Adendo de Processamento de Dados (APD) para Organizadores

• Visão geral e definições.
• 1. Aplicabilidade do APD e âmbito das atividades de processamento de dados.
• 2. Cláusulas de processamento de dados.
• 3. Transferências internacionais.

Visão geral e definições.

Os termos deste APD são incorporados aos Termos de Serviço da Eventbrite, à Política de Privacidade ou a qualquer outro contrato de serviços vigente entre você e a Eventbrite (o "Contrato").

No que diz respeito às disposições relativas ao Processamento de Dados Pessoais, em caso de conflito entre o Contrato e este APD, as disposições deste APD prevalecerão. Em caso de conflito entre este APD e qualquer outra disposição do Contrato entre você e a Eventbrite, as disposições deste APD prevalecerão, exceto quando o Organizador e a Eventbrite tiverem negociado individualmente termos de processamento de dados que sejam diferentes dos previstos neste APD e que atendam na íntegra aos requisitos das Leis de Proteção de Dados vigentes, caso em que estes termos negociados prevalecerão.

“CCPA” significa Lei de Privacidade do Consumidor da Califórnia (Consumer Privacy Act) (como alterado pela Lei de Direitos de Privacidade da Califórnia - California Privacy Rights Act) e regulamentações associadas.

“Leis de Proteção de Dados” significa todas as leis ou regulamentações vigentes relacionadas à privacidade, confidencialidade e segurança de Dados Pessoais.

“Empresa”, "Controlador de Dados", "Processador de Dados", "Titulares dos Dados", "Processamento", "Dados Pessoais", e “Provedor de Serviços” devem ter os significados a eles atribuídos nas Leis de Proteção de Dados vigentes.

"Violação de Segurança de Dados" significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, publicação não autorizada ou acesso não autorizado a Dados Pessoais processados pela Eventbrite em nome do Organizador como parte do uso dos Serviços pelo Organizador.

“Novas SCCs da União Europeia” significa as Cláusulas Contratuais Padrão emitidas de acordo com a Comissão de Execução da Decisão (UE) 2021/914, de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros de acordo com a Regulamentação (UE) 2016/679 do Parlamento Europeu e do Conselho.

“Serviços” significa quaisquer serviços fornecidos pela Eventbrite ao Organizador, como definido nos Termos de Serviço da Eventbrite de qualquer outros serviços aplicáveis entre o Organizador e a Eventbrite.

" Medidas Técnicas e de Segurança Organizacional"significa medidas de segurança razoáveis implementadas pela Eventbrite adequadas para o tipo de Dados Pessoais sendo processados em nome do Organizador e os serviços sendo fornecidos pela Eventbrite projetados para proteger Dados Pessoais contra processamento não autorizado ou ilegal e contra perda acidental, destruição, danos, alteração ou divulgação.

“Adendo SCC do Reino Unido” significa o Adendo de Transferência de Dados Internacionais do Reino Unido para Cláusulas Contratuais-padrão da Comissão Europeia para transferências internacionais de dados, versão B1.0, emitida pelo Comissário de Informação do Reino Unido na Seção 119A da Lei de Proteção de Dados do Reino Unido de 2018 e em vigor em 21 de março de 2022, atualizada, alterada ou substituída ocasionalmente.

1. Aplicabilidade do APD e âmbito das atividades de processamento de dados.

1.1 Ao usar os Serviços da Eventbrite, o Organizador atua como uma Empresa e passa a ser o Controlador de Dados dos Dados Pessoais associados a um indivíduo que utiliza os Serviços da Eventbrite, ou em nome de quem um indivíduo está usando os Serviços da Eventbrite para se inscrever ou adquirir um ingresso para participar do evento do Organizador (o "Consumidor"). O Organizador representa e garante que forneceu todos os avisos necessários e, quando exigido, obteve todos os consentimentos necessários relacionados com a coleta desses Dados Pessoais do Consumidor; o Organizador tem o direito de compartilhar esses Dados Pessoais com a Eventbrite.

1.2 Quando a Eventbrite processa Dados Pessoais de Consumidores em nome do Organizador como parte dos Serviços, a Eventbrite atua como um Processador de Dados ou Provedor de Serviços na execução desse Processamento, e o Organizador atua como o Controlador de Dados ou Empresa. Isso inclui as circunstâncias em que a Eventbrite obtém Dados Pessoais como resultado da prestação de seus principais serviços de emissão de ingressos (por exemplo, quando a Eventbrite facilita o envio de e-mails aos Consumidores a pedido dos Organizadores, processa pagamentos ou fornece relatórios e ferramentas de eventos para permitir que os Organizadores obtenham informações sobre a eficácia de vários canais de vendas).

