Adenda de tratamento
de dados.

Esta DPA aplica-se entre o senhor ("Responsável pelo tratamento") — normalmente um anfitrião de evento, organização ou wedding planner que utiliza o Vowly Event para gerir dados de convidados — e a CKR Technology Group Ltd ("Subcontratante"). O Responsável pelo tratamento determina as finalidades e os meios do tratamento de dados pessoais; o Subcontratante trata os dados pessoais apenas com base em instruções documentadas do Responsável pelo tratamento.

O Subcontratante tratará os dados pessoais em nome do Responsável pelo tratamento para prestar o serviço Vowly Event, incluindo, entre outros, a criação de eventos, a distribuição de convites, a recolha de RSVP, a gestão da lista de convidados, o processamento de pagamentos de eventos e a análise da plataforma.

• Categorias de titulares de dados: convidados de eventos, acompanhantes, fornecedores e pessoal do Responsável pelo tratamento
• Categorias de dados pessoais: nomes, dados de contacto, requisitos alimentares, respostas de RSVP, fotografias (quando carregadas pelos convidados)
• Duração: durante a vigência da subscrição do Responsável pelo tratamento e qualquer período de conservação de dados acordado por escrito

Em conformidade com o Artigo 28.º(3) do RGPD do Reino Unido/UE, o Subcontratante compromete-se com as seguintes obrigações relativamente aos dados pessoais tratados em nome do Responsável pelo tratamento.

• Tratar os dados pessoais apenas com base em instruções documentadas do Responsável pelo tratamento
• Garantir que todo o pessoal autorizado a tratar dados pessoais está vinculado por um dever de confidencialidade
• Implementar medidas técnicas e organizativas adequadas (MTO) — detalhadas na nossa página de Segurança
• Auxiliar o Responsável pelo tratamento nos pedidos de exercício de direitos dos titulares, nas AIPD e nas consultas prévias às autoridades de controlo
• Notificar o Responsável pelo tratamento, sem demora injustificada, de qualquer violação de dados pessoais que afete os seus dados
• Disponibilizar todas as informações necessárias para demonstrar a conformidade com o Artigo 28.º

O Subcontratante recorre a uma lista criteriosa de subcontratantes ulteriores para prestar o serviço. Ao assinar esta DPA, concede uma autorização geral para a utilização de subcontratantes ulteriores, sujeita a um aviso prévio de 30 dias sobre quaisquer alterações, que lhe confere o direito de oposição.

• Google Ireland Limited — infraestrutura de nuvem (UE/EEE)
• Stripe Payments Europe Ltd — processamento de pagamentos (Irlanda)
• Resend Inc. — entrega de e-mails transacionais (CCT, quando aplicável)
• Cloudflare Inc. — proteção contra DDoS e CDN (UE/EUA com CCT)
• Lista atualizada mantida em vowly.co/subprocessors (planeado)

Sempre que dados pessoais sejam transferidos para fora do Reino Unido ou do EEE, o Subcontratante recorre a salvaguardas adequadas, conforme exigido pelo Capítulo V do RGPD do Reino Unido/UE. Os principais mecanismos são as Cláusulas Contratuais-Tipo (CCT) da UE e a Adenda de Transferência Internacional de Dados (IDTA) do Reino Unido, complementadas por medidas técnicas e organizativas adicionais sempre que necessário.

O Subcontratante permitirá e contribuirá, mediante aviso prévio razoável por escrito, para auditorias realizadas pelo Responsável pelo tratamento ou por um auditor terceiro mandatado (sujeito a compromissos de confidencialidade). Para minimizar a perturbação, o Subcontratante oferecerá primeiro relatórios de auditoria de referência do setor (por exemplo, relatórios SOC 2 Type II dos fornecedores de infraestrutura) e questionários de segurança.

Após a cessação da subscrição do Responsável pelo tratamento, o Subcontratante, à escolha do Responsável pelo tratamento, devolverá ou eliminará todos os dados pessoais no prazo de 30 dias, salvo se a conservação for exigida pela lei aplicável. Os dados de cópia de segurança serão expurgados da rotação no prazo de 35 dias após a eliminação nos sistemas principais.

A responsabilidade do Subcontratante ao abrigo desta DPA está sujeita às limitações estabelecidas nos Termos de Serviço. Nada nesta DPA limita a responsabilidade de qualquer das partes por incumprimento do RGPD do Reino Unido ou do RGPD da UE, sempre que tal responsabilidade não possa ser excluída por lei.