Evenda

Официалната версия на документа е на сръбски език.

Преводите на други езици се публикуват единствено за удобство. В случай на разминавания между превода и сръбската версия, сръбската версия има предимство.

Споразумение за обработка на данни (DPA)

Дата на влизане в сила: 01.03.2026
Последно обновяване: 01.03.2026

Настоящото споразумение за обработка на данни („DPA“) е част и неразделна приложение към Споразумението за организатори на платформата Evenda и урежда обработката на лични данни, която компанията ZURKA CE BITI DOO извършва от името на организатора при използването на SaaS-платформата Evenda.

Настоящото споразумение за обработка на лични данни се сключва между:

ZURKA CE BITI DOO
УИН: 114432064
МБ: 22023195
Белград, ул. „Кралжице Наталие“ 11, Сърбия
Имейл: [email protected]

(наричана по-нататък „Evenda“ или „Обработчик“)

и

лицето, което регистрира акаунт на организатор, приема настоящото DPA или използва платформата Evenda в качеството си на организатор на събитие
(наричано по-нататък „Организатор“ или „Оператор“).

Ако между страните е сключен отделен писмен договор за обработка на данни, той има предимство пред настоящото споразумение за обработка на данни по отношение на въпросите, които са изрично уредени в него.

1. Цел и обхват на приложение

1.1. Настоящото споразумение за обработка на лични данни (DPA) се прилага само в случаите, когато Evenda обработва лични данни от името и по поръчка на Организатора във връзка с използването на платформата Evenda.

1.2. Настоящото споразумение за обработка на лични данни (DPA) не се прилага в случаите, когато Evenda действа като самостоятелен оператор на лични данни, включително, но не само:

  • данни за профила на организатора и неговия екип;
  • данни, свързани с абонамента, фактурирането и плащанията за SaaS;
  • данни от запитвания към отдела за поддръжка;
  • данни за сигурност, логване, предотвратяване на измами и защита на правата на Evenda;
  • данни, които Evenda е длъжна да обработва съгласно закона.

1.3. Настоящото споразумение за обработка на данни (DPA) урежда единствено обработката на данни, извършвана от Evenda в качеството ѝ на обработващ лични данни. Всички останали въпроси, свързани с използването на платформата, се уреждат от Споразумението с организатора и други приложими документи на Evenda.

2. Определения

За целите на настоящото споразумение за обработка на данни се използват следните термини:

Оператор — Организатор, който определя целите и основните параметри на обработката на лични данни чрез платформата Evenda.
Обработващ лични данни — Evenda, която обработва лични данни от името на Оператора.
Приложимо законодателство за защита на данните — приложимото законодателство за защита на личните данни, включително GDPR, когато е приложимо, както и други задължителни норми, регулиращи съответното обработване.
Лични данни — всяка информация, отнасяща се до идентифицирано или идентифицируемо физическо лице.
Субект на данни — физическо лице, за което се отнасят личните данни.
Подизпълнител — всеки привлечен от Evenda обработващ, който обработва лични данни от името на Оператора във връзка с предоставянето на услугите на Evenda.
Нарушение на сигурността на личните данни — нарушение на сигурността, което води до случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни.

Ако даден термин се използва в настоящото споразумение за обработка на данни (DPA) и е дефиниран в приложимото законодателство за защита на данните, той се тълкува в смисъла, определен в това законодателство.

3. Предмет, срок, характер и цел на обработката

3.1. Предмет на настоящото споразумение за обработка на лични данни (DPA) е обработката на лични данни от Evenda от името на Организатора при предоставянето на SaaS-функционалността на платформата Evenda.

3.2. Срокът на обработката започва от момента, в който Evenda започне да обработва личните данни от името на Организатора, и продължава през периода на използване на съответните функции на платформата, както и през периода на съхранение, изтриване, връщане или друго прекратяване на обработката в съответствие с настоящото DPA и приложимото законодателство за защита на данните.

3.3. В зависимост от използваните функции на платформата обработката може да включва:

  • събиране;
  • записване;
  • организиране;
  • структуриране;
  • съхранение;
  • адаптиране;
  • извличане;
  • преглед;
  • използване;
  • предаване;
  • предоставяне на достъп;
  • съпоставяне;
  • ограничаване;
  • изтриване;
  • унищожаване;
  • други действия, необходими за предоставянето на услугите на Evenda.

