Eventbrite

Central de Ajuda

Adendo ao Processamento de Dados (DPA) para Processadores e Subprocessadores

Última atualização: 25 de agosto de 2021. Para saber mais sobre os Termos Legais da Eventbrite, dê uma olhada aqui.

Neste artigo

  • Como funciona
  • 1. Definições.
  • 2. Papel das Partes e natureza dos Dados Pessoais
  • 3. Conformidade do Fornecedor.
  • 4. Transferência de Dados Internacionais
  • 5. Salvaguardas adicionais para Transferência e Processamento de Dados Pessoais do Espaço Econômico Europeu (EEE), da Suíça e do Reino Unido.  
  • 6. Confidencialidade e segurança.
  • 7. Subprocessamento.
  • 8. Cooperação e direitos dos Titulares dos dados.
  • 9. Auditoria.
  • 10. Violação de Dados.
  • 11. Eliminação ou devolução de dados
  • 12. Indenização
  • 13. Diversos

Como funciona

Este Adendo ao Processamento de Dados ("DPA") rege todos os serviços fornecidos à Eventbrite, Inc. e às suas Afiliadas ("Eventbrite") por você ("você", “seu” ou “Fornecedor”) na qualidade de Processador ou Subprocessador (conforme definido abaixo) (os “Serviços”). Você e a Eventbrite serão aqui referidos como uma "Parte" e juntos como as "Partes". Este DPA complementa, está incluído e permanece em vigor durante a vigência de qualquer contrato entre as Partes, incluindo, mas não limitado a qualquer contrato eletrônico (contrato por um clique) ou firmado, ou, se aplicável, aos Termos de Uso da API da Eventbrite (o “Contrato”), a duração dos Serviços ou o processamento de Dados da Eventbrite, o que ocorrer por último (o “Termo”). Sem limitar a generalidade do anterior, o assunto, a natureza e o propósito do processamento sob este DPA é o fornecimento dos Serviços do Contrato, e as categorias de dados pessoais e categorias dos titulares dos dados são aquelas necessárias para fornecer os Serviços do Contrato, como descrito mais completamente no Contrato.

1. Definições.

Os termos em maiúsculas utilizados, mas não definidos neste DPA, têm os mesmos significados estabelecidos no Contrato, se aplicável. Para os fins deste DPA

1.1 "Afiliado(s)" significa qualquer pessoa ou entidade que controla, é controlada por ou se encontra sob controle comum de tal entidade, seja a partir da data do Contrato ou posteriormente. Para os fins deste DPA, "controle" significa posse ou controle, direta ou indiretamente, de mais de 20% das ações com direito a voto de uma entidade ou tendo de algum modo o poder de dirigir a gestão ou políticas.

1.2 "Leis de Privacidade Aplicáveis” significa todas as leis e regulamentos aplicáveis em matéria de privacidade e proteção de dados em todo o mundo, incluindo, quando aplicável, o Regulamento 2016/679 do Parlamento Europeu e do Conselho em relação à proteção das pessoas físicas no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados da UE) ("RGPD"), a Diretriz da UE 2002/58/CE sobre privacidade e comunicações eletrônicas (em todos os casos, conforme alterados, anulados ou substituídos) e a Lei da Califórnia sobre a privacidade do consumidor Código Civil § 1798.100 et seq. e seus regulamentos de implementação ("CCPA”).

1.3 "Controlador" significa a pessoa física ou jurídica ou entidade que determina os objetivos e meios do processamento de Dados Pessoais. Controlador é também uma "empresa", como o termo é definido no CCPA.

1.4 "Violação de dados" significa uma quebra de segurança levando à destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso sem autorização, e todas as outras formas ilegais de processamento dos dados da Eventbrite.

1.5 "Dados da Eventbrite" significa todo e qualquer dado, inclusive Dados Pessoais, que seja enviado ao Fornecedor ou de outra forma coletado e/ou acessado pelo Fornecedor em nome da Eventbrite e/ou seus Afiliados no curso do fornecimento dos Serviços do Contrato. Qualquer Dado da Eventbrite é Dado Pessoal e por este meio é referido como "Dados Pessoais da Eventbrite".

1.6 “New EU SCCs” significa Standard Contractual Clauses issued pursuant to Commission Implementing Decision (EU) ou seja, Cláusulas Contratuais Padrão emitidas de acordo com a Decisão de Implementação da Comissão (UE), 2021/914 de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho.

1.7 “Old EU SCCs” significa Cláusulas Contratuais Padrão emitidas de acordo com a Decisão de Implementação da Comissão da UE de 5 de fevereiro de 2010 sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros sob a Diretriz 95/46/CE do Parlamento Europeu e do Conselho (disponível a partir da Data de Vigência pelo http://data.europa.eu/eli/dec/2010/87/2016-12-17).

1.8 "Dados Pessoais" significa qualquer informação relativa a uma pessoa física identificada ou identificável. Uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular com referência a um número de identificação ou por um ou mais fatores específicos de sua identidade física, fisiológica, mental, econômica, cultural ou social.

1.9 "Princípios do Escudo de Privacidade" significa os Princípios da Estrutura do Escudo de Privacidade (como complementado pelos Princípios Suplementares) contidos no Anexo II da Decisão da Comissão Europeia de 12 de julho de 2016 de acordo com a Diretiva 95/46/EC do Parlamento Europeu e do Conselho sobre a adequação da proteção oferecida pelo Escudo de Privacidade (conforme possa ser alterado, revogado ou substituído), cujos detalhes podem ser encontrados pelo www.privacyshield.gov/eu-us-framework.

1.10 "Processador" significa uma entidade que processa Dados Pessoais em nome de, e de acordo com as instruções de um Controlador.

1.11 "Subprocessador" significa uma entidade envolvida por um Processador que concorda em receber do Processador Dados Pessoais que se destinam exclusivamente a atividades de processamento a serem feitas como parte dos Serviços.

1.12 "Fornecedor" significa o indivíduo ou entidade que ingressou no Contrato com a Eventbrite.

2. Papel das Partes e natureza dos Dados Pessoais

2.1 Para efeitos deste DPA, a Eventbrite pode atuar como Controlador ou como Processador de um dos seus clientes. Como tal, o Fornecedor reconhece que pode atuar como Processador ou Subprocessador da Eventbrite. Quando a Eventbrite atua como Processador, é obrigada contratualmente e/ou de acordo com as Leis de Privacidade Aplicáveis a repassar determinadas obrigações relacionadas à proteção de dados aos seus Subprocessadores designados. Portanto, todas as obrigações repassadas aos Processadores neste DPA devem se aplicar ao Fornecedor, independente se o Fornecedor atua como Processador ou Subprocessador.

2.2 A natureza, o propósito ou o assunto das atividades de processamento de dados do Fornecedor realizadas como parte dos Serviços estão estabelecidos no Contrato. Os Dados Pessoais processados podem estar relacionados aos organizadores de eventos, participantes, funcionários, contratados e contatos, podendo incluir nome, endereço de e-mail, informações de pagamento e cobrança, eventos agendados, organizados e com participação efetiva, e quaisquer outros Dados Pessoais que possam ser processados de acordo com o Contrato.

3. Conformidade do Fornecedor.

3.1 O Fornecedor garante e compromete-se a processar os Dados Pessoais da Eventbrite apenas para as finalidades limitadas e especificadas estabelecidas no Contrato e/ou conforme instruído legalmente pela Eventbrite por escrito (e-mail ou de outra forma), a menos que seja exigido outro procedimento pela lei aplicável. O Fornecedor informará imediatamente a Eventbrite se, na sua opinião, uma instrução viola as Leis de Privacidade Aplicáveis.

3.2 O Fornecedor não venderá Dados Pessoais da Eventbrite nem processará de outro modo os Dados Pessoais da Eventbrite para qualquer outro propósito além dos propósitos específicos estabelecidos aqui e de acordo com as Leis de Privacidade Aplicáveis. Para evitar dúvidas, o Fornecedor não processará Dados Pessoais da Eventbrite fora da relação comercial direta entre a Eventbrite e o Fornecedor. Para efeitos deste parágrafo, "vender" deve ter o significado estabelecido nas Leis de Privacidade Aplicáveis.

