Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal ("PBA") ingås mellan evenemangsarrangören ("Personuppgiftsansvarig", "du") och ChetsApp UG, som driver EventMann-plattformen ("Personuppgiftsbiträde", "vi", "oss"). Detta PBA kompletterar Arrangörsavtalet och Användarvillkoren.

Följande definitioner gäller genom hela detta PBA:

• Personuppgiftsansvarig: Evenemangsarrangören som bestämmer ändamålen och medlen för behandling av deltagares personuppgifter. När du skapar evenemang och samlar in deltagarinformation via EventMann är du Personuppgiftsansvarig.
• Personuppgiftsbiträde: ChetsApp UG (EventMann), som behandlar personuppgifter å den Personuppgiftsansvariges vägnar i samband med tillhandahållandet av EventMann-plattformstjänster.
• Registrerad: En identifierad eller identifierbar fysisk person vars personuppgifter behandlas. I EventMann-sammanhanget är Registrerade främst evenemangsdeltagare.
• Personuppgifter: All information som rör en Registrerad, inklusive namn, e-postadresser, bokningsinformation och svar på anpassade kassafrågor.
• Behandling: Varje åtgärd som utförs på personuppgifter, inklusive insamling, lagring, hämtning, användning, utlämnande, kombination, radering eller förstöring.
• Underbiträde: En tredje part som Personuppgiftsbiträdet anlitar för att behandla personuppgifter å den Personuppgiftsansvariges vägnar.

Detta PBA gäller för all behandling av personuppgifter som ChetsApp UG utför å den Personuppgiftsansvariges vägnar i samband med EventMann-plattformen. Personuppgiftsbiträdet ska endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, utom där behandling krävs enligt EU-rätt eller medlemsstatsrätt.

Behandlingen som omfattas av detta PBA inkluderar:

• Lagring och hantering av deltagar registrerings- och bokningsdata
• Behandling av biljettköp och betalningstransaktioner (i samarbete med Stripe)
• Skicka transaktionella e-postmeddelanden å den Personuppgiftsansvariges vägnar (bokningsbekräftelser, biljettleverans, evenemangsuppdateringar)
• Generera rapporter och analyser baserade på deltagar- och bokningsdata
• Underlätta incheckningsprocesser genom QR-kodsvalidering
• Lagra och leverera svar på anpassade kassafrågor definierade av den Personuppgiftsansvarige

Personuppgiftsbiträdet ska inte behandla personuppgifter för något annat ändamål än att tillhandahålla EventMann-plattformstjänster som beskrivs i detta PBA och Arrangörsavtalet, om inte den Personuppgiftsansvarige uttryckligen instruerar det eller det krävs enligt tillämplig lag.

Följande kategorier av personuppgifter behandlas under detta PBA:

Deltagaridentifieringsdata:

• Fullständigt namn
• E-postadress
• Telefonnummer (om tillhandahållet eller krävt av den Personuppgiftsansvarige)

Boknings- och transaktionsdata:

• Bokningsreferensnummer
• Biljetttyp och antal
• Köpdatum och -tid
• Betalningsstatus (bekräftad, väntande, återbetald)
• Partiell betalningsinformation (sista 4 siffror av kort, kortmärke — mottagen från Stripe)

Anpassade datafält:

• Svar på anpassade kassafrågor definierade av den Personuppgiftsansvarige (t.ex. kostkrav, företagsnamn, tillgänglighetsbehov)

Teknisk data:

• IP-adress vid bokningstillfället
• Webbläsar- och enhetsinformation
• QR-kod incheckningsidsstämplar

Särskilda kategorier av data: Personuppgiftsbiträdet samlar inte avsiktligt in eller behandlar särskilda kategorier av personuppgifter (t.ex. hälsodata, biometrisk data, religiösa övertygelser). Om den Personuppgiftsansvarige konfigurerar anpassade kassafrågor som framkallar sådan data är den Personuppgiftsansvarige ensamt ansvarig för att säkerställa en lämplig rättslig grund och skyddsåtgärder.

Personuppgifter behandlas uteslutande för följande ändamål:

• Avtalsuppfyllelse: Behandla bokningar, utfärda biljetter, underlätta betalningar och hantera evenemangsdeltagande — allt i tjänst av avtalet mellan den Personuppgiftsansvarige (Arrangör) och den Registrerade (Deltagare).
• Kommunikation: Skicka transaktionella e-postmeddelanden inklusive bokningsbekräftelser, biljettleverans, evenemangsuppdateringar och avbokningsmeddelanden å den Personuppgiftsansvariges vägnar.
• Evenemangshantering: Möjliggöra incheckningsfunktionalitet, hantera deltagarlistor, behandla återbetalningsförfrågningar och underlätta biljettöverföringar enligt den Personuppgiftsansvariges konfiguration.
• Rapportering: Generera aggregerade och individuella rapporter om biljettförsäljning, närvaro, intäkter och andra mått för den Personuppgiftsansvariges evenemangshanteringsändamål.
• Plattformsdrift: Upprätthålla säkerhet, tillgänglighet och prestanda för EventMann-plattformen, inklusive bedrägeridetektering, missbruksförebyggande och teknisk felsökning.

