Accordo sul trattamento dei dati

Questo Accordo sul trattamento dei dati ("DPA") è stipulato tra l'organizzatore dell'evento ("Titolare del trattamento", "tu") e ChetsApp UG, che gestisce la piattaforma EventMann ("Responsabile del trattamento", "noi", "ci"). Questo DPA integra l'Accordo per l'Organizzatore e i Termini di Servizio.

Le seguenti definizioni si applicano in tutto questo DPA:

• Titolare del trattamento: L'organizzatore dell'evento che determina le finalità e i mezzi del trattamento dei dati personali dei partecipanti. Quando crei eventi e raccogli informazioni sui partecipanti tramite EventMann, sei il Titolare del trattamento.
• Responsabile del trattamento: ChetsApp UG (EventMann), che tratta i dati personali per conto del Titolare del trattamento in relazione alla fornitura dei servizi della piattaforma EventMann.
• Interessato: Una persona fisica identificata o identificabile i cui dati personali vengono trattati. Nel contesto di EventMann, gli Interessati sono principalmente i partecipanti agli eventi.
• Dati personali: Qualsiasi informazione relativa a un Interessato, inclusi nomi, indirizzi e-mail, informazioni di prenotazione e risposte alle domande personalizzate di checkout.
• Trattamento: Qualsiasi operazione eseguita sui dati personali, inclusa raccolta, conservazione, consultazione, uso, divulgazione, combinazione, cancellazione o distruzione.
• Sub-responsabile: Una terza parte incaricata dal Responsabile del trattamento di trattare i dati personali per conto del Titolare del trattamento.

Questo DPA si applica a tutto il trattamento dei dati personali che ChetsApp UG esegue per conto del Titolare del trattamento in relazione alla piattaforma EventMann. Il Responsabile del trattamento tratterà i dati personali solo sulla base delle istruzioni documentate del Titolare del trattamento, salvo quando il trattamento è richiesto dal diritto dell'UE o degli Stati membri.

Il trattamento coperto da questo DPA include:

• Conservazione e gestione dei dati di registrazione e prenotazione dei partecipanti
• Elaborazione degli acquisti di biglietti e delle transazioni di pagamento (in collaborazione con Stripe)
• Invio di e-mail transazionali per conto del Titolare del trattamento (conferme di prenotazione, consegna biglietti, aggiornamenti eventi)
• Generazione di report e analisi basati sui dati dei partecipanti e delle prenotazioni
• Facilitazione dei processi di check-in tramite la validazione dei codici QR
• Conservazione e consegna delle risposte alle domande personalizzate di checkout definite dal Titolare del trattamento

Il Responsabile del trattamento non tratterà i dati personali per finalità diverse dalla fornitura dei servizi della piattaforma EventMann come descritto in questo DPA e nell'Accordo per l'Organizzatore, salvo istruzione esplicita del Titolare del trattamento o obbligo di legge applicabile.

Le seguenti categorie di dati personali sono trattate ai sensi di questo DPA:

Dati identificativi dei partecipanti:

• Nome completo
• Indirizzo e-mail
• Numero di telefono (se fornito o richiesto dal Titolare del trattamento)

Dati di prenotazione e transazione:

• Numeri di riferimento della prenotazione
• Tipo e quantità dei biglietti
• Data e ora dell'acquisto
• Stato del pagamento (confermato, in sospeso, rimborsato)
• Informazioni parziali sul pagamento (ultime 4 cifre della carta, marchio della carta — ricevute da Stripe)

Campi dati personalizzati:

• Risposte alle domande personalizzate di checkout definite dal Titolare del trattamento (ad es., esigenze alimentari, nome dell'azienda, necessità di accessibilità)

Dati tecnici:

• Indirizzo IP al momento della prenotazione
• Informazioni sul browser e sul dispositivo
• Timestamp del check-in tramite codice QR

Categorie particolari di dati: Il Responsabile del trattamento non raccoglie o tratta intenzionalmente categorie particolari di dati personali (ad es., dati sanitari, dati biometrici, convinzioni religiose). Se il Titolare del trattamento configura domande personalizzate di checkout che sollecitano tali dati, il Titolare del trattamento è l'unico responsabile di garantire una base giuridica e garanzie appropriate.

