Lista sub-procesorów ŁatwyZwrot.pl
Podstawa prawna: art. 28 ust. 2 i 4 RODO (Rozporządzenie UE 2016/679)
Aktualizacja: 19 maja 2026 · Wersja 1.0
Po co ta strona? Korzystając z Usługi ŁatwyZwrot.pl jako sklep (Administrator danych) powierzasz nam (Procesorowi) przetwarzanie danych osobowych Twoich Konsumentów. Aby świadczyć Usługę, korzystamy z usług zewnętrznych dostawców infrastruktury — tzw.
sub-procesorów. Zgodnie z art. 28 RODO oraz
Umową Powierzenia Danych (DPA) publikujemy tutaj ich pełną, aktualną listę.
Aktualni sub-procesorzy
Supabase Inc.Baza danych + Audit Trail
EU · Frankfurt
- Cel przetwarzania
- Trwałe przechowywanie konfiguracji sklepów Administratora i Audit Trail oświadczeń odstąpienia Konsumentów.
- Kategorie danych
- Identyfikator sklepu, e-mail Konsumenta, numer zamówienia, timestamp, IP, User-Agent, treść oświadczenia.
- Region danych
- eu-central-1 (Frankfurt, Niemcy) — region podstawowy. Brak transferu poza EOG.
- Podstawa współpracy
- Umowa DPA + Standardowe Klauzule Umowne (SCC).
- Certyfikacje
- SOC 2 Type II, HIPAA, ISO 27001.
- Polityka prywatności
- supabase.com/privacy
Railway Corp.Hosting backendu API
USA / EU
- Cel przetwarzania
- Hosting aplikacji backendowej (FastAPI), obsługującej żądania widgetu i Panelu Klienta.
- Kategorie danych
- Dane przetwarzane w pamięci serwera w trakcie obsługi żądania (logi sesji, dane formularza odstąpienia). Dane nie są trwale przechowywane na infrastrukturze Railway.
- Region danych
- Region UE (Amsterdam) — preferowany. Spółka matka z siedzibą w USA.
- Podstawa współpracy
- Umowa DPA + Standardowe Klauzule Umowne (SCC) + certyfikacja EU-US Data Privacy Framework.
- Certyfikacje
- SOC 2 Type II.
- Polityka prywatności
- railway.com/legal/privacy
Stripe Payments Europe LtdObsługa płatności
Irlandia / USA
- Cel przetwarzania
- Obsługa płatności abonamentowych za Usługę — wyłącznie dane Administratora (Klienta), nie Konsumentów końcowych.
- Kategorie danych
- Dane do faktury Administratora: NIP, nazwa firmy, adres, e-mail. Dane karty/przelewu obsługiwane bezpośrednio przez Stripe (nigdy nie trafiają do infrastruktury ŁatwyZwrot.pl).
- Region danych
- Dublin (Irlandia) — podmiot rozliczający dla UE. Replikacja do USA wyłącznie dla potrzeb anty-fraudowych.
- Podstawa współpracy
- Umowa DPA Stripe + Standardowe Klauzule Umowne (SCC) + certyfikacja EU-US Data Privacy Framework.
- Certyfikacje
- PCI DSS Level 1, SOC 1, SOC 2 Type II, ISO 27001.
- Polityka prywatności
- stripe.com/en-pl/privacy
Cloudflare Inc.CDN, DDoS, serwowanie widgetu
Globalna sieć · PoP w UE
- Cel przetwarzania
- Dostarczanie pliku
widget.js z najbliższego punktu obecności (PoP), ochrona przed atakami DDoS, terminacja TLS.
- Kategorie danych
- Adres IP Konsumenta i nagłówki HTTP w trakcie pobierania widgetu (przetwarzanie tranzytowe, bez trwałego zapisu).
- Region danych
- Globalna sieć z preferencją PoP w UE dla ruchu europejskiego. Spółka matka z siedzibą w USA.
- Podstawa współpracy
- Umowa DPA Cloudflare + Standardowe Klauzule Umowne (SCC) + certyfikacja EU-US Data Privacy Framework.
- Certyfikacje
- SOC 2 Type II, ISO 27001, ISO 27018, PCI DSS.
- Polityka prywatności
- cloudflare.com/privacypolicy
ℹ️ Pełna odpowiedzialność Procesora. Zgodnie z art. 28 ust. 4 RODO oraz Art. 5 ust. 3 naszej Umowy DPA, ŁatwyZwrot.pl ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania każdego sub-procesora wymienionego powyżej.
Transfery do państw trzecich
Część sub-procesorów (Railway, Stripe, Cloudflare) ma spółki matki z siedzibą w USA. Transfery danych poza Europejski Obszar Gospodarczy odbywają się wyłącznie na podstawie:
- Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją wykonawczą Komisji Europejskiej 2021/914;
- EU-US Data Privacy Framework — wszyscy ww. dostawcy są aktywnie certyfikowani;
- Transfer Impact Assessment (TIA) przeprowadzonego dla każdego dostawcy zgodnie z rekomendacjami EROD 01/2020.
Tam, gdzie jest to technicznie możliwe, Procesor wybiera regiony przetwarzania w UE (Frankfurt, Amsterdam, Dublin) i ogranicza transfery do USA do absolutnego minimum.
Powiadomienia o zmianach
Zgodnie z Art. 5 ust. 5–6 Umowy DPA:
- O zamiarze dodania lub zmiany sub-procesora Procesor informuje Administratora z minimum 30-dniowym wyprzedzeniem — drogą e-mailową na adres kontaktowy Administratora oraz przez aktualizację tej strony.
- Administrator ma 30 dni na zgłoszenie uzasadnionego sprzeciwu.
- W razie braku porozumienia Administrator może wypowiedzieć umowę główną z proporcjonalnym zwrotem niewykorzystanej opłaty rocznej.
⚠️ Subskrypcja powiadomień. Aby otrzymywać powiadomienia o zmianach sub-procesorów, zaloguj się do Panelu Klienta i włącz opcję „Powiadomienia DPA" w sekcji Ustawienia → Zgodność. Alternatywnie napisz na
kontakt@latwyzwrot.pl z prośbą o dodanie do listy mailingowej.
Historia zmian
Wersja 1.0 — 19 maja 2026
- Publikacja początkowej listy: Supabase, Railway, Stripe, Cloudflare.
- Status placeholderów z DPA: dostawca e-mail transakcyjnego i monitoringu błędów zostaną dodani przed pierwszym wdrożeniem produkcyjnym, z osobnym powiadomieniem 30-dniowym dla istniejących Klientów.
Kontakt w sprawach ochrony danych
Wszelkie pytania dotyczące przetwarzania danych przez sub-procesorów, transferów do państw trzecich lub realizacji praw podmiotów danych prosimy kierować na: