Para dados pessoais relacionados com eventos, o Cliente ou Organizador do Evento é o Responsável pelo tratamento e a Bewitt é o Subcontratante. A Bewitt trata Dados pessoais do Cliente apenas mediante instruções documentadas do Cliente e exclusivamente para prestar e operar os serviços solicitados.
Responsável pelo tratamento e subcontratante
O organizador controla os dados do evento. A Bewitt trata-os para disponibilizar inscrições, acesso, agenda, check-in, comunicação, feedback, relatórios e serviços relacionados.
Dados de evento abrangidos
Os Dados pessoais do Cliente podem incluir registos de participantes, referências de bilhetes ou pagamentos, escolhas de agenda, estado de check-in, feedback, dados de oradores, contactos de patrocinadores e dados de relatórios.
Suporte para equipas jurídicas
Os anexos descrevem atividades de tratamento, medidas de segurança e subcontratantes posteriores para que revisões de privacidade e compras não tenham de adivinhar o que a Bewitt trata.
1. Partes
Este Acordo de Tratamento de Dados ("DPA") é celebrado entre:
Cliente / Organizador do evento: a pessoa coletiva, organização, associação, universidade, empresa, comunidade ou organizador de eventos que utiliza os serviços da Bewitt.
Bewitt: um fornecedor de software como serviço estabelecido nos Países Baixos.
Neste DPA, o Cliente é o Responsável pelo tratamento e a Bewitt é o Subcontratante relativamente aos Dados pessoais do Cliente tratados através do Serviço.
2. Finalidade do DPA
Este DPA faz parte do Acordo entre a Bewitt e o Cliente e rege o tratamento pela Bewitt de Dados pessoais do Cliente por conta do Cliente no âmbito da plataforma SaaS de gestão de eventos na cloud da Bewitt.
A finalidade do tratamento é prestar, operar, manter, proteger e apoiar os serviços solicitados pelo Cliente, incluindo inscrição em eventos, operações de eventos, comunicações, analytics, relatórios e funcionalidade relacionada da plataforma.
3. Definições
Acordo significa o acordo comercial, encomenda, subscrição, orçamento, termos de serviço ou outro acordo ao abrigo do qual a Bewitt presta o Serviço ao Cliente.
Dados pessoais do Cliente significa dados pessoais tratados pela Bewitt por conta do Cliente através do Serviço.
Responsável pelo tratamento, Subcontratante, Dados pessoais, Tratamento, Titular dos dados, Violação de dados pessoais e Autoridade de controlo têm os significados atribuídos pelo RGPD.
RGPD significa o Regulamento (UE) 2016/679, o Regulamento Geral sobre a Proteção de Dados.
Serviço significa a plataforma SaaS de gestão de eventos na cloud da Bewitt e os serviços relacionados.
Subcontratante posterior significa outro subcontratante contratado pela Bewitt para tratar Dados pessoais do Cliente por conta do Cliente.
4. Âmbito do tratamento
A Bewitt tratará Dados pessoais do Cliente apenas na medida necessária para prestar e operar o Serviço solicitado pelo Cliente.
O tratamento pode dizer respeito a participantes do evento, organizadores do evento, equipa do evento, voluntários, oradores, patrocinadores, convidados, clientes e outros indivíduos cujos dados o Cliente submeta ao Serviço.
Os detalhes das atividades de tratamento constam do Anexo A.
5. Natureza do tratamento
A natureza do tratamento pode incluir recolha, registo, organização, estruturação, armazenamento, alojamento, recuperação, consulta, utilização, transmissão, divulgação a utilizadores autorizados, alinhamento ou combinação, limitação, eliminação, exportação e outro tratamento necessário para prestar o Serviço.
O tratamento pode ocorrer através de funcionalidades como inscrições, gestão de agenda, participação em sessões, check-ins por código QR, recolha de feedback, quizzes, gamificação, recompensas, networking, lojas, relatórios, analytics, comunicações por email, domínios personalizados e integrações de API.
6. Categorias de titulares dos dados
Os Dados pessoais do Cliente podem dizer respeito a:
- participantes e potenciais participantes do evento;
- organizadores de eventos e equipa do evento;
- voluntários;
- oradores;
- patrocinadores;
- convidados;
- clientes e representantes de clientes;
- utilizadores da plataforma; e
- outros indivíduos incluídos pelo Cliente no Serviço.
