Skip to main content
EN EN DE DE FR FR ES ES IT IT NL NL PT PT PL PL TR TR CS CS DA DA SV SV JA JA ZH ZH
🗓 Todos os eventos 📍 Localizações

Categorias

🎨 Artes 💼 Negócios 😂 Comédia 🍕 Gastronomia 🏃 Saúde 🎵 Música Esportes 💻 Tecnologia

Descobrir

🎫 Organizadores 🛒 Fornecedores 🏢 Espaços 🤝 Patrocinadores 🙋 Staff / Voluntários
Centro jurídico

Acordo de processamento de dados

Última atualização: 30 de março de 2026

1 Definições

Este Acordo de Processamento de Dados ("APD") é celebrado entre o organizador do evento ("Responsável pelo Tratamento", "si") e a ChetsApp UG, que opera a plataforma EventMann ("Subcontratante", "nós"). Este APD complementa o Acordo de Organizador e os Termos de Serviço.

As seguintes definições aplicam-se ao longo deste APD:

  • Responsável pelo Tratamento: O organizador do evento que determina os fins e os meios do processamento de dados pessoais dos participantes. Quando cria eventos e recolhe informações dos participantes através do EventMann, é o Responsável pelo Tratamento.
  • Subcontratante: A ChetsApp UG (EventMann), que processa dados pessoais em nome do Responsável pelo Tratamento no âmbito da prestação dos serviços da plataforma EventMann.
  • Titular dos Dados: Uma pessoa singular identificada ou identificável cujos dados pessoais são processados. No contexto do EventMann, os Titulares dos Dados são principalmente os participantes dos eventos.
  • Dados Pessoais: Qualquer informação relativa a um Titular dos Dados, incluindo nomes, endereços de e-mail, informações de reserva e respostas a perguntas personalizadas de checkout.
  • Processamento: Qualquer operação realizada sobre dados pessoais, incluindo recolha, armazenamento, recuperação, utilização, divulgação, combinação, apagamento ou destruição.
  • Sub-subcontratante: Um terceiro contratado pelo Subcontratante para processar dados pessoais em nome do Responsável pelo Tratamento.

2 Âmbito do processamento

Este APD aplica-se a todo o processamento de dados pessoais que a ChetsApp UG realiza em nome do Responsável pelo Tratamento no âmbito da plataforma EventMann. O Subcontratante só processará dados pessoais com base em instruções documentadas do Responsável pelo Tratamento, exceto quando o processamento é exigido pela legislação da UE ou de um Estado-Membro.

O processamento abrangido por este APD inclui:

  • Armazenar e gerir dados de registo e reserva de participantes
  • Processar compras de bilhetes e transações de pagamento (em conjunto com o Stripe)
  • Enviar e-mails transacionais em nome do Responsável pelo Tratamento (confirmações de reserva, entrega de bilhetes, atualizações de eventos)
  • Gerar relatórios e análises com base em dados de participantes e reservas
  • Facilitar processos de check-in através da validação de códigos QR
  • Armazenar e entregar respostas a perguntas personalizadas de checkout definidas pelo Responsável pelo Tratamento

O Subcontratante não processará dados pessoais para qualquer fim diferente da prestação dos serviços da plataforma EventMann conforme descrito neste APD e no Acordo de Organizador, salvo instrução explícita do Responsável pelo Tratamento ou exigência da legislação aplicável.

