Skip to main content
← Powrót do Polityki Prywatności

Podmioty przetwarzające

Ostatnia aktualizacja:

Niniejszy rejestr ujawnia każdy podmiot trzeci, któremu HumanKey powierza przetwarzanie w celu świadczenia usługi. Dla każdego dostawcy publikujemy: pełną nazwę prawną, jurysdykcję, cel przetwarzania, kategorie danych, okres przechowywania, podstawę transferu zgodnie z rozdziałem V RODO, link do umowy powierzenia (DPA), listę dalszych podmiotów przetwarzających (art. 28 ust. 4 RODO), datę ostatniej weryfikacji, certyfikaty bezpieczeństwa oraz — dla dostawców AI — właściwą klasyfikację w rozumieniu Aktu o AI.

Żądania podmiotów danych: skorzystaj z formularza /kontakt (dział Prywatność i RODO) lub napisz na privacy@humankey.io.

Railway Corp.

Railway · Infrastruktura

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Obciążenia EOG hostowane w Holandii (GCP europe-west4).
Adres siedziby
548 Market St, PMB 20429, San Francisco, CA 94104, USA
Cel przetwarzania
Obliczenia aplikacyjne i routing żądań dla API HumanKey.
Kategorie przekazywanych danych
Metadane żądań (ścieżka URL, znacznik czasu, status), pseudonimizowane identyfikatory, przejściowe przychodzące ładunki w trakcie przetwarzania. Surowe adresy IP NIE są utrwalane w danych aplikacji — wszystkie zapisywane IP są haszowane SHA-256 + dzienna sól. Wąski wyjątek dotyczy krótkotrwałych kubełków rate-limit w Redis zarządzanym przez Railway: kanoniczny middleware express-rate-limit zapamiętuje znormalizowane IPv6 jako klucz Redis z TTL równym oknu limitera (≤15 minut), wyłącznie jako kontrola anty-nadużyciowa. Brak surowych IP w trwałych logach, analityce ani śladach audytowych.
Okres przechowywania
Warstwa obliczeniowa: przejściowe — przetwarzane w pamięci; brak trwałego przechowywania po stronie Railway. Zarządzany Redis (tylko kubełki rate-limit): klucze auto-wygasają przy TTL ≤15 min poprzez Redis EXPIRE — bez działania operatora.
Podstawa transferu (art. 46 RODO)
Rezydencja danych w UE (GCP Holandia) dla ruchu produkcyjnego; standardowe klauzule umowne 2021/914 Moduł 2 pokrywają dostęp płaszczyzny zarządzania z USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type II

Neon, Inc.

Neon · Infrastruktura

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Baza danych EOG przechowywana w Niemczech (AWS eu-central-1 Frankfurt).
Adres siedziby
209 Havemeyer St, Floor 1, Brooklyn, NY 11211, USA
Cel przetwarzania
Zarządzany hosting PostgreSQL dla danych kont, konfiguracji witryn i agregatów analitycznych.
Kategorie przekazywanych danych
Rekordy kont (adres e-mail, zahaszowane hasło, ustawienia konta), konfiguracja witryn, pseudonimizowane rekordy odwiedzin, agregaty zbiorcze.
Okres przechowywania
Przechowywane zgodnie z polityką retencji HumanKey (7–365 dni w zależności od planu); migawki kopii zapasowych przechowywane przez Neon ≤7 dni.
Podstawa transferu (art. 46 RODO)
Rezydencja danych w UE (AWS Frankfurt) dla bazy produkcyjnej; standardowe klauzule umowne 2021/914 Moduł 2 pokrywają dostęp płaszczyzny zarządzania z USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001

Vercel Inc.

Vercel · Infrastruktura

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Frontend statyczny i renderowany serwerowo obsługiwany przez globalną sieć edge; obciążenia UE przypięte do regionu Frankfurt.
Adres siedziby
440 N Barranca Ave #4133, Covina, CA 91723, USA
Cel przetwarzania
Hosting frontendu, routing brzegowy i dostarczanie CDN dla humankey.io.
Kategorie przekazywanych danych
Metadane żądań HTTP (URL, User-Agent, referrer, skrócony IP do obrony przed DDoS), logi dostarczania zasobów statycznych. Dane konta nie są przechowywane.
Okres przechowywania
Logi brzegowe ≤30 dni zgodnie z polityką logów Vercel; brak długoterminowego przechowywania danych osobowych po stronie Vercel.
Podstawa transferu (art. 46 RODO)
Standardowe klauzule umowne 2021/914 Moduł 2; uczestnictwo w Data Privacy Framework UE-USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001

Cloudflare, Inc.

