Addendum sur le
traitement des données.

Le présent DPA s'applique entre vous (« Responsable du traitement ») — généralement un hôte d'événement, une organisation ou un wedding planner utilisant Vowly Event pour gérer les données des invités — et CKR Technology Group Ltd (« Sous-traitant »). Le Responsable du traitement détermine les finalités et les moyens du traitement des données personnelles ; le Sous-traitant ne traite les données personnelles que sur instructions documentées du Responsable du traitement.

Le Sous-traitant traitera les données personnelles pour le compte du Responsable du traitement afin de fournir le service Vowly Event, incluant notamment la création d'événements, la distribution d'invitations, la collecte de RSVP, la gestion des listes d'invités, le traitement des paiements pour les événements et les analyses de la plateforme.

• Catégories de personnes concernées : invités, accompagnants, prestataires et personnel du Responsable du traitement
• Catégories de données personnelles : noms, coordonnées, exigences alimentaires, réponses RSVP, photographies (lorsqu'elles sont téléchargées par les invités)
• Durée : pour toute la durée de l'abonnement du Responsable du traitement et toute période de conservation des données convenue par écrit

Conformément à l'article 28(3) du RGPD britannique/européen, le Sous-traitant s'engage à respecter les obligations suivantes concernant les données personnelles traitées pour le compte du Responsable du traitement.

• Traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement
• Veiller à ce que toutes les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité
• Mettre en œuvre des mesures techniques et organisationnelles (MTO) appropriées — détaillées sur notre page Sécurité
• Assister le Responsable du traitement dans le traitement des demandes d'exercice des droits des personnes concernées, des AIPD et des consultations préalables avec les autorités de contrôle
• Notifier le Responsable du traitement sans délai indu de toute violation de données personnelles affectant ses données
• Mettre à disposition toutes les informations nécessaires pour démontrer la conformité à l'article 28

Le Sous-traitant utilise une liste sélectionnée de sous-traitants ultérieurs pour fournir le service. En signant le présent DPA, vous accordez une autorisation générale pour l'utilisation de sous-traitants ultérieurs, sous réserve d'un préavis de 30 jours pour toute modification vous donnant le droit de vous y opposer.

• Google Ireland Limited — infrastructure cloud (UE/EEE)
• Stripe Payments Europe Ltd — traitement des paiements (Irlande)
• Resend Inc. — e-mails transactionnels (CCT le cas échéant)
• Cloudflare Inc. — protection DDoS et CDN (UE/US avec CCT)
• Liste mise à jour maintenue sur vowly.co/subprocessors (planifié)

Lorsque les données personnelles sont transférées en dehors du Royaume-Uni ou de l'EEE, le Sous-traitant s'appuie sur des garanties appropriées telles qu'exigées par le chapitre V du RGPD britannique/européen. Les principaux mécanismes sont les Clauses Contractuelles Types (CCT) de l'UE et l'Addendum britannique sur les transferts internationaux de données (IDTA), complétés par des mesures techniques et organisationnelles supplémentaires lorsque nécessaire.

Le Sous-traitant, sur préavis écrit raisonnable, permettra et contribuera aux audits menés par le Responsable du traitement ou un auditeur tiers mandaté (sous réserve d'engagements de confidentialité). Pour minimiser les perturbations, le Sous-traitant proposera d'abord des rapports d'audit standard du secteur (par exemple, les rapports SOC 2 Type II des fournisseurs d'infrastructure) et des questionnaires de sécurité.

À la résiliation de l'abonnement du Responsable du traitement, le Sous-traitant, au choix du Responsable du traitement, restituera ou supprimera toutes les données personnelles dans un délai de 30 jours, sauf si la conservation est requise par la loi applicable. Les données de sauvegarde seront purgées de la rotation dans les 35 jours suivant la suppression dans les systèmes principaux.

La responsabilité du Sous-traitant au titre du présent DPA est soumise aux limitations énoncées dans les Conditions d'utilisation. Rien dans le présent DPA ne limite la responsabilité de l'une ou l'autre des parties en cas de non-respect du RGPD britannique ou européen lorsque cette responsabilité ne peut être exclue par la loi.