Podmioty przetwarzające dane (subprocessors)
Ostatnia aktualizacja: 14 maja 2026 r.
Niniejsza strona stanowi rejestr podmiotów, którym VENTABE (operator portalu SafeDesk.pl) powierza przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi — zgodnie z art. 28 RODO oraz postanowieniami umowy powierzenia (DPA) zawartej z Klientem.
Charakter przetwarzania
W kontekście danych pracowników Klienta wprowadzanych do portalu (rejestr pracowników, szkoleń BHP, wydań sprzętu) Klient pozostaje administratorem, a SafeDesk.pl działa jako podmiot przetwarzający. Wszystkie podmioty wymienione poniżej działają jako sub-processors.
Aktualna lista podmiotów
| Podmiot | Cel | Kategorie danych | Lokalizacja | Podstawa transferu |
|---|---|---|---|---|
| Supabase Inc. | Hosting bazy danych (PostgreSQL), uwierzytelnianie użytkowników, storage plików | Dane konta (email, hash hasła), dane firmy, dane pracowników klienta, dane operacyjne portalu | Unia Europejska (Frankfurt, region eu-central-1) | Brak transferu poza EOG — region UE |
| Stripe Payments Europe, Ltd. | Obsługa płatności subskrypcji i ich rozliczanie | Email, NIP, dane karty (tokenizowane po stronie Stripe — SafeDesk.pl nie ma dostępu do PAN), historia transakcji | Irlandia (siedziba UE), centra danych w UE | DPA Stripe + standardowe klauzule umowne (SCC) w przypadku ewentualnego transferu do USA |
| OVH SAS | Wysyłka transakcyjnych wiadomości email (SMTP) | Adresy email odbiorców, treść powiadomień transakcyjnych | Francja (UE) | Brak transferu poza EOG |
| inFakt Sp. z o.o. | Wystawianie faktur pro-forma i faktur VAT, kontaktowanie się z kontrahentami | Dane firmy (NIP, adres), dane do faktury, adres email osoby kontaktowej | Polska | Brak transferu poza EOG |
| Functional Software, Inc. (Sentry) | Monitoring błędów i wydajności aplikacji (error tracking, performance) | Metadane sesji (URL, user agent, stack trace). Dane osobowe są filtrowane (sendDefaultPii=false); ID użytkownika nie jest przesyłane | USA | Data Processing Addendum Sentry + standardowe klauzule umowne (SCC). Minimalizacja danych — sesje PII nie są wysyłane. |
| Cloudflare, Inc. | DNS, ochrona przed atakami (WAF, rate-limiting), TLS termination | Adres IP odwiedzających, metadane żądań HTTP. Nie przetwarza treści zaszyfrowanej w warstwie aplikacji | Globalna sieć (anycast), centra UE | Cloudflare DPA + standardowe klauzule umowne (SCC); UE Data Subject Request Portal |
| VENTABE (administrator) | Operator portalu SafeDesk.pl — odpowiada za bezpieczeństwo i organizację przetwarzania | Wszystkie kategorie danych powierzone przez klienta | Polska (ul. Zielona 24b, 42-140 Panki, NIP: PL 5742073669) | Administrator/procesor |
Umowa powierzenia (DPA)
Z chwilą utworzenia konta w SafeDesk.pl Klient zawiera z VENTABE umowę powierzenia przetwarzania danych osobowych. Klient akceptuje, że VENTABE może korzystać z subprocessorów wymienionych powyżej do wykonywania umowy.
Pełny tekst umowy powierzenia (DPA) jest dostępny w panelu klienta w sekcji Ustawienia → Dokumenty oraz na żądanie pod adresem [email protected].
Zmiana subprocessora
VENTABE informuje Klienta o zamiarze dodania lub zmiany subprocessora z 30-dniowym wyprzedzeniem — poprzez aktualizację niniejszej strony oraz wiadomość email do osoby kontaktowej konta. Klient ma prawo wnieść uzasadniony sprzeciw; w razie braku porozumienia może rozwiązać umowę bez zachowania okresu wypowiedzenia.
Transfer poza EOG
Co do zasady dane są przetwarzane w UE/EOG. W przypadku subprocessorów spoza EOG (Stripe — możliwy transfer do USA; Sentry — USA; Cloudflare — globalna sieć) transfer odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914, uzupełnionych technicznymi i organizacyjnymi środkami ochrony (szyfrowanie w tranzycie i w spoczynku, minimalizacja danych, kontrola dostępu).
Kontakt
Pytania dotyczące przetwarzania danych lub żądanie kopii DPA: [email protected].
Powiązane dokumenty: Polityka prywatności · Regulamin