Gegevensverwerkingsovereenkomst

Deze Gegevensverwerkingsovereenkomst ("GVO") wordt aangegaan tussen de evenementenorganisator ("Verwerkingsverantwoordelijke", "u") en ChetsApp UG, die het EventMann-platform exploiteert ("Verwerker", "wij", "ons"). Deze GVO is een aanvulling op de Organisatorovereenkomst en de Algemene Voorwaarden.

De volgende definities zijn van toepassing in deze GVO:

• Verwerkingsverantwoordelijke: De evenementenorganisator die het doel en de middelen van de verwerking van persoonsgegevens van deelnemers bepaalt. Wanneer u evenementen aanmaakt en deelnemersinformatie via EventMann verzamelt, bent u de Verwerkingsverantwoordelijke.
• Verwerker: ChetsApp UG (EventMann), die persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in verband met het leveren van de EventMann-platformdiensten.
• Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon wiens persoonsgegevens worden verwerkt. In de context van EventMann zijn Betrokkenen voornamelijk evenementdeelnemers.
• Persoonsgegevens: Alle informatie met betrekking tot een Betrokkene, inclusief namen, e-mailadressen, boekingsinformatie en antwoorden op aangepaste afrekenvragen.
• Verwerking: Elke bewerking die op persoonsgegevens wordt uitgevoerd, inclusief verzameling, opslag, opvraging, gebruik, openbaarmaking, combinatie, wissing of vernietiging.
• Subverwerker: Een derde partij die door de Verwerker wordt ingeschakeld om persoonsgegevens namens de Verwerkingsverantwoordelijke te verwerken.

Deze GVO is van toepassing op alle verwerking van persoonsgegevens die ChetsApp UG uitvoert namens de Verwerkingsverantwoordelijke in verband met het EventMann-platform. De Verwerker verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, behalve wanneer verwerking vereist is door EU- of lidstaatrecht.

De verwerking die onder deze GVO valt, omvat:

• Opslaan en beheren van registratie- en boekingsgegevens van deelnemers
• Verwerken van ticketaankopen en betalingstransacties (in samenwerking met Stripe)
• Verzenden van transactionele e-mails namens de Verwerkingsverantwoordelijke (boekingsbevestigingen, ticketlevering, evenementupdates)
• Genereren van rapporten en analyses op basis van deelnemers- en boekingsgegevens
• Faciliteren van check-inprocessen via QR-codevalidatie
• Opslaan en leveren van antwoorden op aangepaste afrekenvragen gedefinieerd door de Verwerkingsverantwoordelijke

De Verwerker verwerkt persoonsgegevens niet voor andere doeleinden dan het leveren van de EventMann-platformdiensten zoals beschreven in deze GVO en de Organisatorovereenkomst, tenzij uitdrukkelijk geïnstrueerd door de Verwerkingsverantwoordelijke of vereist door toepasselijk recht.

De volgende categorieën persoonsgegevens worden verwerkt onder deze GVO:

Identificatiegegevens van deelnemers:

• Volledige naam
• E-mailadres
• Telefoonnummer (indien verstrekt of vereist door de Verwerkingsverantwoordelijke)

Boekings- en transactiegegevens:

• Boekingsreferentienummers
• Tickettype en -aantal
• Aankoopdatum en -tijd
• Betalingsstatus (bevestigd, in behandeling, terugbetaald)
• Gedeeltelijke betalingsinformatie (laatste 4 cijfers van de kaart, kaartmerk — ontvangen van Stripe)

Aangepaste gegevensvelden:

• Antwoorden op aangepaste afrekenvragen gedefinieerd door de Verwerkingsverantwoordelijke (bijv. dieetvereisten, bedrijfsnaam, toegankelijkheidsbehoeften)

Technische gegevens:

• IP-adres op het moment van boeking
• Browser- en apparaatinformatie
• QR-code check-intijdstempels

Bijzondere categorieën gegevens: De Verwerker verzamelt of verwerkt niet opzettelijk bijzondere categorieën persoonsgegevens (bijv. gezondheidsgegevens, biometrische gegevens, religieuze overtuigingen). Als de Verwerkingsverantwoordelijke aangepaste afrekenvragen configureert die dergelijke gegevens uitlokken, is de Verwerkingsverantwoordelijke als enige verantwoordelijk voor het waarborgen van een passende rechtsgrondslag en waarborgen.

Persoonsgegevens worden uitsluitend verwerkt voor de volgende doeleinden:

• Contractuitvoering: Verwerken van boekingen, uitgeven van tickets, faciliteren van betalingen en beheren van evenementbezoek — allemaal in dienst van de overeenkomst tussen de Verwerkingsverantwoordelijke (Organisator) en de Betrokkene (Deelnemer).
• Communicatie: Verzenden van transactionele e-mails inclusief boekingsbevestigingen, ticketlevering, evenementupdates en annuleringsberichten namens de Verwerkingsverantwoordelijke.
• Evenementbeheer: Inschakelen van check-infunctionaliteit, beheren van deelnemerslijsten, verwerken van terugbetalingsverzoeken en faciliteren van ticketoverdrachten zoals geconfigureerd door de Verwerkingsverantwoordelijke.
• Rapportage: Genereren van geaggregeerde en individuele rapporten over ticketverkoop, aanwezigheid, omzet en andere statistieken voor de evenementbeheerdoeleinden van de Verwerkingsverantwoordelijke.
• Platformexploitatie: Handhaven van de veiligheid, beschikbaarheid en prestaties van het EventMann-platform, inclusief fraudedetectie, misbruikpreventie en technische probleemoplossing.

De Verwerker gebruikt persoonsgegevens niet voor eigen marketingdoeleinden, profilering of enig doel dat geen verband houdt met het leveren van de EventMann-platformdiensten. Geanonimiseerde en geaggregeerde gegevens die niet aan individuele Betrokkenen kunnen worden gekoppeld, kunnen door de Verwerker worden gebruikt voor platformverbetering en statistische analyse.

De Verwerkingsverantwoordelijke machtigt de Verwerker om de volgende subverwerkers in te schakelen voor de doeleinden beschreven in deze GVO:

• Stripe, Inc. — Betalingsverwerking, transactiebeheer en uitbetalingsfacilitering. Stripe verwerkt betaalkaartgegevens rechtstreeks en is onafhankelijk PCI-DSS Level 1 gecertificeerd. De gegevensverwerkingsvoorwaarden van Stripe zijn van toepassing op hun omgang met betalingsgegevens. Locatie: Verenigde Staten, met EU-gegevensverwerkingsmogelijkheden.
• Hostingprovider: Infrastructuurhosting en gegevensopslag voor het EventMann-platform. Alle primaire gegevens worden gehost in de Europese Unie (Duitsland). De hostingprovider verwerkt persoonsgegevens uitsluitend voor het leveren van infrastructuurdiensten en is gebonden aan een gegevensverwerkingsovereenkomst met ChetsApp UG.

De Verwerker informeert de Verwerkingsverantwoordelijke voorafgaand aan het toevoegen of vervangen van een subverwerker. De Verwerkingsverantwoordelijke kan bezwaar maken tegen een nieuwe subverwerker binnen 14 dagen na kennisgeving. Als de Verwerkingsverantwoordelijke bezwaar maakt en de partijen geen overeenstemming kunnen bereiken, kan de Verwerkingsverantwoordelijke de betreffende diensten beëindigen.

De Verwerker zorgt ervoor dat alle subverwerkers gebonden zijn aan gegevensbeschermingsverplichtingen die niet minder beschermend zijn dan die in deze GVO. De Verwerker blijft volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de handelingen en nalatigheden van haar subverwerkers.

