数据处理协议

本数据处理协议（"DPA"）由活动组织者（"控制者"、"您"）与运营EventMann平台的ChetsApp UG（"处理者"、"我们"）签订。本DPA补充组织者协议和服务条款。

以下定义适用于本DPA全文：

• 控制者：确定参与者个人数据处理目的和方式的活动组织者。当您在EventMann上创建活动并收集参与者信息时，您即为控制者。
• 处理者：代表控制者处理个人数据以提供EventMann平台服务的ChetsApp UG（EventMann）。
• 数据主体：其个人数据被处理的已识别或可识别的自然人。在EventMann的上下文中，数据主体主要是活动参与者。
• 个人数据：与数据主体相关的任何信息，包括姓名、电子邮件地址、预订信息和自定义结账问题的回答。
• 处理：对个人数据执行的任何操作，包括收集、存储、检索、使用、披露、组合、擦除或销毁。
• 子处理者：处理者委托代表控制者处理个人数据的第三方。

本DPA适用于ChetsApp UG代表控制者在EventMann平台相关事务中执行的所有个人数据处理。处理者仅按控制者的书面指示处理个人数据，除非欧盟或成员国法律要求处理。

本DPA涵盖的处理包括：

• 存储和管理参与者注册和预订数据
• 处理门票购买和支付交易（与Stripe协同）
• 代表控制者发送事务性电子邮件（预订确认、门票递送、活动更新）
• 基于参与者和预订数据生成报告和分析
• 通过二维码验证促进签到流程
• 存储和递送控制者定义的自定义结账问题的回答

除非控制者明确指示或适用法律要求，处理者不得为本DPA和组织者协议中描述的EventMann平台服务提供之外的任何目的处理个人数据。

本DPA下处理的个人数据类别如下：

参与者识别数据：

• 全名
• 电子邮件地址
• 电话号码（如控制者提供或要求）

预订和交易数据：

• 预订参考号
• 门票类型和数量
• 购买日期和时间
• 支付状态（已确认、待处理、已退款）
• 部分支付信息（卡片后4位数字、卡片品牌——从Stripe接收）

自定义数据字段：

• 控制者定义的自定义结账问题的回答（例如饮食要求、公司名称、无障碍需求）

技术数据：

• 预订时的IP地址
• 浏览器和设备信息
• 二维码签到时间戳

特殊类别数据：处理者不会故意收集或处理特殊类别的个人数据（例如健康数据、生物识别数据、宗教信仰）。如果控制者配置的自定义结账问题引出此类数据，控制者全权负责确保适当的法律依据和保障措施。

个人数据仅用于以下目的：

• 合同履行：处理预订、发放门票、促进支付和管理活动出席——均为服务于控制者（组织者）与数据主体（参与者）之间的合同。
• 通信：代表控制者发送事务性电子邮件，包括预订确认、门票递送、活动更新和取消通知。
• 活动管理：启用签到功能、管理参与者名单、处理退款请求以及促进控制者配置的门票转让。
• 报告：为控制者的活动管理目的生成门票销售、出席、收入和其他指标的汇总和个别报告。
• 平台运营：维护EventMann平台的安全性、可用性和性能，包括欺诈检测、滥用防范和技术故障排除。

处理者不得将个人数据用于自身营销目的、分析或与提供EventMann平台服务无关的任何目的。无法关联到单个数据主体的匿名化和汇总数据可由处理者用于平台改进和统计分析。

控制者授权处理者为本DPA所述目的委托以下子处理者：

• Stripe, Inc.——支付处理、交易管理和付款促进。Stripe直接处理支付卡数据，并独立获得PCI-DSS一级认证。Stripe的数据处理条款适用于其对支付数据的处理。所在地：美国，具有欧盟数据处理能力。
• 托管提供商：EventMann平台的基础设施托管和数据存储。所有主要数据托管在欧盟（德国）境内。托管提供商仅为提供基础设施服务的目的处理个人数据，并受与ChetsApp UG签订的数据处理协议约束。

处理者将在添加或更换任何子处理者之前通知控制者。控制者可在收到通知后14天内对新子处理者提出异议。如果控制者提出异议且双方无法达成解决方案，控制者可终止受影响的服务。