3 Categorias de dados

As seguintes categorias de dados pessoais são processadas ao abrigo deste APD:

Dados de identificação dos participantes:

  • Nome completo
  • Endereço de e-mail
  • Número de telefone (se fornecido ou exigido pelo Responsável pelo Tratamento)

Dados de reserva e transação:

  • Números de referência de reserva
  • Tipo e quantidade de bilhetes
  • Data e hora da compra
  • Estado do pagamento (confirmado, pendente, reembolsado)
  • Informação parcial de pagamento (últimos 4 dígitos do cartão, marca do cartão — recebida do Stripe)

Campos de dados personalizados:

  • Respostas a perguntas personalizadas de checkout definidas pelo Responsável pelo Tratamento (por exemplo, requisitos dietéticos, nome da empresa, necessidades de acessibilidade)

Dados técnicos:

  • Endereço IP no momento da reserva
  • Informação do navegador e dispositivo
  • Carimbos de data/hora de check-in por código QR

Dados de categorias especiais: O Subcontratante não recolhe ou processa intencionalmente categorias especiais de dados pessoais (por exemplo, dados de saúde, dados biométricos, crenças religiosas). Se o Responsável pelo Tratamento configurar perguntas personalizadas de checkout que solicitem tais dados, o Responsável pelo Tratamento é o único responsável por garantir uma base legal e salvaguardas apropriadas.

4 Finalidade do processamento

Os dados pessoais são processados exclusivamente para os seguintes fins:

  • Execução contratual: Processar reservas, emitir bilhetes, facilitar pagamentos e gerir a participação em eventos — tudo ao serviço do contrato entre o Responsável pelo Tratamento (Organizador) e o Titular dos Dados (Participante).
  • Comunicação: Enviar e-mails transacionais incluindo confirmações de reserva, entrega de bilhetes, atualizações de eventos e avisos de cancelamento em nome do Responsável pelo Tratamento.
  • Gestão de eventos: Permitir funcionalidade de check-in, gerir listas de participantes, processar pedidos de reembolso e facilitar transferências de bilhetes conforme configurado pelo Responsável pelo Tratamento.
  • Relatórios: Gerar relatórios agregados e individuais sobre vendas de bilhetes, participação, receitas e outras métricas para os fins de gestão de eventos do Responsável pelo Tratamento.
  • Operação da plataforma: Manter a segurança, disponibilidade e desempenho da plataforma EventMann, incluindo deteção de fraude, prevenção de abusos e resolução técnica de problemas.

O Subcontratante não utilizará dados pessoais para os seus próprios fins de marketing, criação de perfis ou qualquer fim não relacionado com a prestação dos serviços da plataforma EventMann. Dados anonimizados e agregados que não possam ser associados a Titulares de Dados individuais podem ser utilizados pelo Subcontratante para melhoria da plataforma e análise estatística.

5 Sub-subcontratantes

O Responsável pelo Tratamento autoriza o Subcontratante a recorrer aos seguintes sub-subcontratantes para os fins descritos neste APD:

  • Stripe, Inc. — Processamento de pagamentos, gestão de transações e facilitação de pagamentos. O Stripe processa dados de cartões de pagamento diretamente e é independentemente certificado PCI-DSS Nível 1. Os termos de processamento de dados do Stripe aplicam-se ao seu tratamento de dados de pagamento. Localização: Estados Unidos, com capacidades de processamento de dados na UE.
  • Fornecedor de alojamento: Alojamento de infraestrutura e armazenamento de dados para a plataforma EventMann. Todos os dados primários são alojados na União Europeia (Alemanha). O fornecedor de alojamento processa dados pessoais exclusivamente para fins de prestação de serviços de infraestrutura e está vinculado por um acordo de processamento de dados com a ChetsApp UG.

O Subcontratante informará o Responsável pelo Tratamento antes de adicionar ou substituir qualquer sub-subcontratante. O Responsável pelo Tratamento pode opor-se a um novo sub-subcontratante dentro de 14 dias após a notificação. Se o Responsável pelo Tratamento se opuser e as partes não conseguirem chegar a uma resolução, o Responsável pelo Tratamento pode rescindir os serviços afetados.

O Subcontratante garantirá que todos os sub-subcontratantes estão vinculados por obrigações de proteção de dados não menos protetoras do que as estabelecidas neste APD. O Subcontratante permanece totalmente responsável perante o Responsável pelo Tratamento pelos atos e omissões dos seus sub-subcontratantes.

