Umowa o przetwarzanie danych

Niniejsza Umowa o przetwarzanie danych („DPA") jest zawierana między organizatorem wydarzenia („Administrator", „Ty") a ChetsApp UG, operatorem platformy EventMann („Podmiot przetwarzający", „my", „nas"). Niniejsza DPA uzupełnia Umowę z organizatorem i Warunki korzystania z usługi.

W niniejszej DPA obowiązują następujące definicje:

• Administrator: Organizator wydarzenia, który określa cele i sposoby przetwarzania danych osobowych uczestników. Gdy tworzysz wydarzenia i zbierasz informacje o uczestnikach za pośrednictwem EventMann, jesteś Administratorem.
• Podmiot przetwarzający: ChetsApp UG (EventMann), który przetwarza dane osobowe w imieniu Administratora w związku ze świadczeniem usług platformy EventMann.
• Osoba, której dane dotyczą: Zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane osobowe są przetwarzane. W kontekście EventMann osobami, których dane dotyczą, są głównie uczestnicy wydarzeń.
• Dane osobowe: Wszelkie informacje dotyczące osoby, której dane dotyczą, w tym imiona i nazwiska, adresy e-mail, informacje o rezerwacjach i odpowiedzi na niestandardowe pytania przy kasie.
• Przetwarzanie: Każda operacja wykonywana na danych osobowych, w tym zbieranie, przechowywanie, pobieranie, wykorzystywanie, ujawnianie, łączenie, usuwanie lub niszczenie.
• Podwykonawca przetwarzania: Strona trzecia zaangażowana przez Podmiot przetwarzający do przetwarzania danych osobowych w imieniu Administratora.

Niniejsza DPA ma zastosowanie do całego przetwarzania danych osobowych, które ChetsApp UG wykonuje w imieniu Administratora w związku z platformą EventMann. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora, z wyjątkiem przypadków, gdy przetwarzanie jest wymagane prawem UE lub państw członkowskich.

Przetwarzanie objęte niniejszą DPA obejmuje:

• Przechowywanie i zarządzanie danymi rejestracyjnymi i rezerwacyjnymi uczestników
• Przetwarzanie zakupów biletów i transakcji płatniczych (we współpracy ze Stripe)
• Wysyłanie e-maili transakcyjnych w imieniu Administratora (potwierdzenia rezerwacji, dostarczanie biletów, aktualizacje wydarzeń)
• Generowanie raportów i analiz na podstawie danych uczestników i rezerwacji
• Ułatwianie procesów odprawy poprzez walidację kodów QR
• Przechowywanie i dostarczanie odpowiedzi na niestandardowe pytania przy kasie zdefiniowane przez Administratora

Podmiot przetwarzający nie będzie przetwarzał danych osobowych w żadnym celu innym niż świadczenie usług platformy EventMann opisanych w niniejszej DPA i Umowie z organizatorem, chyba że zostanie wyraźnie poinstruowany przez Administratora lub będzie to wymagane przez obowiązujące prawo.

Następujące kategorie danych osobowych są przetwarzane na podstawie niniejszej DPA:

Dane identyfikacyjne uczestników:

• Imię i nazwisko
• Adres e-mail
• Numer telefonu (jeśli podany lub wymagany przez Administratora)

Dane rezerwacyjne i transakcyjne:

• Numery referencyjne rezerwacji
• Typ i ilość biletów
• Data i godzina zakupu
• Status płatności (potwierdzona, oczekująca, zwrócona)
• Częściowe informacje o płatności (ostatnie 4 cyfry karty, marka karty — otrzymane od Stripe)

Niestandardowe pola danych:

• Odpowiedzi na niestandardowe pytania przy kasie zdefiniowane przez Administratora (np. wymagania dietetyczne, nazwa firmy, potrzeby związane z dostępnością)

Dane techniczne:

• Adres IP w momencie rezerwacji
• Informacje o przeglądarce i urządzeniu
• Znaczniki czasu odprawy kodów QR

Szczególne kategorie danych: Podmiot przetwarzający nie zbiera ani nie przetwarza celowo szczególnych kategorii danych osobowych (np. danych zdrowotnych, danych biometrycznych, przekonań religijnych). Jeśli Administrator skonfiguruje niestandardowe pytania przy kasie, które wywołują takie dane, Administrator ponosi wyłączną odpowiedzialność za zapewnienie odpowiedniej podstawy prawnej i zabezpieczeń.

