Na podstawie art. 13 ust. 1 lit. e oraz art. 28 RODO, BITA (Administrator / Procesor) informuje o podmiotach, którym powierza lub którym przekazuje dane osobowe w związku ze świadczonymi usługami. Poniższa lista obejmuje tzw. podprocesorów — podmioty, które przetwarzają dane osobowe na polecenie BITA w ramach świadczenia usług Platformy.
Wszystkie transfery danych poza Europejski Obszar Gospodarczy (EOG) odbywają się na podstawie standardowych klauzul umownych (SCC) przyjętych decyzją Komisji Europejskiej 2021/914 lub równoważnego mechanizmu (EU–US Data Privacy Framework). Szczegóły wskazano w kolumnie „Transfer poza EOG".
O planowanych zmianach na liście podprocesorów powiadomimy Cię z co najmniej 14-dniowym wyprzedzeniem — e-mailem oraz przez stosowne powiadomienie w Serwisie. Przysługuje Ci prawo sprzeciwu wobec nowego podprocesora, o ile korzystasz z Platformy na podstawie Umowy Powierzenia (DPA) — szczegóły w §10 Regulaminu oraz w szablonie DPA dostępnym na życzenie.
Aktualni podprocesory
| Podmiot | Kraj / Region | Cel przetwarzania | Kategorie danych | Transfer poza EOG |
|---|---|---|---|---|
| Supabase Inc. | USA (hosting: EU-Frankfurt — aws-eu-central-1) | Baza danych (PostgreSQL), uwierzytelnianie użytkowników (Auth), przechowywanie plików (Storage) | Dane konta, dane profilowe, pliki przesłane przez użytkownika, logi bezpieczeństwa | Dane w regionie EU-Frankfurt. Transfer danych do USA (infrastruktura Supabase Inc.) — SCC 2021/914 (moduł 2: administrator → procesor) |
| Stripe, Inc. | USA | Przetwarzanie płatności jednorazowych (Pakiety Standardowe, Oferty Indywidualne) i cyklicznych (Stripe Subscriptions dla Umów Ryczałtowych), generowanie faktur, Stripe Tax | Dane płatnicze (karta, adres rozliczeniowy), NIP/VAT B2B, historia transakcji | SCC 2021/914 (moduł 2) + certyfikat EU–US Data Privacy Framework (DPF) |
| Resend Inc. | USA | Wysyłka transakcyjnych wiadomości e-mail (potwierdzenia, faktury, powiadomienia systemowe) | Adres e-mail odbiorcy, imię (w treści wiadomości), identyfikator konta | SCC 2021/914 (moduł 2) |
| Vercel Inc. | USA (edge: EU) | Hosting aplikacji webowej (Next.js), CDN, cache stron | Adresy IP, nagłówki HTTP, dane żądań (logi dostępu) — nie są utrwalane długoterminowo | Ruch z EU obsługiwany z węzłów EU. Transfer danych do USA (centralna infrastruktura) — SCC 2021/914 (moduł 2) |
Publiczne źródła danych odpytywane przez BITA
Poniższe podmioty nie są podprocesorami w rozumieniu RODO art. 28 — BITA jedynie odpytuje publicznie dostępne API w celu weryfikacji statusu kontrahenta. Nie przekazujemy do nich danych osób fizycznych — odpytujemy o numery identyfikacyjne firm.
- Biała Lista MF (Krajowa Administracja Skarbowa) — wykaz podatników VAT prowadzony na podstawie art. 96b ustawy o VAT. BITA odpytuje wykaz w celu weryfikacji statusu podatkowego Klienta przy zawieraniu Umowy (potwierdzenie statusu Przedsiębiorcy zgodnie z §3 Regulaminu). wykaz-podatnikow.mf.gov.pl
- CEIDG / KRS — publiczne rejestry przedsiębiorców prowadzone przez ministra właściwego ds. gospodarki oraz Ministerstwo Sprawiedliwości. Odpytywane w celu weryfikacji rejestracji firmy Klienta i bieżących danych adresowych.
Skróty i definicje
- SCC 2021/914 — standardowe klauzule umowne przyjęte decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich (Dz.U. UE L 199 z 7.6.2021).
- DPF (EU–US Data Privacy Framework) — ramy ochrony danych przyjęte decyzją Komisji Europejskiej z dnia 10 lipca 2023 r. (Dz.U. UE L 231 z 20.9.2023). Certyfikacja weryfikowalna pod adresem dataprivacyframework.gov.
- EOG — Europejski Obszar Gospodarczy (27 państw UE + Islandia, Liechtenstein, Norwegia).
- Moduł 2 SCC — klauzule dla transferu administrator → procesor (zastosowanie gdy BITA jest administratorem, podmiot zagraniczny przetwarza dane na zlecenie BITA).
Kontakt w sprawie transferów danych
Pytania dotyczące podprocesorów, podstaw prawnych transferów poza EOG lub kopii standardowych klauzul umownych kieruj na adres: rodo@bitadot.pl.
Pełna Polityka Prywatności, zawierająca szczegółowe informacje o celach i podstawach prawnych przetwarzania, dostępna jest pod adresem: /polityka-prywatnosci.