Lista podprocesorów (List of Subprocessors)
W celu realizacji usług Asystio korzysta z zewnętrznych dostawców – podmiotów przetwarzających dane osobowe w imieniu Usługodawcy. Poniżej przedstawiamy aktualną listę tych podprocesorów, wraz z opisem powierzonych im czynności i mechanizmami ochrony danych:
- Google Cloud Platform (Google Ireland Ltd.) – Hosting, infrastruktura chmurowa oraz AI (Vertex AI / Gemini). Wszystkie dane aplikacji Asystio (bazy danych, pliki) są przechowywane na serwerach GCP zlokalizowanych w UE (regiony: europe-west4 Holandia i europe-central2 Polska). Google działa jako podprocesor zapewniający infrastrukturę (IaaS/PaaS) oraz usługi generatywnej sztucznej inteligencji (Gemini). Google zapewnia zgodność z RODO na podstawie zawartych standardowych klauzul umownych i własnej umowy przetwarzania danych. Jest certyfikowany m.in. na ISO 27001.
- Firebase (Google Ireland Ltd.) – Platforma front-endowa i mobilna. Interfejs użytkownika Asystio korzysta z usług Firebase (hosting, autentykacja). Firebase jest częścią Google Cloud – dane przez niego przetwarzane również rezydują w centrach danych Google w UE.
- Resend, Inc. – Usługa e-mail (transakcyjne wiadomości). Resend to dostawca API do wysyłania e-maili transakcyjnych. Dane przekazywane: adresy e-mail użytkowników i treść komunikatów. Transfer do USA objęty jest Standardowymi Klauzulami Umownymi (SCC 2021).
- Infobip (Infobip Ltd.) – Usługi SMS, 2FA i Voice (konto centralne Asystio). Dane: numery telefonów, treść wiadomości, metadane dostarczenia. Transfer odbywa się w oparciu o Standardowe Klauzule Umowne tam, gdzie dane opuszczają EOG.
- ElevenLabs, Inc. – Synteza i transkrypcja głosu dla recepcjonistki AI. Dane: nagrania głosu, transkrypcje. Obecnie endpoint standardowy (nie-EU); transfer poza EOG na podstawie SCC, dane głosowe minimalizowane, bez trenowania modeli na danych Asystio. Migracja na endpoint EU planowana wraz z rozwojem komercyjnym.
- Autopay S.A. – Operator płatności wdrażany dla ścieżek objętych integracją, w tym wybranych płatności kartowych i subskrypcyjnych. Dane: metadane płatności, dane rozliczeniowe, statusy transakcji oraz metadane zgody na płatności cykliczne. Autopay zostanie oznaczony jako produkcyjnie aktywny po potwierdzeniu live i podpisaniu albo zaakceptowaniu właściwej umowy powierzenia.
- Stripe – Operator płatności dla ścieżek legacy/migration oraz wybranych samoobsługowych płatności lub doładowań, dopóki istnieją aktywne linki i procesy Stripe. Dane: metadane płatności, dane rozliczeniowe, statusy transakcji. Transfer poza EOG odbywa się na podstawie Standardowych Klauzul Umownych.
- Meta Platforms Ireland Ltd. (Facebook Messenger API) – Integracja z Messengerem. Jeśli Klient zintegruje chatbota z Facebook Messenger, dane (wiadomości) przepływają przez serwery Meta. Meta działa jako niezależny administrator (usługa komunikatora) oraz procesor (API).
- Inni podprocesorzy (pomocnicze usługi):
- Microsoft Azure (Microsoft Ireland) – Usługi pomocnicze (np. specyficzne usługi kognitywne nieobsługiwane przez Gemini). Dane: fragmenty tekstu/audio, bez trwałego przechowywania. Transfer w EOG.
- Cloudflare, Inc. – CDN i bezpieczeństwo. Przetwarza adresy IP i zapytania HTTP. Serwery globalne.
(Lista może być aktualizowana – aktualna wersja zawsze dostępna pod adresem: asystio.pl/subprocessors. Zmiany notyfikujemy zgodnie z DPA.)
Gwarancje ochrony
Wszyscy powyżsi podprocesorzy zostali zweryfikowani pod kątem spełniania wymogów bezpieczeństwa i zgodności z RODO. Z każdym zawarto stosowną umowę powierzenia. Tam, gdzie zachodzi przekazywanie danych poza EOG, wdrożono mechanizmy zgodne z Rozdz. V RODO (SCC, ewentualnie dodatkowe środki jak szyfrowanie).
Procedura dodawania/zmiany podprocesora
Jeśli zamierzamy zatrudnić nowego podprocesora lub zmienić istniejącego, poinformujemy o tym Klientów z co najmniej 14-dniowym wyprzedzeniem. Jeżeli Klient nie wyraża zgody na nowego podprocesora, ma prawo w tym terminie wypowiedzieć umowę (lub zgłosić sprzeciw).
English summary
This section lists all external subprocessors Asystio uses to deliver its service: Google Cloud (hosting & Gemini AI in EU data centers), Firebase (frontend), Resend (email API), Infobip (SMS/Voice infrastructure), Autopay and Stripe (payment processing), Meta (Messenger integration), and Cloudflare/Azure (auxiliary services). We DO NOT use OpenAI - all AI processing is handled via Google's Vertex AI (Gemini). All subprocessors are vetted for security and GDPR compliance.
Aktywni podprocesorzy
| Provider | Status | Region | EEA transfer | Purpose |
|---|---|---|---|---|
| Google Cloud / Firebase | active | EU-first; project services configured for EU where supported | no-by-default | Hosting, authentication, storage, App Check and platform services. |
| Firebase Data Connect | active | europe-central2 | no-by-default | SQL/Data Connect application data layer. |
| Vertex AI / Gemini | active | europe-west4 for PII/core workloads | no-by-default | AI processing for Asystio product features. |
| Infobip | active | EU data centre where available | depends-on-region | Transactional SMS, 2FA codes, and voice/number lookup (platform-funded, central account). |
| Resend | active | provider infrastructure (US-based) | yes | Transactional email delivery (platform-funded, central account). |
| ElevenLabs | active | standard/global endpoint (NOT EU-residency) | yes | Voice I/O for the AI receptionist: text-to-speech, optional speech-to-text, conversation transport. |
| PostHog EU | active | EU | no-by-default | Product analytics, masked session replay and /mirror surveys. |
| Sentry EU | active | EU ingest | no-by-default | Error and performance observability. |
| Anthropic (Claude) via Google Vertex AI | active | europe (served through Google Vertex AI partner models, EU endpoint) | no-by-default | Premium deep-reasoning model (Claude Opus), offered to users who need it; gated/feature-flagged. |
| Autopay | implementing | Poland/EU | no-by-default | Payment processing for checkout paths covered by the Autopay rollout, including card and subscription payment metadata. |
| Stripe | legacy/migration | Stripe infrastructure | yes | Legacy/migration payment paths, selected self-service payments and top-ups while active Stripe links and processes exist. |