Anexo de tratamiento
de datos.

Este DPA se aplica entre tú («Responsable del tratamiento») —normalmente un anfitrión de eventos, una organización o un wedding planner que utiliza Vowly Event para gestionar datos de invitados— y CKR Technology Group Ltd («Encargado del tratamiento»). El Responsable determina los fines y los medios del tratamiento de los datos personales; el Encargado trata los datos personales únicamente siguiendo instrucciones documentadas del Responsable.

El Encargado tratará los datos personales en nombre del Responsable para prestar el servicio Vowly Event, incluyendo, entre otros, la creación de eventos, la distribución de invitaciones, la recopilación de confirmaciones, la gestión de listas de invitados, el procesamiento de pagos de eventos y las analíticas de la plataforma.

• Categorías de interesados: invitados del evento, acompañantes, proveedores y personal del Responsable
• Categorías de datos personales: nombres, datos de contacto, requisitos alimentarios, respuestas de confirmación, fotografías (cuando las suben los invitados)
• Duración: durante toda la vigencia de la suscripción del Responsable y cualquier periodo de conservación de datos acordado por escrito

De conformidad con el artículo 28(3) del RGPD del Reino Unido/de la UE, el Encargado se compromete a las siguientes obligaciones respecto a los datos personales tratados en nombre del Responsable.

• Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable
• Garantizar que todo el personal autorizado a tratar datos personales esté sujeto a un deber de confidencialidad
• Aplicar las medidas técnicas y organizativas adecuadas (MTO), detalladas en nuestra página de Seguridad
• Asistir al Responsable con las solicitudes de derechos de los interesados, las EIPD y las consultas previas con las autoridades de control
• Notificar al Responsable sin dilación indebida cualquier violación de datos personales que afecte a sus datos
• Poner a disposición toda la información necesaria para demostrar el cumplimiento del artículo 28

El Encargado utiliza una lista cuidadosamente seleccionada de subencargados para prestar el servicio. Al firmar este DPA, concedes una autorización general para el uso de subencargados, con sujeción a un preaviso de 30 días de cualquier cambio, que te otorga el derecho a oponerte.

• Google Ireland Limited: infraestructura en la nube (UE/EEE)
• Stripe Payments Europe Ltd: procesamiento de pagos (Irlanda)
• Resend Inc.: entrega de correos electrónicos transaccionales (CCT cuando proceda)
• Cloudflare Inc.: protección DDoS y CDN (UE/EE. UU. con CCT)
• Lista actualizada disponible en vowly.co/subprocessors (prevista)

Cuando se transfieren datos personales fuera del Reino Unido o del EEE, el Encargado se apoya en las garantías adecuadas exigidas por el Capítulo V del RGPD del Reino Unido/de la UE. Los mecanismos principales son las Cláusulas Contractuales Tipo (CCT) de la UE y el Anexo de Transferencia Internacional de Datos del Reino Unido (IDTA), complementados con medidas técnicas y organizativas adicionales cuando sea necesario.

El Encargado permitirá y contribuirá, previa notificación razonable por escrito, a las auditorías realizadas por el Responsable o por un auditor externo designado (con sujeción a compromisos de confidencialidad). Para minimizar las molestias, el Encargado ofrecerá primero informes de auditoría estándar del sector (p. ej., informes SOC 2 Type II de los proveedores de infraestructura) y cuestionarios de seguridad.

Tras la finalización de la suscripción del Responsable, el Encargado, a elección del Responsable, devolverá o eliminará todos los datos personales en un plazo de 30 días, salvo que la legislación aplicable exija su conservación. Los datos de las copias de seguridad se purgarán de la rotación en un plazo de 35 días desde su eliminación en los sistemas principales.

La responsabilidad del Encargado en virtud de este DPA está sujeta a las limitaciones establecidas en los Términos del servicio. Nada en este DPA limita la responsabilidad de ninguna de las partes por incumplimientos del RGPD del Reino Unido o del RGPD de la UE cuando dicha responsabilidad no pueda excluirse por ley.