Smlouva o zpracování údajů

Tato Smlouva o zpracování údajů („DPA") je uzavřena mezi organizátorem akce („Správce", „vy") a ChetsApp UG provozující platformu EventMann („Zpracovatel", „my", „nás"). Tato DPA doplňuje Smlouvu s organizátorem a Podmínky služby.

V celém textu této DPA platí následující definice:

• Správce: Organizátor akce, který určuje účely a prostředky zpracování osobních údajů účastníků. Když vytváříte akce a shromažďujete informace o účastnících prostřednictvím EventMann, jste Správcem.
• Zpracovatel: ChetsApp UG (EventMann), který zpracovává osobní údaje jménem Správce v souvislosti s poskytováním služeb platformy EventMann.
• Subjekt údajů: Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje jsou zpracovávány. V kontextu EventMann jsou subjekty údajů především účastníci akcí.
• Osobní údaje: Jakékoli informace týkající se subjektu údajů, včetně jmen, e-mailových adres, informací o rezervaci a odpovědí na vlastní otázky při placení.
• Zpracování: Jakákoli operace prováděná s osobními údaji, včetně shromažďování, ukládání, vyhledávání, použití, zpřístupnění, kombinování, výmazu nebo zničení.
• Dílčí zpracovatel: Třetí strana zapojená Zpracovatelem ke zpracování osobních údajů jménem Správce.

Tato DPA se vztahuje na veškeré zpracování osobních údajů, které ChetsApp UG provádí jménem Správce v souvislosti s platformou EventMann. Zpracovatel bude zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Správce, s výjimkou případů, kdy zpracování vyžaduje právo EU nebo členského státu.

Zpracování pokryté touto DPA zahrnuje:

• Ukládání a správu údajů o registraci a rezervaci účastníků
• Zpracování nákupů vstupenek a platebních transakcí (ve spojení se Stripe)
• Zasílání transakčních e-mailů jménem Správce (potvrzení rezervace, doručení vstupenek, aktualizace akcí)
• Generování reportů a analýz na základě údajů o účastnících a rezervacích
• Zprostředkování procesů odbavení prostřednictvím validace QR kódů
• Ukládání a doručování odpovědí na vlastní otázky při placení definované Správcem

Zpracovatel nebude zpracovávat osobní údaje pro žádný jiný účel než poskytování služeb platformy EventMann, jak je popsáno v této DPA a Smlouvě s organizátorem, pokud k tomu Správce výslovně neinstruuje nebo pokud to nevyžaduje platný zákon.

V rámci této DPA jsou zpracovávány následující kategorie osobních údajů:

Identifikační údaje účastníků:

• Celé jméno
• E-mailová adresa
• Telefonní číslo (pokud je poskytnuto nebo vyžadováno Správcem)

Údaje o rezervacích a transakcích:

• Referenční čísla rezervací
• Typ a množství vstupenek
• Datum a čas nákupu
• Stav platby (potvrzena, čekající, vrácena)
• Částečné platební údaje (poslední 4 číslice karty, značka karty — přijaté od Stripe)

Vlastní datová pole:

• Odpovědi na vlastní otázky při placení definované Správcem (např. dietní požadavky, název společnosti, potřeby přístupnosti)

Technické údaje:

• IP adresa v době rezervace
• Informace o prohlížeči a zařízení
• Časová razítka odbavení QR kódem

Zvláštní kategorie údajů: Zpracovatel záměrně neshromažďuje ani nezpracovává zvláštní kategorie osobních údajů (např. zdravotní údaje, biometrické údaje, náboženské přesvědčení). Pokud Správce nakonfiguruje vlastní otázky při placení, které takové údaje vyvolávají, Správce nese výhradní odpovědnost za zajištění odpovídajícího právního základu a ochranných opatření.

Osobní údaje jsou zpracovávány výhradně pro následující účely:

• Plnění smlouvy: Zpracování rezervací, vydávání vstupenek, zprostředkování plateb a správa účasti na akcích — vše v rámci plnění smlouvy mezi Správcem (Organizátor) a Subjektem údajů (Účastník).
• Komunikace: Zasílání transakčních e-mailů včetně potvrzení rezervace, doručení vstupenek, aktualizací akcí a oznámení o zrušení jménem Správce.
• Správa akcí: Umožnění funkce odbavení, správa seznamů účastníků, zpracování žádostí o vrácení peněz a zprostředkování převodů vstupenek dle konfigurace Správce.
• Reporting: Generování souhrnných a individuálních reportů o prodeji vstupenek, účasti, příjmech a dalších metrikách pro účely správy akcí Správce.
• Provoz platformy: Udržování bezpečnosti, dostupnosti a výkonu platformy EventMann, včetně detekce podvodů, prevence zneužití a technického řešení problémů.

Zpracovatel nebude používat osobní údaje pro vlastní marketingové účely, profilování ani pro žádný účel nesouvisející s poskytováním služeb platformy EventMann. Anonymizované a agregované údaje, které nelze spojit s jednotlivými subjekty údajů, může Zpracovatel používat pro zlepšení platformy a statistickou analýzu.

Správce opravňuje Zpracovatele k zapojení následujících dílčích zpracovatelů pro účely popsané v této DPA:

• Stripe, Inc. — Zpracování plateb, správa transakcí a zprostředkování výplat. Stripe zpracovává údaje o platebních kartách přímo a je nezávisle certifikován na úrovni PCI-DSS Level 1. Podmínky zpracování údajů Stripe se vztahují na jejich nakládání s platebními údaji. Umístění: Spojené státy, s možnostmi zpracování údajů v EU.
• Poskytovatel hostingu: Hosting infrastruktury a ukládání dat pro platformu EventMann. Všechna primární data jsou hostována v Evropské unii (Německo). Poskytovatel hostingu zpracovává osobní údaje výhradně za účelem poskytování služeb infrastruktury a je vázán smlouvou o zpracování údajů s ChetsApp UG.

Zpracovatel bude Správce informovat před přidáním nebo výměnou jakéhokoli dílčího zpracovatele. Správce může vznést námitku proti novému dílčímu zpracovateli do 14 dnů od oznámení. Pokud Správce vznese námitku a strany se nedohodnou na řešení, může Správce ukončit dotčené služby.

Zpracovatel zajistí, aby všichni dílčí zpracovatelé byli vázáni povinnostmi ochrany údajů, které nejsou méně ochranné než ty stanovené v této DPA. Zpracovatel zůstává plně odpovědný vůči Správci za jednání a opomenutí svých dílčích zpracovatelů.

Zpracovatel implementuje následující technická a organizační opatření k ochraně osobních údajů v souladu s článkem 32 GDPR:

Technická opatření:

• Šifrování při přenosu pomocí TLS 1.3 pro veškerou datovou komunikaci
• Šifrování v klidu pro databáze obsahující osobní údaje
• Bezpečné hashování hesel pomocí bcrypt s odpovídajícími nákladovými faktory
• Řízení přístupu na základě rolí (RBAC) s granulárními oprávněními omezujícími přístup k osobním údajům
• Omezení rychlosti a ochrana proti brute-force útokům na autentizačních koncových bodech
• Automatizované skenování zranitelností a aktualizace závislostí
• Pravidelné bezpečnostní záplaty a systémové aktualizace

Organizační opatření:

• Přístup k osobním údajům je omezen na oprávněný personál na principu „need-to-know"
• Veškerý personál s přístupem k osobním údajům je vázán povinností mlčenlivosti
• Auditní protokolování veškerého přístupu k osobním údajům a jejich úprav
• Postupy reakce na incidenty pro bezpečnostní události a porušení zabezpečení údajů
• Pravidelné přezkoumávání a testování bezpečnostních opatření
• Posouzení vlivu na ochranu údajů pro vysoce rizikové zpracovatelské aktivity

Tato opatření jsou pravidelně přezkoumávána a aktualizována, aby odrážela změny v technologiích, hrozbách a regulatorních požadavcích. Správce si může kdykoli vyžádat informace o konkrétních bezpečnostních opatřeních.

Zpracovatel bude Správci pomáhat při plnění jeho povinností reagovat na žádosti subjektů údajů podle článků 15-22 GDPR, včetně:

• Právo na přístup (čl. 15): Zpracovatel poskytne Správci možnost exportovat údaje účastníků ve strukturovaném, běžně používaném, strojově čitelném formátu.
• Právo na opravu (čl. 16): Zpracovatel umožní Správci opravit nepřesné osobní údaje prostřednictvím funkcí správy účastníků platformy.
• Právo na výmaz (čl. 17): Na žádost Správce Zpracovatel smaže osobní údaje konkrétních subjektů údajů, s výjimkou případů, kdy je uchovávání vyžadováno zákonem (např. finanční záznamy podle německého obchodního zákoníku).
• Právo na omezení (čl. 18): Zpracovatel podpoří Správce při omezení zpracování osobních údajů v případech, kdy subjekt údajů zpochybňuje přesnost nebo vznáší námitky proti zpracování.
• Právo na přenositelnost údajů (čl. 20): Zpracovatel poskytne funkci exportu dat ve formátech CSV a JSON pro usnadnění přenositelnosti.
• Právo vznést námitku (čl. 21): Správce je zodpovědný za vyřizování námitek proti zpracování a za příslušné instrukce Zpracovateli.