Dane osobowe są przetwarzane wyłącznie w następujących celach:

• Wykonanie umowy: Przetwarzanie rezerwacji, wydawanie biletów, ułatwianie płatności i zarządzanie uczestnictwem w wydarzeniach — wszystko w ramach umowy między Administratorem (Organizator) a osobą, której dane dotyczą (Uczestnik).
• Komunikacja: Wysyłanie e-maili transakcyjnych, w tym potwierdzeń rezerwacji, dostarczania biletów, aktualizacji wydarzeń i powiadomień o anulowaniu w imieniu Administratora.
• Zarządzanie wydarzeniami: Umożliwienie funkcji odprawy, zarządzanie listami uczestników, przetwarzanie wniosków o zwrot i ułatwianie transferów biletów zgodnie z konfiguracją Administratora.
• Raportowanie: Generowanie zbiorczych i indywidualnych raportów dotyczących sprzedaży biletów, frekwencji, przychodów i innych wskaźników dla celów zarządzania wydarzeniami Administratora.
• Działanie platformy: Utrzymanie bezpieczeństwa, dostępności i wydajności platformy EventMann, w tym wykrywanie oszustw, zapobieganie nadużyciom i rozwiązywanie problemów technicznych.

Podmiot przetwarzający nie będzie wykorzystywał danych osobowych do własnych celów marketingowych, profilowania ani do żadnych celów niezwiązanych ze świadczeniem usług platformy EventMann. Zanonimizowane i zagregowane dane, których nie można powiązać z poszczególnymi osobami, mogą być wykorzystywane przez Podmiot przetwarzający do ulepszania platformy i analiz statystycznych.

Administrator upoważnia Podmiot przetwarzający do zaangażowania następujących podwykonawców przetwarzania w celach opisanych w niniejszej DPA:

• Stripe, Inc. — Przetwarzanie płatności, zarządzanie transakcjami i ułatwianie wypłat. Stripe przetwarza dane kart płatniczych bezpośrednio i posiada niezależny certyfikat PCI-DSS Poziomu 1. Warunki przetwarzania danych Stripe mają zastosowanie do ich obsługi danych płatniczych. Lokalizacja: Stany Zjednoczone, z możliwościami przetwarzania danych w UE.
• Dostawca hostingu: Hosting infrastruktury i przechowywanie danych dla platformy EventMann. Wszystkie dane podstawowe są hostowane w Unii Europejskiej (Niemcy). Dostawca hostingu przetwarza dane osobowe wyłącznie w celu świadczenia usług infrastrukturalnych i jest związany umową o przetwarzanie danych z ChetsApp UG.

Podmiot przetwarzający poinformuje Administratora przed dodaniem lub zastąpieniem jakiegokolwiek podwykonawcy przetwarzania. Administrator może wnieść sprzeciw wobec nowego podwykonawcy przetwarzania w ciągu 14 dni od powiadomienia. Jeśli Administrator wniesie sprzeciw, a strony nie mogą osiągnąć porozumienia, Administrator może rozwiązać dotknięte usługi.

Podmiot przetwarzający zapewni, że wszyscy podwykonawcy przetwarzania są zobowiązani do przestrzegania obowiązków ochrony danych nie mniej rygorystycznych niż określone w niniejszej DPA. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania swoich podwykonawców przetwarzania.