6 Medidas de segurança de dados

O Subcontratante implementa as seguintes medidas técnicas e organizativas para proteger os dados pessoais, em conformidade com o Artigo 32 do RGPD:

Medidas técnicas:

  • Encriptação em trânsito usando TLS 1.3 para todas as comunicações de dados
  • Encriptação em repouso para bases de dados contendo dados pessoais
  • Hashing seguro de palavras-passe usando bcrypt com fatores de custo apropriados
  • Controlo de acesso baseado em funções (RBAC) com permissões granulares limitando o acesso a dados pessoais
  • Limitação de taxa e proteção contra força bruta em endpoints de autenticação
  • Scanning automatizado de vulnerabilidades e atualizações de dependências
  • Patches de segurança regulares e atualizações de sistema

Medidas organizativas:

  • O acesso a dados pessoais é restrito a pessoal autorizado numa base de necessidade de conhecimento
  • Todo o pessoal com acesso a dados pessoais está vinculado por obrigações de confidencialidade
  • Registo de auditoria de todos os acessos e modificações a dados pessoais
  • Procedimentos de resposta a incidentes para eventos de segurança e violações de dados
  • Revisão e teste regulares de medidas de segurança
  • Avaliações de impacto sobre a proteção de dados para atividades de processamento de alto risco

Estas medidas são revistas e atualizadas periodicamente para refletir alterações na tecnologia, ameaças e requisitos regulamentares. O Responsável pelo Tratamento pode solicitar informações sobre medidas de segurança específicas a qualquer momento.

7 Direitos dos titulares dos dados

O Subcontratante assistirá o Responsável pelo Tratamento no cumprimento das suas obrigações de resposta a pedidos dos Titulares dos Dados ao abrigo dos Artigos 15-22 do RGPD, incluindo:

  • Direito de acesso (Art. 15): O Subcontratante fornecerá ao Responsável pelo Tratamento a capacidade de exportar dados dos participantes num formato estruturado, de uso corrente e legível por máquina.
  • Direito de retificação (Art. 16): O Subcontratante permitirá ao Responsável pelo Tratamento corrigir dados pessoais inexatos através das funcionalidades de gestão de participantes da plataforma.
  • Direito ao apagamento (Art. 17): A pedido do Responsável pelo Tratamento, o Subcontratante eliminará dados pessoais de Titulares de Dados específicos, exceto quando a retenção é exigida por lei (por exemplo, registos financeiros ao abrigo da lei comercial alemã).
  • Direito à limitação (Art. 18): O Subcontratante apoiará o Responsável pelo Tratamento na limitação do processamento de dados pessoais quando o Titular dos Dados contesta a exatidão ou se opõe ao processamento.
  • Direito à portabilidade dos dados (Art. 20): O Subcontratante fornecerá funcionalidade de exportação de dados nos formatos CSV e JSON para facilitar a portabilidade.
  • Direito de oposição (Art. 21): O Responsável pelo Tratamento é responsável por tratar as oposições ao processamento e instruir o Subcontratante em conformidade.

Se o Subcontratante receber um pedido diretamente de um Titular dos Dados, o Subcontratante notificará prontamente o Responsável pelo Tratamento e não responderá ao pedido diretamente, salvo autorização do Responsável pelo Tratamento ou exigência legal.

8 Notificação de violação de dados

Em caso de violação de dados pessoais, o Subcontratante notificará o Responsável pelo Tratamento sem demora injustificada e, em qualquer caso, dentro de 72 horas após tomar conhecimento da violação. Este prazo está alinhado com a obrigação do Responsável pelo Tratamento de notificar a autoridade de supervisão ao abrigo do Artigo 33 do RGPD.

