Eventbrite

Helpcentrum

Addendum inzake gegevensverwerking (DPA) voor Verwerkers en Subverwerkers

Laatst bijgewerkt: 25 augustus, 2021. Kijk hier voor meer informatie over de juridische voorwaarden van Eventbrite.

In dit artikel

  • Overzicht
  • 1. Definities
  • 2. Rol van de Partijen en aard van de Persoonsgegevens
  • 3. Naleving door de Leverancier
  • 4. Internationale gegevensoverdracht.
  • 5. Aanvullende waarborgen voor de overdracht en verwerking van Persoonsgegevens uit de EER, Zwitserland en het Verenigd Koninkrijk.  
  • 6. Vertrouwelijkheid en beveiliging
  • 7. Subverwerking
  • 8. Samenwerking en rechten van betrokkenen
  • 9. Audit.
  • 10. Gegevensschending.
  • 11. Verwijderen of retourneren van gegevens.
  • 12. Vrijwaring
  • 13. Diversen

Overzicht

Dit Addendum inzake gegevensverwerking (in het Engels: Data Processing Addendum of "DPA") is van toepassing op alle diensten die door jou ("jij", "jou", "jouw" of "Leverancier") als Verwerker of Subverwerker (zoals hieronder gedefinieerd) aan Eventbrite, Inc. en gelieerde ondernemingen ("Eventbrite") worden geleverd (de "Diensten"). Jij en Eventbrite worden hierin ieder aangeduid als "Partij" en samen als "Partijen". Deze DPA-aanvullingen zijn opgenomen in en blijven van kracht gedurende de termijn van elke overeenkomst tussen de Partijen, inclusief maar niet beperkt tot uitgevoerde of doorklikovereenkomsten of, indien van toepassing, de API-gebruiksvoorwaarden van Eventbrite (de "Overeenkomst"), de duur van de Diensten of de verwerking van Eventbrite-gegevens, afhankelijk van wat later is (de "Termijn"). Zonder de algemeenheid van het voorgaande te beperken, is het onderwerp, de aard en het doel van de verwerking onder deze DPA, de levering van de Diensten onder de Overeenkomst, en de categorieën persoonsgegevens en categorieën van betrokkenen zijn die welke nodig zijn om de Diensten te verlenen onder de Overeenkomst, zoals uitgebreider in de Overeenkomst is beschreven.

1. Definities

Termen met een hoofdletter die in deze DPA worden gebruikt maar niet zijn gedefinieerd, hebben de betekenis zoals uiteengezet in de Overeenkomst, indien van toepassing. Voor de toepassing van deze DPA betekent

1.1 "Gelieerde onderneming(en)" elke persoon of rechtspersoon die zeggenschap heeft over, onder zeggenschap staat van, of onder gemeenschappelijke zeggenschap staat met een dergelijke rechtspersoon, ongeacht of dit van kracht is op de datum van de Overeenkomst of daarna. Voor de toepassing van deze DPA betekent "controle" eigendom of controle, direct of indirect, van meer dan 20% van de uitstaande stemgerechtigde aandelen van een rechtspersoon of anderszins de bevoegdheid hebben om het management en beleid te sturen.

1.2 "Toepasselijke privacywetten" betekent alle toepasselijke wet- en regelgeving op het gebied van privacy en gegevensbescherming waar ook ter wereld, inclusief, indien van toepassing, Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens (Algemene Verordening Gegevensbescherming) ("AVG"), EU-richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (in alle gevallen, zoals gewijzigd, vervangen of vervangen), en de California Consumer Privacy Act, Cal. Civ. Code § 1798.100 en volgende en de uitvoeringsbepalingen ("CCPA").

1.3 "Beheerder" betekent de natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van Persoonsgegevens bepaalt Beheerder is ook een "bedrijf", zoals die term is gedefinieerd in de CCPA.

1.4 "Gegevensschending" betekent een inbreuk op de beveiliging die leidt tot onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, en alle andere onrechtmatige vormen van verwerking van Eventbrite-gegevens.