7. Categorias de dados pessoais
Dados de identidade
- nome;
- nome de utilizador;
- endereço de email;
- número de telefone.
Dados de participação no evento
- inscrições;
- presença;
- check-ins;
- participação em sessões;
- interações com a agenda;
- feedback;
- respostas de quizzes;
- resgates de recompensas;
- interações de networking;
- atividade de gamificação.
Dados técnicos
- endereços IP;
- informação do dispositivo;
- informação do navegador;
- histórico de entradas;
- registos de segurança.
Dados comerciais
- registos de subscrição;
- informação de faturação;
- histórico de transações.
O Cliente é responsável por garantir que não submete ao Serviço dados pessoais desnecessários ou ilícitos.
8. Instruções de tratamento
A Bewitt tratará Dados pessoais do Cliente apenas mediante instruções documentadas do Cliente, incluindo relativamente a transferências de Dados pessoais do Cliente para um país terceiro ou organização internacional, salvo se a Bewitt for obrigada a tratar esses dados por direito da UE ou de um Estado-Membro.
As instruções documentadas do Cliente incluem este DPA, o Acordo, a configuração e utilização do Serviço pelo Cliente, instruções escritas fornecidas através de canais autorizados de suporte ou conta e instruções razoavelmente necessárias para a Bewitt prestar o Serviço.
A Bewitt informará prontamente o Cliente se, na opinião da Bewitt, uma instrução violar o RGPD ou outra lei de proteção de dados aplicável da UE ou de um Estado-Membro, salvo se tal for proibido por lei.
O Cliente continua responsável por determinar as finalidades e meios do tratamento, assegurar um fundamento jurídico, obter quaisquer consentimentos exigidos, fornecer avisos de privacidade aos titulares dos dados, garantir que o conteúdo e os dados do evento são lícitos, responder a pedidos dos titulares dos dados e cumprir as obrigações de responsável pelo tratamento ao abrigo da lei de proteção de dados aplicável.
A Bewitt não é responsável pela legalidade, exatidão ou conteúdo dos dados pessoais, conteúdo do evento, comunicações ou materiais carregados ou configurados pelo Cliente.
9. Obrigações de confidencialidade
A Bewitt assegurará que as pessoas autorizadas a tratar Dados pessoais do Cliente estão sujeitas a obrigações de confidencialidade adequadas, sejam elas contratuais, legais ou profissionais.
A Bewitt limitará o acesso a Dados pessoais do Cliente ao pessoal e contratados que precisem desse acesso para prestar, proteger, apoiar ou manter o Serviço.
10. Medidas de segurança
Tendo em conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco para as pessoas, a Bewitt implementará medidas técnicas e organizativas adequadas destinadas a proteger os Dados pessoais do Cliente.
Essas medidas podem incluir encriptação em trânsito, controlos de acesso, permissões baseadas em funções, controlos de autenticação, registos e monitorização, procedimentos de backup, gestão de vulnerabilidades, procedimentos de resposta a incidentes, controlos de segurança de infraestrutura, práticas de acesso com privilégio mínimo e procedimentos operacionais de segurança.
Mais detalhes constam do Anexo B. O Cliente reconhece que as medidas de segurança podem evoluir ao longo do tempo, desde que a Bewitt não reduza materialmente o nível global de proteção dos Dados pessoais do Cliente.
11. Subcontratantes posteriores
O Cliente concede à Bewitt autorização geral para contratar Subcontratantes posteriores necessários para prestar, operar, proteger, apoiar e melhorar o Serviço.
A Bewitt manterá uma Lista de Subcontratantes posteriores pública que descreve as categorias atuais de Subcontratantes posteriores e, quando aplicável, os Subcontratantes posteriores identificados.
A Bewitt imporá aos Subcontratantes posteriores obrigações de proteção de dados substancialmente equivalentes às impostas à Bewitt ao abrigo deste DPA, incluindo obrigações relativas a confidencialidade, segurança e tratamento apenas para finalidades autorizadas.
A Bewitt permanece responsável perante o Cliente pelo cumprimento das obrigações de proteção de dados dos seus Subcontratantes posteriores conforme exigido pelo artigo 28.º do RGPD.