I dati personali vengono trattati esclusivamente per le seguenti finalità:

• Esecuzione del contratto: Elaborazione delle prenotazioni, emissione dei biglietti, facilitazione dei pagamenti e gestione della partecipazione agli eventi — tutto in servizio del contratto tra il Titolare del trattamento (Organizzatore) e l'Interessato (Partecipante).
• Comunicazione: Invio di e-mail transazionali incluse conferme di prenotazione, consegna dei biglietti, aggiornamenti sugli eventi e avvisi di cancellazione per conto del Titolare del trattamento.
• Gestione degli eventi: Abilitazione della funzionalità di check-in, gestione degli elenchi dei partecipanti, elaborazione delle richieste di rimborso e facilitazione dei trasferimenti di biglietti come configurato dal Titolare del trattamento.
• Reportistica: Generazione di report aggregati e individuali sulle vendite di biglietti, la partecipazione, i ricavi e altre metriche per le finalità di gestione degli eventi del Titolare del trattamento.
• Funzionamento della piattaforma: Mantenimento della sicurezza, della disponibilità e delle prestazioni della piattaforma EventMann, inclusi rilevamento delle frodi, prevenzione degli abusi e risoluzione dei problemi tecnici.

Il Responsabile del trattamento non utilizzerà i dati personali per propri scopi di marketing, profilazione o per qualsiasi finalità non correlata alla fornitura dei servizi della piattaforma EventMann. I dati anonimizzati e aggregati che non possono essere ricondotti a singoli Interessati possono essere utilizzati dal Responsabile del trattamento per il miglioramento della piattaforma e l'analisi statistica.

Il Titolare del trattamento autorizza il Responsabile del trattamento a coinvolgere i seguenti sub-responsabili per le finalità descritte in questo DPA:

• Stripe, Inc. — Elaborazione dei pagamenti, gestione delle transazioni e facilitazione dei pagamenti. Stripe elabora direttamente i dati delle carte di pagamento ed è certificato indipendentemente PCI-DSS Livello 1. I termini di trattamento dei dati di Stripe si applicano alla loro gestione dei dati di pagamento. Sede: Stati Uniti, con capacità di elaborazione dati nell'UE.
• Fornitore di hosting: Hosting dell'infrastruttura e archiviazione dei dati per la piattaforma EventMann. Tutti i dati primari sono ospitati nell'Unione Europea (Germania). Il fornitore di hosting tratta i dati personali esclusivamente per la fornitura dei servizi di infrastruttura ed è vincolato da un accordo sul trattamento dei dati con ChetsApp UG.

Il Responsabile del trattamento informerà il Titolare del trattamento prima di aggiungere o sostituire qualsiasi sub-responsabile. Il Titolare del trattamento può opporsi a un nuovo sub-responsabile entro 14 giorni dalla notifica. Se il Titolare del trattamento si oppone e le parti non riescono a raggiungere una soluzione, il Titolare del trattamento può interrompere i servizi interessati.

Il Responsabile del trattamento garantirà che tutti i sub-responsabili siano vincolati da obblighi di protezione dei dati non meno protettivi di quelli stabiliti in questo DPA. Il Responsabile del trattamento rimane pienamente responsabile nei confronti del Titolare del trattamento per gli atti e le omissioni dei suoi sub-responsabili.

