Veri işleme
ek protokolü.

Bu DPA, sizin ("Veri Sorumlusu") — tipik olarak Vowly Event'i davetli verilerini yönetmek için kullanan bir etkinlik ev sahibi, kuruluş veya düğün organizatörü — ile CKR Technology Group Ltd ("İşleyici") arasında geçerlidir. Veri Sorumlusu, kişisel verilerin işlenmesinin amaçlarını ve yöntemlerini belirler; İşleyici, kişisel verileri yalnızca Veri Sorumlusunun belgelenmiş talimatları doğrultusunda işler.

İşleyici, Veri Sorumlusu adına Vowly Event hizmetini sağlamak amacıyla kişisel verileri işleyecektir; bu, etkinlik oluşturma, davetiye dağıtımı, RSVP toplama, davetli listesi yönetimi, etkinlikler için ödeme işleme ve platform analizlerini içerir ancak bunlarla sınırlı değildir.

• Veri sahipleri kategorileri: etkinlik davetlileri, eş davetliler, satıcılar ve Veri Sorumlusu personeli
• Kişisel veri kategorileri: adlar, iletişim bilgileri, diyet gereksinimleri, RSVP yanıtları, fotoğraflar (davetliler tarafından yüklendiğinde)
• Süre: Veri Sorumlusunun aboneliğinin ömrü boyunca ve yazılı olarak kararlaştırılan herhangi bir veri saklama süresi

UK/AB GDPR'nin 28(3) Maddesi uyarınca, İşleyici Veri Sorumlusu adına işlenen kişisel verilerle ilgili aşağıdaki yükümlülüklere uymayı taahhüt eder.

• Kişisel verileri yalnızca Veri Sorumlusunun belgelenmiş talimatları doğrultusunda işlemek
• Kişisel verileri işlemeye yetkili tüm personelin gizlilikle bağlı olmasını sağlamak
• Uygun teknik ve organizasyonel önlemleri (TOM'lar) uygulamak — Güvenlik sayfamızda ayrıntılı olarak açıklanmıştır
• Veri sahibi hak talepleri, DPIA'lar ve denetleyici otoritelerle ön istişareler konusunda Veri Sorumlusuna yardımcı olmak
• Verilerini etkileyen herhangi bir kişisel veri ihlali konusunda Veri Sorumlusunu gereksiz gecikme olmaksızın bilgilendirmek
• Madde 28 ile uyumluluğu kanıtlamak için gerekli tüm bilgileri sunmak

İşleyici hizmeti sunmak için özenle seçilmiş bir alt işleyici listesi kullanır. Bu DPA'yı imzalayarak, alt işleyicilerin kullanımı için, itiraz hakkı veren herhangi bir değişikliğin 30 gün öncesinden bildirimine tabi olarak, genel yetki vermiş olursunuz.

• Google Ireland Limited — bulut altyapısı (AB/AEA)
• Stripe Payments Europe Ltd — ödeme işleme (İrlanda)
• Resend Inc. — işlemsel e-posta teslimatı (uygun olduğunda SCC'lerle)
• Cloudflare Inc. — DDoS koruması ve CDN (SCC'ler ile AB/ABD)
• Güncellenmiş liste vowly.co/subprocessors adresinde tutulur (planlanmaktadır)

Kişisel verilerin Birleşik Krallık veya AEA dışına aktarıldığı durumlarda, İşleyici UK/AB GDPR'nin V. Bölümünün gerektirdiği uygun güvencelere dayanır. Birincil mekanizmalar, gerektiğinde ek teknik ve organizasyonel önlemlerle desteklenen AB Standart Sözleşme Maddeleri (SCC'ler) ve UK Uluslararası Veri Aktarım Ek Protokolüdür (IDTA).

İşleyici, makul yazılı bildirim üzerine, Veri Sorumlusu veya yetkilendirilmiş bir üçüncü taraf denetçi (gizlilik taahhütlerine tabi olarak) tarafından yürütülen denetimlere izin verecek ve bunlara katkıda bulunacaktır. Aksaklığı en aza indirmek için, İşleyici öncelikle endüstri standardı denetim raporlarını (örneğin, altyapı sağlayıcılarından SOC 2 Type II raporları) ve güvenlik anketlerini sunacaktır.

Veri Sorumlusunun aboneliğinin sona ermesi üzerine, İşleyici, geçerli yasalar tarafından saklama gerekli olmadıkça, Veri Sorumlusunun tercihine göre tüm kişisel verileri 30 gün içinde iade edecek veya silecektir. Yedek veriler, birincil sistemlerde silinmeden sonraki 35 gün içinde rotasyondan temizlenecektir.

İşleyicinin bu DPA kapsamındaki sorumluluğu, Kullanım Şartlarında belirtilen sınırlamalara tabidir. Bu DPA'daki hiçbir hüküm, bu tür sorumluluğun yasa tarafından hariç tutulamadığı durumlarda, hiçbir tarafın UK GDPR veya AB GDPR ile uyumsuzluk için sorumluluğunu sınırlamaz.