12. Alterações aos subcontratantes posteriores
A Bewitt notificará o Cliente antes de fazer adições ou substituições materiais de Subcontratantes posteriores que tratem Dados pessoais do Cliente.
A notificação pode ser feita por email, aviso no produto, publicação numa Lista de Subcontratantes posteriores ou outro método razoável.
O Cliente pode opor-se a um novo Subcontratante posterior por motivos razoáveis de proteção de dados dentro do prazo de notificação indicado pela Bewitt ou, se não for indicado prazo, no prazo de 14 dias a contar da notificação.
Se o Cliente se opuser de forma razoável, as partes trabalharão de boa-fé para resolver a objeção. Se não houver resolução razoável disponível, o Cliente pode cessar o Serviço afetado de acordo com o Acordo.
13. Transferências internacionais
A Bewitt não transferirá Dados pessoais do Cliente para fora do Espaço Económico Europeu salvo se essa transferência cumprir a lei de proteção de dados aplicável.
Quando uma transferência exigir salvaguardas ao abrigo do Capítulo V do RGPD, a Bewitt usará salvaguardas adequadas, como uma decisão de adequação, Cláusulas Contratuais-Tipo adotadas pela Comissão Europeia, medidas suplementares quando exigidas, avaliações de impacto de transferência quando adequado ou outro mecanismo lícito de transferência.
Quando aplicável, as partes acordam que as Cláusulas Contratuais-Tipo da Comissão Europeia para transferências internacionais, incluindo a Decisão de Execução (UE) 2021/914 da Comissão, podem aplicar-se a transferências de Dados pessoais do Cliente para países terceiros.
Quando relevante para termos responsável-subcontratante, as partes também podem basear-se em cláusulas contratuais-tipo adotadas ao abrigo do artigo 28.º do RGPD, incluindo a Decisão de Execução (UE) 2021/915 da Comissão, na medida em que sejam incorporadas ou referidas pelas partes.
14. Assistência com pedidos dos titulares dos dados
Tendo em conta a natureza do tratamento, a Bewitt ajudará razoavelmente o Cliente através de medidas técnicas e organizativas adequadas, na medida do possível, a cumprir a obrigação do Cliente de responder a pedidos dos titulares dos dados.
Isto pode incluir pedidos relacionados com acesso, retificação, apagamento, limitação, portabilidade, oposição e retirada de consentimento quando relevante.
Se a Bewitt receber diretamente de um titular dos dados um pedido relativo a Dados pessoais do Cliente, a Bewitt pode encaminhar o pedido para o Cliente e não responderá de forma independente ao pedido, exceto conforme exigido por lei ou instruído pelo Cliente.
15. Assistência com conformidade RGPD
Tendo em conta a natureza do tratamento e a informação disponível para a Bewitt, a Bewitt ajudará razoavelmente o Cliente nas obrigações do Cliente ao abrigo dos artigos 32.º a 36.º do RGPD, incluindo segurança do tratamento, avaliação de violações de dados pessoais, avaliações de impacto sobre a proteção de dados, consulta prévia de uma autoridade de controlo quando exigida e informação razoavelmente necessária para demonstrar conformidade.
O Cliente continua responsável por determinar se é necessária uma avaliação de impacto sobre a proteção de dados ou consulta prévia para a utilização do Serviço pelo Cliente.
16. Notificações de violações de dados pessoais
A Bewitt notificará o Cliente sem demora injustificada depois de tomar conhecimento de uma Violação de Dados Pessoais que afete Dados pessoais do Cliente.
A notificação incluirá, na medida em que esteja razoavelmente disponível, a natureza da violação, categorias e número aproximado de titulares dos dados afetados, categorias e número aproximado de registos afetados, consequências prováveis, medidas tomadas ou propostas para resolver a violação, medidas para mitigar possíveis efeitos adversos e um ponto de contacto para seguimento.
A Bewitt pode fornecer informação por fases à medida que fique disponível. O Cliente é responsável por determinar se é necessária notificação a uma autoridade de controlo ou comunicação aos titulares dos dados, salvo se a lei aplicável impuser uma obrigação direta à Bewitt.
17. Auditorias e inspeções
A Bewitt disponibilizará ao Cliente informação razoavelmente necessária para demonstrar conformidade com este DPA e com o artigo 28.º do RGPD.
O Cliente pode solicitar uma auditoria ou inspeção quando razoavelmente necessário para verificar a conformidade da Bewitt, sujeita a aviso prévio razoável, obrigações de confidencialidade, âmbito e duração razoáveis, ausência de perturbação dos sistemas, segurança ou outros clientes da Bewitt, utilização de auditor independente quando adequado, cumprimento dos requisitos de segurança da Bewitt e sem acesso a dados de outros clientes ou a informação confidencial de terceiros.
A Bewitt pode satisfazer pedidos de auditoria fornecendo documentação de segurança, certificações, políticas, resumos, relatórios de auditoria ou outras provas de conformidade quando adequado. O Cliente suportará os seus próprios custos de auditoria salvo se a lei exigir o contrário ou se for acordado por escrito.
18. Devolução ou eliminação de dados
Após a cessação ou expiração do Serviço, o Cliente pode pedir a exportação ou eliminação de Dados pessoais do Cliente, sujeito à funcionalidade do Serviço e ao Acordo.
À escolha do Cliente, a Bewitt apagará ou devolverá os Dados pessoais do Cliente após o termo da prestação dos serviços relacionados com o tratamento, salvo se o direito da UE ou de um Estado-Membro exigir a conservação dos dados pessoais.
A eliminação das cópias de segurança pode ocorrer de acordo com o ciclo normal de backups da Bewitt, desde que os dados de backup sejam protegidos contra tratamento ativo, exceto quando a reposição for necessária por motivos de segurança, continuidade ou legais.
19. Conservação de dados
A Bewitt conservará Dados pessoais do Cliente durante o período necessário para prestar o Serviço e em conformidade com as instruções do Cliente, o Acordo, este DPA e a lei aplicável.
A conservação pode depender do estado ativo da conta, configuração do evento, pedidos de exportação ou eliminação do Cliente, ciclos de backups, obrigações legais de conservação, necessidades de segurança e prevenção de fraude, resolução de litígios e requisitos fiscais, contabilísticos ou de conformidade.
O Cliente continua responsável por determinar os períodos de conservação dos dados pessoais específicos do evento.
20. Responsabilidade
A responsabilidade das partes ao abrigo deste DPA é regida pelas disposições de responsabilidade do Acordo, salvo se a lei de proteção de dados aplicável exigir o contrário.
Nada neste DPA limita responsabilidade quando tal limitação for proibida pelo RGPD ou outra lei imperativa. Cada parte permanece responsável pelas suas próprias violações da lei de proteção de dados aplicável.
21. Lei aplicável
Este DPA é regido pelas leis dos Países Baixos, salvo se a lei de proteção de dados imperativa aplicável exigir o contrário.
Os tribunais competentes são os especificados no Acordo ou, se não estiverem especificados, os tribunais competentes nos Países Baixos.
22. Dados de contacto
Avisos de privacidade e proteção de dados ao abrigo deste DPA podem ser enviados para:
BewittPaíses Baixos
Email: [email protected]
O Cliente deve fornecer e manter dados de contacto de conta, legais e de proteção de dados exatos no Serviço ou Acordo.
Anexo A: Detalhes das atividades de tratamento
Objeto
Tratamento de Dados pessoais do Cliente pela Bewitt no âmbito da prestação da plataforma SaaS de gestão de eventos na cloud da Bewitt.
Duração
Durante a vigência do Acordo e posteriormente apenas conforme necessário para eliminação, devolução, ciclo de backups, conservação legal, segurança, resolução de litígios ou finalidades de conformidade.
Finalidade
Prestar, operar, manter, proteger, apoiar e melhorar o Serviço solicitado pelo Cliente, incluindo gestão de eventos e funcionalidade relacionada da plataforma.
Atividades de tratamento
- contas de utilizador;
- inscrições em eventos;
- presença no evento;
- gestão de agenda;
- participação em sessões;
- check-ins por código QR;
- recolha de feedback;
- quizzes;
- gamificação;
- recompensas;
- networking;
- lojas de eventos;
- relatórios e analytics;
- comunicações por email;
- domínios personalizados;
- integrações de API;
- suporte e resolução de problemas;
- monitorização de segurança e prevenção de fraude;
- funções da plataforma relacionadas com pagamentos.