Pokud Zpracovatel obdrží žádost přímo od subjektu údajů, neprodleně uvědomí Správce a na žádost nebude odpovídat přímo, pokud to Správce neschválí nebo to nevyžaduje zákon.

V případě porušení zabezpečení osobních údajů Zpracovatel uvědomí Správce bez zbytečného odkladu a v každém případě do 72 hodin od zjištění porušení. Tato lhůta odpovídá povinnosti Správce oznámit porušení dozorovému úřadu podle článku 33 GDPR.

Oznámení o porušení bude zahrnovat, v rozsahu dostupném:

• Popis povahy porušení, včetně kategorií a přibližného počtu dotčených subjektů údajů a záznamů
• Jméno a kontaktní údaje kontaktní osoby Zpracovatele pro ochranu údajů
• Popis pravděpodobných důsledků porušení
• Popis přijatých nebo navrhovaných opatření k řešení porušení a zmírnění jeho dopadů

Zpracovatel bude plně spolupracovat se Správcem při vyšetřování a nápravě porušení, včetně:

• Poskytování dalších informací, jakmile budou k dispozici
• Přijetí okamžitých kroků k omezení porušení a zabránění dalšímu neoprávněnému přístupu
• Pomoci Správci s oznámeními subjektům údajů, pokud to vyžaduje článek 34 GDPR
• Uchování důkazů a protokolů relevantních pro vyšetřování porušení

Zpracovatel bude dokumentovat všechna porušení zabezpečení osobních údajů, včetně okolností, dopadů a přijatých nápravných opatření, bez ohledu na to, zda je oznámení dozorovému úřadu vyžadováno.

Po ukončení Smlouvy s organizátorem nebo na písemnou žádost Správce Zpracovatel:

• Vrátí data: Poskytne Správci úplný export všech osobních údajů zpracovávaných jménem Správce ve strukturovaném, běžně používaném, strojově čitelném formátu (CSV nebo JSON).
• Smaže data: Smaže všechny osobní údaje ze systémů Zpracovatele do 30 dnů od přijetí žádosti o vrácení nebo po ukončení smlouvy, podle toho, co nastane dříve.
• Potvrdí smazání: Na žádost Správce poskytne písemné potvrzení o smazání dat.

Výjimky ze smazání: Zpracovatel může uchovávat osobní údaje po uplynutí lhůty pro smazání, pokud to vyžaduje platný zákon, včetně:

• Záznamy o finančních transakcích vyžadované německým obchodním zákoníkem (HGB §257) — uchovávány až 10 let
• Daňově relevantní záznamy vyžadované německým daňovým řádem (AO §147) — uchovávány až 10 let
• Údaje potřebné pro uplatnění, výkon nebo obranu právních nároků

Pokud jsou údaje uchovávány na základě zákonné povinnosti, budou omezeny v dalším zpracování a chráněny vhodnými bezpečnostními opatřeními. Zpracovatel bude Správce informovat o jakýchkoli zákonných povinnostech uchovávání, které brání úplnému smazání.

Zálohy obsahující osobní údaje budou přepsány během normálního cyklu rotace záloh, který nepřekračuje 90 dní.

Tato Smlouva o zpracování údajů se řídí a vykládá v souladu s ustanoveními obecného nařízení EU o ochraně osobních údajů (nařízení (EU) 2016/679), zejména článkem 28, který stanoví požadavky na smlouvy o zpracování údajů mezi správci a zpracovateli.

V rozsahu, v jakém GDPR neupravuje konkrétní otázku, se tato DPA řídí právem Spolkové republiky Německo, včetně německého spolkového zákona o ochraně údajů (BDSG). Veškeré spory vyplývající z této DPA budou podléhat výlučné příslušnosti soudů v Mnichově (München), Německo.

Pokud bude některé ustanovení této DPA shledáno neplatným nebo nevymahatelným, zbývající ustanovení zůstávají plně v platnosti. Neplatné ustanovení bude nahrazeno platným ustanovením, které co nejvěrněji dosahuje původního účelu.

Tato DPA nabývá účinnosti dnem, kdy Správce vytvoří účet organizátora na EventMann, a zůstává v platnosti po dobu trvání Smlouvy s organizátorem plus případná období uchovávání dat. Tuto DPA může Zpracovatel změnit s 30denním předchozím oznámením Správci. Další používání platformy po uplynutí oznamovací lhůty znamená přijetí změněných podmínek.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Německo