Em relação a alguns processamentos de Dados Pessoais de Consumidores, a Eventbrite pode atuar como Controlador de Dados ou Empresa. Por exemplo, quando os Consumidores tiverem se envolvido com aspectos dos Aplicativos da Eventbrite além daqueles relacionados com o evento do Organizador, ou quando os Dados Pessoais de Consumidores são Processados pela Eventbrite para a realização de pesquisas e análises que permitam à Eventbrite aprimorar seus produtos e recursos e forneçam recomendações direcionadas. Com relação a esses processamentos, a Eventbrite é um Controlador de Dados independente, e não um Controlador de Dados em conjunto com o Organizador.

Quando a Eventbrite processar Dados Pessoais na condição de Processador de Dados ou de Prestador de Serviços em nome do Organizador, a Seção 2 deste ADP será aplicada; no entanto, quando a Eventbrite estiver atuando como uma Empresa ou um Controlador de Dados dos Dados Pessoais de Consumidores, o processamento da Eventbrite não estará sujeito a este APD.

1.3 Os detalhes sobre os Dados Pessoais a serem processados pela Eventbrite e as atividades de Processamento a serem realizadas no âmbito do Contrato são os seguintes: (i) duração - conforme estabelecido no Contrato; (ii) natureza, propósito e assunto - para permitir que o Organizador realize e promova eventos e gerencie a venda de ingressos usando os Serviços da Eventbrite; (iii) categorias de dados - nome, endereço de e-mail, informações de cobrança e pagamento, informações relacionadas com os eventos agendados e com participação efetiva, relação com o Organizador e quaisquer outros Dados Pessoais que o Organizador solicite de seus Consumidores; (iv) titulares dos dados - Consumidores.

2. Cláusulas de processamento de dados.

2.1 Sempre que a Eventbrite processar Dados Pessoais em nome do Organizador, a Eventbrite deverá:

2.1.1 Processar Dados Pessoais somente de acordo com as instruções documentadas do Organizador, a menos que seja exigido de outra forma pela legislação vigente. A Eventbrite informará o Organizador sobre os requisitos legais antes de processar Dados Pessoais que não estejam de acordo com as instruções do Organizador, a menos que a mesma legislação proíba a Eventbrite de fazer isso fundamentada em aspectos importantes de interesse público. O Organizador garantirá que suas instruções estejam em conformidade com todas as leis, regulamentos e regras aplicáveis aos Dados Pessoais e que o processamento desses Dados Pessoais pela Eventbrite não fará com que a Eventbrite viole nenhuma lei, regulamento ou regra vigente, incluindo as Leis de Proteção de Dados. Se, na opinião da Eventbrite, qualquer instrução constituir uma violação das Leis de Proteção de Dados vigentes, a Eventbrite notificará o Organizador. O Organizador, por meio deste, instrui a Eventbrite, e a Eventbrite, também por meio deste, concorda em processar Dados Pessoais, conforme necessário, para cumprir suas obrigações nos termos do Contrato e para nenhum outro fim, a menos que especificado de outra forma neste APD ou exigido para o cumprimento de uma lei ou outro pedido governamental vinculativo. Caso este APD, ou uma ação a ser tomada ou contemplada na execução deste APD, não cumpra as obrigações de qualquer uma das partes previstas nas Leis de Proteção de Dados vigentes, as partes negociarão, de boa fé, uma alteração apropriada a este APD;

2.1.2 Cumprir todas as provisões vigentes de Leis de Proteção de Dados e fornecer o mesmo nível de proteção para Dados Pessoais como requeridas do Organizador sob as Leis de Proteção de Dados.  A Eventbrite processará Dados Pessoais somente quando necessário, para cumprir suas obrigações nos termos do Contrato ou se permitido, de alguma forma, pelas Leis de Proteção de Dados. Sem limitação do anterior, a Eventbrite não (i) “venderá” ou “compartilhará” os Dados Pessoais, tais como definidos no CCPA; (ii) a Eventbrite não deverá reter, usar ou divulgar qualquer desses dados além da relação empresarial direta entre o Organizador e a Eventbrite, a não ser que permitido pelas Leis de Proteção de Dados, ou (iii) reter, usar ou divulgar Dados Pessoais por qualquer outro propósito que não seja pelos propósitos empresariais especificados neste APD ou permitido pelas Leis de Proteção de Dados.   A Eventbrite deve cumprir com todas as restrições legais das Leis de Proteção de Dados em combinação com Dados Pessoais que a Eventbrite recebe de, ou em nome de, outra pessoa ou pessoas, ou que a Eventbrite coleta de qualquer interação entre ela e qualquer indivíduo.

2.1.3 Ter em vigor Medidas de Segurança Técnicas e Organizacionais que incluem, mas não são limitadas a, as medidas aqui descritas: https://www.eventbrite.com.br/security/;

2.1.4 Notificar o Organizador, sem atrasos injustificados, no caso de violação de Segurança de Dados, a não ser que proibidos por lei ou instruído por autoridade policial ou de proteção de dados. No caso de qualquer Violação de Segurança de Dados, a Eventbrite, a seu exclusivo critério, poderá fornecer uma notificação de violação de dados diretamente aos titulares dos dados afetados. Quando a Eventbrite não fornecer essa notificação, a Eventbrite fornecerá assistência razoável, quando exigido pelas Leis de Proteção de Dados vigentes e a pedido do Organizador, para permitir que o Organizador cumpra suas obrigações com relação à violação de dados como um Controlador de Dados ou Empresa;

2.1.5 Garantir que seus funcionários estejam sujeitos a obrigações vinculativas de confidencialidade com respeito aos Dados Pessoais dos Consumidores processados pela Eventbrite em nome do Organizador;

2.1.6 Impor obrigações aos seus subprocessadores com acesso aos Dados Pessoais dos Consumidores Processados pela Eventbrite em nome do Organizador que sejam as mesmas ou equivalentes àquelas estabelecidas nesta Seção 2 por meio de contrato por escrito, e permanecer totalmente responsável perante o Organizador por qualquer falha de um subprocessador em cumprir suas obrigações em relação a esses Dados Pessoais;

2.1.7 Fornecer assistência razoável ao Organizador nas respostas a solicitações de direitos individuais recebidas de acordo com as Leis de Proteção de Dados vigentes de qualquer autoridade de proteção de dados aplicável ou Consumidor que seja o titular de qualquer Dado Pessoal processado pela Eventbrite em nome do Organizador. No caso de um Consumidor enviar uma solicitação de exclusão de Dados Pessoais à Eventbrite, o Organizador, por meio deste instrumento, instrui e autoriza a Eventbrite a excluir ou anonimizar os Dados Pessoais do Consumidor em nome do Organizador;  Quando necessário, o Organizador deverá informar a Eventbrite de qualquer outra solicitação de direitos individuais que a Eventbrite deverá cumprir e fornecer as informações necessárias para a Eventbrite cumprir a solicitação;

2.1.8 Mediante solicitação por escrito do Organizador, disponibilizar ao Organizador todas as informações razoavelmente necessárias para demonstrar seu cumprimento das obrigações estabelecidas nesta Seção 2 e fornecer assistência justa, com avaliações de impacto sobre a privacidade e a proteção de dados e consultas relacionadas das autoridades de proteção de dados, além de permitir e cooperar com quaisquer auditorias. Quaisquer auditorias no local deverão: (i) ser permitidas apenas com razoável notificação prévia à Eventbrite; (ii) estar sujeitas a compromissos de confidencialidade adequados; e (iii) ser limitadas a uma vez a cada três (3) anos e apenas para avaliar uma suspeita de deficiência específica após o esgotamento de todos os outros meios razoáveis; e

2.1.9 Exceto para aqueles Dados Pessoais em relação aos quais a Eventbrite atua como Controlador de Dados ou Empresa, devolver, excluir ou destruir (por escolha do Organizador) os Dados Pessoais de Consumidores processados em nome do Organizador e suas cópias, a pedido do Organizador (a menos que a legislação vigente exija o armazenamento desses Dados Pessoais).

2.2O Organizador consente e autoriza a Eventbrite a divulgar ou transferir Dados Pessoais para, ou permitir o acesso a Dados Pessoais por subprocessadores atuais  da Eventbrite (ou seja, aqueles listados no site da Eventbrite na Data Efetiva deste APD ou do Contrato, o que for posterior) ("Subprocessadores Atuais") para processar Dados Pessoais em nome do Organizador.

