Skip to main content
HumanKey
← English version (Transfer Impact Assessment)
HumanKey · Rekomendacje EROD 01/2020 · Schrems II

Ocena skutków transferu danych

Ostatnia aktualizacja: kwiecień 2026 · Kolejny przegląd: październik 2026

Cel. Niniejsza Ocena skutków transferu danych dokumentuje analizę HumanKey dotyczącą transferów danych osobowych poza Europejski Obszar Gospodarczy (EOG) zgodnie z Rekomendacjami 01/2020 Europejskiej Rady Ochrony Danych w sprawie środków uzupełniających narzędzia transferu (wersja finalna z 18 czerwca 2021) wydanymi w następstwie wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II.

§1. Wprowadzenie i zakres

HumanKey świadczy usługi analityki crawlerów AI oraz wykrywania botów dla wydawców internetowych i operatorów e-commerce. Do świadczenia usług HumanKey korzysta z ograniczonego grona podmiotów przetwarzających, z których część ma siedzibę poza EOG. Niniejsza ocena dokumentuje analizę wpływu tych transferów oraz środki uzupełniające stosowane przez HumanKey w celu zapewnienia poziomu ochrony zasadniczo równoważnego z RODO.

Niniejszy dokument należy czytać łącznie z Umową powierzenia przetwarzania danych, podsumowaniem Oceny skutków dla ochrony danych (DPIA) oraz listą podmiotów przetwarzających.

1.1 Podstawa prawna transferu

HumanKey opiera transfery danych na następujących mechanizmach z Rozdziału V RODO:

  • Standardowe klauzule umowne (SCC). Standardowe klauzule umowne Komisji Europejskiej (Decyzja wykonawcza (UE) 2021/914) stanowią mechanizm domyślny dla transferów do podmiotów przetwarzających nieposiadających certyfikatu DPF. Stosowane są Moduł 2 (Administrator → Podmiot przetwarzający) lub Moduł 3 (Podmiot przetwarzający → Podmiot przetwarzający), odpowiednio do sytuacji.
  • Ramy Ochrony Danych UE–USA (Data Privacy Framework). W przypadku podmiotów przetwarzających aktywnie certyfikowanych w ramach DPF, HumanKey opiera się na decyzji stwierdzającej odpowiedni stopień ochrony z 10 lipca 2023, stosując ją równolegle (a nie zamiast) do standardowych klauzul umownych jako obronę w głębi.

1.2 Zakres oceny

Ocena obejmuje każdy podmiot przetwarzający z opublikowanej listy HumanKey, który: (a) ma siedzibę poza EOG, lub (b) jest kontrolowaną spółką zależną podmiotu macierzystego z siedzibą poza EOG i tym samym może podlegać procesom prawnym państw trzecich. Podmioty przetwarzające działające wyłącznie w obrębie EOG (Neon Frankfurt, Railway Amsterdam, region Sentry UE) są wymienione dla kompletności, lecz nie wymagają mechanizmu z Rozdziału V wykraczającego poza umowę powierzenia z art. 28 RODO.

§2. Analiza kraju docelowego

Jedynym krajem docelowym transferów podmiotów przetwarzających HumanKey są Stany Zjednoczone Ameryki. Kategorie danych, cel, częstotliwość oraz mechanizm transferu zostały udokumentowane poniżej zgodnie z metodologią Aneksu 3 Rekomendacji EROD.

2.1 Stany Zjednoczone

Cel transferuInfrastruktura operacyjna (obliczenia, CDN, DNS, przechowywanie obiektów), przetwarzanie płatności, dostarczanie transakcyjnych wiadomości e-mail, monitoring błędów oraz zagregowana analityka doradcza AI.
CzęstotliwośćCiągła dla infrastruktury operacyjnej; zdarzeniowa dla e-maili, monitoringu oraz analityki doradczej AI.
Kategorie przekazywanych danychSpseudonimizowane skróty adresów IP (SHA-256 z dziennie rotowaną solą), skrócone ciągi user-agent (maksymalnie 200 znaków), adresy URL stron, domena i ścieżka odsyłacza HTTP, zagregowane statystyki, dane konta administratora (e-mail, imię i nazwisko), metadane rozliczeniowe (nazwa firmy, adres, NIP) wyłącznie dla podmiotu obsługującego płatności.
Dane szczególnych kategoriiBrak. HumanKey nie przetwarza danych szczególnych kategorii w rozumieniu art. 9 RODO.
Długość łańcucha przetwarzaniaJedna warstwa podpowierzenia. HumanKey nie upoważnia swoich podmiotów przetwarzających do angażowania dalszych podmiotów bez uprzedniej pisemnej zgody HumanKey.
Mechanizm transferuStandardowe klauzule umowne UE (Decyzja wykonawcza (UE) 2021/914, Moduł 2 lub 3) dla każdego podmiotu przetwarzającego inkorporowanego w USA. W uzupełnieniu certyfikacja DPF w ramach UE–USA stosowana dodatkowo, gdy podmiot figuruje na liście uczestników DPF.
Istotne prawo kraju docelowegoSekcja 702 ustawy Foreign Intelligence Surveillance Act (FISA); Rozporządzenie Wykonawcze 12333; ustawa Clarifying Lawful Overseas Use of Data Act (CLOUD Act); Rozporządzenie Wykonawcze o wzmocnieniu zabezpieczeń dotyczących amerykańskich działań wywiadu sygnałowego (EO 14086 z 7 października 2022), które powołało Data Protection Review Court stanowiący podstawę decyzji DPF z 2023 roku.

Niniejsza ocena opiera się na publicznie dostępnych źródłach prawnych. Nie rozstrzyga toczącej się dyskusji o adekwatności prawa Stanów Zjednoczonych po wyroku Schrems II i nie stanowi porady prawnej.

