Databehandlingsaftale

Denne Databehandlingsaftale ("DPA") indgås mellem eventarrangøren ("Dataansvarlig", "du") og ChetsApp UG, der driver EventMann-platformen ("Databehandler", "vi", "os"). Denne DPA supplerer Arrangøraftalen og Servicevilkårene.

Følgende definitioner gælder i hele denne DPA:

• Dataansvarlig: Eventarrangøren, der bestemmer formålene med og midlerne til behandling af deltageres personoplysninger. Når du opretter events og indsamler deltageroplysninger via EventMann, er du Dataansvarlig.
• Databehandler: ChetsApp UG (EventMann), der behandler personoplysninger på vegne af den Dataansvarlige i forbindelse med levering af EventMann-platformtjenester.
• Registreret: En identificeret eller identificerbar fysisk person, hvis personoplysninger behandles. I EventMann-sammenhæng er Registrerede primært eventdeltagere.
• Personoplysninger: Enhver oplysning vedrørende en Registreret, herunder navne, e-mailadresser, bookingoplysninger og svar på tilpassede betalingsspørgsmål.
• Behandling: Enhver operation udført på personoplysninger, herunder indsamling, opbevaring, hentning, brug, videregivelse, kombination, sletning eller tilintetgørelse.
• Underdatabehandler: En tredjepart engageret af Databehandleren til at behandle personoplysninger på vegne af den Dataansvarlige.

Denne DPA gælder for al behandling af personoplysninger, som ChetsApp UG udfører på vegne af den Dataansvarlige i forbindelse med EventMann-platformen. Databehandleren skal kun behandle personoplysninger efter dokumenterede instruktioner fra den Dataansvarlige, undtagen hvor behandling kræves af EU-ret eller medlemsstatsret.

Behandlingen dækket af denne DPA omfatter:

• Opbevaring og administration af deltagerregistrerings- og bookingdata
• Behandling af billetkøb og betalingstransaktioner (i samarbejde med Stripe)
• Afsendelse af transaktionelle e-mails på vegne af den Dataansvarlige (bookingbekræftelser, billetlevering, eventopdateringer)
• Generering af rapporter og analyser baseret på deltager- og bookingdata
• Facilitering af check-in-processer via QR-kodevalidering
• Opbevaring og levering af svar på tilpassede betalingsspørgsmål defineret af den Dataansvarlige

Databehandleren skal ikke behandle personoplysninger til andre formål end levering af EventMann-platformtjenester som beskrevet i denne DPA og Arrangøraftalen, medmindre den Dataansvarlige eksplicit instruerer herom, eller det kræves af gældende lov.

Følgende kategorier af personoplysninger behandles under denne DPA:

Deltageridentifikationsdata:

• Fulde navn
• E-mailadresse
• Telefonnummer (hvis angivet eller krævet af den Dataansvarlige)

Booking- og transaktionsdata:

• Bookingreferencenumre
• Billettype og -antal
• Købsdato og -tidspunkt
• Betalingsstatus (bekræftet, afventende, refunderet)
• Delvise betalingsoplysninger (sidste 4 cifre af kort, kortmærke — modtaget fra Stripe)

Tilpassede datafelter:

• Svar på tilpassede betalingsspørgsmål defineret af den Dataansvarlige (f.eks. kostrestriktioner, virksomhedsnavn, tilgængelighedsbehov)

Tekniske data:

• IP-adresse på bookingtidspunktet
• Browser- og enhedsoplysninger
• QR-kode check-in tidsstempler

Særlige kategorier af data: Databehandleren indsamler eller behandler ikke bevidst særlige kategorier af personoplysninger (f.eks. sundhedsdata, biometriske data, religiøs overbevisning). Hvis den Dataansvarlige konfigurerer tilpassede betalingsspørgsmål, der fremkalder sådanne data, er den Dataansvarlige alene ansvarlig for at sikre et passende retsgrundlag og sikkerhedsforanstaltninger.

Personoplysninger behandles udelukkende til følgende formål:

• Kontraktopfyldelse: Behandling af bookinger, udstedelse af billetter, facilitering af betalinger og administration af eventdeltagelse — alt i forbindelse med kontrakten mellem den Dataansvarlige (Arrangør) og den Registrerede (Deltager).
• Kommunikation: Afsendelse af transaktionelle e-mails herunder bookingbekræftelser, billetlevering, eventopdateringer og aflysningsmeddelelser på vegne af den Dataansvarlige.
• Eventadministration: Aktivering af check-in-funktionalitet, administration af deltagerlister, behandling af refusionsanmodninger og facilitering af billetoverførsler som konfigureret af den Dataansvarlige.
• Rapportering: Generering af aggregerede og individuelle rapporter om billetsalg, deltagelse, omsætning og andre målinger til den Dataansvarliges eventadministrationsformål.
• Platformdrift: Opretholdelse af sikkerhed, tilgængelighed og ydeevne af EventMann-platformen, herunder svindelregistrering, misbrugsforebyggelse og teknisk fejlfinding.