3.4. Целите на обработката се определят от Организатора и могат да включват:

  • публикуване и администриране на събития;
  • продажба на билети;
  • обработка на поръчки и регистрации;
  • управление на участниците;
  • изпращане на сервизни известия, билети и QR-кодове;
  • обработка на формуляри, полета и данни, конфигурирани от Организатора;
  • поддръжка на оперативната дейност на Организатора в рамките на използването на платформата.

3.5. Категориите субекти на данни, категориите лични данни и описанието на обработката са посочени в Приложение 1 към настоящото DPA.

4. Ролята на страните

4.1. Организаторът действа като оператор по отношение на личните данни, които качва, събира, структурира или обработва по друг начин чрез платформата Evenda в рамките на своите събития, поръчки, билети, регистрации и комуникация с купувачи и участници.

4.2. Evenda действа като обработващ лични данни само доколкото обработва такива лични данни от името на Организатора и съгласно документираните му инструкции.

4.3. Организаторът потвърждава, че самостоятелно определя целите на обработката и основните параметри на обработката, включително:

  • какви данни се събират;
  • за кои лица;
  • колко дълго се използват данните в рамките на целите на Организатора;
  • на кого се предоставя достъп до данните в рамките на акаунта на Организатора;
  • какви формуляри, полета, уведомления и сценарии се използват.

5. Инструкции на оператора

5.1. Evenda обработва лични данни единствено въз основа на документирани инструкции от организатора, освен ако приложимото законодателство за защита на данните не изисква друго.

5.2. Настоящото DPA, Споразумението с организатора, настройките на акаунта на организатора, избраните функции на платформата, конфигурацията на събитията, формулярите, полетата, правата за достъп и други действия на организатора в интерфейса на Evenda се считат за документирани инструкции на оператора.

5.3. Организаторът има право да изпраща разумни допълнителни писмени инструкции, ако те:

  • свързани с използването на услугата;
  • не противоречат на Споразумението за организатори, настоящото ДОП и приложимото законодателство за защита на данните;
  • са технически осъществими;
  • не изискват несъразмерни промени в платформата.

5.4. Ако Evenda прецени, че дадена инструкция на Организатора нарушава приложимото законодателство за защита на личните данни, Evenda има право да уведоми Организатора за това и да спре изпълнението на съответната инструкция до получаване на разяснения или законно основание.

6. Задълженията на организатора в качеството му на оператор

Организаторът се задължава и гарантира, че:

6.1. има законни основания за обработката на лични данни и за възлагането на такава обработка на Evenda;

6.2. надлежно информира субектите на данни, ако това се изисква от закона;

6.3. самостоятелно определя кои лични данни се събират чрез платформата и не възлага на Evenda обработката на данни в нарушение на закона;

6.4. не използва платформата Evenda за обработка на специални категории лични данни, данни за съдимост или други чувствителни данни, освен ако такава обработка не е законна, необходима и надлежно уредена;

6.5. носи отговорност за законността на своите дейности, формуляри, полета, описания, уведомления, сценарии за комуникация, правата за достъп на своя екип и други настройки, които оказват влияние върху обработката на лични данни;

6.6. носи отговорност за обработката на запитвания от купувачи и участници в степента, в която действа в качеството си на оператор.

7. Задълженията на Evenda в качеството ѝ на обработващ лични данни

Evenda се задължава:

7.1. да обработва лични данни единствено съгласно документираните инструкции на Организатора;

7.2. да не използва личните данни за свои собствени цели, които са несъвместими с ролята на обработващ лични данни;

7.3. да гарантира, че лицата, които имат достъп до обработката на лични данни, са обвързани с задължение за поверителност или с подходящо законово задължение за поверителност;

7.4. да предприеме съответните технически и организационни мерки за сигурност в съответствие с раздел 10 от настоящото DPA и изискванията на приложимото законодателство за защита на данните;

7.5. да спазва условията за ангажиране на подизпълнители, определени в раздел 8;

7.6. да съдейства на Организатора, доколкото е възможно, при изпълнението на неговите задължения по отношение на отговорите на запитвания от субектите на данни;

7.7. да съдейства на Организатора, доколкото е възможно, при изпълнението на неговите задължения в областта на сигурността, уведомяването за нарушения, оценките на въздействието върху защитата на данните и предварителните консултации, ако това се изисква от закона;

7.8. след приключване на обработката да изтрие или върне личните данни в съответствие с настоящото DPA, освен ако законът не изисква друго;

7.9. да предоставя на Организатора информацията, необходима за доказване на спазването на настоящото DPA, и да съдейства при проверките в реда, предвиден в настоящото DPA.

8. Подизпълнители

8.1. Организаторът предоставя на Evenda общо писмено разрешение за ангажиране на подизпълнители за предоставяне на услугите на Evenda.

8.2. Evenda се задължава да поддържа актуален списък на подизпълнителите и при поискване да го предоставя на организатора или да го публикува на място в сайта или в личния профил, достъпно за организатора.

8.3. При намерение да добави нов подизпълнител или да замени съществуващ такъв, Evenda уведомява Организатора предварително по подходящ начин, ако такава промяна е съществена за обработката на лични данни.

8.4. Организаторът има право да подаде мотивирано възражение срещу нов подизпълнител в разумен срок след уведомяването, ако има документирани основания да счита, че такава промяна създава съществен риск от нарушение на приложимото законодателство за защита на данните.

8.5. Ако страните не успеят да разрешат по разумен начин такова възражение, Evenda има право да прекрати съответната част от обработката или да предложи на Организатора да преустанови използването на засегнатата функционалност.

8.6. Evenda се задължава да сключи с всеки подизпълнител писмено споразумение, с което му се възлагат задължения за защита на данните, които по същество не са по-малко строги от предвидените в настоящото DPA, доколкото те са приложими към предоставяните услуги.

8.7. Evenda носи отговорност за действията на своите подизпълнители в рамките, предвидени в приложимото законодателство за защита на личните данни и в споразуменията между страните.

9. Международно предаване на данни

9.1. Evenda не извършва международно предаване на лични данни извън приложимата юрисдикция без надлежно правно основание, ако такова основание се изисква от приложимото законодателство за защита на данните.

9.2. Ако за предоставянето на услугите на Evenda или за използването на подизпълнители е необходимо международно предаване на лични данни, Evenda се задължава да прилага допустим механизъм за предаване, включително, когато е приложимо:

  • решение за достатъчно ниво на защита;
  • стандартни договорни клаузи;
  • други законни механизми, разрешени от приложимото законодателство за защита на данните.

9.3. При обосновано искане от страна на Организатора Evenda предоставя обща информация за използваните механизми за международно предаване, ако такова предаване има място.

10. Сигурност при обработката

10.1. Като взема предвид състоянието на техниката, разходите за изпълнение, естеството, обема, контекста и целите на обработката, както и риска за правата и свободите на физическите лица, Evenda предприема подходящи технически и организационни мерки за сигурност.

10.2. Такива мерки могат да включват, доколкото е приложимо:

  • разграничаване на правата за достъп;
  • удостоверяване и управление на потребителските профили;
  • управление на ролите в рамките на платформата;
  • регистриране на действия и събития;
  • архивиране;
  • защита на предаването на данни;
  • защита на инфраструктурата и мрежовата среда;
  • процедури за откриване и обработка на инциденти;
  • вътрешни правила за достъп на служители и подизпълнители;
  • тестване, оценка и подобряване на мерките за сигурност;
  • мерки за минимизиране на риска от неразрешен достъп, загуба, промяна или разкриване на данни.

10.3. Организаторът признава, че нито един начин за предаване или съхранение на данни не може да гарантира абсолютна сигурност.

10.4. Организаторът носи отговорност и за мерките за безопасност от своя страна, включително:

  • управление на достъпа на своя екип;
  • сигурността на собствените устройства, браузъри, пощенски кутии и интеграции;
  • законността и сигурността на свързаните с тях начини на плащане и други външни услуги.

11. Заявки от субекти на данни

11.1. Като се има предвид естеството на обработката, Evenda, доколкото е възможно, оказва на Организатора разумно съдействие при изпълнението на неговите задължения по отношение на отговорите на запитвания от субектите на данни.

11.2. Ако Evenda получи запитване от субекта на данните, свързано с обработката, при която Организаторът е Администратор, Evenda има право:

  • да препрати такова запитване към Организатора;
  • да уведоми субекта на данните, че съответният оператор е Организаторът;
  • да окаже на Организатора разумно съдействие при обработката на запитването.

11.3. Освен ако законът не изисква друго, Evenda не е длъжна да отговаря самостоятелно по същество на такъв запит от името на Организатора без негови указания.

12. Подпомагане при спазването на законовите изисквания

12.1. Като се има предвид характерът на обработката и информацията, с която Evenda разполага, Evenda оказва на Организатора разумно съдействие за осигуряване на спазването на задълженията, свързани с:

  • сигурност на обработката;
  • уведомление за нарушение на сигурността на личните данни;
  • оценка на въздействието върху защитата на данните;
  • предварителни консултации с надзорния орган, когато това е необходимо.