Il Responsabile del trattamento implementa le seguenti misure tecniche e organizzative per proteggere i dati personali, in conformità con l'Articolo 32 del GDPR:

Misure tecniche:

• Crittografia in transito tramite TLS 1.3 per tutte le comunicazioni di dati
• Crittografia a riposo per i database contenenti dati personali
• Hashing sicuro delle password tramite bcrypt con fattori di costo appropriati
• Controllo degli accessi basato sui ruoli (RBAC) con permessi granulari che limitano l'accesso ai dati personali
• Limitazione della frequenza e protezione contro attacchi brute-force sugli endpoint di autenticazione
• Scansione automatizzata delle vulnerabilità e aggiornamenti delle dipendenze
• Patch di sicurezza regolari e aggiornamenti di sistema

Misure organizzative:

• L'accesso ai dati personali è limitato al personale autorizzato con necessità di sapere
• Tutto il personale con accesso ai dati personali è vincolato da obblighi di riservatezza
• Registrazione di audit di tutti gli accessi e le modifiche ai dati personali
• Procedure di risposta agli incidenti per eventi di sicurezza e violazioni dei dati
• Revisione e test regolari delle misure di sicurezza
• Valutazioni d'impatto sulla protezione dei dati per le attività di trattamento ad alto rischio

Queste misure vengono riviste e aggiornate periodicamente per riflettere i cambiamenti nella tecnologia, nelle minacce e nei requisiti normativi. Il Titolare del trattamento può richiedere informazioni sulle misure di sicurezza specifiche in qualsiasi momento.

Il Responsabile del trattamento assisterà il Titolare del trattamento nell'adempimento dei suoi obblighi di risposta alle richieste degli Interessati ai sensi degli Articoli 15-22 del GDPR, inclusi:

• Diritto di accesso (Art. 15): Il Responsabile del trattamento fornirà al Titolare del trattamento la possibilità di esportare i dati dei partecipanti in un formato strutturato, di uso comune e leggibile da macchina.
• Diritto di rettifica (Art. 16): Il Responsabile del trattamento consentirà al Titolare del trattamento di correggere i dati personali inesatti tramite le funzionalità di gestione dei partecipanti della piattaforma.
• Diritto alla cancellazione (Art. 17): Su richiesta del Titolare del trattamento, il Responsabile del trattamento cancellerà i dati personali di specifici Interessati, salvo quando la conservazione è richiesta dalla legge (ad es., registri finanziari ai sensi del diritto commerciale tedesco).
• Diritto alla limitazione (Art. 18): Il Responsabile del trattamento supporterà il Titolare del trattamento nella limitazione del trattamento dei dati personali quando l'Interessato contesta l'accuratezza o si oppone al trattamento.
• Diritto alla portabilità dei dati (Art. 20): Il Responsabile del trattamento fornirà funzionalità di esportazione dei dati in formato CSV e JSON per facilitare la portabilità.
• Diritto di opposizione (Art. 21): Il Titolare del trattamento è responsabile della gestione delle opposizioni al trattamento e delle istruzioni conseguenti al Responsabile del trattamento.

Se il Responsabile del trattamento riceve una richiesta direttamente da un Interessato, il Responsabile del trattamento informerà tempestivamente il Titolare del trattamento e non risponderà direttamente alla richiesta salvo autorizzazione del Titolare del trattamento o obbligo di legge.

In caso di violazione dei dati personali, il Responsabile del trattamento notificherà il Titolare del trattamento senza indebito ritardo e in ogni caso entro 72 ore dal momento in cui viene a conoscenza della violazione. Questa tempistica è allineata con l'obbligo del Titolare del trattamento di notificare l'autorità di vigilanza ai sensi dell'Articolo 33 del GDPR.