Databehandleren skal ikke bruge personoplysninger til egne markedsføringsformål, profilering eller noget formål, der ikke er relateret til levering af EventMann-platformtjenester. Anonymiserede og aggregerede data, der ikke kan knyttes til individuelle Registrerede, kan bruges af Databehandleren til platformforbedring og statistisk analyse.

Den Dataansvarlige autoriserer Databehandleren til at engagere følgende underdatabehandlere til de formål, der er beskrevet i denne DPA:

• Stripe, Inc. — Betalingsbehandling, transaktionsadministration og udbetalingsfacilitering. Stripe behandler betalingskortdata direkte og er uafhængigt PCI-DSS Level 1-certificeret. Stripes databehandlingsvilkår gælder for deres håndtering af betalingsdata. Placering: USA, med EU-databehandlingsmuligheder.
• Hostingudbyder: Infrastrukturhosting og dataopbevaring for EventMann-platformen. Alle primære data hostes i Den Europæiske Union (Tyskland). Hostingudbyderen behandler personoplysninger udelukkende med det formål at levere infrastrukturtjenester og er bundet af en databehandlingsaftale med ChetsApp UG.

Databehandleren vil informere den Dataansvarlige, før der tilføjes eller udskiftes nogen underdatabehandler. Den Dataansvarlige kan gøre indsigelse mod en ny underdatabehandler inden for 14 dage efter notifikation. Hvis den Dataansvarlige gør indsigelse, og parterne ikke kan nå en løsning, kan den Dataansvarlige opsige de berørte tjenester.

Databehandleren skal sikre, at alle underdatabehandlere er bundet af databeskyttelsesforpligtelser, der ikke er mindre beskyttende end dem, der er fastsat i denne DPA. Databehandleren forbliver fuldt ansvarlig over for den Dataansvarlige for sine underdatabehandleres handlinger og undladelser.

Databehandleren implementerer følgende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger i overensstemmelse med artikel 32 i GDPR:

Tekniske foranstaltninger:

• Kryptering under transport med TLS 1.3 for al datakommunikation
• Kryptering i hvile for databaser indeholdende personoplysninger
• Sikker adgangskodehashing med bcrypt med passende omkostningsfaktorer
• Rollebaseret adgangskontrol (RBAC) med granulære tilladelser, der begrænser adgang til personoplysninger
• Hastighedsbegrænsning og brute-force-beskyttelse på autentificeringsendpoints
• Automatiseret sårbarhedsscanning og afhængighedsopdateringer
• Regelmæssige sikkerhedsrettelser og systemopdateringer

Organisatoriske foranstaltninger:

• Adgang til personoplysninger er begrænset til autoriseret personale på need-to-know-basis
• Alt personale med adgang til personoplysninger er bundet af fortrolighedsforpligtelser
• Auditlogning af al adgang til og ændring af personoplysninger
• Hændelsesresponsprocedurer for sikkerhedshændelser og databrud
• Regelmæssig gennemgang og test af sikkerhedsforanstaltninger
• Konsekvensanalyser for databeskyttelse for højrisikobehandlingsaktiviteter

Disse foranstaltninger gennemgås og opdateres periodisk for at afspejle ændringer i teknologi, trusler og regulatoriske krav. Den Dataansvarlige kan til enhver tid anmode om oplysninger om specifikke sikkerhedsforanstaltninger.

Databehandleren skal bistå den Dataansvarlige med at opfylde sine forpligtelser til at besvare anmodninger fra Registrerede i henhold til artikel 15-22 i GDPR, herunder:

• Ret til indsigt (art. 15): Databehandleren skal give den Dataansvarlige mulighed for at eksportere deltagerdata i et struktureret, almindeligt anvendt, maskinlæsbart format.
• Ret til berigtigelse (art. 16): Databehandleren skal gøre det muligt for den Dataansvarlige at rette unøjagtige personoplysninger via platformens deltageradministrationsfunktioner.
• Ret til sletning (art. 17): På anmodning fra den Dataansvarlige skal Databehandleren slette personoplysninger for specifikke Registrerede, undtagen hvor opbevaring kræves ved lov (f.eks. finansielle optegnelser under tysk handelsret).
• Ret til begrænsning (art. 18): Databehandleren skal støtte den Dataansvarlige i at begrænse behandling af personoplysninger, hvor den Registrerede bestrider nøjagtigheden eller gør indsigelse mod behandling.
• Ret til dataportabilitet (art. 20): Databehandleren skal levere dataeksportfunktionalitet i CSV- og JSON-formater for at facilitere portabilitet.
• Ret til indsigelse (art. 21): Den Dataansvarlige er ansvarlig for at håndtere indsigelser mod behandling og instruere Databehandleren i overensstemmelse hermed.