12.2. Ако необходимата помощ излиза извън рамките на стандартната функционалност и обичайната поддръжка на Evenda, страните могат да договорят отделно сроковете, формата и разумното възнаграждение за такава помощ, ако това е позволено от закона.

13. Нарушение на сигурността на личните данни

13.1. Evenda уведомява Организатора без неоправдано забавяне, след като научи за потвърдено нарушение на сигурността на личните данни, засягащо личните данни, които Evenda обработва от името на Организатора.

13.2. Това уведомление, доколкото е възможно към момента на изпращането му, трябва да включва:

  • описание на характера на инцидента;
  • известни или вероятни категории засегнати данни;
  • известни или вероятни категории засегнати субекти на данни;
  • известни или вероятни последствия;
  • мерки, които вече са предприети или се предлагат за отстраняване на инцидента и намаляване на последствията от него.

13.3. Evenda може да предоставя информацията на етапи, ако пълният обем данни не е наличен към момента на първото уведомление.

13.4. Организаторът самостоятелно определя дали е необходимо уведомяване на надзорния орган или на субектите на данни, освен ако приложимото законодателство не предвижда друго.

14. Проверки и право на информация

14.1. При обосновано писмено искане от страна на Организатора Evenda предоставя информацията, необходима за доказване на спазването на настоящото DPA.

14.2. Организаторът има право да извършва проверка за спазването на настоящото DPA не по-често от веднъж в календарна година, освен ако не е предвидено друго:

  • във връзка с нарушение на сигурността на личните данни;
  • по искане на компетентен орган;
  • при наличие на обосновани признаци за съществено нарушение на настоящото DPA.

14.3. Доколкото е възможно, проверката трябва да се извършва по начин, който свежда до минимум натоварването на Evenda и рисковете за сигурността, например:

  • чрез писмени отговори;
  • предоставяне на документи;
  • предоставяне на отчети;
  • дистанционна проверка;
  • разглеждане на сертификати или описания на контролни мерки, ако е приложимо.

14.4. Проверката на място е допустима само ако:

  • другите разумни начини са недостатъчни;
  • Организаторът е уведомил Evenda предварително;
  • проверката не създава несъразмерни рискове за сигурността, поверителността и работата на платформата;
  • проверяващото лице е обвързано с задължения за поверителност.

14.5. Организаторът поема собствените си разходи за проверката, освен ако страните не са се споразумели за друго.

15. Връщане и изтриване на данни

15.1. При прекратяване на съответното обработване или при обосновано искане от страна на организатора Evenda, по избор на организатора:

  • връща личните данни на организатора; или
  • изтрива личните данни, освен ако приложимото законодателство за защита на данните не изисква друго.

15.2. Ако технически не е възможно възстановяването на данните в подходящ формат в рамките на стандартната функционалност на платформата, Evenda има право да предостави данните в обичайно използвания формат, достъпен в услугата, или да ги изтрие в съответствие със стандартните процедури.

15.3. Evenda има право да съхранява лични данни след прекратяване на обработката, доколкото това е необходимо:

  • съгласно закона;
  • за създаване на резервни копия в рамките на ограничен срок на съхранение;
  • за установяване, упражняване или защита на правни претенции;
  • за осигуряване на сигурност, водене на регистри и събиране на доказателства;
  • при спазване на съответните ограничения за достъп и поверителност.

16. Поверителност

16.1. Evenda гарантира, че лицата, упълномощени да обработват лични данни, са надлежно инструктирани и са поели задължение за поверителност.

16.2. Evenda не разкрива лични данни на трети лица, освен в следните случаи:

  • когато това е необходимо за предоставянето на услугите на Evenda в съответствие с настоящото DPA;
  • когато такова разкриване се изисква от приложимото законодателство за защита на данните;
  • когато разкриването е необходимо за защита на правата на Evenda, Организатора, субектите на данни или други лица в рамките на закона.

17. Потвърждение за спазване

17.1. Evenda въвежда и поддържа мерки, политики и процеси, които са разумно необходими за спазването на задълженията ѝ в качеството ѝ на обработващ лични данни.

17.2. При обосновано искане от страна на Организатора Evenda предоставя наличната си информация, достатъчна за потвърждаване, че изпълнява задълженията си като Обработващ лични данни съгласно настоящото DPA.

18. Отговорност

18.1. Освен ако в настоящото DPA не е изрично предвидено друго, въпросите, свързани с отговорността на страните, се уреждат в Organizer Agreement.

18.2. Нищо в настоящото Договорно споразумение за защита на данните (DPA) не освобождава никоя от страните от отговорност, която не може да бъде изключена или ограничена съгласно приложимото законодателство за защита на данните.

