За податке о личности повезане са догађајем, Клијент или Организатор догађаја је Руковалац, а Bewitt је Обрађивач. Bewitt обрађује Податке о личности Клијента само по документованим упутствима Клијента и искључиво ради пружања и рада тражених услуга.
Руковалац и обрађивач
Организатор контролише податке о догађају. Bewitt их обрађује ради пружања регистрација, приступа, агенде, пријаве доласка, комуникације, повратних информација, извештавања и повезаних услуга.
Обухваћени подаци о догађају
Подаци о личности Клијента могу обухватати евиденције учесника, референце карата или плаћања, изборе у агенди, статус пријаве доласка, повратне информације, податке о говорницима, контакте спонзора и податке за извештавање.
Подршка за правне тимове
Анекси описују активности обраде, мере безбедности и подобрађиваче, тако да прегледи приватности и набавке не морају да нагађају чиме Bewitt рукује.
1. Стране
Овај Уговор о обради података ("DPA") закључује се између:
Клијент / Организатор догађаја: правно лице, организација, удружење, универзитет, пословни субјект, заједница или организатор догађаја који користи Bewitt-ове услуге.
Bewitt: пружалац софтвера као услуге са седиштем у Холандији.
У овом DPA, Клијент је Руковалац, а Bewitt је Обрађивач за Податке о личности Клијента који се обрађују преко Услуге.
2. Сврха DPA
Овај DPA чини део Уговора између Bewitt-а и Клијента и уређује Bewitt-ову обраду Података о личности Клијента у име Клијента у вези са Bewitt-овом SaaS платформом за управљање догађајима у облаку.
Сврха обраде је пружање, рад, одржавање, обезбеђивање и подршка услугама које Клијент захтева, укључујући регистрацију за догађаје, операције догађаја, комуникације, аналитику, извештавање и повезане функционалности платформе.
3. Дефиниције
Уговор означава комерцијални уговор, наруџбину, претплату, понуду, услове услуге или други аранжман на основу којег Bewitt пружа Услугу Клијенту.
Подаци о личности Клијента означавају податке о личности које Bewitt обрађује у име Клијента преко Услуге.
Руковалац, Обрађивач, Подаци о личности, Обрада, Лице на које се подаци односе, Повреда безбедности података о личности и Надзорни орган имају значења дата у GDPR-у.
GDPR означава Уредбу (ЕУ) 2016/679, Општу уредбу о заштити података.
Услуга означава Bewitt-ову SaaS платформу за управљање догађајима у облаку и повезане услуге.
Подобрађивач означава другог обрађивача кога Bewitt ангажује да обрађује Податке о личности Клијента у име Клијента.
4. Обим обраде
Bewitt ће обрађивати Податке о личности Клијента само у мери неопходној за пружање и рад Услуге коју Клијент захтева.
Обрада се може односити на учеснике догађаја, организаторе догађаја, особље догађаја, волонтере, говорнике, спонзоре, госте, клијенте и друга лица чије податке Клијент достави Услузи.
Детаљи активности обраде наведени су у Анексу A.
5. Природа обраде
Природа обраде може обухватати прикупљање, бележење, организацију, структурирање, чување, хостинг, преузимање, увид, употребу, пренос, откривање овлашћеним корисницима, усклађивање или комбиновање, ограничење, брисање, извоз и другу обраду неопходну за пружање Услуге.
Обрада се може вршити кроз функције које укључују регистрације, управљање агендом, учешће у сесијама, пријаве доласка QR кодом, прикупљање повратних информација, квизове, гамификацију, награде, умрежавање, продавнице, извештавање, аналитику, имејл комуникације, прилагођене домене и API интеграције.
6. Категорије лица на која се подаци односе
Подаци о личности Клијента могу се односити на:
- учеснике догађаја и потенцијалне учеснике;
- организаторе догађаја и особље догађаја;
- волонтере;
- говорнике;
- спонзоре;
- госте;
- клијенте и представнике клијената;
- кориснике платформе; и
- друга лица која Клијент укључи у Услугу.
