Ticsie
Events Organizers Log In Register

Language

Theme

Personuppgiftsbiträdesavtal (DPA)

Version 1.0 · Published 2 April 2026

1. Bakgrund och parter

Detta personuppgiftsbiträdesavtal ("DPA") reglerar Ticsies behandling av personuppgifter tillhörande biljettköpare å Arrangörens vägnar. Arrangören är personuppgiftsansvarig och Ticsie är personuppgiftsbiträde i enlighet med artikel 4(7) och 4(8) i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR).

Ticsie behandlar därutöver personuppgifter om Arrangörens kontaktpersoner som självständig personuppgiftsansvarig, vilket regleras av Ticsies integritetspolicy och inte av detta DPA.

2. Behandlingens föremål och syfte

Ticsie behandlar personuppgifter tillhörande biljettköpare i syfte att:

  • Möjliggöra köp och leverans av biljetter till Arrangörens evenemang.
  • Administrera betalningar, återbetalningar och orderhistorik.
  • Skicka orderbekräftelser och e-biljetter.
  • Hantera kundtjänstärenden rörande biljettköpet.
  • Uppfylla lagstadgade krav inklusive bokföring och eventuell DAC7-rapportering.

3. Kategorier av personuppgifter och registrerade

Kategorier av registrerade: biljettköpare (konsumenter och företagsrepresentanter).

Kategorier av personuppgifter:

  • Identifikationsdata: namn, e-postadress, telefonnummer.
  • Betalningsdata: kortuppgifter (hanteras av betalningsleverantör), transaktionsreferens.
  • Orderdata: biljetttyp, antal biljetter, ordernummer, tidsstämpel.
  • Tekniska data: IP-adress, enhetsinfo, cookie-ID vid inloggad session.

Känsliga personuppgifter (artikel 9 GDPR) behandlas inte inom ramen för detta avtal.

4. Behandlingens varaktighet

Ticsie behandlar personuppgifter för Arrangörens räkning under avtalets löptid. Vid avtalets upphörande ska personuppgifter raderas eller återlämnas till Arrangören inom 30 dagar, utom i den utsträckning lagstadgad lagringsskyldighet föreskriver längre lagringstid (exempelvis sju år enligt bokföringslagen).

5. Ticsies skyldigheter som personuppgiftsbiträde

Ticsie förbinder sig att:

  • Enbart behandla personuppgifter i enlighet med Arrangörens dokumenterade instruktioner, och omedelbart informera Arrangören om en instruktion enligt Ticsies bedömning strider mot GDPR.
  • Säkerställa att personer med behörighet att behandla personuppgifterna är bundna av konfidentialitetsskyldighet.
  • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 GDPR, innefattande kryptering, åtkomstkontroll, loggning och regelbunden säkerhetstestning.
  • Bistå Arrangören med att besvara förfrågningar om utövande av de registrerades rättigheter (artiklarna 15–22 GDPR) inom fem (5) arbetsdagar.
  • Bistå Arrangören med att uppfylla skyldigheterna i artiklarna 32–36 GDPR avseende säkerhet, anmälan av personuppgiftsincidenter och konsekvensbedömningar.
  • Utan onödigt dröjsmål, och senast inom 24 timmar, underrätta Arrangören om en personuppgiftsincident som rör Arrangörens behandling, för att möjliggöra Arrangörens anmälan till IMY inom 72 timmar.
  • Radera eller återlämna alla personuppgifter vid avtalets upphörande i enlighet med punkt 4.
  • Tillhandahålla all information som är nödvändig för att påvisa efterlevnad av artikel 28 GDPR, och medverka vid revisioner.

6. Underbiträden

Arrangören ger härmed ett generellt förhandsgodkännande till att Ticsie anlitar underbiträden. Ticsie ska informera Arrangören om planerade förändringar avseende underbiträden med minst 14 dagars varsel. Arrangören kan invända mot anlitandet av nytt underbiträde; om parterna inte kan lösa invändningen äger Arrangören rätt att säga upp arrangörsavtalet.

Nuvarande underbiträden listas i gällande integritetspolicy.

7. Överföring till tredjeland

Överföring av personuppgifter till länder utanför EU/EES sker enbart i enlighet med kapitel V GDPR via godkänd överföringsmekanism, i första hand standardavtalsklausuler antagna av EU-kommissionen. Ticsie håller dokumentation tillgänglig för Arrangören på begäran.

8. Arrangörens ansvar

Arrangören ansvarar som personuppgiftsansvarig för att:

  • Ha rättslig grund för all behandling av biljettköpares personuppgifter.
  • Tillhandahålla biljettköpare information om behandlingen i enlighet med artiklarna 13–14 GDPR.
  • Instruktioner till Ticsie är förenliga med GDPR.
  • Registrerade kan utöva sina rättigheter och att förfrågningar vidarebefordras till Ticsie vid behov.

9. Ansvar och sanktioner

Ticsie är ansvarigt för skada som uppstår till följd av behandling som strider mot GDPR eller detta DPA, i enlighet med artikel 82 GDPR. Ticsies skadeståndsansvar under detta DPA är begränsat till direkt skada och får inte överstiga de serviceavgifter som betalats under de senaste tolv (12) månaderna.

10. Tillämplig lag

Detta DPA regleras av svensk rätt och ska tolkas i enlighet med GDPR. Tvister hanteras i enlighet med arrangörsavtalets tvistlösningsmekanism.