Lista podwykonawców / podprocesorów
Aby świadczyć usługę Relup, korzystamy z usług zewnętrznych dostawców (podwykonawców / podprocesorów). Poniższa lista przedstawia aktualnie wykorzystywanych dostawców, ich rolę w usłudze oraz kategorie przetwarzanych danych. Lista jest udostępniana na podstawie art. 28 RODO oraz Umowy powierzenia przetwarzania danych.
1. Dostawcy aktywni
| Dostawca | Cel | Kategorie danych | Region / transfer | Status / weryfikacja |
|---|---|---|---|---|
| Render render.com |
Hosting środowiska aplikacyjnego: API, frontend, worker. | Dane operacyjne i logi związane z działaniem aplikacji, w niezbędnym zakresie - wszystkie dane przetwarzane przez aplikację. | Wymaga weryfikacji regionu wdrożenia (USA / EU). Jeżeli USA - transfer na podstawie SCC. | Wymagana weryfikacja DPA Render i ostatecznego regionu deploymentu. |
| Render PostgreSQL | Zarządzana baza danych PostgreSQL - przechowywanie wszystkich danych aplikacji. | Pełen zakres danych przetwarzanych przez aplikację, w tym dane osobowe użytkowników, firm i klientów końcowych. | Region zgodnie z konfiguracją Render. Wymaga weryfikacji. | Polityka backupów i okresy retencji backupów do potwierdzenia w panelu dostawcy. |
| Resend resend.com |
Wysyłka transakcyjnych wiadomości e-mail (rejestracja, reset hasła, zaproszenia, protokoły, przypomnienia). | Adresy e-mail nadawców i odbiorców, treść wiadomości (mogąca zawierać dane osobowe), załączniki (np. PDF protokołów). | USA - transfer na podstawie SCC. | Wymagana weryfikacja DPA Resend i podstaw transferu. |
| SMSAPI (dostawca SMS) smsapi.pl |
Wysyłka wiadomości SMS związanych z obsługą wizyt i przeglądów (powiadomienia organizacyjne do klientów końcowych firm serwisowych). | Numer telefonu odbiorcy, treść SMS, metadane wysyłki/doręczenia (np. identyfikator wiadomości, status, znaczniki czasu, kody błędów). | Region przetwarzania i ewentualny transfer poza EOG - do potwierdzenia w umowie/DPA dostawcy oraz dokumentacji SMSAPI. Dokładna forma prawna podmiotu świadczącego usługę wymaga weryfikacji u dostawcy. | Aktywny po włączeniu funkcji SMS w danym środowisku. Wymagana weryfikacja DPA SMSAPI przed pełnym wdrożeniem produkcyjnym. |
| Cloudflare cloudflare.com |
Zarządzanie DNS dla domen Relup (relup.app, app.relup.app, api.relup.app) oraz - opcjonalnie - proxy/CDN przed serwisami. | Adresy IP użytkowników, nagłówki żądań (w zakresie logów dostawcy). | USA / globalne PoP - transfer na podstawie SCC. | Wymagana weryfikacja DPA Cloudflare. |
| Cloudflare R2 | Opcjonalne obiektowe składowanie plików (PDF protokołów, zdjęcia inspekcji) - jeżeli operator skonfiguruje R2 jako backend. | Pliki PDF protokołów (zawierają dane osobowe), zdjęcia z inspekcji. | USA / globalne PoP - transfer na podstawie SCC. | Wymagana weryfikacja DPA Cloudflare R2. |
| Google FCM (Firebase Cloud Messaging) | Infrastruktura dostarczania powiadomień push dla przeglądarek opartych o Chromium (np. Chrome, Edge). | Techniczne dane subskrypcji push (endpoint, klucze przeglądarki) oraz metadane niezbędne do dostarczenia komunikatu. | Globalna infrastruktura Google, możliwy transfer poza EOG. | Usługa platformowa przeglądarki; używana wyłącznie po dobrowolnym włączeniu powiadomień push przez użytkownika. |
| Apple APNs | Infrastruktura dostarczania powiadomień push na platformach Apple (Safari / iOS / macOS). | Techniczne dane subskrypcji push i metadane doręczenia. | Globalna infrastruktura Apple, możliwy transfer poza EOG. | Usługa platformowa Apple; używana tylko dla użytkowników, którzy aktywują push. |
| Mozilla autopush | Infrastruktura dostarczania powiadomień push dla przeglądarki Firefox. | Techniczne dane subskrypcji push i metadane doręczenia. | Globalna infrastruktura Mozilla, możliwy transfer poza EOG. | Usługa platformowa Firefox; aktywna wyłącznie po włączeniu push przez użytkownika. |
| Google Maps (linki zewnętrzne) maps.google.com |
Linki nawigacyjne otwierane przez użytkownika w celu nawigacji do adresu klienta. Relup nie osadza mapy i nie wysyła danych do Google po stronie serwera. | Adres klienta przekazywany w parametrze URL - tylko w momencie, gdy użytkownik kliknie link i otworzy zewnętrzny serwis Google. | USA / globalne PoP. | Brak DPA - wyłącznie odesłanie zewnętrzne (nie jest klasycznym podprocesorem). |
| Fakturownia fakturownia.pl |
Wystawianie i wysyłka proform, faktur oraz innych dokumentów sprzedażowych/księgowych. | Dane identyfikacyjne firmy (nabywcy), dane kontaktowe, kwoty, opisy pozycji, numery dokumentów, status wysyłki. | Polska / region zgodnie z umową dostawcy. | Aktywny po włączeniu integracji. Wymagana weryfikacja DPA Fakturownia. |
| Przelewy24 przelewy24.pl |
Obsługa płatności online, jeżeli metoda płatności jest włączona. | Dane transakcyjne płatności, identyfikatory transakcji, kwoty, status płatności, ograniczone dane kontaktowe niezbędne do realizacji płatności. | Polska / region zgodnie z umową dostawcy. | Aktywny wyłącznie po włączeniu płatności online. Wymagana weryfikacja umowy/DPA Przelewy24. |
| Dostawca SMTP (opcjonalnie) | Alternatywny transport e-mail, używany wyłącznie gdy operator skonfiguruje SMTP zamiast Resend. | Adresy e-mail nadawców i odbiorców, treść wiadomości (mogąca zawierać dane osobowe), załączniki. | Zależnie od wybranego dostawcy. | Wymaga osobnej weryfikacji DPA dostawcy wybranego przez operatora. |
2. Brak narzędzi analitycznych i marketingowych
Relup nie korzysta z narzędzi analitycznych ani marketingowych (m.in. Google Analytics, GTM, Plausible, PostHog, Hotjar, Clarity, Sentry, Datadog, Facebook Pixel). Lista zostanie zaktualizowana, jeżeli w przyszłości zostanie wprowadzone jakiekolwiek narzędzie tego typu.
3. Aktualizacje listy
Lista subprocesorów jest aktualizowana w przypadku zmiany dostawców lub dodania nowych funkcji aplikacji wymagających zewnętrznych usług przetwarzających dane osobowe. O istotnych zmianach informujemy klientów zgodnie z postanowieniami Umowy powierzenia danych.
Pytania dotyczące listy prosimy kierować na adres [email protected].