Version 1.0 · Effective 2026-07-01

SUBPROCESSOR LIST

This is a bilingual disclosure; current provider contracts and mandatory law determine legal roles.

Lista Podmiotów Przetwarzających i kluczowych odbiorców SERVED

Wersja: 1.0

Stan na: 2026-07-01

Kontakt do sprzeciwu lub pytań: test3@example.com

Ta lista wskazuje aktywnych dostawców produkcyjnych Platformy SERVED. Rozróżnia podmioty przetwarzające dane na polecenie SERVED od niezależnych odbiorców, w szczególności regulowanych Operatorów Płatności. Samo umieszczenie dostawcy na liście nie zmienia roli wynikającej z prawa i konkretnej usługi.

1. Jak rozumieć lokalizację

„Region UE” oznacza miejsce głównego zasobu wybrane przez SERVED. Nie oznacza, że wszystkie metadane konta, wsparcie, bezpieczeństwo, globalna dystrybucja lub każdy podwykonawca pozostają wyłącznie w UE. Dla dostępu spoza EOG stosujemy odpowiednio:

Dokładny mechanizm i lista dalszych podwykonawców wynikają również z aktualnej, zaakceptowanej umowy danego dostawcy. SERVED zachowuje ich kopie w rejestrze dostawców.

2. Podprocesorzy używani dla Danych Obiektu

Dostawca i podmiot umowny Usługa i zakres danych Główna konfiguracja / możliwy dostęp Mechanizm transferu poza EOG
Supabase, Inc. zarządzana baza PostgreSQL, uwierzytelnianie, Storage, logi techniczne; konto, rezerwacje, CRM, pliki i dane użytkowników według funkcji Obiektu projekt produkcyjny w regionie UE; amerykański podmiot i globalni podwykonawcy/wsparcie mogą mieć ograniczony dostęp DPA i SCC; DPF tylko w zakresie aktualnie zweryfikowanej certyfikacji
Netlify, Inc. hosting aplikacji, build, serverless/edge i CDN; żądania HTTP, IP, nagłówki, treść publiczna i ograniczone payloady funkcji globalny CDN; podmiot USA i lokalizacje podwykonawców DPA/SCC oraz DPF, jeśli aktualna certyfikacja obejmuje usługę; minimalizacja payloadów
Plus Five Five, Inc. (Resend) dostarczanie e-maili transakcyjnych; adres, treść potwierdzenia, status dostarczenia i techniczne metadane główne operacje w USA zgodnie z DPA Resend SCC w DPA; DPF po sprawdzeniu certyfikacji; minimalizacja treści i retencji
Upstash, Inc. rate limiting, kolejki/cache i ochrona przed nadużyciami; klucz pseudonimowy, licznik, czas i ograniczone metadane zasoby produkcyjne w regionie UE; konto/wsparcie i podwykonawcy mogą obejmować USA DPA/SCC; DPF tylko, jeśli aktualnie właściwe; zakaz niepotrzebnej treści Gościa w cache
Plausible Insights OÜ cookieless analityka strony marketingowej; zagregowane żądania wizyt bez własnego trwałego identyfikatora Estonia/UE w wybranej usłudze; dalsi dostawcy zgodnie z polityką Plausible przetwarzanie podstawowe w EOG; ewentualne dalsze transfery na zabezpieczeniu z umowy
PostHog, Inc. analityka zalogowanego produktu po wymaganej zgodzie; allowlista zdarzeń i właściwości PostHog EU Cloud; podmiot USA i wsparcie/podwykonawcy mogą mieć dostęp DPA/SCC oraz DPF, jeśli aktualna certyfikacja obejmuje dane; session replay wyłączone
Anthropic Ireland, Limited komercyjne API AI dla publicznego VVS i zminimalizowanych dokumentów Obiektu; bez surowych danych Gości/personelu i danych szczególnych umowa z podmiotem w Irlandii; przetwarzanie i podwykonawcy mogą obejmować USA; standardowa retencja API do 30 dni, o ile nie uzgodniono inaczej DPA Anthropic, SCC/odpowiednia decyzja dla dalszego transferu; trening i feedback z treścią klienta wyłączone

3. Dostawcy publicznych danych i map

Dostawca Rola i dane Lokalizacja / transfer Ograniczenia SERVED
Google Maps Platform / Places — właściwy podmiot Google wskazany w warunkach konta mapy, geokodowanie i publiczne dane miejsc; Google może działać jako procesor lub niezależny administrator zależnie od funkcji globalna infrastruktura; DPA Google Cloud/SCC i DPF, gdy właściwe i aktualne ograniczenie kluczy API, brak danych zdrowotnych i zbędnych danych Gościa w zapytaniach
SerpApi, LLC pobieranie wyników publicznego wyszukiwania dla Growth Scan/VVS; zapytanie, źródło i metadane techniczne USA i podwykonawcy wskazani przez dostawcę zapytania dotyczą publicznych Obiektów, nie Gości lub personelu; przed przesłaniem danych osobowych wymagany DPA i ważny mechanizm transferu