7. Категорије података о личности
Подаци о идентитету
- име;
- корисничко име;
- адреса е-поште;
- број телефона.
Подаци о учешћу на догађају
- регистрације;
- присуство;
- пријаве доласка;
- учешће у сесијама;
- интеракције са агендом;
- повратне информације;
- одговори на квизове;
- искоришћења награда;
- интеракције умрежавања;
- активност гамификације.
Технички подаци
- IP адресе;
- информације о уређају;
- информације о прегледачу;
- историја пријављивања;
- безбедносни логови.
Комерцијални подаци
- евиденције претплате;
- подаци за наплату;
- историја трансакција.
Клијент је одговоран да обезбеди да Услузи не доставља непотребне или незаконите податке о личности.
8. Упутства за обраду
Bewitt ће обрађивати Податке о личности Клијента само по документованим упутствима Клијента, укључујући у погледу преноса Података о личности Клијента у трећу земљу или међународну организацију, осим ако је Bewitt обавезан да такве податке обрађује по праву ЕУ или државе чланице.
Документована упутства Клијента укључују овај DPA, Уговор, Клијентову конфигурацију и коришћење Услуге, писана упутства дата преко овлашћених канала подршке или налога и упутства која су разумно неопходна да Bewitt пружи Услугу.
Bewitt ће без одлагања обавестити Клијента ако, по Bewitt-овом мишљењу, неко упутство крши GDPR или друго применљиво право ЕУ или државе чланице о заштити података, осим ако је то законом забрањено.
Клијент остаје одговоран за одређивање сврха и средстава обраде, обезбеђивање правног основа, прибављање свих потребних пристанака, достављање обавештења о приватности лицима на која се подаци односе, обезбеђивање да су садржај и подаци догађаја законити, одговарање на захтеве лица на која се подаци односе и испуњавање обавеза Руковаоца према применљивом праву о заштити података.
Bewitt није одговоран за законитост, тачност или садржај података о личности, садржаја догађаја, комуникација или материјала које Клијент отпреми или конфигурише.
9. Обавезе поверљивости
Bewitt ће обезбедити да лица овлашћена за обраду Података о личности Клијента подлежу одговарајућим обавезама поверљивости, било уговорним, законским или професионалним.
Bewitt ће ограничити приступ Подацима о личности Клијента на особље и извођаче којима је такав приступ потребан ради пружања, обезбеђивања, подршке или одржавања Услуге.
10. Мере безбедности
Узимајући у обзир стање технике, трошкове имплементације, природу, обим, контекст и сврхе обраде, као и ризик по појединце, Bewitt ће применити одговарајуће техничке и организационе мере осмишљене за заштиту Података о личности Клијента.
Такве мере могу укључивати шифровање при преносу, контроле приступа, дозволе засноване на улогама, контроле аутентификације, логовање и праћење, процедуре резервних копија, управљање рањивостима, процедуре одговора на инциденте, контроле безбедности инфраструктуре, праксе приступа са најмањим привилегијама и оперативне безбедносне процедуре.
Додатни детаљи наведени су у Анексу B. Клијент потврђује да се мере безбедности могу развијати током времена, под условом да Bewitt материјално не смањи укупан ниво заштите Података о личности Клијента.
11. Подобрађивачи
Клијент даје Bewitt-у опште овлашћење да ангажује Подобрађиваче неопходне за пружање, рад, обезбеђивање, подршку и побољшање Услуге.
Bewitt ће одржавати јавну Листу подобрађивача која описује тренутне категорије Подобрађивача и, где је применљиво, идентификоване Подобрађиваче.
Bewitt ће Подобрађивачима наметнути обавезе заштите података које су суштински еквивалентне онима које су Bewitt-у наметнуте овим DPA, укључујући обавезе које се односе на поверљивост, безбедност и обраду само у овлашћене сврхе.