Personuppgiftsbiträdet ska inte använda personuppgifter för egna marknadsföringsändamål, profilering eller något ändamål som inte är relaterat till tillhandahållandet av EventMann-plattformstjänster. Anonymiserade och aggregerade data som inte kan kopplas till enskilda Registrerade kan användas av Personuppgiftsbiträdet för plattformsförbättring och statistisk analys.

Den Personuppgiftsansvarige bemyndigar Personuppgiftsbiträdet att anlita följande underbiträden för de ändamål som beskrivs i detta PBA:

• Stripe, Inc. — Betalningsbehandling, transaktionshantering och utbetalningsunderlättande. Stripe behandlar betalkortdata direkt och är oberoende PCI-DSS Level 1-certifierad. Stripes databehandlingsvillkor gäller för deras hantering av betalningsdata. Plats: USA, med EU-databehandlingsmöjligheter.
• Hostingleverantör: Infrastrukturhosting och datalagring för EventMann-plattformen. All primärdata hostas inom Europeiska unionen (Tyskland). Hostingleverantören behandlar personuppgifter enbart i syfte att tillhandahålla infrastrukturtjänster och är bunden av ett personuppgiftsbiträdesavtal med ChetsApp UG.

Personuppgiftsbiträdet informerar den Personuppgiftsansvarige innan något underbiträde läggs till eller byts ut. Den Personuppgiftsansvarige kan invända mot ett nytt underbiträde inom 14 dagar efter meddelande. Om den Personuppgiftsansvarige invänder och parterna inte kan nå en lösning kan den Personuppgiftsansvarige säga upp de berörda tjänsterna.

Personuppgiftsbiträdet ska säkerställa att alla underbiträden är bundna av dataskyddsskyldigheter som inte är mindre skyddande än de som anges i detta PBA. Personuppgiftsbiträdet förblir fullt ansvarigt gentemot den Personuppgiftsansvarige för sina underbiträdens handlingar och underlåtelser.

Personuppgiftsbiträdet implementerar följande tekniska och organisatoriska åtgärder för att skydda personuppgifter, i enlighet med artikel 32 i GDPR:

Tekniska åtgärder:

• Kryptering under överföring med TLS 1.3 för all datakommunikation
• Kryptering i vila för databaser som innehåller personuppgifter
• Säker lösenordshashning med bcrypt med lämpliga kostnadsfaktorer
• Rollbaserad åtkomstkontroll (RBAC) med granulära behörigheter som begränsar åtkomst till personuppgifter
• Hastighetsbegränsning och brute-force-skydd på autentiseringsslutpunkter
• Automatiserad sårbarhetsskanning och beroendeuppdateringar
• Regelbundna säkerhetspatchar och systemuppdateringar

Organisatoriska åtgärder:

• Åtkomst till personuppgifter begränsas till behörig personal på behov-att-veta-basis
• All personal med åtkomst till personuppgifter är bundna av sekretessförpliktelser
• Granskningsloggning av all åtkomst till och ändringar av personuppgifter
• Incidenthanteringsprocedurer för säkerhetshändelser och personuppgiftsincidenter
• Regelbunden granskning och testning av säkerhetsåtgärder
• Konsekvensbedömning avseende dataskydd för högriskbehandlingsaktiviteter

Dessa åtgärder granskas och uppdateras regelbundet för att återspegla förändringar i teknik, hot och regulatoriska krav. Den Personuppgiftsansvarige kan när som helst begära information om specifika säkerhetsåtgärder.

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att uppfylla sina skyldigheter att besvara förfrågningar från Registrerade enligt artiklarna 15-22 i GDPR, inklusive:

• Rätt till tillgång (art. 15): Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige möjlighet att exportera deltagardata i ett strukturerat, allmänt använt, maskinläsbart format.
• Rätt till rättelse (art. 16): Personuppgiftsbiträdet ska möjliggöra för den Personuppgiftsansvarige att korrigera felaktiga personuppgifter via plattformens deltagarhanteringsfunktioner.
• Rätt till radering (art. 17): På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet radera personuppgifter för specifika Registrerade, utom där lagring krävs enligt lag (t.ex. finansiella poster enligt tysk handelsrätt).
• Rätt till begränsning (art. 18): Personuppgiftsbiträdet ska stödja den Personuppgiftsansvarige med att begränsa behandling av personuppgifter där den Registrerade bestrider korrektheten eller invänder mot behandling.
• Rätt till dataportabilitet (art. 20): Personuppgiftsbiträdet ska tillhandahålla dataexportfunktionalitet i CSV- och JSON-format för att underlätta portabilitet.
• Rätt att invända (art. 21): Den Personuppgiftsansvarige ansvarar för att hantera invändningar mot behandling och instruera Personuppgiftsbiträdet i enlighet med detta.