1.5 "Eventbrite-gegevens" betekent alle gegevens, inclusief Persoonsgegevens die aan de Leverancier worden verstrekt of die anderszins worden verzameld en/of door de Leverancier worden verzameld en/of toegankelijk zijn namens Eventbrite en/of haar Gelieerde ondernemingen tijdens het leveren van de Diensten onder de Overeenkomst. Alle Eventbrite-gegevens die Persoonsgegevens zijn, worden hierbij "Eventbrite-persoonsgegevens" genoemd.

1.6 "Nieuwe EU-SCC's" betekent de Modelcontractbepalingen die zijn uitgegeven in overeenstemming met Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende Modelcontractbepalingen voor de doorgifte van persoonsgegevens aan derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad.

1.7 "Oude EU-SCV's" betekent de Modelcontractbepalingen die zijn uitgegeven overeenkomstig het besluit van de Europese Commissie van 5 februari 2010 over Modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad (beschikbaar vanaf de ingangsdatum op http://data.europa.eu/eli/ dec/ 2010/87/2016-12-17).

1.8 "Persoonsgegevens" betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificatienummer of naar een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, mentale, economische, culturele of sociale identiteit.

1.9 "Privacy Shield-principes" betekent de Privacy Shield Framework-principes (zoals aangevuld door de Aanvullende Principes) die zijn opgenomen in Bijlage II bij het Besluit van de Europese Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de toereikendheid van de geboden bescherming door het Privacy Shield (zoals kan worden gewijzigd, vervangen of vervangen), waarvan de details te vinden zijn op www.privacyshield.gov/eu-us-framework.

1.10 "Verwerker" betekent een rechtspersoon die Persoonsgegevens verwerkt namens, en in overeenstemming met de instructies van een Beheerder.

1.11 "Subverwerker" betekent een rechtspersoon ingeschakeld door een Verwerker die ermee instemt om van de Verwerker Persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor de verwerkingsactiviteit die moeten worden uitgevoerd als onderdeel van de Diensten.

1.12 "Leverancier" betekent de persoon of rechtspersoon die de Overeenkomst met Eventbrite is aangegaan

2. Rol van de Partijen en aard van de Persoonsgegevens

2.1 Voor de toepassing van deze DPA kan Eventbrite optreden als Beheerder, of optreden als Verwerker van een van haar klanten. De Leverancier erkent daarom dat hij kan optreden als Verwerker van Eventbrite of Subverwerker van Eventbrite. Wanneer Eventbrite optreedt als Verwerker, is Eventbrite contractueel en/of onder Toepasselijke privacywetten verplicht om bepaalde aan gegevensbescherming gerelateerde verplichtingen over te dragen aan haar aangewezen Subverwerkers. Daarom zijn alle verplichtingen die in deze DPA aan Verwerkers worden opgelegd van toepassing op Leverancier, ongeacht of Leverancier optreedt als Verwerker of Subverwerker.

2.2 De aard, het doel en het onderwerp van de gegevensverwerkingsactiviteiten van de Leverancier die worden uitgevoerd als onderdeel van de Diensten, zijn vastgelegd in de Overeenkomst. De Persoonsgegevens die kunnen worden verwerkt, kunnen betrekking hebben op evenementenorganisators, -bezoekers, -werknemers, -contractanten en -contactpersonen en kunnen namen, e-mailadressen, factuur- en betaalinformatie en geboekte, georganiseerde en bijgewoonde evenementen omvatten, evenals andere Persoonsgegevens die kunnen worden verwerkt ingevolge de Overeenkomst.

3. Naleving door de Leverancier

3.1 De Leverancier garandeert en verbindt zich ertoe Eventbrite-persoonsgegevens alleen te verwerken voor de beperkte en specifieke doeleinden die in de Overeenkomst zijn uiteengezet en/of zoals anderszins wettelijk door Eventbrite is opgedragen (via e-mail of anderszins), tenzij anders vereist door de toepasselijke wetgeving. De Leverancier zal Eventbrite onmiddellijk op de hoogte stellen als, naar zijn mening, een instructie in strijd is met de Toepasselijke privacywetten.

