Załącznik dotyczący
przetwarzania danych.

Niniejszy DPA obowiązuje między Tobą („Administratorem”) — zazwyczaj gospodarzem wydarzenia, organizacją lub organizatorem ślubów korzystającym z Vowly Event do zarządzania danymi gości — a CKR Technology Group Ltd („Podmiotem przetwarzającym”). Administrator określa cele i sposoby przetwarzania danych osobowych; Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora.

Podmiot przetwarzający będzie przetwarzał dane osobowe w imieniu Administratora w celu świadczenia usługi Vowly Event, w tym między innymi tworzenia wydarzeń, dystrybucji zaproszeń, zbierania RSVP, zarządzania listą gości, przetwarzania płatności za wydarzenia oraz analiz platformy.

• Kategorie osób, których dane dotyczą: goście wydarzeń, osoby towarzyszące, dostawcy i personel Administratora
• Kategorie danych osobowych: imiona i nazwiska, dane kontaktowe, wymagania dietetyczne, odpowiedzi RSVP, zdjęcia (gdy przesłane przez gości)
• Czas trwania: przez okres trwania subskrypcji Administratora oraz wszelki okres przechowywania danych uzgodniony na piśmie

Zgodnie z art. 28 ust. 3 UK/UE RODO Podmiot przetwarzający zobowiązuje się do następujących obowiązków dotyczących danych osobowych przetwarzanych w imieniu Administratora.

• Przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie Administratora
• Zapewnienie, że cały personel upoważniony do przetwarzania danych osobowych jest zobowiązany do zachowania poufności
• Wdrożenie odpowiednich środków technicznych i organizacyjnych (TOM) — szczegółowo opisanych na naszej stronie Bezpieczeństwo
• Wspieranie Administratora w realizacji wniosków o prawa osób, których dane dotyczą, DPIA oraz uprzednich konsultacjach z organami nadzorczymi
• Powiadamianie Administratora bez zbędnej zwłoki o jakimkolwiek naruszeniu ochrony danych osobowych dotyczącym jego danych
• Udostępnianie wszelkich informacji niezbędnych do wykazania zgodności z art. 28

Podmiot przetwarzający korzysta z wyselekcjonowanej listy podmiotów podprzetwarzających w celu świadczenia usługi. Podpisując niniejszy DPA, udzielasz ogólnego upoważnienia na korzystanie z podmiotów podprzetwarzających, z zastrzeżeniem 30-dniowego uprzedniego powiadomienia o wszelkich zmianach, dającego Ci prawo sprzeciwu.

• Google Ireland Limited — infrastruktura chmurowa (UE/EOG)
• Stripe Payments Europe Ltd — przetwarzanie płatności (Irlandia)
• Resend Inc. — dostarczanie wiadomości transakcyjnych (SCC, gdzie ma to zastosowanie)
• Cloudflare Inc. — ochrona przed DDoS i CDN (UE/USA z SCC)
• Aktualna lista prowadzona pod adresem vowly.co/subprocessors (planowane)

W przypadku przekazywania danych osobowych poza UK lub EOG Podmiot przetwarzający opiera się na odpowiednich zabezpieczeniach wymaganych przez rozdział V UK/UE RODO. Głównymi mechanizmami są standardowe klauzule umowne (SCC) UE oraz brytyjski International Data Transfer Addendum (IDTA), uzupełnione dodatkowymi środkami technicznymi i organizacyjnymi tam, gdzie jest to konieczne.

Podmiot przetwarzający, po otrzymaniu rozsądnego pisemnego powiadomienia, umożliwi i będzie współuczestniczył w audytach przeprowadzanych przez Administratora lub upoważnionego audytora zewnętrznego (z zastrzeżeniem zobowiązań do zachowania poufności). Aby zminimalizować zakłócenia, Podmiot przetwarzający zaoferuje w pierwszej kolejności standardowe branżowe raporty audytowe (np. raporty SOC 2 Type II od dostawców infrastruktury) oraz kwestionariusze bezpieczeństwa.

Po rozwiązaniu subskrypcji Administratora Podmiot przetwarzający, według wyboru Administratora, zwróci lub usunie wszystkie dane osobowe w ciągu 30 dni, chyba że przechowywanie jest wymagane przez obowiązujące prawo. Dane z kopii zapasowych zostaną usunięte z rotacji w ciągu 35 dni od usunięcia w systemach głównych.

Odpowiedzialność Podmiotu przetwarzającego na mocy niniejszego DPA podlega ograniczeniom określonym w Warunkach korzystania z usługi. Żadne postanowienie niniejszego DPA nie ogranicza odpowiedzialności żadnej ze stron za niedopełnienie obowiązków wynikających z UK GDPR lub RODO UE, w przypadku gdy takiej odpowiedzialności nie można wyłączyć na mocy prawa.