De Verwerker implementeert de volgende technische en organisatorische maatregelen om persoonsgegevens te beschermen, in overeenstemming met Artikel 32 van de AVG:

Technische maatregelen:

• Versleuteling tijdens overdracht met TLS 1.3 voor alle datacommunicatie
• Versleuteling in rust voor databases met persoonsgegevens
• Veilige wachtwoordhashing met bcrypt met passende kostfactoren
• Rolgebaseerde toegangscontrole (RBAC) met gedetailleerde machtigingen die de toegang tot persoonsgegevens beperken
• Snelheidsbeperking en brute-force-bescherming op authenticatie-eindpunten
• Geautomatiseerde kwetsbaarheidsscanning en updates van afhankelijkheden
• Regelmatige beveiligingspatches en systeemupdates

Organisatorische maatregelen:

• Toegang tot persoonsgegevens is beperkt tot geautoriseerd personeel op need-to-know-basis
• Al het personeel met toegang tot persoonsgegevens is gebonden aan geheimhoudingsverplichtingen
• Auditregistratie van alle toegang tot en wijzigingen van persoonsgegevens
• Incidentresponsprocedures voor beveiligingsincidenten en datalekken
• Regelmatige beoordeling en testing van beveiligingsmaatregelen
• Gegevensbeschermingseffectbeoordelingen voor verwerkingsactiviteiten met hoog risico

Deze maatregelen worden periodiek beoordeeld en bijgewerkt om wijzigingen in technologie, dreigingen en regelgevende vereisten weer te geven. De Verwerkingsverantwoordelijke kan op elk moment informatie opvragen over specifieke beveiligingsmaatregelen.

De Verwerker helpt de Verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen om te reageren op verzoeken van Betrokkenen onder Artikelen 15-22 van de AVG, waaronder:

• Recht op inzage (Art. 15): De Verwerker biedt de Verwerkingsverantwoordelijke de mogelijkheid om deelnemersgegevens te exporteren in een gestructureerd, gangbaar, machineleesbaar formaat.
• Recht op rectificatie (Art. 16): De Verwerker stelt de Verwerkingsverantwoordelijke in staat onjuiste persoonsgegevens te corrigeren via de deelnemersbeheersfuncties van het platform.
• Recht op wissing (Art. 17): Op verzoek van de Verwerkingsverantwoordelijke verwijdert de Verwerker persoonsgegevens van specifieke Betrokkenen, behalve wanneer bewaring wettelijk vereist is (bijv. financiële gegevens onder het Duitse handelsrecht).
• Recht op beperking (Art. 18): De Verwerker ondersteunt de Verwerkingsverantwoordelijke bij het beperken van de verwerking van persoonsgegevens wanneer de Betrokkene de juistheid betwist of bezwaar maakt tegen verwerking.
• Recht op gegevensoverdraagbaarheid (Art. 20): De Verwerker biedt gegevensexportfunctionaliteit in CSV- en JSON-formaat om overdraagbaarheid te faciliteren.
• Recht van bezwaar (Art. 21): De Verwerkingsverantwoordelijke is verantwoordelijk voor het afhandelen van bezwaren tegen verwerking en het dienovereenkomstig instrueren van de Verwerker.

Als de Verwerker rechtstreeks een verzoek ontvangt van een Betrokkene, stelt de Verwerker de Verwerkingsverantwoordelijke onmiddellijk op de hoogte en reageert niet rechtstreeks op het verzoek, tenzij daartoe gemachtigd door de Verwerkingsverantwoordelijke of vereist door de wet.

In het geval van een inbreuk op persoonsgegevens stelt de Verwerker de Verwerkingsverantwoordelijke zonder onnodige vertraging en in elk geval binnen 72 uur na kennisname van de inbreuk op de hoogte. Deze termijn is in lijn met de verplichting van de Verwerkingsverantwoordelijke om de toezichthoudende autoriteit op de hoogte te stellen onder Artikel 33 van de AVG.

De melding van de inbreuk bevat, voor zover beschikbaar:

• Een beschrijving van de aard van de inbreuk, inclusief de categorieën en het geschatte aantal getroffen Betrokkenen en records
• De naam en contactgegevens van het contactpunt voor gegevensbescherming van de Verwerker
• Een beschrijving van de waarschijnlijke gevolgen van de inbreuk
• Een beschrijving van de genomen of voorgestelde maatregelen om de inbreuk aan te pakken en de gevolgen te beperken

De Verwerker werkt volledig samen met de Verwerkingsverantwoordelijke bij het onderzoeken en verhelpen van de inbreuk, inclusief:

• Verstrekken van aanvullende informatie zodra deze beschikbaar is
• Onmiddellijk stappen ondernemen om de inbreuk in te perken en verdere ongeautoriseerde toegang te voorkomen
• De Verwerkingsverantwoordelijke bijstaan bij meldingen aan Betrokkenen waar vereist onder Artikel 34 van de AVG
• Bewijs en logbestanden bewaren die relevant zijn voor het inbreukonderzoek

De Verwerker documenteert alle inbreuken op persoonsgegevens, inclusief de feiten, gevolgen en genomen herstelmaatregelen, ongeacht of melding aan de toezichthoudende autoriteit vereist is.

Bij beëindiging van de Organisatorovereenkomst of op schriftelijk verzoek van de Verwerkingsverantwoordelijke zal de Verwerker:

• Gegevens retourneren: De Verwerkingsverantwoordelijke voorzien van een volledige export van alle persoonsgegevens die namens de Verwerkingsverantwoordelijke zijn verwerkt, in een gestructureerd, gangbaar, machineleesbaar formaat (CSV of JSON).
• Gegevens verwijderen: Alle persoonsgegevens uit de systemen van de Verwerker verwijderen binnen 30 dagen na ontvangst van het retourverzoek of bij beëindiging van de overeenkomst, afhankelijk van wat het eerst komt.
• Verwijdering bevestigen: Schriftelijke bevestiging van gegevensverwijdering verstrekken op verzoek van de Verwerkingsverantwoordelijke.

Uitzonderingen op verwijdering: De Verwerker kan persoonsgegevens na de verwijderingsdeadline bewaren wanneer dit vereist is door toepasselijk recht, waaronder:

• Financiële transactiegegevens vereist onder het Duitse handelsrecht (HGB Sectie 257) — bewaard tot 10 jaar
• Fiscaal relevante gegevens vereist onder de Duitse belastingwet (AO Sectie 147) — bewaard tot 10 jaar
• Gegevens vereist voor het instellen, uitoefenen of verdedigen van rechtsvorderingen

Wanneer gegevens worden bewaard op grond van een wettelijke verplichting, worden ze beperkt in verdere verwerking en beschermd met passende beveiligingsmaatregelen. De Verwerker informeert de Verwerkingsverantwoordelijke over eventuele wettelijke bewaringsverplichtingen die volledige verwijdering verhinderen.

Back-upkopieën met persoonsgegevens worden overschreven door de normale back-uprotatiecyclus, die niet langer dan 90 dagen duurt.

Deze Gegevensverwerkingsovereenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met de bepalingen van de Algemene Verordening Gegevensbescherming van de EU (Verordening (EU) 2016/679), in het bijzonder Artikel 28, dat de vereisten voor gegevensverwerkingsovereenkomsten tussen verwerkingsverantwoordelijken en verwerkers vastlegt.

Voor zover de AVG een bepaald onderwerp niet behandelt, wordt deze GVO beheerst door de wetten van de Bondsrepubliek Duitsland, inclusief de Duitse Federale Wet Gegevensbescherming (BDSG). Alle geschillen die voortvloeien uit deze GVO zijn onderworpen aan de exclusieve jurisdictie van de rechtbanken van München (München), Duitsland.

Indien enige bepaling van deze GVO ongeldig of niet-afdwingbaar wordt bevonden, blijven de overige bepalingen onverminderd van kracht. De ongeldige bepaling wordt vervangen door een geldige bepaling die het oorspronkelijke doel zo dicht mogelijk benadert.

Deze GVO is van kracht vanaf de datum waarop de Verwerkingsverantwoordelijke een organisatoraccount op EventMann aanmaakt en blijft van kracht gedurende de looptijd van de Organisatorovereenkomst plus eventuele toepasselijke gegevensbewaringsperioden. Deze GVO kan door de Verwerker worden gewijzigd met 30 dagen voorafgaande kennisgeving aan de Verwerkingsverantwoordelijke. Voortgezet gebruik van het platform na de kennisgevingsperiode vormt acceptatie van de gewijzigde voorwaarden.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Duitsland