Bewitt остаје одговоран Клијенту за извршавање обавеза заштите података својих Подобрађивача како је прописано чланом 28 GDPR-а.
12. Промене подобрађивача
Bewitt ће обавестити Клијента пре материјално значајних додавања или замена Подобрађивача који обрађују Податке о личности Клијента.
Обавештење се може доставити имејлом, обавештењем у производу, објавом на Листи подобрађивача или другим разумним методом.
Клијент може уложити приговор на новог Подобрађивача из разумних разлога заштите података у року за обавештење који наведе Bewitt, или ако рок није наведен, у року од 14 дана од обавештења.
Ако Клијент разумно уложи приговор, стране ће у доброј вери радити на решавању приговора. Ако разумно решење није доступно, Клијент може раскинути погођену Услугу у складу са Уговором.
13. Међународни преноси
Bewitt неће преносити Податке о личности Клијента ван Европског економског простора осим ако је такав пренос у складу са применљивим правом о заштити података.
Када пренос захтева заштитне мере према Поглављу V GDPR-а, Bewitt ће користити одговарајуће заштитне мере, као што су одлука о адекватности, Стандардне уговорне клаузуле које је усвојила Европска комисија, додатне мере где су потребне, процене утицаја преноса где је прикладно или други законити механизам преноса.
Где је применљиво, стране се саглашавају да се Стандардне уговорне клаузуле Европске комисије за међународне преносе, укључујући Спроведбену одлуку Комисије (ЕУ) 2021/914, могу примењивати на преносе Података о личности Клијента у треће земље.
Где је релевантно за услове између руковаоца и обрађивача, стране се такође могу ослонити на стандардне уговорне клаузуле усвојене према члану 28 GDPR-а, укључујући Спроведбену одлуку Комисије (ЕУ) 2021/915, у мери у којој су их стране укључиле или на њих упутиле.
14. Помоћ у вези са захтевима лица на која се подаци односе
Узимајући у обзир природу обраде, Bewitt ће разумно помоћи Клијенту одговарајућим техничким и организационим мерама, у мери у којој је то могуће, да испуни Клијентову обавезу одговарања на захтеве лица на која се подаци односе.
То може укључивати захтеве који се односе на приступ, исправку, брисање, ограничење, преносивост, приговор и повлачење пристанка где је релевантно.
Ако Bewitt прими захтев директно од лица на које се подаци односе у вези са Подацима о личности Клијента, Bewitt може упутити захтев Клијенту и неће самостално одговарати на захтев осим када је то прописано законом или по упутству Клијента.
15. Помоћ у вези са усклађеношћу са GDPR-ом
Узимајући у обзир природу обраде и информације доступне Bewitt-у, Bewitt ће разумно помоћи Клијенту у вези са Клијентовим обавезама према члановима 32 до 36 GDPR-а, укључујући безбедност обраде, процену повреде безбедности података о личности, процене утицаја на заштиту података, претходно саветовање са надзорним органом где је потребно и информације разумно неопходне за доказивање усклађености.
Клијент остаје одговоран за утврђивање да ли је процена утицаја на заштиту података или претходно саветовање потребно за Клијентово коришћење Услуге.
16. Обавештења о повреди безбедности података о личности
Bewitt ће обавестити Клијента без непотребног одлагања након што сазна за Повреду безбедности података о личности која утиче на Податке о личности Клијента.
Обавештење ће укључити, у мери у којој је разумно доступно, природу повреде безбедности, категорије и приближан број погођених лица на која се подаци односе, категорије и приближан број погођених евиденција, вероватне последице, мере предузете или предложене за решавање повреде безбедности, мере за ублажавање могућих штетних ефеката и контакт тачку за праћење.
Bewitt може пружати информације у фазама како постају доступне. Клијент је одговоран за утврђивање да ли је потребно обавештење надзорном органу или комуникација лицима на која се подаци односе, осим ако применљиво право намеће директну обавезу Bewitt-у.
