Skip to main content
EN EN DE DE FR FR ES ES IT IT NL NL PT PT PL PL TR TR CS CS DA DA SV SV JA JA ZH ZH
🗓 すべてのイベント 📍 ロケーション

カテゴリー

🎨 アート 💼 ビジネス 😂 コメディ 🍕 フード 🏃 健康 🎵 音楽 スポーツ 💻 テクノロジー

見つける

🎫 主催者 🛒 ベンダー 🏢 会場 🤝 スポンサー 🙋 スタッフ / ボランティア
リーガルセンター

データ処理契約

最終更新: 2026年3月30日

1 定義

本データ処理契約(「DPA」)は、イベント主催者(「管理者」、「お客様」)とEventMannプラットフォームを運営するChetsApp UG(「処理者」、「当社」)の間で締結されます。本DPAは主催者契約と利用規約を補足します。

本DPA全体を通じて以下の定義が適用されます:

  • 管理者:参加者の個人データの処理の目的と手段を決定するイベント主催者。EventMannでイベントを作成し参加者情報を収集する場合、お客様が管理者です。
  • 処理者:EventMannプラットフォームサービスの提供に関連して管理者に代わって個人データを処理するChetsApp UG(EventMann)。
  • データ主体:個人データが処理される特定されたまたは特定可能な自然人。EventMannの文脈では、データ主体は主にイベント参加者です。
  • 個人データ:名前、メールアドレス、予約情報、カスタムチェックアウト質問への回答を含む、データ主体に関するあらゆる情報。
  • 処理:収集、保管、取得、使用、開示、組み合わせ、消去、破棄を含む、個人データに対して実行されるあらゆる操作。
  • 再処理者:管理者に代わって個人データを処理するために処理者が関与する第三者。

2 処理の範囲

本DPAは、ChetsApp UGがEventMannプラットフォームに関連して管理者に代わって実行するすべての個人データの処理に適用されます。処理者は、EUまたは加盟国の法律により処理が要求される場合を除き、管理者の文書化された指示に基づいてのみ個人データを処理するものとします。

本DPAの対象となる処理には以下が含まれます:

  • 参加者の登録および予約データの保管と管理
  • チケット購入と支払い取引の処理(Stripeと連携)
  • 管理者に代わった取引メールの送信(予約確認、チケット配信、イベント更新)
  • 参加者および予約データに基づくレポートと分析の生成
  • QRコード検証によるチェックインプロセスの促進
  • 管理者が定義したカスタムチェックアウト質問への回答の保管と配信

処理者は、管理者から明示的に指示された場合または適用法により要求される場合を除き、本DPAおよび主催者契約に記載されたEventMannプラットフォームサービスの提供以外の目的で個人データを処理してはなりません。

3 データのカテゴリ

本DPAに基づいて処理される個人データのカテゴリは以下のとおりです:

参加者識別データ:

  • 氏名
  • メールアドレス
  • 電話番号(管理者が提供または要求した場合)

予約および取引データ:

  • 予約参照番号
  • チケットの種類と数量
  • 購入日時
  • 支払い状況(確認済み、保留中、返金済み)
  • 部分的な支払い情報(カードの下4桁、カードブランド — Stripeから受信)

カスタムデータフィールド:

  • 管理者が定義したカスタムチェックアウト質問への回答(例:食事制限、会社名、アクセシビリティの必要性)

技術データ:

  • 予約時のIPアドレス
  • ブラウザおよびデバイス情報
  • QRコードチェックインのタイムスタンプ

特別カテゴリデータ:処理者は、特別カテゴリの個人データ(例:健康データ、生体データ、宗教的信条)を意図的に収集または処理しません。管理者がそのようなデータを引き出すカスタムチェックアウト質問を設定した場合、適切な法的根拠と保護措置を確保する責任は管理者のみにあります。

4 処理の目的

個人データは、以下の目的のためにのみ処理されます:

  • 契約の履行:予約の処理、チケットの発行、支払いの促進、イベント参加の管理 — すべて管理者(主催者)とデータ主体(参加者)間の契約に基づくサービスとして。
  • コミュニケーション:管理者に代わって、予約確認、チケット配信、イベント更新、キャンセル通知を含む取引メールの送信。
  • イベント管理:チェックイン機能の有効化、参加者リストの管理、返金リクエストの処理、管理者が設定したチケット譲渡の促進。
  • レポート:管理者のイベント管理目的で、チケット販売、出席、収益、その他の指標に関する集計および個別レポートの生成。
  • プラットフォーム運営:不正検出、不正利用防止、技術的なトラブルシューティングを含む、EventMannプラットフォームのセキュリティ、可用性、パフォーマンスの維持。

処理者は、個人データを独自のマーケティング目的、プロファイリング、またはEventMannプラットフォームサービスの提供とは無関係な目的に使用してはなりません。個々のデータ主体に紐付けることができない匿名化および集約されたデータは、処理者がプラットフォームの改善と統計分析に使用する場合があります。

5 再処理者

管理者は、本DPAに記載された目的のために、処理者が以下の再処理者を関与させることを承認します:

  • Stripe, Inc. — 支払い処理、取引管理、支払い促進。Stripeは支払いカードデータを直接処理し、独立してPCI-DSSレベル1認定を受けています。Stripeのデータ処理条件は、支払いデータの取り扱いに適用されます。所在地:米国(EU内でのデータ処理機能あり)。
  • ホスティングプロバイダー:EventMannプラットフォームのインフラストラクチャホスティングとデータストレージ。すべてのプライマリデータは欧州連合(ドイツ)内でホストされています。ホスティングプロバイダーは、インフラストラクチャサービスの提供のみを目的として個人データを処理し、ChetsApp UGとのデータ処理契約に拘束されます。

処理者は、再処理者の追加または交代の前に管理者に通知します。管理者は通知から14日以内に新しい再処理者に異議を申し立てることができます。管理者が異議を申し立て、当事者間で解決に至らない場合、管理者は影響を受けるサービスを終了することができます。

処理者は、すべての再処理者が本DPAに定められたものと同等以上のデータ保護義務に拘束されることを確保するものとします。処理者は、再処理者の作為および不作為について管理者に対して全面的に責任を負います。

6 データセキュリティ対策

処理者は、GDPRの第32条に従い、個人データを保護するために以下の技術的および組織的措置を実施します:

技術的措置:

  • すべてのデータ通信のTLS 1.3による転送中の暗号化
  • 個人データを含むデータベースの保存時の暗号化
  • 適切なコストファクターを持つbcryptによる安全なパスワードハッシュ
  • 個人データへのアクセスを制限するきめ細かい権限を持つロールベースのアクセス制御(RBAC)
  • 認証エンドポイントのレート制限とブルートフォース保護
  • 自動化された脆弱性スキャンと依存関係の更新
  • 定期的なセキュリティパッチとシステム更新

組織的措置:

  • 個人データへのアクセスは、知る必要のある権限のある担当者に制限されます
  • 個人データにアクセスするすべての担当者は機密保持義務に拘束されます
  • 個人データへのすべてのアクセスと変更の監査ログ
  • セキュリティイベントとデータ侵害に対するインシデント対応手順
  • セキュリティ対策の定期的なレビューとテスト
  • 高リスク処理活動に対するデータ保護影響評価

これらの措置は、技術、脅威、規制要件の変化を反映して定期的にレビューおよび更新されます。管理者はいつでも特定のセキュリティ対策に関する情報を要求できます。

7 データ主体の権利

処理者は、GDPRの第15条〜第22条に基づくデータ主体のリクエストに応じるための管理者の義務を支援するものとします。以下を含みます:

  • アクセス権(第15条):処理者は、管理者に対して、構造化された一般的に使用される機械可読形式で参加者データをエクスポートする機能を提供するものとします。
  • 訂正権(第16条):処理者は、プラットフォームの参加者管理機能を通じて管理者が不正確な個人データを修正できるようにするものとします。
  • 消去権(第17条):管理者のリクエストに応じて、処理者は特定のデータ主体の個人データを削除するものとします。ただし、法律(例:ドイツ商法に基づく財務記録)により保持が義務付けられている場合を除きます。
  • 制限権(第18条):処理者は、データ主体が正確性を争う場合または処理に異議を唱える場合に、個人データの処理を制限する管理者を支援するものとします。
  • データポータビリティ権(第20条):処理者は、ポータビリティを容易にするためにCSVおよびJSON形式のデータエクスポート機能を提供するものとします。
  • 異議申立権(第21条):管理者は処理への異議の処理と処理者への指示について責任を負います。