3.3 O Fornecedor certifica que entende suas restrições e obrigações estabelecidas neste DPA e irá cumpri-las.

4. Transferência de Dados Internacionais

4.1 A Eventbrite autoriza o Fornecedor e seus Subprocessadores a fazer transferência internacional de Dados Pessoais da Eventbrite de acordo com este DPA, desde que as Leis de Privacidade Aplicáveis para tais transferências sejam respeitadas. Ao concordar com o DPA, o Fornecedor também concorda com o New EU SCCs, que foi pré-assinado pela Eventbrite.

4.2 Com relação aos Dados Pessoais da Eventbrite transferidos do Reino Unido pela lei do Reino Unido (e não pela lei de qualquer jurisdição da Área Econômica Europeia), rege a natureza internacional da transferência, e tal lei permite o uso da antiga SCCs da UE, mas não o uso da nova SCCs da UE. A antiga SCCs da UE é parte deste DPA e tem precedência sobre o restante deste DPA como foi estabelecido na antiga SCCs da UE, até que o Reino Unido adote novas Cláusulas Contratuais Padrão, caso em que as novas Cláusulas Contratuais Padrão prevalecerão.  Para os fins da antiga SCCs da UE, eles devem ser considerados completos como a seguir:

  1. Os "exportadores" e "importadores" são as Partes e seus Afiliados na medida em que algum deles esteja envolvido em tal transferência, incluindo aqueles definidos no Anexo I.A da nova SCCs da UE.  

  2. Cláusula 9 da antiga SCCs da UE especifica a lei do Reino Unido regendo a antiga SCCs da UE.

  3. O conteúdo do Apêndice 1 da antiga SCCs da UE está definido no Anexo I.B da nova SCCs da UE neste documento.

  4. O conteúdo do Apêndice 2 da antiga SCCs da UE está definido no Anexo II da nova SCCs da UE neste documento.

4.3 Com relação aos Dados Pessoais transferidos da Suíça pelos quais a lei Suíça (e não a lei de qualquer jurisdição do Espaço Econômico Europeu) rege a nautreza internacional da transferência, as referências ao RGPD na Cláusula 4 do novo SCCs da UE são, na medida do legalmente exigido, modificadas para fazer referência ao Ato de Proteção de Dados da Federação Suíça ou seu sucessor, e o conceito de autoridade supervisora deve incluir o Swiss Federal Data Protection and Information Commissioner.

4.4 Com relação a Dados Pessoais transferidos do Espaço Econômico Europeu, o novo SCCs da UE aqui incorporado deve ser aplicado, fazer parte deste DPA, e ter precedência sobre o restante deste DPA como estabelecido no novo SCCs da UE.   

  1. Quando o Fornecedor age como Processador da Eventbrite, o Módulo Dois do novo SCCs da UE deve se aplicar.  

  2. Quando o Fornecedor age como Subprocessador da Eventbrite, o Módulo Três do novo SCCs da UE deve se aplicar.

5. Salvaguardas adicionais para Transferência e Processamento de Dados Pessoais do Espaço Econômico Europeu (EEE), da Suíça e do Reino Unido.  

Na medida em que o Fornecedor processa Dados Pessoais da Eventbrite de dados de indivíduos localizados ou submetidos às Leis de Proteção de Dados do Espaço Econômico Europeu, da Suíça, ou do Reino Unido, o Fornecedor concorda com as seguintes salvaguardas para proteger tais dados em um nível equivalente ao das Leis de Proteção de Privacidade:

5.1 O Fornecedor e a Eventbrite deve encriptar todas as transferências de Dados Pessoais entre si, e o Fornecedor deve encriptar quaisquer transferências subsequentes que fizer de tais dados pessoais, para evitar a aquisição de tais dados por terceiros, como autoridades governamentais que podem ter acesso físico aos mecanismos de transmissão (por exemplo, fios e cabos) enquanto os dados estão sendo transmitidos.

5.2 O Fornecedor representa e garante que:

  1. a partir da data deste contrato, não recebeu nenhuma diretiva da Seção 702 da Lei de Vigilância de Inteligência Estrangeira dos EUA ( U.S. Foreign Intelligence Surveillance Act), codificado no 50 U.S.C. § 1881a (“FISA Section 702”).

  2. não é elegível para ser solicitado a fornecer informações, instalações ou assistência no âmbito da Seção 702 da FISA; ou que nenhum tribunal julgou que o Fornecedor fosse o tipo de entidade elegível para ter um processo emitido ao abrigo da Seção 702 da FISA: (i) um "provedor de serviço de comunicação eletrônica" no significado do 50 U.S.C. § 1881(b)(4) ou (ii) um membro de qualquer das categorias de entidades descritas nessa definição.