3.2 De Leverancier zal Eventbrite-persoonsgegevens niet verkopen of anderszins Eventbrite-persoonsgegevens verwerken voor enig ander doel dan voor de specifieke doeleinden die hierin worden uiteengezet en in overeenstemming met de Toepasselijke privacywetten. Voor alle duidelijkheid: de Leverancier zal Eventbrite-persoonsgegevens niet verwerken buiten de directe zakelijke relatie tussen Eventbrite en de Leverancier. Voor de toepassing van deze paragraaf heeft "verkopen" de betekenis die is uiteengezet in Toepasselijke privacywetten.

3.3 De Leverancier verklaart dat hij zijn beperkingen en verplichtingen zoals uiteengezet in deze DPA begrijpt en deze zal naleven.

4. Internationale gegevensoverdracht.

4.1 Eventbrite machtigt de Leverancier en zijn Subverwerkers om internationale gegevensoverdrachten van Eventbrite-persoonsgegevens uit te voeren in overeenstemming met deze DPA, zolang de Toepasselijke privacywetten voor dergelijke overdrachten worden nageleefd. Door akkoord te gaan met de DPA, gaat de Leverancier ook akkoord met de nieuwe EU SCC's, die vooraf zijn ondertekend door Eventbrite.

4.2 Met betrekking tot Eventbrite-persoonsgegevens die zijn overgedragen vanuit het Verenigd Koninkrijk waarvoor de Britse wet (en niet de wet in een jurisdictie van de Europese Economische Ruimte) het internationale karakter van de overdracht regelt, en deze wet het gebruik van de Oude EU-SCC's toestaat, maar niet het gebruik van de Nieuwe EU-SCC's, maken de Oude EU-SCC's deel uit van deze DPA en hebben deze voorrang op de rest van deze DPA, zoals is vastgesteld in de Oude EU SCC's, en dit totdat het Verenigd Koninkrijk nieuwe Modelcontractbepalingen aanneemt, in welk geval nieuwe Modelcontractbepalingen zullen gelden.  Voor de toepassing van de Oude EU-SCC's worden ze als volgt als voltooid beschouwd:

  1. De "exporteurs" en "importeurs" zijn de Partijen en hun Gelieerde ondernemingen voor zover een van hen betrokken is bij een dergelijke overdracht, met inbegrip van die welke zijn uiteengezet in Bijlage I.A van de Nieuwe EU-SCC's.  

  2. Bepaling 9 van de Oude EU-SCC's bepaalt dat de wetgeving van het Verenigd Koninkrijk van toepassing is op de Oude EU-SCC's.

  3. De inhoud van Bijlage 1 van de Oude EU-SCC's is uiteengezet in Bijlage I.B van de Nieuwe EU-SCC's hierin.

  4. De inhoud van Bijlage 2 van de Oude EU-SCC's is uiteengezet in bijlage II van de Nieuwe EU-SCC's hierin.

4.3 Met betrekking tot Persoonsgegevens die vanuit Zwitserland worden overgedragen, waarbij voor het internationale karakter van de doorgifte het Zwitserse recht (en niet het recht in enig rechtsgebied van de Europese Economische Ruimte) van toepassing is, zijn verwijzingen naar de AVG in clausule 4 van de Nieuwe EU-SCC's, voor zover wettelijk vereist, gewijzigd om te verwijzen naar de Zwitserse federale wet op gegevensbescherming of de opvolger daarvan, en het concept van de toezichthoudende autoriteit omvat de Zwitserse federale commissaris voor gegevensbescherming en informatie.