Jeżeli dostawca publicznych danych otrzymuje Dane Osobowe Administratora na polecenie Obiektu, jest traktowany jako Podprocesor w tym konkretnym zakresie i podlega DPA. Standardowa konfiguracja SERVED nie wysyła do tych usług treści rezerwacji, danych zdrowotnych ani pełnych identyfikatorów Gości.

4. Operatorzy Płatności i inni niezależni odbiorcy

Dostawca Rola Zakres
Stripe Payments Europe, Limited oraz właściwe spółki Stripe Operator Płatności zakontraktowany przez Obiekt; może być niezależnym administratorem dla płatności, KYC, oszustw i obowiązków regulacyjnych oraz procesorem w funkcjach określonych umową dane płatnika, instrument płatniczy przechowywany przez Stripe, zamówienie, kwota, KYC i sygnały ryzyka; SERVED otrzymuje tylko ograniczony identyfikator i status, nie pełny numer karty
PayU S.A. oraz właściwe spółki grupy PayU Operator Płatności zakontraktowany przez Obiekt; odrębne role wynikają z umowy i prawa płatniczego dane płatnika, instrument płatniczy przechowywany przez PayU, kwota, zamówienie, KYC i przeciwdziałanie oszustwom; SERVED otrzymuje ograniczony status i identyfikator
doradcy, audytorzy, ubezpieczyciele, sądy i organy odbiorca na podstawie poufności, uzasadnionego interesu lub obowiązku prawnego tylko adekwatny zakres wymagany do doradztwa, roszczenia, audytu, obowiązku lub wiążącego żądania

Obiekt jest wyłącznym sprzedawcą i stroną umowy płatniczej. Środki Gościa trafiają bezpośrednio do rozliczenia Obiektu u Operatora Płatności. SERVED nie posiada tych środków i nie otrzymuje pełnych danych karty.

5. Nieaktywni lub przyszli dostawcy

Następujące podmioty nie są aktywnymi podprocesorami na starcie i nie otrzymują danych produkcyjnych na tej podstawie:

Aktywacja wymaga oceny roli, DPA, bezpieczeństwa, transferu, konfiguracji i wcześniejszej aktualizacji tej listy tam, gdzie są Podprocesorem.

6. Zawiadomienie i sprzeciw

Obiekty otrzymają co najmniej 15 dni wcześniejszego zawiadomienia o nowym lub zastępowanym Podprocesorze na e-mail administratora konta albo przez Platformę.

Obiekt może przed datą zmiany przesłać na test3@example.com uzasadniony sprzeciw dotyczący konkretnego ryzyka ochrony danych.

SERVED i Obiekt poszukają środka, alternatywy lub dodatkowego zabezpieczenia. Jeśli ryzyka nie da się rozsądnie rozwiązać, Obiekt może bez kary zakończyć dotkniętą funkcję albo, gdy nie da się jej oddzielić, umowę przed rozpoczęciem przetwarzania przez nowy podmiot.

Zmiana niezależnego Operatora Płatności wybieranego i kontraktowanego przez Obiekt jest również komunikowana produktowo, ale nie stanowi zmiany Podprocesora w zakresie, w którym operator działa bezpośrednio dla Obiektu.

7. Historia zmian

Data Wersja Zmiana
2026-07-01 1.0 Pierwsza lista produkcyjna: Supabase, Netlify, Stripe, PayU, Resend, Upstash EU, Google Maps/Places, SerpApi, Plausible, PostHog EU i Anthropic Ireland, Limited.

SUBPROCESSOR LIST

This is a bilingual disclosure; current provider contracts and mandatory law determine legal roles.

SERVED Subprocessor and Key Recipient List

Version: 1.0

Current at: 2026-07-01

Objections or questions: test3@example.com

This list identifies active production providers for the SERVED Platform. It distinguishes processors acting on SERVED instructions from independent recipients, particularly regulated Payment Providers. Listing a provider does not alter the role arising from law and the particular service.

1. Reading location information

“EU region” means the location selected for a main SERVED resource. It does not mean that all account metadata, support, security, global delivery or every downstream provider stays only in the EU. For access outside the EEA we use as appropriate:

The exact mechanism and downstream list also follow the current accepted provider agreement. SERVED keeps copies in its vendor register.

