ZAUFANIE · SUBPROCESORZY

Publiczna lista
subprocesorów.

RODO Art. 28 wymaga transparentności w zakresie subprocesorów, których używamy do świadczenia Ci usługi. Publikujemy tutaj pełną listę, ich lokalizację, cel oraz podpisane umowy z każdym z nich. Powiadamiamy Cię e-mailem z 30-dniowym wyprzedzeniem o każdej zmianie.

Zobacz cennik Subskrybuj powiadomienia

Dlaczego publikujemy tę listę

Jako podmiot przetwarzający Twoje dane osobowe oraz dane inwentaryzacyjne Twoich endpointów, Itrion Software zobowiązuje się nie zawierać umów z subprocesorami bez Twojej wiedzy. RODO Art. 28(2) wymaga uprzedniej szczegółowej lub ogólnej pisemnej autoryzacji przed zawarciem umowy z innym podmiotem przetwarzającym. Działamy na podstawie ogólnej autoryzacji z 30-dniowym uprzedzeniem, co pozwala Ci wnieść sprzeciw i, w stosownych przypadkach, rozwiązać umowę, jeśli nie akceptujesz.

Lista ta została ostatnio zaktualizowana 4 maja 2026 r. Każda zmiana (dodanie nowego subprocesora, zmiana lokalizacji, zakończenie współpracy z subprocesorem) jest powiadamiana e-mailem na adres kontaktowy DPO/CISO Twojej organizacji zarejestrowany w umowie. Jeśli nie podałeś nam kontaktu technicznego/prawnego, powiadamiamy głównego administratora tenanta.

Dla wszystkich subprocesorów: podpisana umowa RODO Art. 28, SCC (Standardowe Klauzule Umowne) gdy ma zastosowanie transfer międzynarodowy, prawo do rocznego audytu dokumentowego, obowiązek zgłaszania incydentów do Itrion w mniej niż 24h, obowiązek spełniania tego samego poziomu ochrony, jaki Itrion oferuje swoim klientom.

OBECNI SUBPROCESORZY

Lista aktywnych subprocesorów

Itrion Datacenter Madrid (PROD1)

Serwer dedykowany w centrum danych ITrion z dostępnością 99,99%. Lokalizacja: Madryt, Hiszpania. Cel: główny hosting klastra Kubernetes Itamite. Umowa Art. 28 + standardowy DPA. Bez transferu międzynarodowego.

Hetzner Online GmbH (Mirror Frankfurt)

Infrastruktura cloud dla węzła gorącej repliki klastra. Lokalizacja: Frankfurt, Niemcy. Cel: failover i rozproszony backup. Umowa Art. 28 + DPA Hetzner. Bez transferu międzynarodowego (DE intra-UE).

OVHcloud (Backup Roubaix)

Pamięć zgodna z S3 dla szyfrowanych kopii zapasowych. Lokalizacja: Roubaix, Francja. Cel: kopia off-site szyfrowana AES-256. Umowa Art. 28 + DPA OVH + SCC. Bez transferu poza UE (FR).

Mailcow (własna instancja ITrion)

Samodzielnie hostowany serwer e-mail do wysyłania powiadomień produktowych (alerty, raporty, faktury). Lokalizacja: Madryt, Hiszpania. Cel: email transakcyjny i powiadomienia. Bez stron trzecich, bez transferu międzynarodowego.

SMTP2GO Limited

Zapasowy dostawca SMTP dla zapewnienia dostarczalności. Lokalizacja: Nowa Zelandia i Stany Zjednoczone. Cel: failover SMTP, jeśli Mailcow nie dostarczy. Umowa Art. 28 + SCC + decyzja stwierdzająca odpowiedni stopień ochrony (adekwatność NZ w trakcie przeglądu). Tylko transakcyjne wiadomości produktowe, bez treści tenanta.

Stripe Payments Europe Ltd

Bramka płatnicza do przetwarzania kart. Lokalizacja: Dublin, Irlandia (siedziba UE). Cel: WYŁĄCZNIE przetwarzanie płatności jednorazowych (PaymentIntent + SetupIntent), nie przechowujemy tokenów ani nie używamy Stripe Subscriptions. Umowa Art. 28 + SCC.

Opcjonalni subprocesorzy (Enterprise)

Dla klientów Enterprise mogą zostać aktywowani dodatkowi subprocesorzy w zależności od wybranej konfiguracji: AWS KMS / Azure Key Vault / GCP KMS dla BYOK (zarządzanie kluczami szyfrującymi klienta, lokalizacja wybrana przez klienta). Certyfikowane centrum danych medycznych w Madrycie lub Frankfurcie dla HIPAA-eligible (+25% do taryfy). Hosting on-premise air-gapped (bez zewnętrznych subprocesorów, infrastruktura klienta). Dla przypadków specyficznych: przejrzeć indywidualną umowę Enterprise.

  • Powiadomienie e-mail: 30 dni przed jakąkolwiek zmianą
  • Umowa Art. 28 + DPA + SCC: podpisana ze wszystkimi subprocesorami
  • Audyt dokumentowy: prawo do rocznej rewizji
  • Główni subprocesorzy: 100% na terytorium UE
  • Dla Enterprise: indywidualna rewizja każdego nowego subprocesora
FAQ

Pytania o subprocesorów

Czy muszę akceptować wszystkich subprocesorów?
Domyślnie tak (autoryzacja ogólna). Dla Enterprise: Twój DPA może zawierać klauzulę szczegółowej akceptacji każdego subprocesora. Jeśli nie akceptujesz nowego subprocesora: masz prawo sprzeciwu i, jeśli nie oferujemy alternatywy, prawo do rozwiązania umowy bez kar.
Jak powiadamiacie mnie o zmianach?
E-mailem na adres DPO/CISO/kontaktu technicznego zarejestrowany w Twojej umowie. Jeśli nie podałeś kontaktu: do głównego administratora tenanta. Powiadomienie 30 dni przed zmianą, z opisem nowego subprocesora, lokalizacją, celem i podpisaną umową.
Czy mogę zażądać umowy Art. 28 z konkretnymi subprocesorami?
Nie bezpośrednio. Umowę Art. 28 podpisuje Itrion z subprocesorami w Twoim imieniu. Ale masz prawo do wglądu w podpisane umowy (klauzula audytu dokumentowego). Pod NDA możemy udostępnić kopie do Twojej rewizji prawnej.
A jeśli chcę subprocesora, którego nie ma na liście?
Dla przypadków Enterprise: możemy zintegrować konkretnego subprocesora, jeśli wymaga tego Twoja organizacja (BYOK z Twoim KMS, Twoje centrum danych on-premise, integracja z Twoim LDAP/SSO). Koszt i termin według przypadku. Kontakt enterprise@itamite.com.

Subskrybuj powiadomienia

Otrzymuj automatyczne e-maile, gdy dodajemy, zmieniamy lub usuwamy subprocesorów. Zgodność RODO gwarantowana.

Zobacz cennik Subskrybuj