Aktualizacja 2026-06-29

Rejestr subprocesorów

Lista zewnętrznych podmiotów przetwarzających dane osobowe w imieniu Polskiej Grupy Wierzytelności. Każda zmiana ogłaszana jest z 30-dniowym wyprzedzeniem (standard rynkowy, Stripe, Salesforce). W tym czasie klient korporacyjny może zgłosić sprzeciw zgodnie z umową powierzenia (DPA).

Subprocesorzy aktywni

Podmioty obecnie zaangażowane w przetwarzanie danych (część w środowisku sandbox).

Supabase

Supabase Inc.
HIGH Aktywny, DPA podpisane
Usługa
Managed PostgreSQL (DB), Storage (skany dokumentów), Auth. Tylko środowisko sandbox / demo. Docelowo zastępowane przez Azure (PostgreSQL Flexible Server + Blob + Entra ID).
Zakres danych
Pełen zakres aplikacji w danych syntetycznych: konta, sprawy, dokumenty. W sandbox wyłącznie dane testowe.
Lokalizacja
Unia Europejska (region do potwierdzenia)
DPA / status formalny
DPA podpisane 2026-05-22 (erratum w toku). Migracja do Azure PL, patrz „Planowane”.

Microsoft Azure OpenAI

Microsoft Corporation
HIGH Aktywny, DPA w toku
Usługa
Modele językowe (LLM) + embeddings dla asystenta prawnego, RAG w aktach i analizy dokumentów. Microsoft NIE używa danych klientów do trenowania modeli. Jedyny dostawca AI (brak modeli spoza Microsoft).
Zakres danych
Treść pytań i kontekst sprawy po anonimizacji: warstwa 1 regex (PESEL/NIP/IBAN/e-mail/telefon) + warstwa 2 NER (nazwiska/adresy/firmy).
Lokalizacja
EU. Poland Central (preferowany) / Sweden Central (fallback)
DPA / status formalny
DPA Azure OpenAI do podpisu (Microsoft Product Terms / DPA).

Microsoft Azure AI Language

Microsoft Corporation
HIGH Aktywny, DPA podpisane
Usługa
Rozpoznawanie i maskowanie danych osobowych (NER PII), druga warstwa anonimizacji przed wysłaniem do AI (nazwiska, adresy, nazwy firm). Fail-closed.
Zakres danych
Fragmenty tekstu kierowane do AI, w celu wykrycia i zamaskowania PII. Brak trwałego przechowywania.
Lokalizacja
EU. Sweden Central
DPA / status formalny
Objęte Microsoft DPA (Azure Cognitive Services).

Microsoft Azure Document Intelligence

Microsoft Corporation
HIGH Aktywny, DPA podpisane
Usługa
OCR dokumentów (faktury, umowy, pisma), ekstrakcja tekstu do dalszego przetwarzania.
Zakres danych
Treść wgranych dokumentów sprawy (skany). Wynik OCR zapisywany w naszej bazie.
Lokalizacja
EU. Sweden Central
DPA / status formalny
Objęte Microsoft DPA (Azure Cognitive Services).

Microsoft Azure Maps

Microsoft Corporation
MEDIUM Aktywny, DPA podpisane
Usługa
Geokodowanie i podpowiedzi adresów (countrySet=PL), wizualizacja na mapie. Klucz po stronie serwera (Managed Identity).
Zakres danych
Adresy (ulica, miasto, kod) przekazywane do geokodowania. Bez identyfikatorów osób.
Lokalizacja
EU (atlas.microsoft.com)
DPA / status formalny
Objęte Microsoft DPA (Azure Maps).

Microsoft Graph (Microsoft 365)

Microsoft Corporation
HIGH Aktywny, DPA w toku
Usługa
Wysyłka i odczyt poczty (powiadomienia, korespondencja) ze skrzynki organizacyjnej. Zastępuje wcześniejsze plany zewnętrznego mailera.
Zakres danych
Treść i adresaci wiadomości e-mail wysyłanych przez platformę.
Lokalizacja
Microsoft 365 (EU tenant)
DPA / status formalny
Objęte Microsoft DPA / Online Services Terms. Aktywacja za flagą po konfiguracji App Registration.

Planowane / warunkowe

Podmioty, które mogą zostać włączone w przyszłości po spełnieniu warunków (DPA + 30-dniowe wyprzedzenie).

Planowany

Microsoft Azure (PostgreSQL Flexible Server / Blob / Key Vault / Entra ID)

Docelowy hosting produkcyjny, przejęcie roli Supabase (DB/Storage/Auth) po migracji. Region Poland Central.

Część Azure Online Services Terms / Data Protection Addendum (Microsoft).

Planowany

Microsoft Azure Cache for Redis

Rozproszony rate-limiter (zastąpienie Upstash), region Poland Central, w granicy Microsoft/UE.

Część Azure Online Services Terms / DPA.

Planowany

Autenti

Kwalifikowany e-podpis umów (brak odpowiednika w usługach Microsoft). Aktywacja warunkowa, obecnie wyłączona flagą.

Wymaga podpisanego DPA + weryfikacji przed aktywacją.

Co NIE jest subprocesorem

Świadomie wyłączone z rejestru, z uzasadnieniem.

Web Push (VAPID)

Self-hosted. Powiadomienia idą bezpośrednio z naszego serwera do przeglądarki. Payload jest generyczny, bez treści, bez danych osobowych.