Hvis Databehandleren modtager en anmodning direkte fra en Registreret, skal Databehandleren omgående underrette den Dataansvarlige og skal ikke besvare anmodningen direkte, medmindre den Dataansvarlige autoriserer det, eller det kræves ved lov.

I tilfælde af brud på personoplysninger skal Databehandleren underrette den Dataansvarlige uden unødig forsinkelse og under alle omstændigheder inden for 72 timer efter at have fået kendskab til bruddet. Denne tidslinje er i overensstemmelse med den Dataansvarliges forpligtelse til at underrette tilsynsmyndigheden i henhold til artikel 33 i GDPR.

Brudnotifikationen skal omfatte, i det omfang det er tilgængeligt:

• En beskrivelse af bruddets karakter, herunder de kategorier og det omtrentlige antal berørte Registrerede og optegnelser
• Navn og kontaktoplysninger på Databehandlerens databeskyttelseskontaktpunkt
• En beskrivelse af de sandsynlige konsekvenser af bruddet
• En beskrivelse af de foranstaltninger, der er truffet eller foreslået for at afhjælpe bruddet og mindske dets virkninger

Databehandleren skal samarbejde fuldt ud med den Dataansvarlige om at undersøge og afhjælpe bruddet, herunder:

• Levere yderligere oplysninger, efterhånden som de bliver tilgængelige
• Tage øjeblikkelige skridt til at inddæmme bruddet og forhindre yderligere uautoriseret adgang
• Bistå den Dataansvarlige med notifikationer til Registrerede, hvor det kræves i henhold til artikel 34 i GDPR
• Bevare beviser og logfiler relevante for brudundersøgelsen

Databehandleren skal dokumentere alle brud på personoplysninger, herunder omstændigheder, virkninger og afhjælpende foranstaltninger, uanset om notifikation til tilsynsmyndigheden er påkrævet.

Ved opsigelse af Arrangøraftalen eller på den Dataansvarliges skriftlige anmodning skal Databehandleren:

• Returnere data: Give den Dataansvarlige en komplet eksport af alle personoplysninger behandlet på den Dataansvarliges vegne i et struktureret, almindeligt anvendt, maskinlæsbart format (CSV eller JSON).
• Slette data: Slette alle personoplysninger fra Databehandlerens systemer inden for 30 dage efter modtagelse af returneringsanmodningen eller ved opsigelse af aftalen, alt efter hvad der kommer først.
• Bekræfte sletning: Give skriftlig bekræftelse af datasletning på den Dataansvarliges anmodning.

Undtagelser fra sletning: Databehandleren kan opbevare personoplysninger ud over slettefristen, hvor det kræves af gældende lov, herunder:

• Finansielle transaktionsoptegnelser krævet under tysk handelsret (HGB §257) — opbevaret i op til 10 år
• Skatterelevante optegnelser krævet under den tyske skattelov (AO §147) — opbevaret i op til 10 år
• Data påkrævet til etablering, udøvelse eller forsvar af retskrav

Hvor data opbevares under en juridisk forpligtelse, skal de begrænses fra yderligere behandling og beskyttes med passende sikkerhedsforanstaltninger. Databehandleren skal informere den Dataansvarlige om eventuelle juridiske opbevaringsforpligtelser, der forhindrer fuldstændig sletning.

Sikkerhedskopier indeholdende personoplysninger skal overskrives gennem den normale backup-rotationscyklus, som ikke overstiger 90 dage.

Denne Databehandlingsaftale reguleres af og fortolkes i overensstemmelse med bestemmelserne i EU's Generelle Databeskyttelsesforordning (forordning (EU) 2016/679), navnlig artikel 28, som fastsætter kravene til databehandlingsaftaler mellem dataansvarlige og databehandlere.

I det omfang GDPR ikke adresserer et bestemt spørgsmål, reguleres denne DPA af lovgivningen i Forbundsrepublikken Tyskland, herunder den tyske føderale databeskyttelseslov (BDSG). Eventuelle tvister som følge af denne DPA skal være underlagt den eksklusive jurisdiktion af domstolene i München (München), Tyskland.

Hvis en bestemmelse i denne DPA findes ugyldig eller uhåndhævelig, forbliver de resterende bestemmelser i fuld kraft og virkning. Den ugyldige bestemmelse erstattes af en gyldig bestemmelse, der opnår det oprindelige formål så tæt som muligt.

Denne DPA er gældende fra den dato, den Dataansvarlige opretter en arrangørkonto på EventMann, og forbliver i kraft i Arrangøraftalens varighed plus eventuelle gældende dataopbevaringsperioder. Denne DPA kan ændres af Databehandleren med 30 dages forudgående varsel til den Dataansvarlige. Fortsat brug af platformen efter varselsperioden udgør accept af de ændrede vilkår.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Tyskland