17. Ревизије и инспекције
Bewitt ће Клијенту ставити на располагање информације разумно неопходне за доказивање усклађености са овим DPA и чланом 28 GDPR-а.
Клијент може затражити ревизију или инспекцију када је то разумно неопходно ради провере Bewitt-ове усклађености, уз разумно претходно обавештење, обавезе поверљивости, разуман обим и трајање, без ометања Bewitt-ових система, безбедности или других клијената, коришћење независног ревизора где је прикладно, поштовање Bewitt-ових безбедносних захтева и без приступа подацима других клијената или поверљивим информацијама трећих страна.
Bewitt може испунити захтеве за ревизију достављањем безбедносне документације, сертификата, политика, сажетака, ревизорских извештаја или других доказа о усклађености где је прикладно. Клијент ће сносити сопствене трошкове ревизије осим ако је другачије прописано законом или договорено у писаној форми.
18. Враћање или брисање података
По престанку или истеку Услуге, Клијент може затражити извоз или брисање Података о личности Клијента, у складу са функционалношћу Услуге и Уговором.
По избору Клијента, Bewitt ће избрисати или вратити Податке о личности Клијента након завршетка пружања услуга које се односе на обраду, осим ако право ЕУ или државе чланице захтева чување података о личности.
Брисање из резервних копија може се вршити у складу са Bewitt-овим уобичајеним животним циклусом резервних копија, под условом да су подаци из резервних копија заштићени од активне обраде осим када је обнова неопходна из безбедносних, континуитетних или правних разлога.
19. Задржавање података
Bewitt ће задржати Податке о личности Клијента током периода неопходног за пружање Услуге и у складу са Клијентовим упутствима, Уговором, овим DPA и применљивим правом.
Задржавање може зависити од статуса активног налога, конфигурације догађаја, Клијентових захтева за извоз или брисање, циклуса резервних копија, законских обавеза задржавања, потреба безбедности и спречавања превара, решавања спорова и пореских, рачуноводствених или захтева усклађености.
Клијент остаје одговоран за одређивање периода задржавања података о личности специфичних за догађај.
20. Одговорност
Одговорност страна према овом DPA уређена је одредбама о одговорности из Уговора, осим ако применљиво право о заштити података не захтева другачије.
Ништа у овом DPA не ограничава одговорност када је такво ограничење забрањено GDPR-ом или другим обавезујућим правом. Свака страна остаје одговорна за сопствена кршења применљивог права о заштити података.
21. Меродавно право
Овај DPA је уређен правом Холандије, осим ако обавезујуће применљиво право о заштити података не захтева другачије.
Надлежни судови су они наведени у Уговору или, ако нису наведени, надлежни судови у Холандији.
22. Контакт подаци
Обавештења о приватности и заштити података према овом DPA могу се послати на:
BewittХоландија
Е-пошта: [email protected]
Клијент мора доставити и одржавати тачне контакт податке за налог, правна питања и заштиту података у Услузи или Уговору.
Анекс A: Детаљи активности обраде
Предмет
Обрада Података о личности Клијента од стране Bewitt-а у вези са пружањем Bewitt-ове SaaS платформе за управљање догађајима у облаку.
Трајање
Током трајања Уговора и након тога само колико је неопходно за брисање, враћање, животни циклус резервних копија, законско задржавање, безбедност, решавање спорова или сврхе усклађености.
Сврха
За пружање, рад, одржавање, обезбеђивање, подршку и побољшање Услуге коју Клијент захтева, укључујући управљање догађајима и повезане функционалности платформе.
Активности обраде
- кориснички налози;
- регистрације за догађаје;
- присуство на догађају;
- управљање агендом;
- учешће у сесијама;
- пријаве доласка путем QR кода;
- прикупљање повратних информација;
- квизови;
- гамификација;
- награде;
- умрежавање;
- продавнице догађаја;
- извештавање и аналитика;
- имејл комуникације;
- прилагођени домени;
- API интеграције;
- подршка и решавање проблема;
- безбедносно праћење и спречавање превара;
- функције платформе повезане са плаћањем.