Microsoft Entra ID

System tożsamości administratora (Insignis Polska). Nie przetwarza danych klientów PGW w rozumieniu RODO art. 28.

Masz pytanie o przetwarzanie danych?

Skontaktuj się z naszym Inspektorem Ochrony Danych, odpowiadamy bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (RODO art. 12 ust. 3).

Aktualizacja 2026-06-29

Rejestr subprocesorów

Każda zmiana ogłaszana z 30-dniowym wyprzedzeniem, możesz zgłosić sprzeciw zgodnie z umową DPA.

Aktywni subprocesorzy

Supabase

Supabase Inc.

HIGH Aktywny, DPA podpisane
Usługa
Managed PostgreSQL (DB), Storage (skany dokumentów), Auth. Tylko środowisko sandbox / demo. Docelowo zastępowane przez Azure (PostgreSQL Flexible Server + Blob + Entra ID).
Dane
Pełen zakres aplikacji w danych syntetycznych: konta, sprawy, dokumenty. W sandbox wyłącznie dane testowe.
Lokalizacja
Unia Europejska (region do potwierdzenia)
DPA
DPA podpisane 2026-05-22 (erratum w toku). Migracja do Azure PL, patrz „Planowane”.

Microsoft Azure OpenAI

Microsoft Corporation

HIGH Aktywny, DPA w toku
Usługa
Modele językowe (LLM) + embeddings dla asystenta prawnego, RAG w aktach i analizy dokumentów. Microsoft NIE używa danych klientów do trenowania modeli. Jedyny dostawca AI (brak modeli spoza Microsoft).
Dane
Treść pytań i kontekst sprawy po anonimizacji: warstwa 1 regex (PESEL/NIP/IBAN/e-mail/telefon) + warstwa 2 NER (nazwiska/adresy/firmy).
Lokalizacja
EU. Poland Central (preferowany) / Sweden Central (fallback)
DPA
DPA Azure OpenAI do podpisu (Microsoft Product Terms / DPA).

Microsoft Azure AI Language

Microsoft Corporation

HIGH Aktywny, DPA podpisane
Usługa
Rozpoznawanie i maskowanie danych osobowych (NER PII), druga warstwa anonimizacji przed wysłaniem do AI (nazwiska, adresy, nazwy firm). Fail-closed.
Dane
Fragmenty tekstu kierowane do AI, w celu wykrycia i zamaskowania PII. Brak trwałego przechowywania.
Lokalizacja
EU. Sweden Central
DPA
Objęte Microsoft DPA (Azure Cognitive Services).

Microsoft Azure Document Intelligence

Microsoft Corporation

HIGH Aktywny, DPA podpisane
Usługa
OCR dokumentów (faktury, umowy, pisma), ekstrakcja tekstu do dalszego przetwarzania.
Dane
Treść wgranych dokumentów sprawy (skany). Wynik OCR zapisywany w naszej bazie.
Lokalizacja
EU. Sweden Central
DPA
Objęte Microsoft DPA (Azure Cognitive Services).

Microsoft Azure Maps

Microsoft Corporation

MEDIUM Aktywny, DPA podpisane
Usługa
Geokodowanie i podpowiedzi adresów (countrySet=PL), wizualizacja na mapie. Klucz po stronie serwera (Managed Identity).
Dane
Adresy (ulica, miasto, kod) przekazywane do geokodowania. Bez identyfikatorów osób.
Lokalizacja
EU (atlas.microsoft.com)
DPA
Objęte Microsoft DPA (Azure Maps).

Microsoft Graph (Microsoft 365)

Microsoft Corporation

HIGH Aktywny, DPA w toku
Usługa
Wysyłka i odczyt poczty (powiadomienia, korespondencja) ze skrzynki organizacyjnej. Zastępuje wcześniejsze plany zewnętrznego mailera.
Dane
Treść i adresaci wiadomości e-mail wysyłanych przez platformę.
Lokalizacja
Microsoft 365 (EU tenant)
DPA
Objęte Microsoft DPA / Online Services Terms. Aktywacja za flagą po konfiguracji App Registration.

Planowane / warunkowe

Planowany

Microsoft Azure (PostgreSQL Flexible Server / Blob / Key Vault / Entra ID)

Docelowy hosting produkcyjny, przejęcie roli Supabase (DB/Storage/Auth) po migracji. Region Poland Central.

Część Azure Online Services Terms / Data Protection Addendum (Microsoft).

Planowany

Microsoft Azure Cache for Redis

Rozproszony rate-limiter (zastąpienie Upstash), region Poland Central, w granicy Microsoft/UE.

Część Azure Online Services Terms / DPA.

Planowany

Autenti

Kwalifikowany e-podpis umów (brak odpowiednika w usługach Microsoft). Aktywacja warunkowa, obecnie wyłączona flagą.

Wymaga podpisanego DPA + weryfikacji przed aktywacją.

Co NIE jest subprocesorem

Web Push (VAPID)

Self-hosted. Powiadomienia idą bezpośrednio z naszego serwera do przeglądarki. Payload jest generyczny, bez treści, bez danych osobowych.

Microsoft Entra ID

System tożsamości administratora (Insignis Polska). Nie przetwarza danych klientów PGW w rozumieniu RODO art. 28.

Pytania o przetwarzanie danych?

Inspektor Ochrony Danych (IOD), odpowiadamy najpóźniej w ciągu miesiąca (RODO art. 12 ust. 3)