§3. Środki uzupełniające

HumanKey stosuje techniczne, umowne oraz organizacyjne środki uzupełniające, aby zapewnić danym osobowym przekazywanym do amerykańskich podmiotów przetwarzających poziom ochrony zasadniczo równoważny z tym gwarantowanym przez RODO.

3.1 Środki techniczne

  • Pseudonimizacja adresów IP na warstwie aplikacji. HumanKey hashuje adresy IP odwiedzających z dziennie rotowaną solą, zanim dane trafią do jakiegokolwiek podmiotu przetwarzającego. Sól jest wyprowadzana z bieżącej daty UTC i nigdy nie jest przechowywana. Powiązanie między dniami nie jest możliwe na podstawie samego zapisanego skrótu.
  • Skracanie user-agent. Ciągi user-agent są skracane do 200 znaków przed zapisem, co ogranicza powierzchnię odcisku palca urządzenia, zachowując jednocześnie sygnał potrzebny do klasyfikacji botów.
  • Maskowanie danych wejściowych w nagraniach sesji. Rejestrator HumanKey maskuje pola haseł oraz każdy element oznaczony atrybutem data-privacy="mask" po stronie klienta, zanim zdarzenia zostaną przesłane do magazynu danych. Zamaskowana treść nigdy nie opuszcza przeglądarki odwiedzającego.
  • Jurysdykcja UE dla przechowywania nagrań sesji. Nagrania sesji są przechowywane w bucket Cloudflare R2 skonfigurowanym z ograniczeniami jurysdykcji UE; odtwarzanie odbywa się za pośrednictwem API HumanKey, dzięki czemu bezpośredni URL bucket-u nie jest nigdy udostępniany przeglądarkom klientów.
  • Wyłącznie zagregowane dane do podmiotu AI. Do doradczego podmiotu AI przekazywane są wyłącznie zagregowane, nieidentyfikowalne statystyki. Dane na poziomie pojedynczego rekordu nigdy nie przekraczają tej granicy.
  • Krótkoterminowe tokeny uwierzytelniające. Tokeny dostępu JWT administratorów mają czas życia 15 minut; tokeny odświeżające rotują przy każdym użyciu.
  • Szyfrowanie w tranzycie i w spoczynku. TLS 1.2 lub wyższy z HSTS dla całego transportu; AES-256 w spoczynku poprzez zarządzaną platformę bazodanową.

3.2 Środki umowne

  • Standardowe klauzule umowne zawarte z każdym podmiotem przetwarzającym inkorporowanym w USA z opublikowanej listy podmiotów HumanKey.
  • Powiadomienie o zmianie podmiotu przetwarzającego z 14-dniowym wyprzedzeniem (dla SMB) lub 30-dniowym wyprzedzeniem (dla Enterprise), zgodnie z Artykułem 6 umowy powierzenia HumanKey.
  • Umowne prawo audytu (raport audytu nie starszy niż 13 miesięcy lub jeden audyt na miejscu na rok kalendarzowy dla Administratorów polegających na SCC) zgodnie z Artykułem 5.8 umowy powierzenia HumanKey.
  • Powiadomienie o naruszeniu danych osobowych bez nieuzasadnionej zwłoki po uzyskaniu przez HumanKey wiadomości o zdarzeniu (Artykuł 8 umowy powierzenia HumanKey).
  • Domyślne zero-retencji w API doradczego podmiotu AI; możliwość opt-in do trenowania wyraźnie wyłączona umownie.

3.3 Środki organizacyjne

  • Publikowana lista podmiotów przetwarzających utrzymywana jako jedyne źródło prawdy, aktualizowana z co najmniej 14-dniowym wyprzedzeniem (30 dni dla Enterprise).
  • Udokumentowany kanał obsługi żądań organów ścigania i organów nadzorczych. Wszystkie tego rodzaju żądania trafiają przez formularz kontaktowy HumanKey.
  • Półroczny przegląd DPIA (kwiecień i październik) oraz przeglądy ad-hoc wywoływane przez każdą istotną zmianę w zestawie podmiotów przetwarzających lub w prawie kraju docelowego.
  • Narzędzia realizujące prawa osób, których dane dotyczą (eksport JSON, kaskadowe usuwanie, sprostowanie), są dostępne dla każdego Administratora niezależnie od planu i nie zależą od dostępności jakiegokolwiek amerykańskiego podmiotu przetwarzającego.

§4. Ponowna ocena

Niniejsza ocena jest przeglądana półrocznie (kwiecień i październik) oraz każdorazowo, gdy:

  • Dodawany lub zastępowany jest podmiot przetwarzający.
  • Publicznie znane stają się istotne zmiany prawa nadzoru lub kontroli sądowej w kraju docelowym.
  • Przeciwko wymienionemu podmiotowi przetwarzającemu zostaje wydany publicznie znany nakaz wymuszonego dostępu w sposób wpływający na analizę transferów HumanKey.
  • Europejska Rada Ochrony Danych, Komisja Europejska lub Trybunał Sprawiedliwości Unii Europejskiej wydają nowe wytyczne lub orzeczenie istotnie wpływające na transfery z Rozdziału V.

Ostatni przegląd został przeprowadzony w kwietniu 2026. Kolejny zaplanowany przegląd: październik 2026.

Niniejsza Ocena skutków transferu danych stanowi publiczne podsumowanie podejścia HumanKey do transferów. Nie stanowi porady prawnej. Ostatnia aktualizacja: kwiecień 2026.

→ Umowa Powierzenia Przetwarzania (DPA)→ DPIA (EN)→ Lista podmiotów przetwarzających→ Mapowanie zgodności z DORA
Ocena skutków transferu danych (TIA) - HumanKey | HumanKey