La notifica della violazione includerà, nella misura disponibile:

• Una descrizione della natura della violazione, incluse le categorie e il numero approssimativo di Interessati e registri interessati
• Il nome e i dettagli di contatto del punto di contatto per la protezione dei dati del Responsabile del trattamento
• Una descrizione delle probabili conseguenze della violazione
• Una descrizione delle misure adottate o proposte per affrontare la violazione e mitigarne gli effetti

Il Responsabile del trattamento coopererà pienamente con il Titolare del trattamento nell'indagine e nella risoluzione della violazione, inclusi:

• Fornitura di informazioni aggiuntive non appena disponibili
• Adozione di misure immediate per contenere la violazione e prevenire ulteriori accessi non autorizzati
• Assistenza al Titolare del trattamento nelle notifiche agli Interessati quando richiesto ai sensi dell'Articolo 34 del GDPR
• Conservazione delle prove e dei registri rilevanti per l'indagine sulla violazione

Il Responsabile del trattamento documenterà tutte le violazioni dei dati personali, inclusi i fatti, gli effetti e le azioni correttive intraprese, indipendentemente dal fatto che la notifica all'autorità di vigilanza sia richiesta.

Alla cessazione dell'Accordo per l'Organizzatore o su richiesta scritta del Titolare del trattamento, il Responsabile del trattamento dovrà:

• Restituire i dati: Fornire al Titolare del trattamento un'esportazione completa di tutti i dati personali trattati per conto del Titolare del trattamento, in un formato strutturato, di uso comune e leggibile da macchina (CSV o JSON).
• Cancellare i dati: Cancellare tutti i dati personali dai sistemi del Responsabile del trattamento entro 30 giorni dalla ricezione della richiesta di restituzione o alla cessazione dell'accordo, a seconda di quale evento si verifichi per primo.
• Confermare la cancellazione: Fornire conferma scritta della cancellazione dei dati su richiesta del Titolare del trattamento.

Eccezioni alla cancellazione: Il Responsabile del trattamento può conservare i dati personali oltre la scadenza di cancellazione quando richiesto dalla legge applicabile, inclusi:

• Registri delle transazioni finanziarie richiesti dal diritto commerciale tedesco (HGB Sezione 257) — conservati fino a 10 anni
• Registri rilevanti ai fini fiscali richiesti dal Codice fiscale tedesco (AO Sezione 147) — conservati fino a 10 anni
• Dati necessari per la costituzione, l'esercizio o la difesa di diritti legali

Quando i dati vengono conservati in base a un obbligo legale, saranno limitati da ulteriore trattamento e protetti con misure di sicurezza appropriate. Il Responsabile del trattamento informerà il Titolare del trattamento di eventuali obblighi legali di conservazione che impediscono la cancellazione completa.

Le copie di backup contenenti dati personali saranno sovrascritte attraverso il normale ciclo di rotazione dei backup, che non supera i 90 giorni.

Questo Accordo sul trattamento dei dati è regolato e interpretato in conformità con le disposizioni del Regolamento Generale sulla Protezione dei Dati dell'UE (Regolamento (UE) 2016/679), in particolare l'Articolo 28, che stabilisce i requisiti per gli accordi sul trattamento dei dati tra titolari e responsabili del trattamento.

Nella misura in cui il GDPR non affronta una questione particolare, questo DPA sarà regolato dalle leggi della Repubblica Federale di Germania, inclusa la Legge federale tedesca sulla protezione dei dati (BDSG). Qualsiasi controversia derivante da questo DPA sarà soggetta alla giurisdizione esclusiva dei tribunali di Monaco di Baviera (München), Germania.

Se una disposizione di questo DPA viene ritenuta invalida o inapplicabile, le disposizioni rimanenti rimarranno in piena vigore ed efficacia. La disposizione invalida sarà sostituita da una disposizione valida che raggiunge lo scopo originale il più fedelmente possibile.

Questo DPA è efficace dalla data in cui il Titolare del trattamento crea un account organizzatore su EventMann e rimane in vigore per la durata dell'Accordo per l'Organizzatore più eventuali periodi di conservazione dei dati applicabili. Questo DPA può essere modificato dal Responsabile del trattamento con 30 giorni di preavviso al Titolare del trattamento. L'uso continuato della piattaforma dopo il periodo di preavviso costituisce accettazione dei termini modificati.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Germania