2. Subprocessors used for Venue Data

Provider and contracting entity Service and data scope Main configuration / possible access Non-EEA transfer mechanism
Supabase, Inc. managed PostgreSQL, authentication, Storage and technical logs; account, reservation, CRM, file and user data according to Venue features production project in an EU region; the US entity and global support/subprocessors may have limited access DPA and SCCs; DPF only to the extent current certification is verified
Netlify, Inc. application hosting, build, serverless/edge and CDN; HTTP requests, IP, headers, public content and limited function payloads global CDN; US entity and subprocessor locations DPA/SCCs and DPF if current certification covers the service; payload minimisation
Plus Five Five, Inc. (Resend) transactional email; address, confirmation content, delivery status and technical metadata primary operations in the US under Resend's DPA SCCs in the DPA; DPF after certification check; content and retention minimisation
Upstash, Inc. rate limiting, queues/cache and abuse protection; pseudonymous key, counter, time and limited metadata production resources in an EU region; account/support and providers may involve the US DPA/SCCs; DPF only where currently applicable; no unnecessary Guest content in cache
Plausible Insights OÜ cookieless marketing-site analytics; aggregated visit requests without SERVED's persistent user ID Estonia/EU for the selected service; downstream providers under Plausible policy core EEA processing; any onward transfer on contractual safeguards
PostHog, Inc. logged-in product analytics after required consent; allowlisted events and properties PostHog EU Cloud; US entity and support/providers may access DPA/SCCs and DPF if current certification covers data; session replay disabled
Anthropic Ireland, Limited commercial AI API for public VVS and minimised Venue documents; no raw Guest/staff or special-category data Irish contract; processing/providers may involve the US; standard API retention up to 30 days unless otherwise agreed Anthropic DPA and SCC/adequacy for onward transfers; customer-content training and content feedback off

3. Public-data and map providers

Provider Role and data Location / transfer SERVED restrictions
Google Maps Platform / Places — the Google entity in the account terms maps, geocoding and public place data; Google may be processor or independent controller by function global infrastructure; Google Cloud DPA/SCC and DPF where current and applicable API-key restrictions; no health or unnecessary Guest data in queries
SerpApi, LLC public search retrieval for Growth Scan/VVS; query, source and technical metadata US and providers identified by SerpApi public-Venue queries, not Guest/staff queries; DPA and valid transfer mechanism required before personal data is sent

If a public-data provider receives Controller Personal Data on Venue instruction, it is treated as a Subprocessor for that scope and is subject to the DPA. Standard SERVED configuration does not send reservation content, health data or full Guest identifiers to these services.

4. Payment Providers and independent recipients

Provider Role Scope
Stripe Payments Europe, Limited and relevant Stripe entities Payment Provider directly contracted by the Venue; may be independent controller for payment, KYC, fraud and regulation, and processor for functions in its contract payer data, payment instrument stored by Stripe, order, amount, KYC and risk signals; SERVED receives a limited ID and status, not full card number
PayU S.A. and relevant PayU group entities Payment Provider directly contracted by the Venue; roles follow its agreement and payment law payer data, payment instrument stored by PayU, amount, order, KYC and fraud prevention; SERVED receives limited status and ID
advisers, auditors, insurers, courts and authorities recipient under confidentiality, legitimate interest or legal duty only the adequate scope needed for advice, claim, audit, duty or binding request

The Venue is sole seller and party to the payment agreement. Guest funds settle directly to the Venue through its Payment Provider. SERVED does not hold those funds or receive full card details.

5. Inactive or future providers

The following are not active launch subprocessors and do not receive production data on that basis:

Activation requires role, DPA, security, transfer and configuration review and advance list update where the provider is a Subprocessor.

6. Notice and objection

Venues receive at least 15 days' advance notice of a new or replacement Subprocessor by account-administrator email or the Platform.

Before the change date, a Venue may send a reasoned objection about a concrete data-protection risk to test3@example.com.

SERVED and the Venue will seek a measure, alternative or safeguard. If the risk cannot reasonably be resolved, the Venue may terminate the affected feature without penalty or, if inseparable, the agreement before processing begins.

A change in an independent Payment Provider selected and contracted by the Venue is also communicated in-product but is not a Subprocessor change where it acts directly for the Venue.

7. Change history

Date Version Change
2026-07-01 1.0 Initial production list: Supabase, Netlify, Stripe, PayU, Resend, Upstash EU, Google Maps/Places, SerpApi, Plausible, PostHog EU and Anthropic Ireland, Limited.