Lista Podprzetwarzających - Platforma AI ChatLab

28 lutego 2026

Podprzetwarzający (Sub-Processors)

Ostatnia aktualizacja: 28 lutego 2026

Niniejsza strona stanowi część Załącznika III do DPA i jest włączana do niej przez odniesienie.

W celu skutecznego świadczenia naszych usług korzystamy z wybranych podmiotów trzecich jako Podprzetwarzających. Każdy Podprzetwarzający jest związany umową powierzenia przetwarzania danych zgodną z RODO oraz odpowiednimi środkami technicznymi i organizacyjnymi. W przypadku podmiotów spoza EOG/Wielkiej Brytanii/Szwajcarii opieramy się na ramach ochrony danych UE-USA (EU-US Data Privacy Framework, tam, gdzie ma to zastosowanie) i/lub na standardowych klauzulach umownych UE (SCC); w odniesieniu do Wielkiej Brytanii stosujemy brytyjski załącznik (UK Addendum). Lokalizacje danych mogą być konfigurowalne przez klienta. Wszystkie dane w tranzycie są zabezpieczone protokołem TLS 1.2+.

Powiadamianie o zmianach

O dodaniu nowego Podprzetwarzającego powiadomimy wszystkich zarejestrowanych użytkowników drogą e-mail z wyprzedzeniem co najmniej 30 dni. Mogą Państwo również poprosić o dodanie do naszej listy powiadomień, pisząc na contact@chatlab.com.

Mają Państwo prawo wnieść sprzeciw w terminie 7 dni od otrzymania powiadomienia z uzasadnionych powodów dotyczących ochrony danych (zob. DPA §4.2). W sytuacjach pilnych (np. incydent bezpieczeństwa) możemy zaangażować Podprzetwarzającego bez wcześniejszego powiadomienia i poinformujemy Państwa bez zbędnej zwłoki, zachowując Państwa 7-dniowe prawo do wniesienia sprzeciwu (DPA §4.6).

Aktualni Podprzetwarzający

1. Amazon Web Services

Podmiot prawny (EOG): Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luksemburg, LU Podmiot prawny (USA): Amazon Web Services, Inc., 410 Terry Ave N, Seattle, WA 98109, USA Jurysdykcja siedziby: LU / USA Kontakt: Kontakt z AWS

Lokalizacje przetwarzania danych: regiony UE i/lub USA (konfigurowalne przez klienta) Mechanizm transferu: EU-US DPF (tam, gdzie ma zastosowanie) i/lub SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: infrastruktura chmurowa, bazy danych, przechowywanie danych, sieci, przechowywanie załączników e-mail

2. OpenAI

Podmiot prawny: OpenAI, L.L.C., 3180 18th St, San Francisco, CA 94110, USA Jurysdykcja siedziby: USA Kontakt: privacy@openai.com

Lokalizacje przetwarzania danych: USA (w zależności od dostawcy) Mechanizm transferu: SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: oparte na API przetwarzanie/generowanie języka na potrzeby odpowiedzi czatbota oraz analizy treści e-mail (sugestie odpowiedzi, tłumaczenia, podsumowania)

3. Google (Gemini / Vertex AI)

Podmiot prawny (EOG): Google Ireland Limited, Gordon House, Barrow St, Dublin 4, IE Podmiot prawny (USA): Google LLC, 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA Jurysdykcja siedziby: IE / USA Kontakt (IOD): Inspektor Ochrony Danych Google Cloud

Lokalizacje przetwarzania danych: UE i/lub USA (konfigurowalne według usługi/regionu) Mechanizm transferu: EU-US DPF (tam, gdzie ma zastosowanie) i/lub SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: przetwarzanie/generowanie języka przez AI, w tym analiza treści e-mail (sugestie odpowiedzi, tłumaczenia, podsumowania)

4. Pinecone

Podmiot prawny: Pinecone Systems, Inc., 405 Howard St, Suite 300, San Francisco, CA 94105, USA Jurysdykcja siedziby: USA Kontakt: privacy@pinecone.io

Lokalizacje przetwarzania danych: UE i/lub USA (region indeksu konfigurowalny) Mechanizm transferu: SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: baza danych wektorowych (przechowywanie/pobieranie embeddingów na potrzeby kontekstu RAG)

5. Cloudflare

Podmiot prawny: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA Jurysdykcja siedziby: USA (z siecią globalną obejmującą UE) Kontakt: privacyquestions@cloudflare.com

Lokalizacje przetwarzania danych: globalna sieć brzegowa (w tym UE) Mechanizm transferu: EU-US DPF (tam, gdzie ma zastosowanie) i/lub SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: CDN, ochrona przed atakami DDoS, WAF, DNS, wydajność/bezpieczeństwo

6. Brevo (dawniej Sendinblue)

Podmiot prawny: Sendinblue SAS (działająca pod nazwą „Brevo”), 7 Rue de Madrid, 75008 Paryż, FR Jurysdykcja siedziby: FR Kontakt: privacy@brevo.com

Lokalizacje przetwarzania danych: UE (np. FR/DE) Mechanizm transferu: umowa powierzenia przetwarzania zgodna z RODO (podmiot przetwarzający z siedzibą w EOG) Cel: transakcyjne wiadomości e-mail (powiadomienia, resetowanie haseł, aktualizacje konta)

7. Stripe

Podmiot prawny (EOG): Stripe Payments Europe, Ltd., The One Building, 1 Grand Canal Street Lower, Dublin 2, IE Podmiot prawny (USA): Stripe, Inc., 510 Townsend St, San Francisco, CA 94103, USA Jurysdykcja siedziby: IE / USA Kontakt: privacy@stripe.com

Lokalizacje przetwarzania danych: UE i/lub USA (zależnie od usługi) Mechanizm transferu: EU-US DPF (tam, gdzie ma zastosowanie) i/lub SCC UE; UK Addendum tam, gdzie ma zastosowanie Cel: obsługa płatności, rozliczenia subskrypcji

Cel przetwarzania

Wymienieni Podprzetwarzający realizują wyodrębnione funkcje niezbędne do dostarczania, zabezpieczania i wspierania naszych usług. Każdy z nich podlega procesowi due diligence oraz okresowym przeglądom pod kątem bezpieczeństwa i zgodności z RODO.