4.4 Met betrekking tot Persoonsgegevens die worden overgedragen van de Europese Economische Ruimte, zijn de hierin opgenomen nieuwe EU SCC's van toepassing, maken ze deel uit van deze DPA en hebben ze voorrang op de rest van deze DPA zoals uiteengezet in de nieuwe EU SCC's.  

  1. Waar de Leverancier optreedt als Eventbrite-verwerker, is Module Twee van de Nieuwe EU-SCC's van toepassing.  

  2. Waar de Leverancier optreedt als Subverwerker van Eventbrite, is Module Drie van de Nieuwe EU-SCC's van toepassing.

5. Aanvullende waarborgen voor de overdracht en verwerking van Persoonsgegevens uit de EER, Zwitserland en het Verenigd Koninkrijk.  

Voor zover de Leverancier Eventbrite-persoonsgegevens verwerkt van betrokkenen die zich bevinden in of onderworpen zijn aan de Toepasselijke privacywetten van de Europese Economische Ruimte, Zwitserland of het Verenigd Koninkrijk, gaat de Leverancier akkoord met de volgende waarborgen om dergelijke gegevens te beschermen tot een gelijkwaardig niveau als van Toepasselijke privacywetten:

5.1 De Leverancier en Eventbrite versleutelen alle onderlinge overdrachten van de Persoonsgegevens, en de Leverancier versleutelt alle verdere overdrachten die hij van dergelijke Persoonsgegevens doet, om te voorkomen dat dergelijke gegevens door derden worden verkregen, zoals overheidsinstanties die mogelijk fysieke toegang krijgen tot de transmissiemechanismen (bijv. draden en kabels) terwijl de gegevens in transmissie zijn.

5.2 De Leverancier verklaart en garandeert dat:

  1. op de datum van dit contract, hij geen enkele richtlijn heeft ontvangen onder Sectie 702 van de US Foreign Intelligence Surveillance Act, gecodificeerd bij 50 USC §1881a (“FISA-sectie 702”).

  2. hij niet in aanmerking komt om informatie, faciliteiten of assistentie te verstrekken onder FISA-sectie 702; of dat geen rechtbank heeft vastgesteld dat de Leverancier het type rechtpersoon is dat in aanmerking komt voor het ontvangen van een proces dat is uitgegeven onder FISA-sectie 702: (i) een "aanbieder van elektronische communicatiediensten" in de zin van 50 USC §1881(b)(4) of (ii ) een lid van een van de categorieën van rechtspersonen die in die definitie worden beschreven.

  3. hij niet het type aanbieder is dat in aanmerking komt om te worden onderworpen aan upstream-verzameling ("bulk"-verzameling) in overeenstemming met FISA-sectie 702, zoals beschreven in de punten 62 en 179 van het arrest van het Hof van Justitie van de EU, zaak C-311/18, Data Protection Commissioner v Facebook Ireland Limited en Maximillian Schrems ("Schrems II"), en dat daarom het enige FISA-sectie 702-proces waarvoor hij in aanmerking zou kunnen komen, als hij een "aanbieder van elektronische communicatiediensten" is in de zin van 50 USC §1881(b)(4), gebaseerd zou zijn op een specifieke "gerichte selector" (targeted selector) d.w.z. een identificator die uniek is voor het beoogde eindpunt van communicatie die onder toezicht staat.

  4. De Leverancier zal nooit voldoen aan een verzoek onder FISA-sectie 702 voor bulktoezicht, d.w.z. een toezichtvraag waarbij een gerichte account-ID niet wordt geïdentificeerd via een specifieke "gerichte selector" (targeted selector), m.a.w. een identificator die uniek is voor het beoogde eindpunt van communicatie die onderhevig is aan de toezicht.

  5. De Leverancier zal alle redelijkerwijs beschikbare juridische mechanismen gebruiken om verzoeken voor toegang tot gegevens aan te vechten via het nationale veiligheidsproces dat hij ontvangt, evenals alle daaraan verbonden geheimhoudingsbepalingen. 