Cloudflare · Infrastruktura

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Ruch proksowany przez globalny edge Cloudflare; ruch UE kierowany przez punkty obecności UE, gdy dostępne.
Adres siedziby
101 Townsend Street, San Francisco, CA 94107, USA
Cel przetwarzania
Rozwiązywanie DNS, ochrona przed DDoS, WAF i caching CDN dla humankey.io i api.humankey.io.
Kategorie przekazywanych danych
Metadane żądań (URL, User-Agent, referrer), przejściowe adresy IP do obrony przed DDoS. Brak długoterminowego przechowywania zgodnie z konfiguracją HumanKey.
Okres przechowywania
Logi bezpieczeństwa przechowywane zgodnie z polityką retencji Cloudflare (patrz link do dostawcy).
Podstawa transferu (art. 46 RODO)
Standardowe klauzule umowne 2021/914 Moduł 2; uczestnictwo w Data Privacy Framework UE-USA; kontrole granic danych UE Cloudflare.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001PCI DSSFedRAMP Moderate

Stripe Payments Europe, Limited (EEA flows) — with Stripe, Inc. (US, technology provider)

Stripe · Płatności

Ostatnia weryfikacja:
Jurysdykcja
Irlandia (Stripe Payments Europe, Limited obsługuje przepływy płatności EOG); Stany Zjednoczone (Stripe, Inc. dostarcza platformę technologiczną na podstawie SCC).
Adres siedziby
Stripe Payments Europe, Limited — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland
Cel przetwarzania
Przetwarzanie płatności, fakturowanie subskrypcji, wystawianie faktur i obsługa obciążeń zwrotnych.
Kategorie przekazywanych danych
Tożsamość płatnicza (imię i nazwisko, adres rozliczeniowy, NIP/numer VAT, gdy dotyczy), metadane instrumentu płatniczego (marka karty, ostatnie 4 cyfry, data ważności — pełny numer karty tokenizowany przez Stripe), historia faktur, stan subskrypcji.
Okres przechowywania
Przechowywane dla celów prawnych i podatkowych (≥7 lat dla ewidencji podatkowych w UE); zgodnie z polityką retencji Stripe.
Podstawa transferu (art. 46 RODO)
Przetwarzanie płatności EOG przez Stripe Payments Europe, Limited (Irlandia — bezpośrednio RODO); dostęp platformy technologicznej z USA na podstawie standardowych klauzul umownych 2021/914 Moduł 2 + Data Privacy Framework UE-USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
PCI DSS Level 1SOC 1 Type IISOC 2 Type IIISO 27001

Resend, Inc.

Resend · E-mail

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware).
Adres siedziby
2261 Market Street #4667, San Francisco, CA 94114, USA
Cel przetwarzania
Dostarczanie transakcyjnych wiadomości e-mail (weryfikacja konta, reset hasła, potwierdzenia płatności, zaproszenia do zespołu, odpowiedzi wsparcia).
Kategorie przekazywanych danych
Adres e-mail odbiorcy, temat i treść wiadomości (składane przez HumanKey), metadane dostarczania (zwroty, otwarcia, kliknięcia).
Okres przechowywania
Logi dostarczania przechowywane przez Resend ≤30 dni (patrz polityka dostawcy). Treści wiadomości nie są przechowywane po pomyślnym dostarczeniu.
Podstawa transferu (art. 46 RODO)
Standardowe klauzule umowne 2021/914 Moduł 2.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type II

Functional Software, Inc. d/b/a Sentry

Sentry · Monitoring

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Konto HumanKey skonfigurowane dla regionu UE (Frankfurt) — błędy przyjmowane i przechowywane w UE.
Adres siedziby
45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA
Cel przetwarzania
Monitoring błędów aplikacji i diagnostyka dla API i panelu HumanKey.
Kategorie przekazywanych danych
Ślady stosu, kontekst błędu w czasie wykonania, identyfikatory wydań. Identyfikatory osobowe (e-mail, IP, User-Agent) są usuwane po stronie klienta przed transmisją zgodnie z konfiguracją SDK Sentry HumanKey.
Okres przechowywania
Zdarzenia błędów przechowywane zgodnie z ustawieniami projektu Sentry (domyślnie ≤90 dni w planie HumanKey).
Podstawa transferu (art. 46 RODO)
Rezydencja danych w UE (region Sentry EU, Frankfurt); transfer międzynarodowy nie następuje. Standardowe klauzule umowne 2021/914 Moduł 2 pokrywają dostęp płaszczyzny zarządzania z USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001

MaxMind, Inc.