  3. não é o tipo de fornecedor que é elegível para ser submetido à coleta upstream (coleta "em massa") de acordo com a Seção 702 da FISA, como descrito nos parágrafos 62 e 179 do julgamento na Corte de Justiça da UE, Caso C-311/18, Data Protection Commissioner (Responsável pela Proteção dos dados) v Facebook Ireland Limited and Maximillian Schrems v Facebook Ireland Limited and Maximillian Schrems ("Schrems II"), e que, por conseguinte, o único processo da Secção 702 da FISA que poderia ser elegível para receber, se fosse um "fornecedor de serviço de comunicação eletrônica" na acepção do 50 U.S.C § 1881(b)(4), basear-se-ia em uma "seleção direcionada", ou seja, um identificador que é único para o desfecho visado das comunicações sujeitas à vigilância.

  4. O Fornecedor nunca cumprirá qualquer solicitação com base na Seção 702 da FISA para coleta e massa, ou seja, uma demanda de vigilância em que um identificador de conta visado não é identificado por meio de uma "seleção direcionada" específica (um identificador que é único para o desfecho visado das comunicações sujeitas à vigilância).

  5. O Fornecedor usará todos os mecanismos legais razoáveis disponíveis para contestar quaisquer exigências de acesso de dados por meio de processo de segurança nacional que ele receba, bem como quaisquer disposições de não divulgação que lhe estejam associadas. 

  6. O Fornecedor não tomará qualquer medida de acordo com a Ordem Executiva 12333 dos EUA.

  7. Em intervalos de 6 meses ou mais frequentemente, se permitido por lei, o Fornecedor deve criar um relatório de transparência, que estará disponível para a Eventbrite, indicando os tipos de exigências legais obrigatórias para dados pessoais que ele recebeu, incluindo ordens e diretivas, que devem incluir qualquer processo emitido ao abrigo da Seção 702 da FISA. 

  8. O Fornecedor notificará imediatamente a Eventbrite se não puder mais cumprir as Cláusulas Contratuais Padrão ou as cláusulas desta Seção.  O Fornecedor não deve ser solicitado a fornecer à Eventbrite informações específicas sobre o motivo pelo qual não pode mais cumpri-las, se fornecer tal informação for proibido pela lei aplicável.  Tal notícia deve permitir que a Eventbrite encerre o Contrato (ou, por opção da Eventbrite, declarações de trabalho afetadas, formulários de pedido e documentos semelhantes) e receba um reembolso imediato e proporcional de quaisquer montantes pré-pagos a esse título.  Isso sem prejuízo de outros direitos e remediações da Eventbrite com respeito à quebra do Contrato.

6. Confidencialidade e segurança.

6.1 O Fornecedor deve garantir que qualquer pessoa que ele autorize a processar os Dados da Eventbrite (incluindo os funcionários, agentes e subcontratados do Fornecedor) devem estar sujeitos à obrigação de confidencialidade.

6.2 O Fornecedor deve garantir que implementa e mantém, ao longo de toda a vigência do Contrato, ou pela duração dos seus serviços prestados à Eventbrite como Processador ou Subprocessador, medidas técnicas e organizacionais apropriadas para proteger os Dados da Eventbrite, incluindo proteção contra Violações de Dados. Tais medidas devem incluir, no mínimo, as medidas especificadas no Anexo II do novo SCCS da UE.

7. Subprocessamento.

O Fornecedor deve notificar a Eventbrite sobre quaisquer Subprocessadores que utiliza com relação a Dados Pessoais da Eventbrite, e o Fornecedor deve:

  1. garantir que qualquer Subprocessador tenha a obrigação contratual por escrito de fornecer pelo menos o mesmo nível de proteção que é requerido por este DPA e cumprir as Leis de Privacidade Aplicáveis;

  2. ser totalmente responsável por, e sujeito à Eventbrite por atos e omissões de qualquer Subprocessador como se fossem atos ou omissões do próprio Fornecedor; e

  3. fornecer à Eventbrite, mediante pedido, detalhes de quaisquer Subprocessadores indicados.