Podmiot przetwarzający wdraża następujące środki techniczne i organizacyjne w celu ochrony danych osobowych, zgodnie z Artykułem 32 RODO:

Środki techniczne:

• Szyfrowanie w tranzycie przy użyciu TLS 1.3 dla wszystkich komunikacji danych
• Szyfrowanie w spoczynku dla baz danych zawierających dane osobowe
• Bezpieczne hashowanie haseł przy użyciu bcrypt z odpowiednimi współczynnikami kosztu
• Kontrola dostępu oparta na rolach (RBAC) z granularnymi uprawnieniami ograniczającymi dostęp do danych osobowych
• Ograniczanie szybkości i ochrona przed atakami brute-force na punktach końcowych uwierzytelniania
• Automatyczne skanowanie podatności i aktualizacje zależności
• Regularne łatki bezpieczeństwa i aktualizacje systemów

Środki organizacyjne:

• Dostęp do danych osobowych jest ograniczony do upoważnionego personelu na zasadzie niezbędnej wiedzy
• Cały personel z dostępem do danych osobowych jest zobowiązany do zachowania poufności
• Rejestrowanie audytowe wszystkich dostępów do danych osobowych i ich modyfikacji
• Procedury reagowania na incydenty w przypadku zdarzeń bezpieczeństwa i naruszeń danych
• Regularne przeglądy i testowanie środków bezpieczeństwa
• Oceny skutków dla ochrony danych w przypadku działań przetwarzania wysokiego ryzyka

Środki te są okresowo przeglądane i aktualizowane w celu uwzględnienia zmian technologicznych, zagrożeń i wymogów regulacyjnych. Administrator może w dowolnym momencie żądać informacji o konkretnych środkach bezpieczeństwa.

Podmiot przetwarzający wspiera Administratora w wypełnianiu jego obowiązków odpowiadania na żądania osób, których dane dotyczą, na mocy Artykułów 15-22 RODO, w tym:

• Prawo dostępu (Art. 15): Podmiot przetwarzający umożliwi Administratorowi eksport danych uczestników w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
• Prawo do sprostowania (Art. 16): Podmiot przetwarzający umożliwi Administratorowi poprawienie niedokładnych danych osobowych za pośrednictwem funkcji zarządzania uczestnikami platformy.
• Prawo do usunięcia (Art. 17): Na żądanie Administratora Podmiot przetwarzający usunie dane osobowe konkretnych osób, chyba że przechowywanie jest wymagane prawem (np. dokumentacja finansowa zgodnie z niemieckim prawem handlowym).
• Prawo do ograniczenia (Art. 18): Podmiot przetwarzający wesprze Administratora w ograniczeniu przetwarzania danych osobowych, gdy osoba kwestionuje ich dokładność lub sprzeciwia się przetwarzaniu.
• Prawo do przenoszenia danych (Art. 20): Podmiot przetwarzający zapewni funkcję eksportu danych w formatach CSV i JSON w celu ułatwienia przenoszenia.
• Prawo do sprzeciwu (Art. 21): Administrator jest odpowiedzialny za obsługę sprzeciwów wobec przetwarzania i odpowiednie instruowanie Podmiotu przetwarzającego.

Jeśli Podmiot przetwarzający otrzyma żądanie bezpośrednio od osoby, której dane dotyczą, niezwłocznie powiadomi Administratora i nie będzie odpowiadać bezpośrednio na żądanie, chyba że zostanie do tego upoważniony przez Administratora lub będzie to wymagane prawem.

W przypadku naruszenia danych osobowych Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku w ciągu 72 godzin od uzyskania wiedzy o naruszeniu. Ten termin jest zgodny z obowiązkiem Administratora powiadomienia organu nadzorczego na mocy Artykułu 33 RODO.

