Sub-processors List · Art. 28 ust. 2 RODO
Lista Subprocesorów
Version 3.0·Effective: 16 June 2026·Bilingual PL / EN
0
Informacja ogólna
Niniejsza lista wymienia podmioty przetwarzające niższego stopnia („subprocesorów") angażowane przez LEGAION na podstawie ogólnej zgody Administratora (Art. 28 ust. 2 RODO) zgodnie z DPA.
Subskrypcja powiadomień: wyślij e-mail z tematem „Subprocessor notifications" na dpo@legaion.com — informujemy o zmianach z 30-dniowym wyprzedzeniem.
Status na dzień publikacji: warstwa produkcyjna działa wyłącznie w EOG (region Frankfurt). Migracja suwerenna do dostawcy SecNumCloud jest planowana — zostanie ogłoszona osobnym powiadomieniem z 30-dniowym wyprzedzeniem.
1
Hosting i baza danych / Hosting & database
| Subprocesor | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Supabase, Inc. | Managed Postgres, Auth, Storage, Realtime, Edge Functions — warstwa aplikacyjna i baza danych | EOG (Frankfurt — eu-central-1) · control plane: USA | SCC 2021/914 (Mod. 2) + TIA · Supabase DPA · Art. 28 RODO |
2
Europejska warstwa infrastruktury AI / AI inference layer
Architektura zero-retention. Wszystkie wywołania AI inference odbywają się przez europejską warstwę infrastruktury AI do orkiestracji modeli — żaden dostawca modelu nie zachowuje treści zapytań ani odpowiedzi i nie wykorzystuje danych Klienta do trenowania modeli (kontraktowo wymuszone w DPA każdego dostawcy).
| Subprocesor | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Europejska warstwa infrastruktury AI (orkiestracja modeli) | Routing zapytań do modeli OpenAI / Google w trybie zero-retention, rate-limiting, audit | EOG + USA (control plane) | SCC 2021/914 (Mod. 2) + TIA · Art. 28 RODO |
| OpenAI, L.L.C. | AI inference (GPT-class) — przez europejską warstwę infrastruktury AI, zero-retention enterprise | USA | SCC 2021/914 (Mod. 2) + TIA + OpenAI Enterprise DPA · Art. 28 RODO |
| Google LLC (Gemini API) | AI inference (Gemini-class) — przez europejską warstwę infrastruktury AI, zero-retention enterprise | USA / EOG (gdy dostępny) | SCC 2021/914 (Mod. 2) + TIA + Google Cloud DPA · Art. 28 RODO |
| Perplexity AI, Inc. | Sonar API — kuratorowany feed newsowy (publiczne źródła, brak danych osobowych Klienta) | USA | SCC 2021/914 (Mod. 2) + TIA · Art. 28 RODO |
| Firecrawl (Mendable AI, Inc.) | Scraping publicznych źródeł (Predict, Financial Radar) — read-only, brak danych osobowych Klienta | USA | SCC 2021/914 (Mod. 2) + TIA · Art. 28 RODO |
| ElevenLabs, Inc. | Text-to-speech / synteza głosu — zero-retention enterprise tier | USA | SCC 2021/914 (Mod. 2) + TIA + ElevenLabs DPA · Art. 28 RODO |
3
Płatności i faktury / Payments & invoicing
| Subprocesor | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Procesowanie kart i subskrypcji w EOG | EOG (Irlandia) | n/d (EOG) · Stripe DPA |
| Stripe, Inc. | Backend billingu i operacje globalne | USA | SCC 2021/914 + Stripe DPA |
| iFirma S.A. | Wystawianie faktur PL (VAT 23%) | EOG (Polska) | n/d (EOG) |
| Ministerstwo Finansów — KSeF | Krajowy System e-Faktur (gdy wymagany ustawowo) | EOG (Polska) | n/d — podmiot publiczny |
| Revolut Payments UAB | Płatności B2B (opcjonalnie) | EOG (Litwa) | n/d (EOG) |
4
Komunikacja transactional / Transactional communication
| Subprocesor | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Brevo (Sendinblue SAS) | Email transactional + newsletter | EOG (Francja) | n/d (EOG) |
| Resend, Inc. | Email transactional (fallback / domain delivery) | USA | SCC 2021/914 (Mod. 2) + TIA |
5
Integracje opcjonalne (uruchamiane na żądanie Klienta)
| Subprocesor | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| Autenti sp. z o.o. | Kwalifikowane e-podpisy w UE (gdy aktywne) | EOG (Polska) | n/d (EOG) |
| Notarize, Inc. / Proof.com | US Remote Online Notarization (gdy aktywne) | USA | SCC 2021/914 (Mod. 2) + TIA |
| ISAP / EUR-Lex / SAOS / KRS / CRBR | Publiczne rejestry prawne i gospodarcze (read-only, brak danych osobowych Klienta) | EOG | n/d — źródła publiczne |
6
Zmiany listy / Change log
| Data | Wersja | Zmiana |
|---|---|---|
| 16 June 2026 | 3.0 | Refaktor zgodnie z rzeczywistym stackiem: jeden dostawca hostingu (Supabase / Frankfurt), AI inference opisane jako europejska warstwa infrastruktury AI bez nazywania platformy deweloperskiej. Usunięto niewdrożonych subprocesorów (AWS bezpośrednio, Vercel, Netlify, Cloudflare, OVHcloud, SMSAPI, Plausible, Sentry, Datadog, GitHub, Intercom, Help Scout, Zendesk). Dodano: Resend, Perplexity, Autenti. |
| 26 May 2026 | 2.2 | Wersja historyczna — pełna lista wcześniejsza. |
7
Procedura sprzeciwu / Objection procedure
Klient-Administrator ma prawo wnieść uzasadniony sprzeciw wobec planowanej zmiany w wykazie subprocesorów w terminie 14 dni od otrzymania powiadomienia. Sprzeciw kierować na dpo@legaion.com z uzasadnieniem.
W razie braku porozumienia w terminie 30 dni, Klient może wypowiedzieć umowę bez kar i z proporcjonalnym zwrotem opłat.
Aidvocates, Inc. (Delaware, USA) · Aidvocates Group sp. z o.o. (Katowice, PL) · Confidential