処理者がデータ主体から直接リクエストを受け取った場合、処理者は速やかに管理者に通知し、管理者から権限を与えられた場合または法律で要求される場合を除き、リクエストに直接応答してはなりません。

8 データ侵害の通知

個人データの侵害が発生した場合、処理者は不当な遅延なく、いかなる場合でも侵害を認識してから72時間以内に管理者に通知するものとします。この期限は、GDPRの第33条に基づく管理者の監督機関への通知義務と一致しています。

侵害通知には、入手可能な範囲で以下を含めるものとします:

  • 影響を受けるデータ主体および記録のカテゴリとおおよその数を含む侵害の性質の説明
  • 処理者のデータ保護担当者の名前と連絡先
  • 侵害の予想される結果の説明
  • 侵害に対処し、その影響を軽減するために講じたまたは提案された措置の説明

処理者は、侵害の調査と修復について管理者と全面的に協力するものとします。以下を含みます:

  • 追加情報が入手可能になり次第の提供
  • 侵害を封じ込め、さらなる不正アクセスを防止するための即座の措置
  • GDPRの第34条に基づいてデータ主体への通知が必要な場合の管理者の支援
  • 侵害調査に関連する証拠とログの保全

処理者は、監督機関への通知が必要かどうかにかかわらず、事実、影響、講じた是正措置を含むすべての個人データ侵害を文書化するものとします。

9 データの削除と返還

主催者契約の終了時または管理者の書面によるリクエストに応じて、処理者は以下を行うものとします:

  • データの返還:管理者に代わって処理されたすべての個人データの完全なエクスポートを、構造化された一般的に使用される機械可読形式(CSVまたはJSON)で管理者に提供すること。
  • データの削除:返還リクエストの受領後30日以内、または契約終了時のいずれか早い方で、処理者のシステムからすべての個人データを削除すること。
  • 削除の確認:管理者のリクエストに応じてデータ削除の書面による確認を提供すること。

削除の例外:処理者は、適用法により要求される場合、削除期限を超えて個人データを保持する場合があります。以下を含みます:

  • ドイツ商法(HGB第257条)に基づく財務取引記録 — 最大10年間保持
  • ドイツ税法(AO第147条)に基づく税務関連記録 — 最大10年間保持
  • 法的請求の確立、行使、または防御に必要なデータ

法的義務に基づいてデータが保持される場合、さらなる処理から制限され、適切なセキュリティ対策で保護されるものとします。処理者は、完全な削除を妨げる法的保持義務について管理者に通知するものとします。

個人データを含むバックアップコピーは、90日を超えない通常のバックアップローテーションサイクルを通じて上書きされるものとします。

10 準拠法

本データ処理契約は、EU一般データ保護規則(規則(EU)2016/679)の規定、特にデータ管理者とデータ処理者間のデータ処理契約の要件を定める第28条に準拠し、それに従って解釈されます。

GDPRが特定の問題に対処していない範囲で、本DPAはドイツ連邦データ保護法(BDSG)を含むドイツ連邦共和国の法律に準拠するものとします。本DPAから生じるすべての紛争は、ドイツ、ミュンヘン(München)の裁判所の専属管轄に服します。

本DPAの条項が無効または執行不能と判断された場合、残りの条項は完全な効力を維持します。無効な条項は、元の目的を可能な限り達成する有効な条項に置き換えられるものとします。

本DPAは、管理者がEventMannで主催者アカウントを作成した日から発効し、主催者契約の期間と該当するデータ保持期間中有効です。本DPAは、処理者が管理者に30日前に通知することにより修正される場合があります。通知期間後のプラットフォームの継続使用は、修正された条件の受け入れを意味します。

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Germany

管理パネル

Admin

クッキーを使用しています

コンテンツのパーソナライズ、トラフィック分析、エクスペリエンスの向上のためにクッキーおよび類似の技術を使用しています。すべて受け入れる、必須以外を拒否する、または設定をカスタマイズできます。