  6. De Leverancier zal geen actie ondernemen op grond van U.S. Executive Order 12333.

  7. Met tussenpozen van 6 maanden of vaker indien toegestaan door de wet, zal de Leverancier een transparantierapport opstellen dat hij beschikbaar zal stellen aan Eventbrite, met vermelding van de soorten bindende wettelijke eisen voor de persoonsgegevens die hij heeft ontvangen, inclusief nationale veiligheidsbevelen en richtlijnen, die elk proces omvatten dat is uitgegeven onder FISA-sectie 702. 

  8. De Leverancier zal Eventbrite onmiddellijk op de hoogte stellen als de Leverancier niet langer kan voldoen aan de toepasselijke Modelcontractbepalingen of de bepalingen in deze sectie.  De Leverancier is niet verplicht om Eventbrite specifieke informatie te verstrekken over waarom hij niet langer kan voldoen, als het verstrekken van dergelijke informatie door de toepasselijke wetgeving is verboden.  Een dergelijke kennisgeving geeft Eventbrite het recht om de Overeenkomst (of, naar goeddunken van Eventbrite, betreffende werkverklaringen, bestelformulieren en soortgelijke documenten die daar onder vallen) te beëindigen en een onmiddellijke pro-rata restitutie te ontvangen van alle vooruitbetaalde bedragen daaronder.  Dit doet geen afbreuk aan de andere rechten en rechtsmiddelen van Eventbrite met betrekking tot een schending van de Overeenkomst.

6. Vertrouwelijkheid en beveiliging

6.1 De Leverancier zorgt ervoor dat elke persoon die hij machtigt om de Eventbrite-gegevens te verwerken (inclusief het personeel, de agenten en onderaannemers van de Leverancier) onderworpen is aan een geheimhoudingsplicht.

6.2 De Leverancier zorgt ervoor dat hij deze implementeert en onderhoudt gedurende de looptijd van de Overeenkomst, of de duur van zijn diensten aan Eventbrite als Verwerker of Subverwerker, en dat hij passende technische en organisatorische maatregelen zal nemen om Eventbrite-gegevens te beschermen, inclusief bescherming tegen Gegevensschendingen. Dergelijke maatregelen omvatten ten minste de maatregelen die zijn gespecificeerd in bijlage II van de Nieuwe EU-SCC's.

7. Subverwerking

De Leverancier zal Eventbrite op de hoogte stellen van eventuele Subverwerkers die hij gebruikt met betrekking tot Eventbrite-persoonsgegevens, en de Leverancier zal:

  1. ervoor zorgen dat elke Subverwerker schriftelijk contractueel verplicht is om ten minste hetzelfde niveau aan bescherming te bieden als vereist door deze DPA en voldoet aan met Toepasselijke privacywetten;

  2. volledig verantwoordelijk zijn voor en aansprakelijk zijn jegens Eventbrite voor handelingen en nalatigheden van een Subverwerker alsof dit de eigen handeling of nalatigheid van de Leverancier betreft; en

  3. Eventbrite op verzoek gedetailleerde informatie verstrekken van alle aangestelde Subverwerkers.

8. Samenwerking en rechten van betrokkenen

De Leverancier zal alle assistentie verlenen die Eventbrite redelijkerwijs nodig heeft om Eventbrite in staat te stellen:

  1. te reageren op, te voldoen aan of een andere oplossing te vinden voor enig verzoek dat of enige vraag of enige klacht die is ontvangen door Eventbrite (of een Eventbrite-klant) van:

    1. een levende persoon wiens Persoonsgegevens door Leverancier worden verwerkt namens Eventbrite; of

    2. een toepasselijke formeel aangewezen gegevensbeschermingsautoriteit; en

  2. te voldoen aan (en aantonen dat Eventbrite voldoet aan) zijn verplichtingen onder de Toepasselijke privacywetgeving. In het geval dat een dergelijke aanvraag, vraag of klacht op grond van deze Sectie 5 rechtstreeks wordt gericht aan de Leverancier, zal de Leverancier Eventbrite hiervan op de hoogte brengen met volledige details.

