Klubownik
ZalogujZałóż klub gratis

Lista Sub-procesorów Klubownik

v1.0InformacyjnyEditorial (bez re-akceptacji)
Data wejścia w życie
18 kwietnia 2026
Hash SHA-256 treści
14efe1793b826d4d3572e493c7729aa45140ecf388eae0e858a3c577b67b57f4

Hash wyliczany automatycznie przy publikacji z znormalizowanej treści (strip BOM, CRLF→LF, trim trailing whitespace). Ten sam hash jest zapisywany w każdej akceptacji jako dowód integralności wersji.

Zaakceptowałeś ten dokument? Zobacz historię akceptacji w panelu konta.

LISTA SUB-PROCESORÓW KLUBOWNIK

Podstawa prawna

Niniejsza lista publikowana jest zgodnie z:

  • Art. 28 ust. 2-4 Rozporządzenia (UE) 2016/679 (RODO);
  • § 9 Umowy Powierzenia Przetwarzania Danych (DPA) — www.klubownik.pl/dpa;
  • Wytyczne EDPB 07/2020 — rola administratora i podmiotu przetwarzającego.

Wprowadzenie

Klubownik sp. z o.o. (dalej „Procesor" / „Podmiot Przetwarzający") w ramach świadczenia usług platformy Klubownik powierza przetwarzanie Danych Osobowych następującym Podmiotom Podprzetwarzającym („Sub-procesorom"), na podstawie pisemnych umów zawierających standardowe klauzule umowne lub równoważne mechanizmy ochrony zgodne z Rozdziałem V RODO.

Administrator (Klub) udzielił Procesorowi ogólnego pisemnego zezwolenia na korzystanie z Sub-procesorów w rozumieniu art. 28 ust. 2 RODO. O każdej zmianie listy Procesor informuje Administratora z 30-dniowym wyprzedzeniem, a Administratorowi przysługuje prawo sprzeciwu skutkujące prawem do wypowiedzenia Umowy bez negatywnych konsekwencji finansowych.

Aktualna lista Sub-procesorów

| Lp. | Sub-procesor | Rola / Zakres przetwarzania | Lokalizacja | Transfer poza EOG | Podstawa transferu | |---|---|---|---|---|---| | 1 | Supabase Inc. | Baza danych PostgreSQL, uwierzytelnianie, storage plików, RLS | Frankfurt, DE (region eu-central-1) | Nie | Przetwarzanie w EOG | | 2 | Vercel Inc. | Hosting aplikacji, CDN, edge functions | Regiony UE (fra1, ams1 i in.) | Opcjonalny — tylko metadane routingu | SCC 2021/914 + DPA Vercel | | 3 | Stripe Payments Europe Ltd. | Procesor płatności — Abonament Klubownik + Stripe Connect (Klub↔Uczestnik) | Dublin, IE + infrastruktura globalna | Tak (US) | SCC 2021/914 + EU-US DPF (decyzja 2023/1795) | | 4 | Resend Inc. (lub równoważny) | E-mail transakcyjny (powiadomienia, reset hasła, faktury) | Regiony UE | Opcjonalnie (US) | SCC 2021/914 | | 5 | SMSAPI.pl (ComVision sp. z o.o.) | Bramka SMS (opcjonalnie, jeśli Klub aktywuje pakiet SMS) | Polska | Nie | Przetwarzanie w PL | | 6 | Anthropic PBC | Asystent AI (opcjonalnie, wyłącznie po aktywacji modułu przez Klub) — pomoc w konfiguracji onboardingu | USA | Tak (US) | SCC 2021/914 + TIA + minimalizacja (tylko metadane, bez PII Uczestników) | | 7 | Meta Platforms Ireland Ltd. | Integracja Facebook Lead Ads (opcjonalnie, wyłącznie po aktywacji OAuth przez Klub) — webhook otrzymujący leady z reklam FB | Dublin, IE + US | Tak (US) | SCC 2021/914 + EU-US DPF | | 8 | Amazon Web Services (AWS) EMEA SARL | Magazyn obiektów S3 (backup, eksport JSON) | Frankfurt, DE (eu-central-1) | Nie (dane w UE) | Standard Contractual Data Processing Addendum AWS | | 9 | Cloudflare, Inc. | Ochrona przed DDoS, WAF, CDN (opcjonalnie) | Regiony globalne, brzegowa obsługa | Możliwy (US) | SCC 2021/914 + DPA Cloudflare | | 10 | Sentry.io (Functional Software, Inc.) | Monitoring błędów aplikacji (opcjonalne) | USA | Tak (US) | SCC 2021/914 + pseudonimizacja (bez PII) |