19. Приоритет

19.1. В случай на противоречие между настоящото DPA и Споразумението с организатора, разпоредбите на настоящото DPA имат предимство по отношение на обработката на лични данни на Evenda от името на организатора.

19.2. В случай на противоречие между настоящото DPA и отделно писмено споразумение за защита на данните, подписано от страните, приоритет има това отделно споразумение по отношение на въпросите, които са изрично уредени в него.

20. Промяна в DPA

20.1. Evenda има право периодично да променя настоящото DPA, ако това е необходимо за:

  • привеждане на документа в съответствие с промените в законодателството;
  • отразяване на промените в услугата, инфраструктурата или подизпълнителите;
  • уточняване на процесите и мерките за защита на данните.

20.2. Актуалната версия на DPA се публикува на уебсайта. Ако промените са съществени, Evenda ще се постарае да уведоми Организатора по подходящ начин, например чрез уебсайта, по имейл или чрез личния профил.

20.3. Продължителното използване на Evenda след влизането в сила на новата редакция означава приемане на актуализираното споразумение за обработка на лични данни (DPA), освен ако това не е забранено от приложимото законодателство за защита на личните данни.

21. Приложимо право и спорове

21.1. Настоящото споразумение за обработка на лични данни се урежда и тълкува в съответствие със законодателството на Република Сърбия, освен ако приложимото законодателство за защита на личните данни не изисква друго.

21.2. Всякакви спорове, разногласия или искове, възникнали във връзка с настоящото DPA или във връзка с него, подлежат на разглеждане от компетентния съд в Белград, Република Сърбия, освен ако задължителните разпоредби на приложимото законодателство не предвиждат друго.

22. Контакти

Ако имате въпроси относно настоящото споразумение за защита на личните данни, можете да се свържете с нас на адрес:

ZURKA CE BITI DOO
ИК: 114432064
МБ: 22023195
Белград, ул. „Кралжице Наталие“ 11, Сърбия
[email protected]

Приложение 1. Описание на обработката

1. Предмет на обработката

Обработка на лични данни от Evenda от името на организатора във връзка с използването на платформата Evenda за публикуване на събития, управление на поръчки, билети, регистрации, участници и комуникации, свързани със събитията на организатора.

2. Срок за обработка

През периода, в който Организаторът използва съответните функции на платформата Evenda, и впоследствие през периода, необходим за възстановяване, изтриване, архивиране, спазване на закона и защита на правата на Evenda или на Организатора, в рамките, разрешени от приложимото законодателство за защита на данните.

3. Характер на обработката

Събиране, записване, съхранение, организиране, структуриране, преглед, използване, предаване, предоставяне на достъп, изтриване, унищожаване и други действия, необходими за предоставянето на услугите на Evenda.

4. Цели на обработката

  • създаване и публикуване на събития;
  • продажба на билети и обработка на поръчки;
  • регистрация на участници;
  • генериране и изпращане на билети, потвърждения и QR кодове;
  • управление на поръчки, списъци с участници и свързаната с тях комуникация;
  • предоставяне на функционалността на платформата съгласно инструкциите на организатора.

5. Категории субекти на данни

В зависимост от конфигурацията на платформата и действията на организатора:

  • купувачи на билети;
  • участници в събития;
  • лица, попълващи регистрационни или поръчкови формуляри;
  • получатели на билети;
  • лица за контакт, добавени от Организатора в рамките на събитието;
  • други лица, чиито данни Организаторът качва или събира чрез платформата във връзка със своите събития.

6. Категории лични данни

В зависимост от настройките на Организатора и използваните функции:

  • име и фамилия;
  • имейл;
  • телефонен номер;
  • данни за поръчката;
  • данни за билета;
  • информация за събитието, датата, сеанса, категорията, мястото;
  • допълнителни полета, създадени от Организатора;
  • история на статусите на поръчката и билета;
  • данни, необходими за изпращане на сервизни известия;
  • други лични данни, които Организаторът самостоятелно реши да събира чрез платформата.

7. Специални категории данни

Освен ако страните не са се споразумели изрично в писмена форма, Evenda не поема задължение да обработва специални категории лични данни от името на Организатора. Организаторът не трябва да използва платформата за такава обработка без наличието на правно основание и достатъчни мерки за защита.

8. Операции за обработка

Предоставяне на хостинг, интерфейси, съхранение, администриране, търсене, структуриране, експортиране, изпращане на сервизни известия и други операции, необходими за функционирането на платформата Evenda в съответствие с инструкциите на Организатора.