8. Cooperação e direitos dos Titulares dos dados.

O Fornecedor dará toda a assistência razoavelmente solicitada pela Eventbrite para permitir que a Eventbrite:

  1. responda, cumpra ou de outro modo resolva quaisquer solicitações de direitos, questões ou queixas recebidas pela Eventbrite (ou um cliente da Eventbrite) de:

    1. qualquer pessoa cujos Dados Pessoais sejam processados pelo Fornecedor em nome da Eventbrite; ou

    2. qualquer autoridade de proteção de dados aplicável designada formalmente; e

  2. cumpra com (e demonstre conformidade com) suas obrigações relacionadas às Leis de Proteção Aplicáveis. Na eventualidade de tal solicitação, questão ou reclamação nos termos desta Seção 5 ser dirigida diretamente ao Fornecedor, o mesmo deve informar a Eventbrite fornecendo detalhes completos do caso.

9. Auditoria.

Mediante aviso prévio razoável por escrito, o Fornecedor concorda em fornecer à Eventbrite (ou aos seus auditores designados) todas as informações que a Eventbrite considere razoavelmente necessárias para auditar a conformidade do Fornecedor com os requisitos deste DPA, incluindo a realização de questionários de auditoria, a disposição de políticas de segurança e resumos das avaliações de conformidade com quaisquer padrões do setor (por exemplo, ISO 27001, SSAE 16 SOC II), testes de penetração e análises de vulnerabilidade.

10. Violação de Dados.

No caso de Violação de Dados, o Fornecedor tomará somente as seguintes atitudes (a não ser que seja autorizado pela Eventbrite):

10.1 notificar prontamente a Eventbrite sem atraso injustificado (e o mais tardar dentro de 48 horas após tomar conhecimento da Violação dos Dados) e fornecer à Eventbrite uma descrição razoavelmente detalhada da Violação dos Dados, o tipo de dado que foi sujeito à Violação de Dados e a identidade de cada pessoa afetada, assim que tal informação puder ser coletada ou se tornar disponível, bem como qualquer outra informação que a Eventbrite possa razoavelmente solicitar em relação à Violação dos Dados; e

10.2 prontamente (o mais tardar, começando 48 horas após tomar conhecimento da Violação dos Dados) investigar a Violação dos Dados, fazer esforços razoáveis para mitigar os efeitos e danos da Violação dos Dados de acordo com suas obrigações da Seção 3 (Confidencialidade e Segurança) acima, e fornecer qualquer outra assistência que a Eventbrite possa razoavelmente solicitar relativa à Violação dos Dados.

11. Eliminação ou devolução de dados

Após a rescisão ou expiração deste DPA, o Fornecedor (à escolha da Eventbrite) destruirá ou devolverá à Eventbrite todos os Dados da Eventbrite (incluindo todas as cópias dos Dados da Eventbrite) em sua posse ou seu controle (incluindo quaisquer Dados da Eventbrite subcontratados a um terceiro para processamento), a menos que qualquer lei aplicável exija que o Fornecedor mantenha os Dados da Eventbrite.

12. Indenização

O Fornecedor indenizará, manterá indenizada e isentará a Eventbrite, os seus clientes, executivos, diretores, funcionários, agentes, representantes e Afiliados (cada "Parte Indenizada") de quaisquer perdas, prejuízos, custos (incluindo honorários e despesas legais razoáveis), despesas e responsabilidades de terceiros que uma Parte Indenizada possa sofrer ou incorrer como resultado do descumprimento dos requisitos deste DPA por parte do Fornecedor.

13. Diversos

Com exceção das alterações introduzidas por este DPA, o Contrato e/ou quaisquer outros contratos relacionados aos Serviços permanecem inalterados e totalmente em vigor e efeito.

No que diz respeito às disposições relativas ao processamento de Dados Pessoais, em caso de conflito entre o Contrato e este DPA, as disposições deste DPA prevalecerão. Na eventualidade de um conflito entre este DPA e qualquer outra disposição do Contrato entre você e nós, este DPA prevalece, exceto nos casos em que você e a Eventbrite tenham negociado individualmente termos de processamento de dados diferentes do previsto neste DPA e que cumpram na íntegra os requisitos da Lei de Proteção de Dados Aplicável, sendo que, em tal circunstância, esses termos negociados terão prevalência.

Ainda tem dúvidas?