Środki ochrony transferu poza EOG

Dla transferów do państw trzecich (w szczególności USA), Procesor stosuje:

  1. Standardowe Klauzule Umowne (SCC) — decyzja wykonawcza Komisji (UE) 2021/914 z 04.06.2021 r. — moduł 3 (procesor-procesor) dla sub-procesorów zlokalizowanych poza EOG;

  2. EU-US Data Privacy Framework — gdzie sub-procesor jest certyfikowany (lista: www.dataprivacyframework.gov), stosujemy decyzję wykonawczą Komisji (UE) 2023/1795 z 10.07.2023 r.;

  3. Transfer Impact Assessment (TIA) — ocena wpływu transferu zgodna z Rekomendacjami EDPB 01/2020, z analizą prawa docelowego, w tym: FISA 702, Executive Order 14086, wymogów ujawnienia danych organom publicznym;

  4. Środki uzupełniające: a) Szyfrowanie w transporcie (TLS 1.3) i spoczynku (AES-256); b) Pseudonimizacja identyfikatorów gdzie możliwe; c) Minimalizacja danych — przekazywanie wyłącznie niezbędnych pól; d) Ograniczenie celu — dane wykorzystywane wyłącznie do świadczenia zamówionej usługi; e) Procedury reagowania na żądania ujawnienia od organów państw trzecich — w tym obowiązek notyfikacji Procesora przez Sub-procesora (gdy prawnie dopuszczalne).

Procedura zmiany listy Sub-procesorów

  1. Planowanie zmiany. Procesor planuje dodanie nowego Sub-procesora lub zmianę zakresu przetwarzania istniejącego Sub-procesora.

  2. Notyfikacja Administratora. Procesor wysyła powiadomienie drogą elektroniczną (e-mail do zarejestrowanego adresu Klubu + baner w panelu) z informacją o:

    • Tożsamości nowego Sub-procesora;
    • Zakresie przetwarzania;
    • Lokalizacji i mechanizmie transferu (jeśli poza EOG);
    • Dacie planowanego rozpoczęcia współpracy (minimum 30 dni od notyfikacji).

  3. Prawo sprzeciwu. W terminie 30 dni od notyfikacji Administrator może zgłosić sprzeciw wobec zmiany. Sprzeciw powinien zawierać uzasadnienie (np. niespełnianie wymogów RODO przez sub-procesora, niezgodność z polityką bezpieczeństwa Administratora).

  4. Skutki sprzeciwu. W razie sprzeciwu Procesor: a) wstrzymuje rozpoczęcie współpracy z nowym sub-procesorem w zakresie danych Administratora; LUB b) proponuje Administratorowi alternatywne rozwiązanie; LUB c) przyjmuje wypowiedzenie Umowy przez Administratora z pełnym proporcjonalnym zwrotem Abonamentu za niewykorzystany okres.

  5. Nagła zmiana. W wyjątkowych przypadkach (awaria, wymóg prawny, krytyczna luka bezpieczeństwa) Procesor może wdrożyć zmianę z krótszym wyprzedzeniem, z jednoczesnym powiadomieniem Administratora. W takiej sytuacji Administratorowi przysługuje prawo wypowiedzenia w trybie przyspieszonym.

Audyt i transparentność

  1. Udostępnianie dokumentów. Na żądanie Administratora Procesor udostępnia: a) kopie standardowych klauzul umownych zawartych z Sub-procesorami; b) skrócone opisy Transfer Impact Assessment; c) dowody certyfikacji (DPF, ISO 27001, SOC 2) Sub-procesorów — jeśli dostępne publicznie.

  2. Audyt Sub-procesorów. Procesor zobowiązuje się do monitorowania zgodności Sub-procesorów z obowiązkami RODO poprzez: a) regularne przeglądy certyfikatów i raportów SOC 2 (minimum raz w roku); b) aktualizację TIA w razie zmiany orzecznictwa ETS lub decyzji Komisji; c) obowiązek niezwłocznego powiadomienia o naruszeniach bezpieczeństwa po stronie Sub-procesora (< 24h).

Wersje historyczne

Poprzednie wersje listy sub-procesorów są dostępne w historii pod adresem www.klubownik.pl/sub-processors (archiwum), wraz z datami zmian i zestawieniem różnic — zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO).

Kontakt w sprawach Sub-procesorów: iod@klubownik.pl

Podstawa działania Procesora: DPA — www.klubownik.pl/dpa

Administrator ma prawo wniesienia skargi do UODO: ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl