Subprocesorzy danych
workinflows.pl · ostatnia aktualizacja:
Administrator: Workin'Flows Adrian Krawczyk, NIP 9721365392. Poniżej lista podmiotów, którym powierzamy przetwarzanie danych osobowych na podstawie art. 28 RODO. Z każdym subprocesorem mamy zawartą umowę powierzenia przetwarzania danych (DPA).
Dane osobowe nigdy nie są sprzedawane podmiotom trzecim. Subprocesorzy działają wyłącznie na nasze zlecenie i zgodnie z naszymi instrukcjami.
Lista subprocesorów
| Podmiot | Cel przetwarzania | Lokalizacja | Mechanizm transferu | Kategorie danych | DPA |
|---|---|---|---|---|---|
| Google LLC (Cloud SQL, Cloud Storage, Vertex AI, Imagen, Veo, Cloud Logging) |
Hosting infrastruktury, inferencja modeli AI, przechowywanie plików i logów | EU (europe-central2, europe-west4) US dla niektórych usług AI |
EU-US DPF + SCC backup | Treści wiadomości (chat), embeddingi, metadane plików, logi systemowe (hash IP) | Google Cloud DPA |
| Resend Inc. | Wysyłka maili transakcyjnych i newslettera | US | EU-US DPF + SCC | Adres email, imię (jeśli podane), treść wiadomości | Resend DPA |
| OpenRouter.ai | Inferencja modeli językowych (generowanie treści, pipeline Workin'Agency) | US / EU (zależy od modelu) | SCC | Wyłącznie treści tekstowe (prompty, drafty); brak danych osobowych użytkowników końcowych | OpenRouter Privacy |
| Stripe Inc. | Obsługa płatności (pay4.workinflows.pl, bezplatnachmura.pl) | EU + US | EU-US DPF + SCC | Adres email, dane karty płatniczej, adres rozliczeniowy, adres IP | Stripe DPA |
| Cloudflare Inc. | CDN, ochrona DDoS, DNS, WAF | Global edge (nearest PoP) | EU-US DPF + SCC | Adres IP, nagłówki HTTP, metadane żądań (nie przechowywane długoterminowo) | Cloudflare DPA |
| ElevenLabs Inc. dodano 2026-05-30 |
Synteza mowy (voice clone Adi — wewnętrzny pipeline agencji) | US | SCC | Tekst do syntezy (brak danych osobowych użytkowników końcowych); głos Adiego jako model | ElevenLabs Privacy |
| DeepSeek (Beijing DeepSeek Artificial Intelligence Co., Ltd.) przez OpenRouter · dodano 2026-05-30 |
Inferencja LLM (pipeline Workin'Agency — role: coder, swarm) przez bramkę OpenRouter | Chiny | SCC (przez OpenRouter jako pośrednika) | Wyłącznie treści tekstowe (prompty, drafty agencyjne); brak danych osobowych użytkowników końcowych | OpenRouter Privacy |
| xAI Corp przez OpenRouter · dodano 2026-05-30 |
Inferencja LLM (pipeline Workin'Agency — model Grok, rola: reasoner) przez bramkę OpenRouter | US | SCC (przez OpenRouter) | Wyłącznie treści tekstowe (prompty, drafty agencyjne); brak danych osobowych użytkowników końcowych | OpenRouter Privacy |
| Moonshot AI (Beijing Moonshot AI Technology Co., Ltd.) przez OpenRouter · dodano 2026-05-30 |
Inferencja LLM (pipeline Workin'Agency — model Kimi, rola: strategist) przez bramkę OpenRouter | Chiny | SCC (przez OpenRouter jako pośrednika) | Wyłącznie treści tekstowe (prompty, drafty agencyjne); brak danych osobowych użytkowników końcowych | OpenRouter Privacy |
| Anthropic PBC dodano 2026-05-30 |
Orkiestracja AI (wyłącznie lokalne narzędzie deweloperskie Adiego — Claude Code na wf-vm). Żadne dane osobowe użytkowników końcowych nie są przekazywane | US | SCC | Wyłącznie kod, logi systemowe i specyfikacje projektowe (bez danych klientów) | Anthropic Privacy |
EU-US Data Privacy Framework (DPF): obowiązujący mechanizm transferu do USA od lipca 2023, zatwierdzony przez Komisję Europejską. Utrzymujemy równolegle Standard Contractual Clauses (SCC) jako zabezpieczenie dla kluczowych subprocesorów. Czcionki (Cabinet Grotesk, Zodiak, Clash Display): hostowane lokalnie na serwerze WF — brak transferu danych do zewnętrznych dostawców z tego tytułu.
Tabela retencji danych
| Kategoria danych | Okres przechowywania | Podstawa prawna | Gdzie |
|---|---|---|---|
| Email newsletter (aktywny subskrybent) | Do wycofania zgody | Zgoda — art. 6 ust. 1 lit. a RODO | Cloud SQL + Resend |
| Audit log newslettera | 6 lat | Obowiązek prawny — art. 6 ust. 1 lit. c RODO | Cloud SQL |
| Logi cookie consent | 12 miesięcy | Uzasadniony interes (rozliczalność) — art. 6 ust. 1 lit. f RODO | Cloud SQL |
| Historia chatu (chatbot) | Sesja przeglądarki (brak zapisu po stronie serwera) | Uzasadniony interes (jakość usługi) | Przeglądarka użytkownika |
| Faktury i dane transakcyjne | 6 lat | Obowiązek prawny — Ordynacja podatkowa | Cloud SQL + KSeF + Cloud Storage |
| Zapytania kontaktowe (formularz / email) | Do realizacji zapytania + 12 miesięcy | Uzasadniony interes — art. 6 ust. 1 lit. f RODO | Gmail / n8n / Cloud SQL |
| Logi systemowe (IP hash, UA) | 30 dni (rotacja) | Uzasadniony interes (bezpieczeństwo) — art. 6 ust. 1 lit. f RODO | Google Cloud Logging |
| Audit log AI disclosure | 12 miesięcy | Uzasadniony interes (rozliczalność AI Act) | Cloud SQL |
Zmiany listy subprocesorów
O istotnych zmianach listy subprocesorów informujemy przez aktualizację tej strony z nową datą. Subskrybenci newslettera otrzymają powiadomienie email przy dodaniu nowego subprocesora przetwarzającego dane subskrybentów.
Pytania dotyczące przetwarzania danych przez subprocesorów:
adi@workinflows.pl · Adrian Krawczyk · Workin'Flows · NIP 9721365392
Pełna polityka prywatności: workinflows.pl/polityka-prywatnosci