UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: „Umowa powierzenia") zawarta jest pomiędzy:

Podmiotem przetwarzającym: Marko Nowak, prowadzący działalność pod firmą Markonn Marko Nowak, ul. Mariana Maliny 5a/17, 41-200 Sosnowiec, NIP: 6443568932, REGON: 522854985 (dalej: „Podmiot przetwarzający" lub „Usługodawca"),

a Administratorem: przedsiębiorcą korzystającym z aplikacji Onbit Music na podstawie Regulaminu aplikacji (dalej: „Administrator" lub „Usługobiorca").

Umowa powierzenia stanowi Załącznik nr 1 do Regulaminu aplikacji Onbit Music (dalej: „Regulamin") dostępnego pod adresem https://onbitmusic.com/terms i wchodzi w życie z chwilą zawarcia umowy o dostarczanie usługi cyfrowej, tj. z chwilą rejestracji konta w Aplikacji.

Umowa powierzenia zawarta jest w związku z korzystaniem przez Administratora z usług świadczonych przez Podmiot przetwarzający za pośrednictwem aplikacji Onbit Music i reguluje zasady przetwarzania danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (dalej: „RODO").

Administrator powierza Podmiotowi przetwarzającemu przetwarzanie danych osobowych na zasadach i w celach określonych w niniejszej Umowie powierzenia, zgodnie z art. 28 RODO.

Podmiot przetwarzający przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega.

Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia usług na rzecz Administratora na podstawie Regulaminu aplikacji Onbit Music, tj. w celu umożliwienia Administratorowi korzystania z funkcjonalności Aplikacji.

Charakter przetwarzania: zbieranie, przechowywanie, udostępnianie, usuwanie danych osobowych w systemach informatycznych Podmiotu przetwarzającego.

Dane osobowe będą przetwarzane przez czas obowiązywania umowy o dostarczanie usługi cyfrowej, a po jej zakończeniu — do czasu trwałego usunięcia danych zgodnie z § 8 niniejszej Umowy powierzenia.

Kategorie osób, których dane dotyczą, oraz kategorie powierzonych danych osobowych określone są w Załączniku nr 1 do niniejszej Umowy powierzenia.

Podmiot przetwarzający zobowiązuje się do:

• przetwarzania powierzonych danych osobowych wyłącznie na udokumentowane polecenie Administratora;
• zapewnienia, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
• wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w szczególności takich jak: szyfrowanie danych, pseudonimizacja, kontrola dostępu, regularne testowanie i ocena środków bezpieczeństwa;
• udzielania pomocy Administratorowi — poprzez odpowiednie środki techniczne i organizacyjne — przy wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw określonych w RODO;
• udzielania pomocy Administratorowi w wypełnianiu obowiązków wynikających z art. 32–36 RODO (bezpieczeństwo, zgłaszanie naruszeń, ocena skutków dla ochrony danych, uprzednie konsultacje);
• niezwłocznego informowania Administratora — nie później niż w ciągu 24 godzin od wykrycia — o wszelkich naruszeniach ochrony danych osobowych, które mogą skutkować ryzykiem naruszenia praw lub wolności osób fizycznych;
• udzielania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO w terminie 14 dni od dnia otrzymania żądania;
• umożliwienia Administratorowi lub upoważnionemu przez niego audytorowi przeprowadzenia audytów lub inspekcji, pod warunkiem uprzedzenia Podmiotu przetwarzającego o zamiarze przeprowadzenia audytu z co najmniej 14-dniowym wyprzedzeniem;
• usunięcia lub zwrócenia Administratorowi wszelkich danych osobowych po zakończeniu świadczenia usług, zgodnie z § 8 niniejszej Umowy powierzenia.

Administrator zobowiązuje się do:

• przetwarzania danych osobowych powierzonych Podmiotowi przetwarzającemu wyłącznie w przypadku, gdy posiada ku temu ważną podstawę prawną zgodnie z RODO;
• niepolecania Podmiotowi przetwarzającemu wykonywania czynności przetwarzania danych osobowych, które naruszałyby przepisy RODO lub inne przepisy prawa dotyczące ochrony danych osobowych;
• niezwłocznego informowania Podmiotu przetwarzającego o wszelkich zmianach mających wpływ na realizację niniejszej Umowy powierzenia.

