Evenda

Официальная версия документа — на сербском языке.

Переводы на другие языки публикуются исключительно для удобства. В случае расхождений между переводом и сербской версией преимущественную силу имеет версия на сербском языке.

Соглашение об обработке данных (DPA)

Дата вступления в силу: 01.03.2026
Последнее обновление: 01.03.2026

Настоящее Соглашение об обработке данных («DPA») является частью и неотъемлемым приложением к Organizer Agreement платформы Evenda и регулирует обработку персональных данных, которую компания ZURKA CE BITI DOO осуществляет от имени Организатора при использовании SaaS-платформы Evenda.

Настоящее DPA заключается между:

ZURKA CE BITI DOO
PIB: 114432064
MB: 22023195
Beograd, Kraljice Natalije 11, Serbia
Email: [email protected]

(далее — «Evenda» или «Обработчик»)

и

лицом, которое регистрирует аккаунт организатора, принимает настоящее DPA или использует платформу Evenda в качестве организатора мероприятия
(далее — «Организатор» или «Оператор»).

Если между сторонами заключён отдельный письменный договор об обработке данных, он имеет приоритет над настоящим DPA в части прямо урегулированных в нём вопросов.

1. Цель и сфера применения

1.1. Настоящее DPA применяется только в тех случаях, когда Evenda обрабатывает персональные данные от имени и по поручению Организатора в связи с использованием платформы Evenda.

1.2. Настоящее DPA не применяется к случаям, когда Evenda действует как самостоятельный оператор персональных данных, включая, помимо прочего:

  • данные аккаунта Организатора и его команды;
  • данные, связанные с подпиской, биллингом и оплатой SaaS;
  • данные обращений в поддержку;
  • данные безопасности, журналирования, предотвращения мошенничества и защиты прав Evenda;
  • данные, которые Evenda обязана обрабатывать в силу закона.

1.3. Настоящее DPA регулирует только обработку данных, выполняемую Evenda как Обработчиком. Все иные вопросы использования платформы регулируются Organizer Agreement и иными применимыми документами Evenda.

2. Определения

Для целей настоящего DPA используются следующие термины:

Оператор — Организатор, который определяет цели обработки и существенные параметры обработки персональных данных через платформу Evenda.
Обработчик — Evenda, которая обрабатывает персональные данные от имени Оператора.
Применимое законодательство о защите данных — применимое законодательство о защите персональных данных, включая GDPR, когда он подлежит применению, а также иные обязательные нормы, регулирующие соответствующую обработку.
Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.
Субъект данных — физическое лицо, к которому относятся Персональные данные.
Субобработчик — любой привлечённый Evenda обработчик, который обрабатывает Персональные данные от имени Оператора в связи с оказанием услуг Evenda.
Нарушение безопасности персональных данных — нарушение безопасности, ведущее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к Персональным данным.

Если термин используется в настоящем DPA и определён в Применимом законодательстве о защите данных, он толкуется в значении, установленном таким законодательством.

3. Предмет, срок, характер и цель обработки

3.1. Предметом настоящего DPA является обработка Evenda Персональных данных от имени Организатора при предоставлении SaaS-функциональности платформы Evenda.

3.2. Срок обработки начинается с момента, когда Evenda начинает обрабатывать Персональные данные от имени Организатора, и продолжается в течение периода использования соответствующих функций платформы, а также в течение периода хранения, удаления, возврата или иного завершения обработки в соответствии с настоящим DPA и Применимым законодательством о защите данных.

3.3. Характер обработки может включать, в зависимости от используемых функций платформы:

  • сбор;
  • запись;
  • организацию;
  • структурирование;
  • хранение;
  • адаптацию;
  • извлечение;
  • просмотр;
  • использование;
  • передачу;
  • предоставление доступа;
  • сопоставление;
  • ограничение;
  • удаление;
  • уничтожение;
  • иные действия, необходимые для оказания услуг Evenda.

3.4. Цели обработки определяются Организатором и могут включать:

  • публикацию и администрирование мероприятий;
  • продажу билетов;
  • обработку заказов и регистраций;
  • управление участниками;
  • отправку сервисных уведомлений, билетов и QR-кодов;
  • обработку форм, полей и данных, настраиваемых Организатором;
  • поддержку операционной деятельности Организатора в рамках использования платформы.

3.5. Категории Субъектов данных, категории Персональных данных и описание обработки указаны в Приложении 1 к настоящему DPA.

4. Роли сторон

4.1. Организатор действует как Оператор в отношении Персональных данных, которые он загружает, собирает, структурирует или иным образом обрабатывает через платформу Evenda в рамках своих мероприятий, заказов, билетов, регистраций и коммуникаций с покупателями и участниками.

4.2. Evenda действует как Обработчик только в той мере, в какой она обрабатывает такие Персональные данные от имени и по документированным инструкциям Организатора.

4.3. Организатор подтверждает, что он самостоятельно определяет цели обработки и существенные параметры обработки, включая:

  • какие данные собираются;
  • в отношении каких лиц;
  • как долго данные используются в рамках целей Организатора;
  • кому предоставляется доступ к данным в пределах аккаунта Организатора;
  • какие формы, поля, уведомления и сценарии используются.

5. Инструкции Оператора

5.1. Evenda обрабатывает Персональные данные только на основании документированных инструкций Организатора, если иное не требуется Применимым законодательством о защите данных.

5.2. Настоящее DPA, Organizer Agreement, настройки аккаунта Организатора, выбранный функционал платформы, конфигурация мероприятий, формы, поля, права доступа и иные действия Организатора в интерфейсе Evenda рассматриваются как документированные инструкции Оператора.

5.3. Организатор вправе направлять разумные дополнительные письменные инструкции, если они:

  • связаны с использованием сервиса;
  • не противоречат Organizer Agreement, настоящему DPA и Применимому законодательству о защите данных;
  • технически осуществимы;
  • не требуют несоразмерных доработок платформы.

5.4. Если Evenda считает, что инструкция Организатора нарушает Применимое законодательство о защите данных, Evenda вправе уведомить Организатора об этом и приостановить исполнение соответствующей инструкции до получения уточнений или законного основания.

6. Обязательства Организатора как Оператора

Организатор обязуется и гарантирует, что:

6.1. имеет законные основания для обработки Персональных данных и для поручения такой обработки Evenda;

6.2. надлежащим образом информирует Субъектов данных, если это требуется законом;

6.3. самостоятельно определяет, какие Персональные данные собираются через платформу, и не поручает Evenda обработку данных в нарушение закона;

6.4. не использует платформу Evenda для обработки специальных категорий персональных данных, данных о судимостях или иных чувствительных данных, если такая обработка не является законной, необходимой и надлежащим образом урегулированной;

6.5. несёт ответственность за законность своих мероприятий, форм, полей, описаний, уведомлений, сценариев коммуникации, прав доступа своей команды и иных настроек, влияющих на обработку Персональных данных;

6.6. несёт ответственность за обработку запросов покупателей и участников в той мере, в какой он является Оператором.

7. Обязательства Evenda как Обработчика

Evenda обязуется:

7.1. обрабатывать Персональные данные только по документированным инструкциям Организатора;

7.2. не использовать Персональные данные в собственных целях, несовместимых с ролью Обработчика;

7.3. обеспечивать, чтобы лица, допущенные к обработке Персональных данных, были связаны обязательством конфиденциальности или надлежащей законной обязанностью конфиденциальности;

7.4. принимать соответствующие технические и организационные меры безопасности в соответствии с разделом 10 настоящего DPA и требованиями Применимого законодательства о защите данных;

7.5. соблюдать условия привлечения Субобработчиков, установленные в разделе 8;

7.6. помогать Организатору, насколько это возможно, выполнять его обязанности по ответам на запросы Субъектов данных;

7.7. помогать Организатору, насколько это возможно, выполнять его обязанности в области безопасности, уведомления о нарушениях, оценки воздействия на защиту данных и предварительных консультаций, если это требуется законом;

7.8. по окончании обработки удалить или вернуть Персональные данные в порядке, предусмотренном настоящим DPA, если иное не требуется по закону;

7.9. предоставлять Организатору информацию, необходимую для демонстрации соблюдения настоящего DPA, и содействовать проверкам в порядке, предусмотренном настоящим DPA.

8. Субобработчики

8.1. Организатор предоставляет Evenda общее письменное разрешение на привлечение Субобработчиков для оказания услуг Evenda.

8.2. Evenda обязуется поддерживать актуальный список Субобработчиков и по запросу предоставлять его Организатору либо размещать его в доступном для Организатора месте на сайте или в личном кабинете.

8.3. При намерении добавить нового Субобработчика или заменить существующего Evenda уведомляет Организатора заранее разумным способом, если такое изменение является существенным для обработки Персональных данных.

8.4. Организатор вправе заявить мотивированное возражение против нового Субобработчика в разумный срок после уведомления, если у него есть документально подтверждённые основания полагать, что такое изменение создаёт существенный риск нарушения Применимого законодательства о защите данных.

8.5. Если стороны не могут разумно урегулировать такое возражение, Evenda вправе прекратить соответствующую часть обработки или предложить Организатору прекратить использование затронутой функциональности.

8.6. Evenda обязуется заключать с каждым Субобработчиком письменное соглашение, возлагающее на него обязательства по защите данных не ниже по существу, чем предусмотренные настоящим DPA, в той мере, в какой они применимы к оказываемым услугам.

8.7. Evenda несёт ответственность за действия своих Субобработчиков в пределах, предусмотренных Применимым законодательством о защите данных и соглашениями сторон.

9. Международная передача данных

9.1. Evenda не осуществляет международные передачи Персональных данных за пределы применимой юрисдикции без надлежащего правового основания, если такое основание требуется Применимым законодательством о защите данных.

9.2. Если для оказания услуг Evenda или использования Субобработчиков требуется международная передача Персональных данных, Evenda обязуется применять допустимый механизм передачи, включая, когда это применимо:

  • решение о достаточном уровне защиты;
  • стандартные договорные положения;
  • иные законные механизмы, разрешённые Применимым законодательством о защите данных.

9.3. По разумному запросу Организатора Evenda предоставляет общую информацию о применяемых механизмах международной передачи, если такая передача имеет место.

10. Безопасность обработки

10.1. Принимая во внимание состояние техники, стоимость реализации, характер, объём, контекст и цели обработки, а также риск для прав и свобод физических лиц, Evenda принимает соответствующие технические и организационные меры безопасности.

10.2. Такие меры могут включать, насколько это применимо:

  • разграничение прав доступа;
  • аутентификацию и управление учётными записями;
  • управление ролями внутри платформы;
  • журналирование действий и событий;
  • резервное копирование;
  • защиту передачи данных;
  • защиту инфраструктуры и сетевой среды;
  • процедуры обнаружения и обработки инцидентов;
  • внутренние правила доступа сотрудников и подрядчиков;
  • тестирование, оценку и улучшение мер безопасности;
  • меры по минимизации риска несанкционированного доступа, утраты, изменения или раскрытия данных.

10.3. Организатор признаёт, что ни один способ передачи или хранения данных не может гарантировать абсолютную безопасность.

10.4. Организатор также несёт ответственность за меры безопасности на своей стороне, включая:

  • управление доступом своей команды;
  • безопасность собственных устройств, браузеров, почтовых ящиков и интеграций;
  • законность и безопасность подключаемых им способов оплаты и иных сторонних сервисов.

11. Запросы Субъектов данных

11.1. С учётом характера обработки Evenda, насколько это возможно, оказывает Организатору разумное содействие в выполнении его обязанностей по ответам на запросы Субъектов данных.

11.2. Если Evenda получает запрос Субъекта данных, относящийся к обработке, по которой Организатор является Оператором, Evenda вправе:

  • перенаправить такой запрос Организатору;
  • уведомить Субъекта данных о том, что соответствующим Оператором является Организатор;
  • оказать Организатору разумное содействие в обработке запроса.

11.3. Если иное не требуется по закону, Evenda не обязана самостоятельно отвечать на такой запрос по существу от имени Организатора без его указаний.

12. Содействие в соблюдении требований законодательства

12.1. С учётом характера обработки и информации, доступной Evenda, Evenda оказывает Организатору разумное содействие в обеспечении соблюдения обязанностей, связанных с:

  • безопасностью обработки;
  • уведомлением о нарушении безопасности персональных данных;
  • оценкой воздействия на защиту данных;
  • предварительными консультациями с надзорным органом, когда это требуется.

12.2. Если требуемое содействие выходит за пределы стандартного функционала и обычной поддержки Evenda, стороны могут отдельно согласовать сроки, формат и разумную оплату такого содействия, если это допускается законом.

13. Нарушение безопасности персональных данных

13.1. Evenda уведомляет Организатора без неоправданной задержки после того, как ей станет известно о подтверждённом нарушении безопасности персональных данных, затрагивающем Персональные данные, которые Evenda обрабатывает от имени Организатора.

13.2. Такое уведомление, насколько это возможно на момент его направления, должно включать:

  • описание характера инцидента;
  • известные или вероятные категории затронутых данных;
  • известные или вероятные категории затронутых Субъектов данных;
  • известные или вероятные последствия;
  • меры, уже принятые или предлагаемые для устранения инцидента и снижения его последствий.

13.3. Evenda может предоставлять информацию поэтапно, если полный объём данных недоступен на момент первого уведомления.

13.4. Организатор самостоятельно определяет, требуется ли уведомление надзорного органа или Субъектов данных, если иное не предусмотрено применимым законодательством.

14. Проверки и право на информацию

14.1. По разумному письменному запросу Организатора Evenda предоставляет информацию, необходимую для демонстрации соблюдения настоящего DPA.

14.2. Организатор вправе проводить проверку соблюдения настоящего DPA не чаще одного раза в календарный год, если иное не требуется:

  • в связи с нарушением безопасности персональных данных;
  • по требованию компетентного органа;
  • при наличии обоснованных признаков существенного нарушения настоящего DPA.

14.3. В максимально возможной степени проверка должна проводиться способом, минимизирующим нагрузку на Evenda и риски для безопасности, например:

  • посредством письменных ответов;
  • предоставления документов;
  • предоставления отчётов;
  • дистанционной проверки;
  • рассмотрения сертификатов или описаний контрольных мер, если применимо.

14.4. Проверка на месте допускается только если:

  • иные разумные способы недостаточны;
  • Организатор заранее уведомил Evenda;
  • проверка не создаёт несоразмерных рисков для безопасности, конфиденциальности и работы платформы;
  • проверяющее лицо связано обязательствами конфиденциальности.

14.5. Организатор несёт свои собственные расходы на проверку, если стороны отдельно не согласовали иное.

15. Возврат и удаление данных

15.1. По прекращении соответствующей обработки или по обоснованному запросу Организатора Evenda, по выбору Организатора:

  • возвращает Персональные данные Организатору; или
  • удаляет Персональные данные, если иное не требуется Применимым законодательством о защите данных.

15.2. Если технически возврат данных невозможен в разумном формате в рамках стандартного функционала платформы, Evenda вправе предоставить данные в обычно используемом формате, доступном в сервисе, либо удалить их в соответствии со стандартными процедурами.

15.3. Evenda вправе хранить Персональные данные после прекращения обработки в той мере, в какой это требуется:

  • по закону;
  • для резервного копирования в ограниченном цикле хранения;
  • для установления, осуществления или защиты правовых требований;
  • для обеспечения безопасности, журналирования и доказательственной базы;
  • при условии соблюдения соответствующих ограничений доступа и конфиденциальности.

16. Конфиденциальность

16.1. Evenda обеспечивает, чтобы лица, уполномоченные обрабатывать Персональные данные, были надлежащим образом проинструктированы и связаны обязательством конфиденциальности.

16.2. Evenda не раскрывает Персональные данные третьим лицам, кроме случаев:

  • когда это необходимо для оказания услуг Evenda в соответствии с настоящим DPA;
  • когда такое раскрытие требуется Применимым законодательством о защите данных;
  • когда раскрытие необходимо для защиты прав Evenda, Организатора, Субъектов данных или иных лиц в пределах закона.

17. Подтверждение соблюдения

17.1. Evenda ведёт и поддерживает меры, политики и процессы, разумно необходимые для соблюдения своих обязательств как Обработчика.

17.2. По разумному запросу Организатора Evenda предоставляет доступную у неё информацию, достаточную для подтверждения того, что она выполняет обязательства Обработчика по настоящему DPA.

18. Ответственность

18.1. Если иное прямо не предусмотрено настоящим DPA, вопросы ответственности сторон регулируются Organizer Agreement.

18.2. Ничто в настоящем DPA не освобождает ни одну из сторон от ответственности, которая не может быть исключена или ограничена по Применимому законодательству о защите данных.

19. Приоритет

19.1. В случае противоречия между настоящим DPA и Organizer Agreement положения настоящего DPA имеют приоритет в части, касающейся обработки Персональных данных Evenda от имени Организатора.

19.2. В случае противоречия между настоящим DPA и отдельным письменным соглашением о защите данных, подписанным сторонами, приоритет имеет такое отдельное соглашение в части прямо урегулированных им вопросов.

20. Изменение DPA

20.1. Evenda вправе периодически изменять настоящее DPA, если это необходимо для:

  • приведения документа в соответствие с изменениями законодательства;
  • отражения изменений в сервисе, инфраструктуре или Субобработчиках;
  • уточнения процессов и мер защиты данных.

20.2. Актуальная версия DPA публикуется на сайте. Если изменения являются существенными, Evenda постарается уведомить Организатора разумным способом, например через сайт, email или личный кабинет.

20.3. Продолжение использования Evenda после вступления новой редакции в силу означает принятие обновлённого DPA, если иное не запрещено Применимым законодательством о защите данных.

21. Применимое право и споры

21.1. Настоящее DPA регулируется и толкуется в соответствии с правом Республики Сербия, если иное не требуется Применимым законодательством о защите данных.

21.2. Любой спор, разногласие или требование, возникающие из настоящего DPA или в связи с ним, подлежат рассмотрению в компетентном суде в Белграде, Республика Сербия, если иное не установлено обязательными нормами применимого законодательства.

22. Контакты

Если у вас есть вопросы по настоящему DPA, вы можете связаться с нами:

ZURKA CE BITI DOO
PIB: 114432064
MB: 22023195
Beograd, Kraljice Natalije 11, Serbia
[email protected]

Приложение 1. Описание обработки

1. Предмет обработки

Обработка Персональных данных Evenda от имени Организатора в связи с использованием платформы Evenda для публикации мероприятий, управления заказами, билетами, регистрациями, участниками и коммуникациями, связанными с мероприятиями Организатора.

2. Срок обработки

В течение срока использования Организатором соответствующих функций платформы Evenda и далее в течение периода, необходимого для возврата, удаления, резервного хранения, соблюдения закона и защиты прав Evenda или Организатора, в объёме, разрешённом Применимым законодательством о защите данных.

3. Характер обработки

Сбор, запись, хранение, организация, структурирование, просмотр, использование, передача, предоставление доступа, удаление, уничтожение и иные действия, необходимые для оказания услуг Evenda.

4. Цели обработки

  • создание и публикация мероприятий;
  • продажа билетов и обработка заказов;
  • регистрация участников;
  • генерация и отправка билетов, подтверждений и QR-кодов;
  • управление заказами, списками участников и связанными коммуникациями;
  • предоставление функциональности платформы по инструкциям Организатора.

5. Категории Субъектов данных

В зависимости от конфигурации платформы и действий Организатора:

  • покупатели билетов;
  • участники мероприятий;
  • лица, заполняющие формы регистрации или заказа;
  • получатели билетов;
  • контактные лица, добавленные Организатором в рамках мероприятия;
  • иные лица, чьи данные Организатор загружает или собирает через платформу в связи со своими мероприятиями.

6. Категории Персональных данных

В зависимости от настроек Организатора и используемых функций:

  • имя и фамилия;
  • email;
  • номер телефона;
  • данные заказа;
  • данные билета;
  • информация о мероприятии, дате, сеансе, категории, месте;
  • дополнительные поля, созданные Организатором;
  • история статусов заказа и билета;
  • данные, необходимые для отправки сервисных уведомлений;
  • иные Персональные данные, которые Организатор самостоятельно решит собирать через платформу.

7. Специальные категории данных

Если иное прямо не согласовано сторонами письменно, Evenda не обязуется обрабатывать специальные категории персональных данных от имени Организатора. Организатор не должен использовать платформу для такой обработки без наличия законного основания и достаточных мер защиты.

8. Операции обработки

Предоставление хостинга, интерфейсов, хранения, администрирования, поиска, структурирования, экспорта, отправки сервисных уведомлений и иных операций, необходимых для функционирования платформы Evenda в соответствии с инструкциями Организатора.