处理者应确保所有子处理者受到不低于本DPA规定的数据保护义务的约束。处理者对其子处理者的作为和不作为向控制者承担全部责任。

处理者根据GDPR第32条实施以下技术和组织措施来保护个人数据：

技术措施：

• 所有数据通信的TLS 1.3传输加密
• 包含个人数据的数据库的静态加密
• 使用适当成本因子的bcrypt安全密码哈希
• 具有精细权限的基于角色的访问控制（RBAC），限制对个人数据的访问
• 认证端点的速率限制和暴力破解保护
• 自动化漏洞扫描和依赖项更新
• 定期安全补丁和系统更新

组织措施：

• 个人数据的访问仅限于按需知晓原则的授权人员
• 所有有权访问个人数据的人员均受保密义务约束
• 对个人数据的所有访问和修改进行审计日志记录
• 安全事件和数据泄露的事件响应程序
• 安全措施的定期审查和测试
• 高风险处理活动的数据保护影响评估

这些措施会定期审查和更新，以反映技术、威胁和监管要求的变化。控制者可随时请求有关具体安全措施的信息。

处理者应协助控制者履行其根据GDPR第15至22条回应数据主体请求的义务，包括：

• 访问权（第15条）：处理者应向控制者提供以结构化、常用、机器可读格式导出参与者数据的能力。
• 更正权（第16条）：处理者应使控制者能够通过平台的参与者管理功能更正不准确的个人数据。
• 删除权（第17条）：应控制者请求，处理者应删除特定数据主体的个人数据，但法律要求保留的除外（例如德国商法下的财务记录）。
• 限制权（第18条）：当数据主体对准确性提出异议或反对处理时，处理者应支持控制者限制个人数据的处理。
• 数据可携带权（第20条）：处理者应提供CSV和JSON格式的数据导出功能以促进可携带性。
• 反对权（第21条）：控制者负责处理对处理的反对并相应地指示处理者。

如果处理者直接收到数据主体的请求，处理者应立即通知控制者，除非获得控制者授权或法律要求，否则不得直接回应请求。

在发生个人数据泄露的情况下，处理者应在不无故延迟的情况下，并且在任何情况下在知晓泄露后72小时内通知控制者。此时间线与GDPR第33条下控制者通知监管机构的义务一致。

泄露通知应在可获得的范围内包括：

• 泄露性质的描述，包括受影响的数据主体和记录的类别和大致数量
• 处理者数据保护联络人的姓名和联系方式
• 泄露可能后果的描述
• 已采取或拟采取的处理泄露并减轻其影响的措施描述

处理者应与控制者全面合作调查和补救泄露，包括：

• 在可获得时提供额外信息
• 立即采取措施遏制泄露并防止进一步未经授权的访问
• 在GDPR第34条要求时协助控制者通知数据主体
• 保存与泄露调查相关的证据和日志

无论是否需要通知监管机构，处理者应记录所有个人数据泄露，包括事实、影响和采取的补救措施。

在组织者协议终止后或应控制者的书面请求，处理者应：

• 返还数据：以结构化、常用、机器可读的格式（CSV或JSON）向控制者提供代表控制者处理的所有个人数据的完整导出。
• 删除数据：在收到返还请求后30天内或协议终止时（以较早者为准），从处理者的系统中删除所有个人数据。
• 确认删除：应控制者请求提供数据删除的书面确认。

删除例外：处理者在适用法律要求的情况下，可在删除期限之后保留个人数据，包括：

• 德国商法（HGB第257条）要求的财务交易记录——最多保留10年
• 德国税法（AO第147条）要求的税务相关记录——最多保留10年
• 建立、行使或辩护法律索赔所需的数据

在法律义务下保留的数据应限制进一步处理并以适当的安全措施保护。处理者应将阻止完全删除的法律保留义务通知控制者。

包含个人数据的备份副本应通过正常的备份轮换周期覆盖，该周期不超过90天。

本数据处理协议受欧盟通用数据保护条例（条例（EU）2016/679）的规定管辖并据其解释，特别是规定控制者和处理者之间数据处理协议要求的第28条。

在GDPR未涉及特定问题的范围内，本DPA应受德意志联邦共和国法律管辖，包括德国联邦数据保护法（BDSG）。因本DPA引起的任何争议应受德国慕尼黑（München）法院的专属管辖。

如果本DPA的任何条款被认定为无效或不可执行，其余条款应继续完全有效。无效条款应被尽可能实现原始目的的有效条款所替代。

本DPA自控制者在EventMann上创建组织者账户之日起生效，并在组织者协议期限加上任何适用的数据保留期间内有效。本DPA可由处理者在提前30天通知控制者后进行修订。通知期后继续使用平台即表示接受修订后的条款。

ChetsApp UG
Pecserstr 55, 70736 Fellbach, Germany