Addendum sul trattamento
dei dati.

Il presente DPA si applica tra Lei ("Titolare del trattamento") — tipicamente un organizzatore di eventi, un'organizzazione o un wedding planner che utilizza Vowly Event per gestire i dati degli ospiti — e CKR Technology Group Ltd ("Responsabile del trattamento"). Il Titolare determina le finalità e i mezzi del trattamento dei dati personali; il Responsabile tratta i dati personali esclusivamente sulla base di istruzioni documentate del Titolare.

Il Responsabile tratterà i dati personali per conto del Titolare al fine di fornire il servizio Vowly Event, includendo a titolo esemplificativo creazione di eventi, distribuzione di inviti, raccolta di RSVP, gestione delle liste ospiti, elaborazione di pagamenti per gli eventi e analytics della piattaforma.

• Categorie di interessati: ospiti dell'evento, accompagnatori, fornitori e personale del Titolare
• Categorie di dati personali: nomi, dati di contatto, requisiti alimentari, risposte RSVP, fotografie (ove caricate dagli ospiti)
• Durata: per tutta la durata dell'abbonamento del Titolare e per qualsiasi periodo di conservazione concordato per iscritto

In conformità con l'articolo 28(3) del UK/EU GDPR, il Responsabile si impegna ai seguenti obblighi in relazione ai dati personali trattati per conto del Titolare.

• Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare
• Assicurarsi che tutto il personale autorizzato al trattamento dei dati personali sia vincolato da obblighi di riservatezza
• Implementare misure tecniche e organizzative adeguate (TOM) — descritte in dettaglio nella nostra pagina Sicurezza
• Assistere il Titolare nelle richieste relative ai diritti degli interessati, nelle DPIA e nelle consultazioni preventive con le autorità di controllo
• Notificare al Titolare senza ingiustificato ritardo qualsiasi violazione dei dati personali che lo riguardi
• Mettere a disposizione tutte le informazioni necessarie a dimostrare la conformità all'articolo 28

Il Responsabile utilizza un elenco curato di sub-responsabili per fornire il servizio. Firmando il presente DPA, concede un'autorizzazione generale all'utilizzo di sub-responsabili, fatto salvo un preavviso di 30 giorni per eventuali modifiche, con conseguente diritto di obiezione.

• Google Ireland Limited — infrastruttura cloud (UE/SEE)
• Stripe Payments Europe Ltd — elaborazione pagamenti (Irlanda)
• Resend Inc. — email transazionali (SCC ove applicabili)
• Cloudflare Inc. — protezione DDoS e CDN (UE/USA con SCC)
• Elenco aggiornato disponibile su vowly.co/subprocessors (in programma)

Qualora i dati personali siano trasferiti al di fuori del Regno Unito o del SEE, il Responsabile si basa sulle garanzie adeguate previste dal Capo V del UK/EU GDPR. I meccanismi principali sono le Clausole Contrattuali Standard (SCC) UE e il UK International Data Transfer Addendum (IDTA), integrati da ulteriori misure tecniche e organizzative ove necessario.

Il Responsabile consentirà e contribuirà, previo ragionevole preavviso scritto, agli audit condotti dal Titolare o da un auditor terzo da esso incaricato (soggetto a obblighi di riservatezza). Per ridurre al minimo le interruzioni, il Responsabile offrirà in prima istanza report di audit standard del settore (ad esempio, report SOC 2 Type II dei fornitori di infrastruttura) e questionari di sicurezza.

Al termine dell'abbonamento del Titolare, il Responsabile, a scelta del Titolare, restituirà o eliminerà tutti i dati personali entro 30 giorni, salvo quando la conservazione sia richiesta dalla legge applicabile. I dati di backup saranno rimossi dalla rotazione entro 35 giorni dalla cancellazione dai sistemi primari.

La responsabilità del Responsabile ai sensi del presente DPA è soggetta alle limitazioni previste nei Termini di servizio. Nulla nel presente DPA limita la responsabilità di una delle parti per inadempimenti del UK GDPR o del GDPR UE, qualora tale responsabilità non possa essere esclusa per legge.