Categorias especiais de dados pessoais
O Serviço não se destina a exigir categorias especiais de dados pessoais. O Cliente não deve submeter categorias especiais de dados pessoais salvo se tiver um fundamento jurídico válido e tiver configurado salvaguardas adequadas.
Frequência da transferência
Contínua ou conforme iniciada pelo Cliente, utilizadores, participantes, integrações ou funcionalidade da plataforma.
Local de tratamento
Principalmente dentro do EEE quando razoavelmente disponível. O tratamento pode ocorrer noutras jurisdições, sujeito às salvaguardas de transferência aplicáveis.
Anexo B: Medidas técnicas e organizativas de segurança
Encriptação e segurança de transmissão
- encriptação em trânsito usando protocolos seguros quando suportados;
- tratamento seguro de tokens de autenticação e sessão;
- proteção contra riscos comuns de segurança web.
Controlos de acesso
- controlos de acesso baseados em funções;
- práticas de acesso de privilégio mínimo;
- acesso limitado a pessoal e contratados autorizados;
- controlos de autenticação de conta;
- controlos de permissões para áreas de trabalho de organizadores quando disponíveis.
Registos, monitorização e cópias de segurança
- registos de segurança, autenticação, aplicação e infraestrutura;
- monitorização de eventos de segurança relevantes, erros e uptime quando adequado;
- procedimentos de backup concebidos para apoiar a continuidade;
- proteção de backups contra acesso não autorizado e eliminação de acordo com o ciclo de vida dos backups.
Gestão de vulnerabilidades e resposta a incidentes
- processos razoáveis de revisão e correção de vulnerabilidades;
- atualizações de segurança e aplicação de patches quando adequado;
- procedimentos internos de resposta e escalonamento de incidentes;
- documentação e procedimentos de notificação de clientes para Violações de Dados Pessoais.
Controlos de tenant e resiliência
- separação lógica de áreas de trabalho e dados de clientes quando aplicável;
- verificações de autorização para acesso à conta e ao evento;
- medidas de infraestrutura e operacionais concebidas para manter a disponibilidade;
- práticas razoáveis de continuidade de negócio.
A Bewitt pode atualizar medidas de segurança pontualmente para refletir alterações na tecnologia, ameaças, arquitetura do serviço e necessidades operacionais, desde que o nível global de proteção não seja materialmente reduzido.
Anexo C: Categorias atuais de subcontratantes posteriores
| Categoria | Finalidade |
|---|---|
| Fornecedores de alojamento cloud e infraestrutura | Alojamento, armazenamento, computação, rede, base de dados e infraestrutura da plataforma. |
| Fornecedores de entrega de conteúdo, DNS e segurança | DNS, cache, filtragem de segurança, proteção DDoS, TLS e desempenho. |
| Processadores de pagamentos | Checkout de pagamentos, estado de pagamentos, processamento de transações, prevenção de fraude e relatórios de pagamentos. |
| Fornecedores de email e notificações | Convites de eventos, emails de conta, emails transacionais e notificações. |
| Fornecedores de analytics | Analytics de utilização, analytics de produto, relatórios agregados e melhoria do serviço, quando ativos. |
| Fornecedores de monitorização de erros e observabilidade | Rastreio de erros, diagnósticos, registos, uptime, desempenho e investigação de incidentes. |
| Ferramentas de suporte ao cliente | Tickets de suporte, comunicações com clientes, resolução de problemas e assistência à conta. |
| Fornecedores de serviços de integração e API | Integrações configuradas pelo Cliente, funcionalidade de API e serviços ligados. |
| Fornecedores de cópias de segurança e armazenamento | Cópias de segurança, reposição, redundância de armazenamento e continuidade dos dados. |
| Prestadores de serviços profissionais | Suporte jurídico, contabilístico, de auditoria, conformidade e segurança quando necessário. |
A Bewitt mantém uma Lista de Subcontratantes posteriores pública que identifica os Subcontratantes posteriores atuais ou categorias de Subcontratantes posteriores e notificará adições ou substituições materiais conforme descrito neste DPA.