Evenda

Den officiella versionen av dokumentet är på serbiska.

Översättningar till andra språk publiceras enbart för att underlätta läsningen. Vid eventuella avvikelser mellan översättningen och den serbiska versionen har den serbiska versionen företräde.

Avtal om databehandling (DPA)

Ikraftträdandedatum: 01.03.2026
Senaste uppdatering: 01.03.2026

Detta avtal om databehandling (”DPA”) utgör en del av och är en integrerad bilaga till Evenda-plattformens arrangörsavtal och reglerar den behandling av personuppgifter som företaget ZURKA CE BITI DOO utför på arrangörens vägnar vid användning av Evenda-SaaS-plattformen.

Detta DPA ingås mellan:

ZURKA CE BITI DOO
Organisationsnummer: 114432064
Matrikelnummer: 22023195
Belgrad, Kraljice Natalije 11, Serbien
E-post: [email protected]

(nedan kallat ”Evenda” eller ”Personuppgiftsansvarig”)

och

den person som registrerar ett arrangörskonto, godkänner detta DPA eller använder Evenda-plattformen i egenskap av evenemangsarrangör
(nedan kallad ”Arrangören” eller ”Operatören”).

Om parterna har ingått ett separat skriftligt avtal om databehandling, har detta företräde framför detta DPA i de frågor som uttryckligen regleras däri.

1. Syfte och tillämpningsområde

1.1. Detta DPA gäller endast i de fall då Evenda behandlar personuppgifter för arrangörens räkning och på dennes uppdrag i samband med användningen av Evendas plattform.

1.2. Detta DPA gäller inte i de fall då Evenda agerar som självständig personuppgiftsansvarig, vilket bland annat omfattar:

  • uppgifter om arrangörens och dennes teams konton;
  • uppgifter rörande prenumeration, fakturering och betalning av SaaS;
  • uppgifter om supportärenden;
  • uppgifter om säkerhet, loggning, bedrägeribekämpning och skydd av Evendas rättigheter;
  • uppgifter som Evenda är skyldig att behandla enligt lag.

1.3. Detta DPA reglerar endast den databehandling som utförs av Evenda i egenskap av personuppgiftsbiträde. Alla övriga frågor rörande användningen av plattformen regleras av Organizer Agreement och övriga tillämpliga dokument från Evenda.

2. Definitioner

I detta DPA används följande termer:

Personuppgiftsansvarig – Den organisation som fastställer ändamålen och de väsentliga villkoren för behandlingen av personuppgifter via Evenda-plattformen.
Personuppgiftsbiträde – Evenda, som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige.
Tillämplig dataskyddslagstiftning – tillämplig lagstiftning om skydd av personuppgifter, inklusive GDPR när den är tillämplig, samt andra bindande bestämmelser som reglerar den aktuella behandlingen.
Personuppgifter – all information som avser en identifierad eller identifierbar fysisk person.
Den registrerade – en fysisk person som personuppgifterna avser.
Underleverantör – varje av Evenda anlitad personuppgiftsbiträde som behandlar personuppgifter på operatörens vägnar i samband med tillhandahållandet av Evendas tjänster.
Personuppgiftsincident – en säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter.

Om ett begrepp används i detta DPA och definieras i tillämplig dataskyddslagstiftning, ska det tolkas i enlighet med den definition som anges i sådan lagstiftning.

3. Ämne, varaktighet, art och syfte med behandlingen

3.1. Föremålet för detta DPA är Evendas behandling av personuppgifter på uppdrag av arrangören i samband med tillhandahållandet av SaaS-funktionaliteten på Evenda-plattformen.

3.2. Behandlingstiden börjar när Evenda börjar behandla personuppgifter på arrangörens vägnar och fortsätter under den tid som de berörda funktionerna på plattformen används, samt under den tid som uppgifterna lagras, raderas, återlämnas eller på annat sätt avslutas i enlighet med detta DPA och tillämplig dataskyddslagstiftning.

3.3. Beroende på vilka funktioner på plattformen som används kan behandlingen omfatta följande:

  • insamling;
  • registrering;
  • organisering;
  • strukturering;
  • lagring;
  • anpassning;
  • utdrag;
  • granskning;
  • användning;
  • överföring;
  • tillhandahållande av åtkomst;
  • jämförelse;
  • begränsning;
  • radering;
  • förstöring;
  • övriga åtgärder som krävs för att tillhandahålla Evendas tjänster.

3.4. Syftena med behandlingen fastställs av arrangören och kan omfatta:

  • publicering och administration av evenemang;
  • biljettförsäljning;
  • hantering av beställningar och anmälningar;
  • hantering av deltagare;
  • utskick av serviceaviseringar, biljetter och QR-koder;
  • hantering av formulär, fält och data som anpassas av arrangören;
  • stöd för arrangörens operativa verksamhet i samband med användningen av plattformen.

3.5. Kategorier av registrerade, kategorier av personuppgifter och en beskrivning av behandlingen anges i bilaga 1 till detta DPA.

4. Parternas roller

4.1. Arrangören agerar som personuppgiftsansvarig för de personuppgifter som denne laddar upp, samlar in, strukturerar eller på annat sätt behandlar via Evenda-plattformen i samband med sina evenemang, beställningar, biljetter, registreringar och kommunikation med köpare och deltagare.

4.2. Evenda agerar som personuppgiftsbiträde endast i den utsträckning som företaget behandlar sådana personuppgifter på uppdrag av och enligt dokumenterade instruktioner från arrangören.

4.3. Arrangören bekräftar att denne själv bestämmer ändamålen med behandlingen och de väsentliga villkoren för behandlingen, inklusive:

  • vilka uppgifter som samlas in;
  • vilka personer det gäller;
  • hur länge uppgifterna används inom ramen för arrangörens syften;
  • vem som har tillgång till uppgifterna inom arrangörens konto;
  • vilka formulär, fält, meddelanden och scenarier som används.

5. Anvisningar från operatören

5.1. Evenda behandlar personuppgifter endast på grundval av arrangörens dokumenterade instruktioner, om inte annat krävs enligt tillämplig dataskyddslagstiftning.

5.2. Detta DPA, arrangörsavtalet, arrangörens kontoinställningar, valda plattformsfunktioner, evenemangskonfigurationer, formulär, fält, åtkomsträttigheter och övriga åtgärder som arrangören vidtar i Evendas gränssnitt betraktas som dokumenterade instruktioner från operatören.

5.3. Arrangören har rätt att skicka rimliga ytterligare skriftliga instruktioner om dessa:

  • är kopplade till användningen av tjänsten;
  • strider inte mot Organizer Agreement, detta DPA och tillämplig dataskyddslagstiftning;
  • är tekniskt genomförbara;
  • kräver inte oproportionerliga anpassningar av plattformen.

5.4. Om Evenda anser att arrangörens instruktion strider mot gällande dataskyddslagstiftning har Evenda rätt att underrätta arrangören om detta och att avbryta verkställandet av den aktuella instruktionen tills ytterligare förtydliganden eller en rättslig grund har erhållits.

6. Arrangörens skyldigheter i egenskap av operatör

Arrangören förbinder sig att och garanterar att:

6.1. har rättslig grund för att behandla personuppgifter och för att anlita Evenda för sådan behandling;

6.2. informerar de registrerade på lämpligt sätt om så krävs enligt lag;

6.3. bestämmer själv vilka personuppgifter som samlas in via plattformen och anlitar inte Evenda för att behandla uppgifter i strid med lagen;

6.4. använder inte plattformen Evenda för behandling av särskilda kategorier av personuppgifter, uppgifter om brott eller andra känsliga uppgifter, såvida inte sådan behandling är laglig, nödvändig och på lämpligt sätt reglerad;

6.5. ansvarar för att dess aktiviteter, formulär, fält, beskrivningar, meddelanden, kommunikationsmanus, åtkomstbehörigheter för sin personal och övriga inställningar som påverkar behandlingen av personuppgifter är lagliga;

6.6. ansvarar för hanteringen av förfrågningar från köpare och deltagare i den mån företaget agerar som operatör.

7. Evendas skyldigheter i egenskap av personuppgiftsbiträde

Evenda förbinder sig att:

7.1. ska behandla personuppgifter endast i enlighet med arrangörens dokumenterade instruktioner;

7.2. får inte använda personuppgifter för egna ändamål som är oförenliga med rollen som personuppgiftsbiträde;

7.3. säkerställa att personer som har behörighet att behandla personuppgifter är bundna av en sekretessförpliktelse eller en lämplig lagstadgad sekretessplikt;

7.4. ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med avsnitt 10 i detta DPA och kraven i tillämplig dataskyddslagstiftning;

7.5. följa de villkor för anlitande av underleverantörer som anges i avsnitt 8;

7.6. ska i möjligaste mån bistå arrangören med att fullgöra sina skyldigheter när det gäller att besvara förfrågningar från de registrerade;

7.7. att i den mån det är möjligt bistå arrangören med att fullgöra sina skyldigheter avseende säkerhet, anmälan av dataintrång, konsekvensbedömningar avseende dataskydd samt förhandsrådgivning, om detta krävs enligt lag;

7.8. ska, efter avslutad behandling, radera eller återlämna personuppgifterna i enlighet med vad som föreskrivs i detta DPA, om inte annat krävs enligt lag;

7.9. ska tillhandahålla arrangören den information som krävs för att visa att detta DPA efterlevs och bistå vid granskningar i enlighet med vad som föreskrivs i detta DPA.

8. Underleverantörer

8.1. Arrangören ger Evenda ett generellt skriftligt tillstånd att anlita underleverantörer för att tillhandahålla tjänster åt Evenda.

8.2. Evenda förbinder sig att upprätthålla en aktuell förteckning över underleverantörer och på begäran tillhandahålla denna till arrangören eller publicera den på en plats på webbplatsen eller i det personliga kontot som är tillgänglig för arrangören.

8.3. Om Evenda avser att lägga till en ny underleverantör eller byta ut en befintlig underleverantör ska Evenda i förväg underrätta arrangören på ett rimligt sätt, om en sådan ändring är väsentlig för behandlingen av personuppgifter.

8.4. Arrangören har rätt att inom rimlig tid efter underrättelsen framföra en motiverad invändning mot en ny underleverantör, om denne har dokumenterade skäl att anta att en sådan ändring medför en väsentlig risk för brott mot tillämplig dataskyddslagstiftning.

8.5. Om parterna inte kan lösa en sådan invändning på ett rimligt sätt har Evenda rätt att avbryta den berörda delen av behandlingen eller föreslå att arrangören upphör att använda den berörda funktionen.

8.6. Evenda förbinder sig att ingå ett skriftligt avtal med varje underleverantör, i vilket denne åläggs skyldigheter avseende dataskydd som i sak inte är mindre stränga än de som föreskrivs i detta DPA, i den mån de är tillämpliga på de tjänster som tillhandahålls.

8.7. Evenda ansvarar för sina underleverantörers handlingar inom de gränser som föreskrivs i tillämplig dataskyddslagstiftning och i avtalen mellan parterna.

9. Internationell dataöverföring

9.1. Evenda överför inte personuppgifter internationellt utanför den tillämpliga jurisdiktionen utan giltig rättslig grund, om en sådan grund krävs enligt tillämplig dataskyddslagstiftning.

9.2. Om internationell överföring av personuppgifter krävs för att Evenda ska kunna tillhandahålla sina tjänster eller anlita underleverantörer, förbinder sig Evenda att använda en godtagbar överföringsmekanism, inklusive, i tillämpliga fall:

  • beslut om tillräcklig skyddsnivå;
  • standardavtalsklausuler;
  • andra lagliga mekanismer som är tillåtna enligt tillämplig dataskyddslagstiftning.

9.3. På rimlig begäran från arrangören tillhandahåller Evenda allmän information om de mekanismer som används för internationell överföring, om sådan överföring sker.

10. Säkerhet vid behandling

10.1. Med hänsyn till den tekniska utvecklingen, genomförandekostnaden, arten, omfattningen, sammanhanget och syftet med behandlingen samt risken för fysiska personers rättigheter och friheter vidtar Evenda lämpliga tekniska och organisatoriska säkerhetsåtgärder.

10.2. Sådana åtgärder kan, i tillämpliga fall, omfatta:

  • begränsning av åtkomsträttigheter;
  • autentisering och hantering av användarkonton;
  • rollhantering inom plattformen;
  • loggning av åtgärder och händelser;
  • säkerhetskopiering;
  • skydd av dataöverföring;
  • skydd av infrastruktur och nätverksmiljö;
  • rutiner för upptäckt och hantering av incidenter;
  • interna åtkomstregler för anställda och underleverantörer;
  • testning, utvärdering och förbättring av säkerhetsåtgärder;
  • åtgärder för att minimera risken för obehörig åtkomst, förlust, ändring eller avslöjande av data.

10.3. Arrangören medger att ingen metod för överföring eller lagring av data kan garantera absolut säkerhet.

10.4. Arrangören ansvarar även för säkerhetsåtgärderna på sin sida, inklusive:

  • hantera åtkomsten för sitt team;
  • säkerheten för sina egna enheter, webbläsare, e-postkonton och integrationer;
  • lagligheten och säkerheten hos de betalningsmetoder och andra tredjepartstjänster som han ansluter till.

11. Förfrågningar från registrerade

11.1. Med hänsyn till arten av behandlingen ska Evenda, i den mån det är möjligt, på ett rimligt sätt bistå arrangören i fullgörandet av dennes skyldigheter att besvara förfrågningar från de registrerade.

11.2. Om Evenda mottar en begäran från en registrerad som avser en behandling där arrangören är personuppgiftsansvarig, har Evenda rätt att:

  • vidarebefordra en sådan begäran till arrangören;
  • informera den registrerade om att arrangören är den ansvariga;
  • ge arrangören rimligt stöd vid behandlingen av begäran.

11.3. Om inte annat krävs enligt lag är Evenda inte skyldigt att på egen hand besvara en sådan förfrågan i sak på arrangörens vägnar utan dennes anvisningar.

12. Stöd för efterlevnad av lagstiftningen

12.1. Med beaktande av behandlingens art och den information som Evenda har tillgång till, ska Evenda på ett rimligt sätt bistå arrangören med att säkerställa att skyldigheterna i samband med följande uppfylls:

  • säkerhet vid behandling;
  • anmälan om dataintrång;
  • konsekvensbedömning;
  • förhandsrådgivning från tillsynsmyndigheten när så krävs.

12.2. Om den begärda assistansen går utöver Evendas standardfunktioner och vanliga support kan parterna separat komma överens om tidsramar, format och en rimlig ersättning för sådan assistans, i den mån detta är tillåtet enligt lag.

13. Brott mot dataskyddsbestämmelserna

13.1. Evenda ska utan onödigt dröjsmål underrätta arrangören så snart företaget får kännedom om en bekräftad säkerhetsöverträdelse som rör personuppgifter som Evenda behandlar på arrangörens vägnar.

13.2. Ett sådant meddelande ska, i den mån det är möjligt vid tidpunkten för avsändandet, innehålla följande:

  • beskrivning av incidentens art;
  • kända eller sannolika kategorier av berörda uppgifter;
  • kända eller sannolika kategorier av berörda registrerade;
  • kända eller sannolika konsekvenser;
  • åtgärder som redan vidtagits eller föreslås för att åtgärda incidenten och mildra dess konsekvenser.

13.3. Evenda kan lämna information i etapper om alla uppgifter inte är tillgängliga vid tidpunkten för det första meddelandet.

13.4. Arrangören avgör själv om det krävs anmälan till tillsynsmyndigheten eller de registrerade, om inte annat föreskrivs i tillämplig lagstiftning.

14. Kontroller och rätt till information

14.1. På rimlig skriftlig begäran från arrangören tillhandahåller Evenda den information som krävs för att visa att detta DPA efterlevs.

14.2. Arrangören har rätt att kontrollera efterlevnaden av detta DPA högst en gång per kalenderår, om inte annat krävs:

  • i samband med en dataintrång;
  • på begäran av behörig myndighet;
  • om det finns välgrundade tecken på ett väsentligt brott mot detta DPA.

14.3. I största möjliga utsträckning bör verifieringen genomföras på ett sätt som minimerar belastningen på Evenda och säkerhetsriskerna, till exempel:

  • genom skriftliga svar;
  • genom inlämning av dokument;
  • genom inlämning av rapporter;
  • genom fjärrkontroll;
  • genom granskning av certifikat eller beskrivningar av kontrollåtgärder, i förekommande fall.

14.4. Kontroll på plats är endast tillåten om:

  • andra rimliga åtgärder är otillräckliga;
  • Arrangören har i förväg underrättat Evenda;
  • kontrollen medför inga oproportionerliga risker för säkerheten, sekretessen och plattformens drift;
  • den kontrollerande personen är bunden av sekretessförpliktelser.

14.5. Arrangören står för sina egna kostnader för kontrollen, om inte parterna separat har kommit överens om något annat.

15. Återlämnande och radering av uppgifter

15.1. Vid upphörande av den aktuella behandlingen eller på motiverad begäran från Evendas arrangör, efter arrangörens val:

  • återlämnar personuppgifterna till arrangören; eller
  • raderar personuppgifterna, om inte annat krävs enligt tillämplig dataskyddslagstiftning.

15.2. Om det av tekniska skäl inte är möjligt att återlämna uppgifterna i ett rimligt format inom ramen för plattformens standardfunktioner, har Evenda rätt att tillhandahålla uppgifterna i det format som vanligtvis används och som är tillgängligt i tjänsten, eller att radera dem i enlighet med standardförfaranden.

15.3. Evenda har rätt att lagra personuppgifter efter det att behandlingen har upphört i den utsträckning som krävs:

  • enligt lag;
  • för säkerhetskopiering inom ramen för en begränsad lagringscykel;
  • för att fastställa, genomdriva eller försvara rättsliga anspråk;
  • för att säkerställa säkerhet, loggning och bevismaterial;
  • under förutsättning att tillämpliga begränsningar avseende åtkomst och sekretess iakttas.

16. Sekretess

16.1. Evenda säkerställer att de personer som har behörighet att behandla personuppgifter har fått lämplig utbildning och är bundna av tystnadsplikt.

16.2. Evenda lämnar inte ut personuppgifter till tredje part, med undantag för följande fall:

  • när det är nödvändigt för att tillhandahålla Evendas tjänster i enlighet med detta DPA;
  • när sådan utlämning krävs enligt tillämplig dataskyddslagstiftning;
  • när utlämningen är nödvändig för att skydda Evendas, arrangörens, de registrerades eller andra personers rättigheter inom lagens ramar.

17. Bekräftelse av efterlevnad

17.1. Evenda inför och upprätthåller de åtgärder, policyer och processer som rimligen krävs för att fullgöra sina skyldigheter i egenskap av personuppgiftsbiträde.

17.2. På rimlig begäran från arrangören tillhandahåller Evenda den information som står till dess förfogande och som är tillräcklig för att bekräfta att företaget fullgör sina skyldigheter som personuppgiftsbiträde enligt detta DPA.

18. Ansvar

18.1. Om inte annat uttryckligen anges i detta DPA regleras frågor om parternas ansvar i Organizer Agreement.

18.2. Inget i detta DPA befriar någon av parterna från ansvar som inte kan uteslutas eller begränsas enligt tillämplig dataskyddslagstiftning.

19. Prioritet

19.1. Vid eventuella motstridigheter mellan detta DPA och arrangörsavtalet har bestämmelserna i detta DPA företräde i de delar som avser behandlingen av Evendas personuppgifter på arrangörens vägnar.

19.2. Om det förekommer en motsättning mellan detta DPA och ett separat skriftligt dataskyddsavtal som parterna har undertecknat, har det separata avtalet företräde i de frågor som uttryckligen regleras däri.

20. Ändring av DPA

20.1. Evenda har rätt att från tid till annan ändra detta DPA om det är nödvändigt för att:

  • anpassning av dokumentet till ändringar i lagstiftningen;
  • återspegling av ändringar i tjänsten, infrastrukturen eller underleverantörerna;
  • förtydligande av processer och dataskyddsåtgärder.

20.2. Den aktuella versionen av DPA publiceras på webbplatsen. Om ändringarna är väsentliga kommer Evenda att försöka meddela arrangören på ett rimligt sätt, till exempel via webbplatsen, e-post eller användarkontot.

20.3. Fortsatt användning av Evenda efter det att den nya versionen trätt i kraft innebär att du godkänner det uppdaterade DPA, såvida inte annat förbjuds enligt tillämplig dataskyddslagstiftning.

21. Tillämplig lag och tvister

21.1. Detta DPA regleras och tolkas i enlighet med lagstiftningen i Republiken Serbien, om inte annat krävs enligt tillämplig dataskyddslagstiftning.

21.2. Alla tvister, meningsskiljaktigheter eller anspråk som uppstår till följd av eller i samband med detta DPA ska prövas av behörig domstol i Belgrad, Republiken Serbien, om inte annat följer av tvingande bestämmelser i tillämplig lagstiftning.

22. Kontaktuppgifter

Om du har frågor om detta personuppgiftsavtal kan du kontakta oss på:

ZURKA CE BITI DOO
Organisationsnummer: 114432064
Momsnummer: 22023195
Belgrad, Kraljice Natalije 11, Serbien
[email protected]

Bilaga 1. Beskrivning av bearbetningen

1. Objektet för bearbetningen

Behandling av personuppgifter av Evenda på uppdrag av arrangören i samband med användningen av Evendas plattform för publicering av evenemang, hantering av beställningar, biljetter, anmälningar, deltagare och kommunikation rörande arrangörens evenemang.

2. Handläggningstid

Under den tid som arrangören använder de berörda funktionerna på Evenda-plattformen och därefter under den tid som krävs för återställning, radering, säkerhetskopiering, efterlevnad av lagstiftning och skydd av Evendas eller arrangörens rättigheter, i den utsträckning som tillåts enligt tillämplig dataskyddslagstiftning.

3. Typ av behandling

Insamling, registrering, lagring, organisering, strukturering, granskning, användning, överföring, beviljande av åtkomst, radering, förstöring och andra åtgärder som krävs för att tillhandahålla Evendas tjänster.

4. Syften med behandlingen

  • skapande och publicering av evenemang;
  • biljettförsäljning och orderhantering;
  • registrering av deltagare;
  • generering och utskick av biljetter, bekräftelser och QR-koder;
  • hantering av order, deltagarlistor och tillhörande kommunikation;
  • tillhandahållande av plattformens funktioner enligt arrangörens anvisningar.

5. Kategorier av registrerade

Beroende på plattformens konfiguration och arrangörens åtgärder:

  • biljettköpare;
  • deltagare i evenemang;
  • personer som fyller i registrerings- eller beställningsformulär;
  • biljettmottagare;
  • kontaktpersoner som läggs till av arrangören i samband med evenemanget;
  • övriga personer vars uppgifter arrangören laddar upp eller samlar in via plattformen i samband med sina evenemang.

6. Kategorier av personuppgifter

Beroende på arrangörens inställningar och vilka funktioner som används:

  • för- och efternamn;
  • e-postadress;
  • telefonnummer;
  • beställningsuppgifter;
  • biljettuppgifter;
  • information om evenemang, datum, föreställning, kategori, plats;
  • ytterligare fält som skapats av arrangören;
  • historik över beställnings- och biljettstatus;
  • uppgifter som krävs för att skicka servicemeddelanden;
  • övriga personuppgifter som arrangören själv beslutar att samla in via plattformen.

7. Särskilda kategorier av personuppgifter

Om inte annat uttryckligen avtalats skriftligen mellan parterna, åtar sig Evenda inte att behandla särskilda kategorier av personuppgifter för arrangörens räkning. Arrangören får inte använda plattformen för sådan behandling utan rättslig grund och tillräckliga skyddsåtgärder.

8. Bearbetningsoperationer

Tillhandahållande av webbhotell, gränssnitt, lagring, administration, sökning, strukturering, export, utskick av servicemeddelanden och andra åtgärder som krävs för att plattformen Evenda ska fungera i enlighet med arrangörens anvisningar.