Посебне категорије података о личности
Услуга није намењена томе да захтева посебне категорије података о личности. Клијент не сме достављати посебне категорије података о личности осим ако Клијент има важећи правни основ и конфигурисао је одговарајуће заштитне мере.
Учесталост преноса
Континуирано или како га иницирају Клијент, корисници, учесници, интеграције или функционалност платформе.
Локација обраде
Првенствено унутар EEA где је разумно доступно. Обрада се може вршити у другим јурисдикцијама уз применљиве заштитне мере за пренос.
Анекс B: Техничке и организационе мере безбедности
Шифровање и безбедност преноса
- шифровање при преносу коришћењем безбедних протокола где је подржано;
- безбедно руковање токенима за аутентификацију и сесију;
- заштита од уобичајених веб безбедносних ризика.
Контроле приступа
- контроле приступа засноване на улогама;
- праксе приступа са најмањим привилегијама;
- приступ ограничен на овлашћено особље и извођаче;
- контроле аутентификације налога;
- контроле дозвола за радне просторе организатора где су доступне.
Логовање, праћење и резервне копије
- логовање безбедности, аутентификације, апликације и инфраструктуре;
- праћење релевантних безбедносних догађаја, грешака и доступности где је прикладно;
- процедуре резервних копија осмишљене да подрже континуитет;
- заштита резервних копија од неовлашћеног приступа и брисања у складу са животним циклусом резервних копија.
Управљање рањивостима и одговор на инциденте
- разумни процеси прегледа и отклањања рањивости;
- безбедносна ажурирања и закрпе где је прикладно;
- интерне процедуре одговора на инциденте и ескалације;
- документација и процедуре обавештавања клијената о Повредама безбедности података о личности.
Контроле закупца и отпорност
- логичко раздвајање радних простора и података клијената где је применљиво;
- провере овлашћења за приступ налогу и догађају;
- инфраструктурне и оперативне мере осмишљене за одржавање доступности;
- разумне праксе континуитета пословања.
Bewitt може повремено ажурирати мере безбедности како би одразио промене у технологији, претњама, архитектури услуге и оперативним потребама, под условом да укупан ниво заштите није материјално смањен.
Анекс C: Тренутне категорије подобрађивача
| Категорија | Сврха |
|---|---|
| Пружаоци хостинга у облаку и инфраструктуре | Хостинг, складиштење, рачунарски ресурси, умрежавање, база података и инфраструктура платформе. |
| Пружаоци испоруке садржаја, DNS-а и безбедности | DNS, кеширање, безбедносно филтрирање, DDoS заштита, TLS и перформансе. |
| Обрађивачи плаћања | Завршетак плаћања, статус плаћања, обрада трансакција, спречавање превара и извештавање о плаћањима. |
| Пружаоци имејла и обавештења | Позивнице за догађаје, имејлови налога, трансакциони имејлови и обавештења. |
| Пружаоци аналитике | Аналитика коришћења, аналитика производа, агрегирано извештавање и побољшање услуге, где је омогућено. |
| Пружаоци праћења грешака и опсервабилности | Праћење грешака, дијагностика, логови, доступност, перформансе и истрага инцидената. |
| Алати за корисничку подршку | Тикети подршке, комуникације са клијентима, решавање проблема и помоћ око налога. |
| Пружаоци интеграција и API услуга | Интеграције које конфигурише Клијент, API функционалност и повезане услуге. |
| Пружаоци резервних копија и складиштења | Резервне копије, обнова, редундантност складиштења и континуитет података. |
| Пружаоци професионалних услуга | Правна, рачуноводствена, ревизорска, усклађеносна и безбедносна подршка где је потребна. |
Bewitt одржава јавну Листу подобрађивача која идентификује тренутне Подобрађиваче или категорије Подобрађивача и доставиће обавештење о материјално значајним додавањима или заменама како је описано у овом DPA.