2.3 O Organizador, por meio deste, consente que a Eventbrite nomeie subprocessadores adicionais e substitutos ("Subprocessadores Substitutos") para processar Dados Pessoais em nome do Organizador. A Eventbrite  notificará o Organizador sobre a identidade dos Subprocessadores Substitutos (i) por e-mail quando o Organizador tiver optado por receber tais notificações por e-mail e (ii) pela atualização no site da Eventbrite (o Organizador é responsável por verificar e revisar regularmente o site da Eventbrite para quaisquer alterações desse tipo). Os Organizadores interessados em receber notificação por e-mail sobre os Subprocessadores Substitutos devem optar e se inscrever usando este formulário (O Organizador é o único responsável por garantir que suas informações de contato permaneçam corretas). A Eventbrite também dará ao Organizador a oportunidade de se opor a tais alterações que ocorrerem após a Data de Vigência do Contrato, de acordo com os termos que se seguem na Seção 2.4 deste APD.

Para evitar dúvidas, quaisquer direitos de rescisão disponíveis neste documento somente se aplicarão no caso de objeções aos Subprocessadores Substitutos nomeados após a Data de Vigência deste APD que não sejam corrigidas de acordo com os termos aqui presentes, e não se aplicarão em relação a Subprocessadores Atuais.

2.4 O Organizador levantará qualquer objeção à nomeação de Subprocessadores Substitutos no prazo de 10 (dez) dias após a Eventbrite publicar as alterações em seu site. O Organizador enviará sua objeção para privacy@eventbrite.com (com a linha de assunto "Objeção ao Subprocessador Substituto").

Contanto que a objeção do Organizador: (i) diga respeito à capacidade do Subprocessador Substituto de permitir que a Eventbrite cumpra materialmente suas obrigações de proteção de dados nos termos deste APD e (ii) inclua informações suficientes para fundamentar sua objeção, fornecendo exemplos específicos, a Eventbrite utilizará esforços comercialmente razoáveis para revisar e responder à objeção do Organizador em até trinta (30) dias após o recebimento da objeção do Organizador com o método de conciliação específico da Eventbrite.

Se a Eventbrite determinar, a seu exclusivo critério, que não pode realizar uma conciliação justa em relação à objeção do Organizador, mediante notificação da Eventbrite, o Organizador, por meio de seu recurso único e exclusivo, poderá optar por rescindir o Contrato enviando um aviso por escrito à Eventbrite e cumprindo os termos aqui contidos. Sem prejuízo do disposto acima, o direito de rescisão do Organizador, de acordo com esta Seção 2.4, será considerado um direito de rescisão adicional do Organizador nos termos da seção "Vigência e Rescisão" do Contrato (se houver) e, se exercido, será considerado uma rescisão de contrato (de acordo com essa seção). Essa notificação por escrito deverá ser enviada para legal@eventbrite.com  e fazer referência específica a esta Seção 2.4 do APD. O dia em que a Eventbrite receber um aviso de rescisão por escrito do Organizador, nos termos desta Seção 2.4, será designado, neste APD, como "Data da Objeção". Se o Organizador optar por rescindir o Contrato como resultado da contratação de um Subprocessador Substituto, nada nesta Seção 2 isentará o Organizador de suas obrigações de pagamento e/ou reembolso à Eventbrite nos termos do Contrato.

Sem limitação de outros direitos e recursos da Eventbrite, se o Organizador rescindir o Contrato de acordo com esta Seção 2.4, o Organizador pagará imediatamente à Eventbrite (1) todos os valores acumulados e devidos à Eventbrite, incluindo, porém sem limitação a, obrigações de pagamento e/ou reembolso à Eventbrite por taxas, pagamentos de patrocínio, adiantamentos e/ou pagamentos adiantados de taxas de inscrição em eventos, na forma como esses termos são definidos no Contrato e somente na medida aplicável ao Organizador; (2) se o Contrato incluir um número mínimo de ingressos que o Organizador deve vender, uma quantidade mínima de taxas de inscrição em eventos ou taxas de serviço da Eventbrite que devem ser processadas (cada um desses limites de venda ou de processamento designado como "Limite Mínimo") e/ou um requisito para pagar à Eventbrite a parte das taxas de serviço que a Eventbrite teria recebido se o Limite Mínimo tivesse sido atingido, o Organizador concorda em pagar à Eventbrite um valor igual a (x) do valor que a Eventbrite teria recebido em taxas de serviço se o Limite Mínimo tivesse sido atingido em cada ano do período de vigência até a data de seu encerramento (com esse Limite Mínimo proporcional a qualquer ano parcial do período de vigência) menos (y) a quantia que a Eventbrite realmente recebeu em taxas de serviço atribuíveis às vendas do Organizador durante o período de vigência até a data desse encerramento; e (3) 80% das taxas antecipadas que a Eventbrite teria recebido durante o restante do período de vigência se o Contrato não tivesse sido encerrado com relação a (x) eventos à venda no site a partir da Data da Objeção e (y) a quaisquer futuros eventos contemplados nos termos do Contrato destinados a serem transmitidos ao vivo nos 90 (noventa) dias após a Data da Objeção.

