Verwerkers
overeenkomst.

Deze DPA is van toepassing tussen jou ("Verwerkingsverantwoordelijke") — doorgaans een organisator van een evenement, organisatie of weddingplanner die Vowly Event gebruikt om gastgegevens te beheren — en CKR Technology Group Ltd ("Verwerker"). De Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens; de Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructies van de Verwerkingsverantwoordelijke.

De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke om de Vowly Event-dienst te leveren, met inbegrip van maar niet beperkt tot het aanmaken van evenementen, het verspreiden van uitnodigingen, het verzamelen van RSVP's, het beheren van gastenlijsten, de betalingsverwerking voor evenementen en platformanalyses.

• Categorieën betrokkenen: gasten van evenementen, introducés, leveranciers en medewerkers van de Verwerkingsverantwoordelijke
• Categorieën persoonsgegevens: namen, contactgegevens, dieetwensen, RSVP-antwoorden, foto's (indien geüpload door gasten)
• Duur: gedurende de looptijd van het abonnement van de Verwerkingsverantwoordelijke en elke schriftelijk overeengekomen bewaartermijn

In overeenstemming met artikel 28, lid 3, van de UK/EU GDPR verbindt de Verwerker zich tot de volgende verplichtingen met betrekking tot persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt.

• Persoonsgegevens uitsluitend verwerken op gedocumenteerde instructies van de Verwerkingsverantwoordelijke
• Ervoor zorgen dat alle personen die bevoegd zijn om persoonsgegevens te verwerken, gebonden zijn aan vertrouwelijkheid
• Passende technische en organisatorische maatregelen (TOM's) treffen — beschreven op onze Beveiligingspagina
• De Verwerkingsverantwoordelijke bijstaan bij verzoeken inzake de rechten van betrokkenen, DPIA's en voorafgaande raadplegingen met toezichthoudende autoriteiten
• De Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen van elke inbreuk in verband met persoonsgegevens die hun gegevens treft
• Alle informatie ter beschikking stellen die nodig is om de naleving van artikel 28 aan te tonen

De Verwerker maakt gebruik van een zorgvuldig samengestelde lijst van subverwerkers om de dienst te leveren. Door deze DPA te ondertekenen, verleen je algemene toestemming voor het gebruik van subverwerkers, onder voorbehoud van een voorafgaande kennisgeving van 30 dagen bij wijzigingen, die je het recht geeft bezwaar te maken.

• Google Ireland Limited — cloudinfrastructuur (EU/EER)
• Stripe Payments Europe Ltd — betalingsverwerking (Ierland)
• Resend Inc. — verzending van transactionele e-mails (SCC's waar van toepassing)
• Cloudflare Inc. — DDoS-bescherming en CDN (EU/VS met SCC's)
• Geactualiseerde lijst bijgehouden op vowly.co/subprocessors (gepland)

Wanneer persoonsgegevens buiten het VK of de EER worden doorgegeven, baseert de Verwerker zich op passende waarborgen zoals vereist door hoofdstuk V van de UK/EU GDPR. De primaire mechanismen zijn de EU-modelcontractbepalingen (SCC's) en het UK International Data Transfer Addendum (IDTA), aangevuld met aanvullende technische en organisatorische maatregelen waar nodig.

De Verwerker zal, na een redelijke schriftelijke kennisgeving, audits toestaan en eraan bijdragen die worden uitgevoerd door de Verwerkingsverantwoordelijke of een aangewezen externe auditor (onder voorbehoud van geheimhoudingsverplichtingen). Om verstoring tot een minimum te beperken, biedt de Verwerker eerst auditrapporten aan die de industriestandaard vormen (bijv. SOC 2 Type II-rapporten van infrastructuuraanbieders) en beveiligingsvragenlijsten.

Bij beëindiging van het abonnement van de Verwerkingsverantwoordelijke zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens binnen 30 dagen teruggeven of verwijderen, tenzij bewaring wettelijk vereist is. Back-upgegevens worden binnen 35 dagen na verwijdering uit de primaire systemen uit de rotatie verwijderd.

De aansprakelijkheid van de Verwerker onder deze DPA is onderworpen aan de beperkingen die in de servicevoorwaarden zijn vastgelegd. Niets in deze DPA beperkt de aansprakelijkheid van een van beide partijen voor het niet naleven van de UK GDPR of de EU GDPR, waar dergelijke aansprakelijkheid niet wettelijk kan worden uitgesloten.