Hosting i podmioty przetwarzające (subprocesory)
Współpracujemy z jak najmniejszą liczbą zewnętrznych usługodawców. Ta strona jest miarodajną listą wszystkich podmiotów trzecich, które przetwarzają dane osobowe na zlecenie DeepScript – z celem, lokalizacją i gwarancjami.
Przegląd
Całą naszą infrastrukturę – aplikację, bazę danych, silnik transkrypcji, magazyn obiektów, kopie zapasowe – prowadzimy w centrach danych Hetzner w Niemczech. Dzięki temu dane treści pozostają pod prawem niemieckim i nie są przekazywane do państw trzecich. Amerykański dostawca chmury (AWS, Azure, GCP) w żadnym momencie nie ma dostępu do audio ani transkrypcji.
Jedyne przekazanie do państwa trzeciego następuje na potrzeby obsługi płatności przez Stripe – zabezpieczone standardowymi klauzulami umownymi UE oraz Data Privacy Framework (DPF).
Lista podmiotów przetwarzających (subprocesorów)
Hetzner Online GmbH
Zobacz DPA →Industriestr. 25, 91710 Gunzenhausen, Niemcy
- Cel
- Hosting aplikacji, przechowywanie danych, infrastruktura kopii zapasowych
- Kategorie danych
- Wszystkie dane przetwarzane w ramach usługi (audio, transkrypcje, dane konta, kopie zapasowe)
- Miejsce przetwarzania
- Norymberga i Falkenstein, Niemcy
- Przekazanie do państwa trzeciego
- Brak przekazywania do państw trzecich
- Gwarancje
- Certyfikat ISO/IEC 27001; zawarta umowa powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO
Stripe Payments Europe Ltd.
Zobacz DPA →1 Grand Canal Street Lower, Dublin 2, Irlandia
- Cel
- Obsługa płatności, fakturowanie, portal klienta do zarządzania kartami i SEPA
- Kategorie danych
- Imię i nazwisko, adres, NIP UE, e-mail, tokeny metod płatności, dane transakcji – brak dostępu do danych treści
- Miejsce przetwarzania
- UE (Irlandia); grupa macierzysta: USA
- Przekazanie do państwa trzeciego
- UE → USA: standardowe klauzule umowne UE (SCC) + certyfikacja DPF
- Gwarancje
- DPA zgodnie z art. 28 RODO; certyfikat PCI-DSS Level 1
Google Ireland Limited (Google Tag Manager / Analytics 4)
Zobacz DPA →Gordon House, Barrow Street, Dublin 4, Irlandia
- Cel
- Pomiar zasięgu strony marketingowej – odsłony stron, ścieżki kliknięć, stabilność techniczna. BRAK dostępu do obszaru po zalogowaniu, danych audio czy transkrypcji. Aktywacja wyłącznie po wyraźnej zgodzie (baner).
- Kategorie danych
- Adres IP (skrócony przez GA4), pseudonimowy identyfikator urządzenia (cookie _ga), wywołany adres URL, referrer, user agent
- Miejsce przetwarzania
- UE (Irlandia); grupa macierzysta: Google LLC, USA
- Przekazanie do państwa trzeciego
- UE → USA: standardowe klauzule umowne UE (SCC) + certyfikacja DPF
- Gwarancje
- DPA zgodnie z art. 28 RODO; aktywny tylko w środowisku produkcyjnym deepscript.com (nie w dev.deepscript.com); można go wyłączyć w każdej chwili przez link w stopce „Ustawienia plików cookie”
Zmiany i prawo do sprzeciwu
Klienci biznesowi z aktywną umową powierzenia przetwarzania danych są informowani e-mailem co najmniej 30 dni przed dodaniem nowego podmiotu przetwarzającego mającego dostęp do danych osobowych. Klientowi przysługuje w takim przypadku prawo do sprzeciwu z ważnego powodu w terminie 14 dni – w razie utrzymującego się braku zgody ma prawo do nadzwyczajnego wypowiedzenia umowy głównej.
Ta strona jest miarodajnym źródłem aktualnej listy. Jest aktualizowana niezwłocznie przy każdej zmianie i stanowi część każdego DPA (załącznik 3).
Czego świadomie NIE używamy
Następujący dostawcy nie są wykorzystywani w DeepScript – jako świadoma decyzja architektoniczna na rzecz suwerenności danych:
- · AWS, Azure, Google Cloud – brak amerykańskich hiperskalerów do przetwarzania treści
- · OpenAI, Anthropic, Google Gemini – brak zewnętrznych API AI do transkrypcji lub streszczania
- · Meta Pixel, Hotjar, Mixpanel – brak śledzenia marketingowego, brak nagrywania sesji
- · Intercom, Zendesk, Drift – brak zewnętrznego czatu wsparcia z przepływem danych
- · Mailchimp, HubSpot, Marketo – brak zewnętrznego stosu marketingowego z danymi konta
Google Tag Manager + Google Analytics 4 stosujemy wyłącznie na publicznie dostępnej stronie marketingowej, jedynie po wyrażeniu zgody w banerze cookie. W samej aplikacji (obszar po zalogowaniu, transkrypcje, edytor) nie odbywa się żadne śledzenie internetowe.
Pytania?
Napisz do nas na adres datenschutz@deepscript.com – odpowiadamy w ciągu jednego dnia roboczego.