2.5 A Eventbrite assegura que entende as restrições e obrigações estabelecidas neste APD e que irá cumpri-las. A Eventbrite notificará o Organizador se a Eventbrite determinar que deixou de cumprir suas obrigações relativas às Leis de Proteção de Dados.

2.6 O Organizador terá o direito, após 14 (catorze) dias úteis do aviso, a tomar atitudes razoáveis e adequadas para parar e remediar qualquer uso não autorizado de Dados Pessoais pela Eventbrite.

3. Transferências internacionais.

3.1 O Organizador concorda que a Eventbrite pode transferir Dados Pessoais de Consumidores para vários locais em conexão com a prestação dos Serviços. Quando exigido pelas Leis de Proteção de Dados vigentes, as transferências serão feitas de acordo com mecanismos de transferência legalmente aplicáveis. O mecanismo de transferência exclusivo da Eventbrite para dados exportados do Espaço Econômico Europeu, Reino Unido e Suíça é o uso de Cláusulas-Padrão Contratuais, que foram pré-assinadas pela Eventbrite para registros de conformidade do Organizador. Para fazer transferências do Reino Unido, a Eventbrite também incorporou o Adendo SCC do Reino Unido na seção 3.2 deste APD.

3.2 Transferências do Reino Unido. Com relação aos Dados Pessoais da Eventbrite transferidos do Reino Unido, para os quais a lei do Reino Unido (e não a lei em qualquer jurisdição do Espaço Econômico Europeu) rege a natureza internacional da transferência, o Adendo SCC do Reino Unido faz parte deste APD e tem precedência sobre o restante deste APD conforme estabelecido no Adendo SCC do Reino Unido, a menos que o Reino Unido emita atualizações no Adendo SCC do Reino Unido, caso em que o Adendo SCC do Reino Unido atualizado prevalecerá. Os termos em maiúsculas não definidos e utilizados nesta disposição significarão as definições no Adendo SCC do Reino Unido. O Organizador concorda em celebrar o Adendo SCC do Reino Unido, que é incorporado a este APD por esta referência e preenchido da seguinte forma:

1. Na Tabela 1, os detalhes das Partes serão as Partes, conforme estabelecido no Anexo I das Novas SCCs da UE , firmado pelas Partes e de acordo com este APD.

2. Na Tabela 2, as SCCs da UE aprovadas serão as Novas SCCs da UE , conforme firmado pelas Partes e de acordo com este APD.

3. Na Tabela 3, o Anexo 1A e o Anexo 1B serão conforme estabelecido no Anexo I das Novas SCCs da UE , conforme firmado pelas Partes e de acordo com este APD.

4. Na Tabela 3, o Anexo II será conforme estabelecido no Anexo II das Novas SCCs da UE , conforme firmado pelas Partes e de acordo com este APD.

5. Na Tabela 4, qualquer uma das partes poderá encerrar este APD, conforme estabelecido na Seção 19 do Adendo SCC do Reino Unido.

3.3. Transferências da Suíça. Com relação aos Dados Pessoais transferidos da Suíça, para os quais a lei suíça (e não a lei em qualquer jurisdição do Espaço Econômico Europeu) rege a natureza internacional da transferência, (i) as referências ao RGPD na Cláusula 4 das Novas SCCs da UE são, na medida do legalmente exigido, modificadas para fazer referência ao Ato de Proteção de Dados da Federação Suíça ou seu sucessor, e o conceito de autoridade supervisora incluirá a Comissão Federal Suíça de Proteção de Dados e Informações; e (ii) depois de modificadas, as Novas SCCs da UE são aqui incorporados por referência e serão aplicadas, farão parte deste APD e terão precedência sobre o restante deste APD na medida do conflito.

3.4. Transferências do Espaço Econômico Europeu. Com relação aos Dados Pessoais transferidos do Espaço Econômico Europeu, as Novas SCCs da UE  aqui incorporadas serão aplicadas e farão parte deste APD. No caso de um conflito entre qualquer disposição das Novas SCCs da UE e qualquer disposição deste DPA, as Novas SCCs da UE prevalecerão na medida dos conflitos.