A notificação da violação incluirá, na medida do disponível:

  • Uma descrição da natureza da violação, incluindo as categorias e o número aproximado de Titulares de Dados e registos afetados
  • O nome e dados de contacto do ponto de contacto de proteção de dados do Subcontratante
  • Uma descrição das consequências prováveis da violação
  • Uma descrição das medidas tomadas ou propostas para resolver a violação e mitigar os seus efeitos

O Subcontratante cooperará plenamente com o Responsável pelo Tratamento na investigação e remediação da violação, incluindo:

  • Fornecer informações adicionais à medida que ficam disponíveis
  • Tomar medidas imediatas para conter a violação e prevenir mais acesso não autorizado
  • Assistir o Responsável pelo Tratamento nas notificações aos Titulares dos Dados quando exigido ao abrigo do Artigo 34 do RGPD
  • Preservar evidências e registos relevantes para a investigação da violação

O Subcontratante documentará todas as violações de dados pessoais, incluindo os factos, efeitos e medidas corretivas tomadas, independentemente de a notificação à autoridade de supervisão ser necessária.

9 Eliminação & devolução de dados

Após a cessação do Acordo de Organizador ou a pedido escrito do Responsável pelo Tratamento, o Subcontratante deverá:

  • Devolver dados: Fornecer ao Responsável pelo Tratamento uma exportação completa de todos os dados pessoais processados em nome do Responsável pelo Tratamento, num formato estruturado, de uso corrente e legível por máquina (CSV ou JSON).
  • Eliminar dados: Eliminar todos os dados pessoais dos sistemas do Subcontratante dentro de 30 dias após a receção do pedido de devolução ou após a cessação do acordo, o que ocorrer primeiro.
  • Confirmar eliminação: Fornecer confirmação escrita da eliminação de dados a pedido do Responsável pelo Tratamento.

Exceções à eliminação: O Subcontratante pode reter dados pessoais para além do prazo de eliminação quando exigido pela legislação aplicável, incluindo:

  • Registos de transações financeiras exigidos pela lei comercial alemã (HGB Secção 257) — retidos até 10 anos
  • Registos fiscalmente relevantes exigidos pelo Código Fiscal Alemão (AO Secção 147) — retidos até 10 anos
  • Dados necessários para o estabelecimento, exercício ou defesa de direitos legais

Quando os dados são retidos ao abrigo de uma obrigação legal, serão restritos de processamento adicional e protegidos com medidas de segurança apropriadas. O Subcontratante informará o Responsável pelo Tratamento de quaisquer obrigações legais de retenção que impeçam a eliminação completa.

As cópias de segurança contendo dados pessoais serão substituídas através do ciclo normal de rotação de cópias de segurança, que não excede 90 dias.

10 Lei aplicável

Este Acordo de Processamento de Dados é regido e interpretado de acordo com as disposições do Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679), em particular o Artigo 28, que estabelece os requisitos para acordos de processamento de dados entre responsáveis pelo tratamento e subcontratantes.

Na medida em que o RGPD não aborde uma questão particular, este APD será regido pelas leis da República Federal da Alemanha, incluindo a Lei Federal Alemã de Proteção de Dados (BDSG). Quaisquer litígios decorrentes deste APD estarão sujeitos à jurisdição exclusiva dos tribunais de Munique (München), Alemanha.

Se qualquer disposição deste APD for considerada inválida ou inexequível, as restantes disposições permanecerão em pleno vigor e efeito. A disposição inválida será substituída por uma disposição válida que atinja o propósito original o mais proximamente possível.

Este APD é efetivo a partir da data em que o Responsável pelo Tratamento cria uma conta de organizador no EventMann e permanece em vigor durante a vigência do Acordo de Organizador mais quaisquer períodos de retenção de dados aplicáveis. Este APD pode ser alterado pelo Subcontratante com 30 dias de aviso prévio ao Responsável pelo Tratamento. A utilização continuada da plataforma após o período de aviso constitui aceitação dos termos alterados.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Alemanha

Painel de Administração

Admin

Usamos cookies

Usamos cookies e tecnologias semelhantes para personalizar conteúdo, analisar tráfego e melhorar a sua experiência. Pode aceitar todos, rejeitar os não essenciais ou personalizar as suas preferências.