MaxMind · Geolokalizacja (import danych)

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Massachusetts).
Adres siedziby
51 Pleasant Street #1020, Malden, MA 02148, USA
Cel przetwarzania
Jednokierunkowy import bazy danych geolokalizacji. HumanKey pobiera plik bazy GeoLite2 okresowo; wyszukiwania na poziomie kraju wykonywane są lokalnie. Żadne dane odwiedzających nie są wysyłane do MaxMind.
Kategorie przekazywanych danych
Brak transmisji. HumanKey pobiera wyłącznie plik bazy z serwerów MaxMind.
Okres przechowywania
Nie dotyczy — MaxMind nie przetwarza danych osobowych w imieniu HumanKey.
Podstawa transferu (art. 46 RODO)
Nie dotyczy — jednokierunkowe pobieranie pliku; brak transferu danych osobowych do dostawcy.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Nie dotyczy
Certyfikaty bezpieczeństwa
SOC 2 Type II

Cloudflare, Inc. (Radar API)

Cloudflare Radar · Wzbogacanie metadanych sieci

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware). Zapytanie wyłącznie do publicznego API; adres IP klienta nie jest przesyłany.
Adres siedziby
101 Townsend Street, San Francisco, CA 94107, USA
Cel przetwarzania
Wyszukiwanie metadanych operatora sieci na potrzeby zagregowanych raportów porównawczych. Zapytania kluczowane są numerem systemu autonomicznego (ASN), rozwiązywane po stronie serwera z pseudonimizowanego kontekstu odwiedzającego.
Kategorie przekazywanych danych
Wyłącznie liczba ASN (nieosobowy identyfikator sieci). Żaden IP, User-Agent, identyfikator sesji ani identyfikator odwiedzającego nie opuszcza HumanKey.
Okres przechowywania
Nie dotyczy — żadne dane osobowe nie są przesyłane.
Podstawa transferu (art. 46 RODO)
Nie dotyczy — zapytanie do publicznego API z użyciem nieosobowego identyfikatora ASN.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001

Anthropic, PBC

Anthropic · AI / inferencja LLM

Ostatnia weryfikacja:
Jurysdykcja
Stany Zjednoczone (Delaware public benefit corporation).
Adres siedziby
548 Market Street, PMB 90375, San Francisco, CA 94104, USA
Cel przetwarzania
Inferencja modelu językowego zasilająca: (a) publiczny czat AI Assistant, (b) zautomatyzowane podsumowanie audytu oraz (c) doradcze analizy AI Insights tylko dla administratorów. Wszystkie odpowiedzi mają charakter doradczy; brak decyzji zautomatyzowanej w rozumieniu art. 22 RODO.
Kategorie przekazywanych danych
Tekst czatu wpisany przez użytkownika (publiczny czat) oraz prompty systemowe składane przez HumanKey. Brak surowych adresów IP, brak danych płatniczych, brak zahaszowanych tokenów sesji, brak rekordów bazodanowych poza zagregowanymi licznikami. Tekst czatu może stanowić dane osobowe w rozumieniu motywu 26 RODO, jeśli zawiera identyfikatory osobowe wprowadzone przez użytkownika.
Okres przechowywania
Na wszystkich wywołaniach API HumanKey włączona jest flaga zero-retention zgodnie z warunkami komercyjnymi Anthropic. Dane wejściowe i wyjściowe nie są przechowywane poza czasem niezbędnym do wygenerowania odpowiedzi i nie są wykorzystywane do trenowania modeli Anthropic.
Podstawa transferu (art. 46 RODO)
Standardowe klauzule umowne 2021/914 Moduł 2 (podmiot przetwarzający do podmiotu przetwarzającego) zgodnie z komercyjnym DPA Anthropic.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001ISO 42001
Klasyfikacja w rozumieniu Aktu o AI (rozporządzenie (UE) 2024/1689)
HumanKey działa jako deployer modelu Claude Haiku w rozumieniu art. 3 pkt 4 rozporządzenia (UE) 2024/1689 (Akt o AI). HumanKey nie jest providerem w rozumieniu art. 3 pkt 3. Obowiązki transparentności z art. 50 są spełnione dla publicznej powierzchni czatu (patrz /legal/ai-transparency).