Powiadomienie o naruszeniu będzie zawierać, w miarę dostępności:

• Opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób i rekordów, których dotyczy
• Nazwisko i dane kontaktowe punktu kontaktowego Podmiotu przetwarzającego ds. ochrony danych
• Opis prawdopodobnych konsekwencji naruszenia
• Opis środków podjętych lub proponowanych w celu zaradzenia naruszeniu i złagodzenia jego skutków

Podmiot przetwarzający będzie w pełni współpracował z Administratorem w badaniu i naprawianiu naruszenia, w tym:

• Dostarczanie dodatkowych informacji w miarę ich dostępności
• Podejmowanie natychmiastowych kroków w celu ograniczenia naruszenia i zapobieżenia dalszemu nieautoryzowanemu dostępowi
• Wspieranie Administratora w powiadamianiu osób, których dane dotyczą, gdy jest to wymagane na mocy Artykułu 34 RODO
• Zabezpieczanie dowodów i dzienników istotnych dla dochodzenia w sprawie naruszenia

Podmiot przetwarzający będzie dokumentował wszystkie naruszenia danych osobowych, w tym fakty, skutki i podjęte działania naprawcze, niezależnie od tego, czy powiadomienie organu nadzorczego jest wymagane.

Po rozwiązaniu Umowy z organizatorem lub na pisemne żądanie Administratora, Podmiot przetwarzający zobowiązuje się do:

• Zwrot danych: Dostarczenie Administratorowi kompletnego eksportu wszystkich danych osobowych przetwarzanych w imieniu Administratora, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (CSV lub JSON).
• Usunięcie danych: Usunięcie wszystkich danych osobowych z systemów Podmiotu przetwarzającego w ciągu 30 dni od otrzymania żądania zwrotu lub rozwiązania umowy, w zależności od tego, co nastąpi wcześniej.
• Potwierdzenie usunięcia: Dostarczenie pisemnego potwierdzenia usunięcia danych na żądanie Administratora.

Wyjątki od usunięcia: Podmiot przetwarzający może przechowywać dane osobowe po upływie terminu usunięcia, gdy wymaga tego obowiązujące prawo, w tym:

• Dokumentacja transakcji finansowych wymagana na mocy niemieckiego prawa handlowego (HGB Sekcja 257) — przechowywana do 10 lat
• Dokumentacja istotna podatkowo wymagana na mocy niemieckiego Kodeksu podatkowego (AO Sekcja 147) — przechowywana do 10 lat
• Dane niezbędne do ustanowienia, dochodzenia lub obrony roszczeń prawnych

Gdy dane są przechowywane na mocy obowiązku prawnego, zostaną ograniczone od dalszego przetwarzania i chronione odpowiednimi środkami bezpieczeństwa. Podmiot przetwarzający poinformuje Administratora o wszelkich prawnych obowiązkach przechowywania, które uniemożliwiają całkowite usunięcie.

Kopie zapasowe zawierające dane osobowe zostaną nadpisane w ramach normalnego cyklu rotacji kopii zapasowych, który nie przekracza 90 dni.

Niniejsza Umowa o przetwarzanie danych podlega i jest interpretowana zgodnie z przepisami Ogólnego Rozporządzenia o Ochronie Danych UE (Rozporządzenie (UE) 2016/679), w szczególności Artykułu 28, który określa wymagania dotyczące umów o przetwarzanie danych między administratorami a podmiotami przetwarzającymi.

W zakresie, w jakim RODO nie reguluje danej kwestii, niniejsza DPA podlega prawu Republiki Federalnej Niemiec, w tym Federalnej Ustawie o Ochronie Danych (BDSG). Wszelkie spory wynikające z niniejszej DPA podlegają wyłącznej jurysdykcji sądów w Monachium (München), Niemcy.

Jeśli którekolwiek postanowienie niniejszej DPA zostanie uznane za nieważne lub niewykonalne, pozostałe postanowienia pozostają w pełnej mocy. Nieważne postanowienie zostanie zastąpione ważnym postanowieniem, które jak najbardziej realizuje pierwotny cel.

Niniejsza DPA obowiązuje od daty utworzenia przez Administratora konta organizatora na EventMann i pozostaje w mocy przez okres obowiązywania Umowy z organizatorem oraz wszelkie obowiązujące okresy przechowywania danych. Niniejsza DPA może być zmieniona przez Podmiot przetwarzający z 30-dniowym wyprzedzeniem dla Administratora. Dalsze korzystanie z platformy po upływie okresu powiadomienia stanowi akceptację zmienionych warunków.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Niemcy