9. Audit.

De Leverancier gaat ermee akkoord om Eventbrite (of haar aangewezen accountants), met redelijke voorafgaande schriftelijke kennisgeving, alle informatie te verstrekken die Eventbrite redelijkerwijs nodig acht om te controleren of de Leverancier voldoet aan de vereisten van deze DPA, inclusief het invullen van controlevragenlijsten, het verstrekken van een beveiligingsbeleid en samenvattingen van beoordelingen van de naleving van bedrijfstaknormen (zoals ISO 27001, SSAE 16 SOC II), penetratietests en kwetsbaarheidsscans.

10. Gegevensschending.

In het geval van een Gegevensschending zal de Leverancier alleen de volgende acties ondernemen (tenzij geautoriseerd door Eventbrite):

10.1 Eventbrite onmiddellijk zonder onnodige vertraging (en uiterlijk binnen 48 uur nadat hij op de hoogte is gesteld van de Gegevensschending) op de hoogte stellen en Eventbrite voorzien van een redelijk gedetailleerde beschrijving van de Gegevensschending, het type gegevens dat het voorwerp was van de Gegevensschending en de identiteit van elke betrokken persoon zodra dergelijke informatie kan worden verzameld of anderszins beschikbaar komt, evenals alle andere informatie die Eventbrite redelijkerwijs kan vragen met betrekking tot de Gegevensschending; en

10.2 onmiddellijk (en uiterlijk beginnend binnen 48 uur na kennisname van de Gegevensschending) de Gegevensschending onderzoeken, redelijke inspanningen leveren om de gevolgen en schade van de Gegevensschending te beperken in overeenstemming met zijn verplichtingen op grond van sectie 3 (Vertrouwelijkheid en beveiliging) hierboven, en alle andere hulp te bieden die Eventbrite redelijkerwijs kan vragen met betrekking tot de Gegevensschending.

11. Verwijderen of retourneren van gegevens.

Na beëindiging of afloop van deze DPA zal de Leverancier (naar keuze van Eventbrite) alle Eventbrite-gegevens (inclusief alle kopieën van Eventbrite-gegevens) in zijn bezit of onder zijn controle (inclusief eventuele Eventbrite-gegevens die aan derden voor verwerking zijn uitbesteed) vernietigen of aan Eventbrite retourneren, tenzij een toepasselijke wet vereist dat de Leverancier de Eventbrite-gegevens bewaart.

12. Vrijwaring

De Leverancier zal Eventbrite, haar klanten, functionarissen, directeurs, werknemers, agenten, vertegenwoordigers en gelieerde ondernemingen (elk een "Gevrijwaarde partij") vrijwaren en gevrijwaard houden en schadeloos stellen voor alle verlies, schade, kosten (inclusief redelijke juridische kosten en onkosten) en aansprakelijkheid van derden die een Gevrijwaarde partij kan oplopen of die kan of kunnen ontstaan als gevolg van het feit dat de Leverancier niet voldoet aan de vereisten van deze DPA.

13. Diversen

Met uitzondering van de wijzigingen die door deze DPA worden aangebracht, blijven de Overeenkomst en/of andere overeenkomsten met betrekking tot de Diensten ongewijzigd en volledig van kracht.

Met betrekking tot bepalingen met betrekking tot de verwerking van Persoonsgegevens, prevaleren in het geval van een conflict tussen de Overeenkomst en deze DPA, de bepalingen van deze DPA. In het geval van een conflict tussen deze DPA en een andere bepaling van de Overeenkomst tussen jou en ons, heeft deze DPA voorrang; behalve wanneer jij en Eventbrite individueel afspraken hebben gemaakt over gegevensverwerkingsvoorwaarden die afwijken van deze DPA en die volledig voldoen aan de vereisten van de Toepasselijke privacywetten, in welk geval die afgesproken voorwaarden van toepassing zijn.

Heb je nog vragen?