following entities may receive data in a defined scope but are not sub-processors within the meaning of Art. 28 GDPR:

| Recipient | Scope | Legal basis | |---|---|---| | Accounting firm | Invoicing data (bookkeeping) | Art. 6(1)(c) GDPR (Polish Accounting Act) + accounting services agreement | | Law firms and advisors | Data necessary for pursuing/defending claims | Art. 6(1)(f) GDPR (legitimate interest) | | Public authorities | Data to the extent required by law (UODO, court, tax authority) | Art. 6(1)(c) GDPR |

7. Sub-processor vetting procedure

Every new sub-processor, before being added to the list, is assessed for:

  1. GDPR compliance — execution of a DPA with Attestia compliant with Art. 28 GDPR, including an Annex on technical and organisational measures (Art. 32 GDPR).
  2. Data location — preference for EU/EEA regions; transfers outside the EEA only with an adequate mechanism (SCC / DPF / adequacy decision).
  3. Security — certifications (ISO 27001, SOC 2), incident history, security posture.
  4. Financial stability — minimising supply-chain risk arising from bankruptcy/withdrawal.
  5. Interoperability — ability to migrate to an alternative provider without loss of compliance functionality.

Assessment results are documented in an internal Attestia register.

8. Changelog

| Date | Version | Change | Reason | |---|---|---|---| | 2026-04-21 | 1.0-draft | Initial list created (Supabase, Microsoft Azure OpenAI, Vercel, Stripe, Resend) | MVP launch |

Historical versions are archived and available on request to privacy@attestia.eu.

9. Notification subscription

Organisations receive change notifications automatically at the Account Owner's email. Additionally, any interested person (e.g. customer DPO, compliance officer) may subscribe to a dedicated notification channel by sending a request to privacy@attestia.eu with subject [SUBPROCESSOR UPDATES SUBSCRIPTION].

10. Contact

| | | |---|---| | Sub-processor enquiries | privacy@attestia.eu | | Objection submissions | privacy@attestia.eu (subject: [OBJECTION: SUB-PROCESSOR]) | | Subscribe to notifications | privacy@attestia.eu (subject: [SUBPROCESSOR UPDATES SUBSCRIPTION]) | | Postal address | Trimalert sp. z o.o., ul. Przasnyska 7/319, 01-756 Warsaw, Poland |