Google Ireland Limited (EEA users) / Google LLC (US technology provider)

Google · Uwierzytelnianie (opcjonalne)

Ostatnia weryfikacja:
Jurysdykcja
Irlandia (Google Ireland Limited obsługuje przepływy OAuth EOG zgodnie z DPA Google). Stany Zjednoczone (Google LLC dostarcza platformę bazową na podstawie SCC + DPF UE-USA).
Adres siedziby
Google Ireland Limited — Gordon House, Barrow Street, Dublin 4, Ireland
Cel przetwarzania
Uwierzytelnianie OAuth 2.0, gdy użytkownik wybiera Google jako metodę logowania. Opcjonalne — inicjowane wyłącznie na wyraźne żądanie użytkownika.
Kategorie przekazywanych danych
Adres e-mail, podstawowy profil (imię i nazwisko, ustawienia językowe), token OAuth dla sesji. Żadne hasło nie jest przesyłane do HumanKey.
Okres przechowywania
HumanKey przechowuje e-mail i opcjonalne dane profilu w koncie użytkownika do momentu usunięcia; retencja po stronie Google zgodnie z DPA Google i ustawieniami konta Google użytkownika.
Podstawa transferu (art. 46 RODO)
Przepływy EOG obsługiwane przez Google Ireland Limited bezpośrednio w ramach RODO; dostęp do platformy bazowej na podstawie standardowych klauzul umownych 2021/914 Moduł 2 + Data Privacy Framework UE-USA.
Umowa powierzenia (DPA)
Zobacz DPA →
Dalsze podmioty przetwarzające (art. 28 ust. 4 RODO)
Lista dalszych podmiotów dostawcy →
Certyfikaty bezpieczeństwa
SOC 2 Type IIISO 27001ISO 27017ISO 27018

Podstawy prawne

  • art. 28 RODO— każdy podmiot przetwarzający związany jest pisemną umową powierzenia przetwarzania danych osobowych zawierającą udokumentowane polecenia, obowiązek zachowania poufności, środki bezpieczeństwa, warunki korzystania z dalszych podmiotów przetwarzających oraz prawo do audytu.
  • art. 46 RODO / rozdział V RODO— transfery poza EOG opierają się na standardowych klauzulach umownych (decyzja wykonawcza Komisji (UE) 2021/914), ramach Data Privacy Framework UE-USA, gdy dostawca posiada certyfikację, lub rezydencji danych w EOG, gdy jest dostępna.
  • art. 28 ust. 4 RODO— HumanKey ujawnia dalsze podmioty przetwarzające poprzez link do własnej listy każdego dostawcy; Administrator jest informowany z wyprzedzeniem o każdej istotnej zmianie i może wnieść sprzeciw zgodnie z § 5 umowy powierzenia HumanKey.
  • rozporządzenie (UE) 2024/1689 (Akt o AI), art. 50— w zakresie, w jakim angażujemy dostawcę AI, HumanKey działa jako deployer (art. 3 pkt 4); obowiązki transparentności dla publicznej powierzchni czatu opisane są na stronie Transparentność AI.
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowychoraz nadzór sprawowany przez Prezesa UODO — polskie dane osobowe przetwarzane są zgodnie z RODO i u.o.d.o.; skargi kierować można do Prezesa UODO (uodo.gov.pl).

Strona aktualizowana jest przy dodaniu, usunięciu lub zmianie podmiotu przetwarzającego. O istotnych zmianach poinformujemy drogą e-mail posiadaczy kont z aktywnymi subskrypcjami z co najmniej 14-dniowym wyprzedzeniem (30 dni dla planów Enterprise). Ostatnia aktualizacja tej strony: 2026-04-20.

Polityka PrywatnościUmowa powierzenia (DPA)DPIAOcena Skutków Transferu (TIA)Zgodność z DORATransparentność AI
Podmioty przetwarzające | HumanKey | HumanKey