Administrator wyraża ogólną zgodę na dalsze powierzenie przetwarzania danych osobowych podpodmiotom przetwarzającym (podprocesorom). Podmiot przetwarzający informuje Administratora o wszelkich zmianach dotyczących dodania lub zastąpienia podpodmiotów przetwarzających z co najmniej 7-dniowym wyprzedzeniem, dając tym samym Administratorowi możliwość zgłoszenia sprzeciwu wobec takich zmian w terminie 7 dni.

Podmiot przetwarzający korzysta aktualnie z usług następujących podpodmiotów przetwarzających:

• Supabase Inc. (USA) — infrastruktura bazy danych i autentykacji;
• Stripe Inc. (USA) — obsługa płatności;
• Vercel Inc. (USA) — infrastruktura hostingowa aplikacji;
• Google LLC (USA) — usługi analityczne (Google Analytics);
• Resend Inc. (USA) — wysyłka poczty elektronicznej.

Podmiot przetwarzający zapewnia, że umowy z podpodmiotami przetwarzającymi nakładają na nie co najmniej takie same obowiązki ochrony danych, jak wynikające z niniejszej Umowy powierzenia. Transfer danych do podmiotów mających siedzibę poza Europejskim Obszarem Gospodarczym odbywa się na podstawie standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską.

Podmiot przetwarzający zobowiązuje się do zachowania w poufności wszelkich danych osobowych przetwarzanych na podstawie niniejszej Umowy powierzenia, zarówno w trakcie jej obowiązywania, jak i po jej zakończeniu.

Administrator zobowiązuje się do zachowania w poufności wszelkich informacji dotyczących środków technicznych i organizacyjnych stosowanych przez Podmiot przetwarzający, uzyskanych w toku audytów lub w inny sposób.

Niniejsza Umowa powierzenia obowiązuje przez czas trwania umowy o dostarczanie usługi cyfrowej zawartej na podstawie Regulaminu aplikacji Onbit Music. Rozwiązanie lub wygaśnięcie Regulaminu skutkuje jednoczesnym rozwiązaniem niniejszej Umowy powierzenia.

Po rozwiązaniu niniejszej Umowy powierzenia Podmiot przetwarzający, w terminie 14 dni roboczych od dnia rozwiązania, usunie lub zwróci Administratorowi wszelkie powierzone dane osobowe oraz usunie wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje dalsze przechowywanie danych osobowych.

Na żądanie Administratora Podmiot przetwarzający potwierdzi na piśmie (drogą elektroniczną) dokonanie usunięcia danych osobowych.

W sprawach nieuregulowanych niniejszą Umową powierzenia zastosowanie mają przepisy RODO oraz przepisy prawa polskiego.

Umowa powierzenia podlega prawu polskiemu. Wszelkie spory wynikające z niniejszej Umowy powierzenia będą rozstrzygane przez sąd powszechny właściwy dla siedziby Podmiotu przetwarzającego.

Integralną część niniejszej Umowy powierzenia stanowi Załącznik nr 1, który określa kategorie powierzonych danych osobowych i kategorie osób, których dane dotyczą.

Kategorie osób, których dane dotyczą:

• pracownicy, współpracownicy oraz inne osoby upoważnione przez Administratora do korzystania z Aplikacji,
• klienci i kontrahenci Administratora, których dane Administrator wprowadza do Aplikacji.

Kategorie powierzonych danych osobowych:

• dane identyfikacyjne: imię i nazwisko, nazwa firmy, NIP,
• dane kontaktowe: adres e-mail, numer telefonu,
• dane dostępowe: dane logowania (adres e-mail, zaszyfrowane hasło),
• dane o aktywności w Aplikacji: logi systemowe, historia odtworzeń.

Charakter danych: dane zwykłe (niebędące danymi szczególnych kategorii w rozumieniu art. 9 RODO).