Om Personuppgiftsbiträdet tar emot en förfrågan direkt från en Registrerad ska Personuppgiftsbiträdet omedelbart meddela den Personuppgiftsansvarige och ska inte besvara förfrågan direkt om inte det bemyndigats av den Personuppgiftsansvarige eller krävs enligt lag.

Vid en personuppgiftsincident ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige utan onödigt dröjsmål och i varje fall inom 72 timmar efter att ha blivit medveten om incidenten. Denna tidslinje överensstämmer med den Personuppgiftsansvariges skyldighet att anmäla till tillsynsmyndigheten enligt artikel 33 i GDPR.

Incidentanmälan ska innehålla, i den mån det är tillgängligt:

• En beskrivning av incidentens art, inklusive kategorier och ungefärligt antal berörda Registrerade och poster
• Namn och kontaktuppgifter till Personuppgiftsbiträdets dataskyddskontaktperson
• En beskrivning av de sannolika konsekvenserna av incidenten
• En beskrivning av de åtgärder som vidtagits eller föreslagits för att åtgärda incidenten och mildra dess effekter

Personuppgiftsbiträdet ska samarbeta fullt ut med den Personuppgiftsansvarige för att utreda och åtgärda incidenten, inklusive:

• Tillhandahålla ytterligare information allt eftersom den blir tillgänglig
• Vidta omedelbara åtgärder för att begränsa incidenten och förhindra ytterligare obehörig åtkomst
• Bistå den Personuppgiftsansvarige med anmälningar till Registrerade där det krävs enligt artikel 34 i GDPR
• Bevara bevis och loggar relevanta för incidentutredningen

Personuppgiftsbiträdet ska dokumentera alla personuppgiftsincidenter, inklusive omständigheter, effekter och åtgärder som vidtagits, oavsett om anmälan till tillsynsmyndigheten krävs.

Vid uppsägning av Arrangörsavtalet eller på den Personuppgiftsansvariges skriftliga begäran ska Personuppgiftsbiträdet:

• Återlämna data: Ge den Personuppgiftsansvarige en komplett export av alla personuppgifter behandlade å den Personuppgiftsansvariges vägnar, i ett strukturerat, allmänt använt, maskinläsbart format (CSV eller JSON).
• Radera data: Radera alla personuppgifter från Personuppgiftsbiträdets system inom 30 dagar efter mottagande av återlämningsbegäran eller vid uppsägning av avtalet, beroende på vad som inträffar först.
• Bekräfta radering: Tillhandahålla skriftlig bekräftelse av dataradering på den Personuppgiftsansvariges begäran.

Undantag från radering: Personuppgiftsbiträdet kan behålla personuppgifter efter raderingsfristen där det krävs enligt tillämplig lag, inklusive:

• Finansiella transaktionsposter som krävs enligt tysk handelsrätt (HGB §257) — behålls i upp till 10 år
• Skatterelevanta poster som krävs enligt tysk skattelag (AO §147) — behålls i upp till 10 år
• Data som krävs för att fastställa, utöva eller försvara rättsliga anspråk

Där data behålls enligt laglig skyldighet ska den begränsas från ytterligare behandling och skyddas med lämpliga säkerhetsåtgärder. Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om eventuella lagliga lagringsskyldigheter som hindrar fullständig radering.

Säkerhetskopior som innehåller personuppgifter ska skrivas över genom den normala säkerhetskopieringsrotationscykeln, som inte överstiger 90 dagar.

Detta Personuppgiftsbiträdesavtal regleras av och tolkas i enlighet med bestämmelserna i EU:s allmänna dataskyddsförordning (förordning (EU) 2016/679), särskilt artikel 28, som fastställer kraven för personuppgiftsbiträdesavtal mellan personuppgiftsansvariga och personuppgiftsbiträden.

I den mån GDPR inte behandlar en viss fråga ska detta PBA regleras av lagarna i Förbundsrepubliken Tyskland, inklusive den tyska federala dataskyddslagen (BDSG). Eventuella tvister som uppstår ur detta PBA ska lyda under exklusiv jurisdiktion av domstolarna i München (München), Tyskland.

Om någon bestämmelse i detta PBA befinns ogiltig eller ogenomförbar förblir de återstående bestämmelserna i full kraft och verkan. Den ogiltiga bestämmelsen ska ersättas med en giltig bestämmelse som uppnår det ursprungliga syftet så nära som möjligt.

Detta PBA gäller från det datum den Personuppgiftsansvarige skapar ett arrangörskonto på EventMann och förblir i kraft under Arrangörsavtalets varaktighet plus eventuella tillämpliga datalagringperioder. Detta PBA kan ändras av Personuppgiftsbiträdet med 30 dagars förhandsmeddelande till den Personuppgiftsansvarige. Fortsatt användning av plattformen efter meddelandeperioden utgör godkännande av de ändrade villkoren.

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Tyskland