v2026.02.28 本資料處理附錄(“DPA”)構成 Giftpack, Inc.(“Giftpack”)與向 Giftpack 提交個人資料或使用 Giftpack 服務的客戶、使用者、合作夥伴或組織(“客戶”)之間協議的一部分。當 Giftpack 依適用資料保護法律,作為處理者、服務提供者、承包商或類似角色代表客戶處理個人資料時,本 DPA 適用。客戶可透過簽署訂單、接受服務條款、在平台中點擊接受、提交收件人資料、核准活動或使用涉及代表客戶處理個人資料的服務來接受本 DPA。單獨簽署的資料處理協議將在衝突範圍內取代本線上 DPA。
“資料保護法律”指适用于處理客戶個人資料的隱私、資料保護和安全法律,可能包括 GDPR、UK GDPR、瑞士联邦資料保護法、CCPA/CPRA 及其他适用法律。“客戶個人資料”指客戶提供给 Giftpack 或供 Giftpack 代表客戶處理的個人資料、個人信息或类似受监管資料。“GDPR”指欧盟條例 2016/679;“CCPA”指经 California Privacy Rights Act 及实施规则修訂的 California Consumer Privacy Act。控制者、處理者、企业、服務提供商、承包商、個人資料、個人信息、處理和資料主体等術语具有适用資料保護法律赋予的含義。
对于与客戶管理的活动、收件人流程、訂单履约、平台管理、报告及相关服務有关的客戶個人資料,客戶为控制者或企业,Giftpack 为處理者、服務提供商、承包商或类似角色。Giftpack 可按隱私政策所述,为账戶管理、安全、欺诈预防、分析、法律合规、服務改进、账单和内部运营,作为独立控制者或企业處理某些資料。
Giftpack 仅根料客戶的书面化指示處理客戶個人資料,包括本 DPA、服務條款、适用訂单、活动訂单、平台配置、客戶通过服務提交的指示及双方同意的其他书面指示,除非法律另有要求。如 Giftpack 认为某项指示违反資料保護法律,将通知客戶,法律禁止的除外。
處理的主题、期限、性质、目的、個人資料类别和資料主体类别载于附錄 A。客戶负责确保其指示合法,并已提供所需通知且取得 Giftpack 處理客戶個人資料所需的權利、许可、同意和法律依料。
Giftpack 将确保获授權處理客戶個人資料的人员受保密義務或专业保密职责约束,并获得有关資料處理的适当指示。
Giftpack 将实施并维護适当的技術和組織措施,以保護客戶個人資料免受未经授權或非法處理以及意外丢失、毁坏、损坏、披露或访问。当前安全措施载于附錄 B 及 Giftpack 安全页面。Giftpack 可不时更新安全措施,但更新不得实质性降低客戶個人資料的整体保護水平。
客戶授權 Giftpack 使用子處理者提供和支持服務。Giftpack 将对子處理者施加书面資料保護義務,该等義務在适用于其服務的范围内与本 DPA 基本相似。Giftpack 在資料保護法律要求的范围内仍对子處理者的處理负责。Giftpack 将应请求或通过信任、安全或隱私渠道提供子處理者信息。客戶可在收到通知后的合理期限内,基于合理的資料保護理由反对新的子處理者。
Giftpack 在知悉确认的安全事件后,将无不当延迟地通知客戶;该事件须导致代表客戶處理的客戶個人資料发生意外或非法毁坏、丢失、变更、未经授權披露或访问。Giftpack 将提供其合理可得的信息,以协助客戶履行违规通知義務。通知不构成过错或责任承认。
考虑處理性质,Giftpack 将在可行时通过适当技術和組織措施向客戶提供合理协助,以帮助客戶回应适用資料保護法律下的資料主体、消费者或隱私權请求。如 Giftpack 直接收到個人关于客戶個人資料的请求,除非法律要求另行回应,Giftpack 可将该個人转介给客戶。
在資料保護法律要求且请求的协助涉及 Giftpack 对客戶個人資料的處理时,Giftpack 将就資料保護影响评估、事先咨询、网络安全评估及其他合规義務向客戶提供合理协助。除非适用法律禁止或另有约定,Giftpack 可对超出標准支持的协助收取合理费用。
服務终止或客戶书面请求后,Giftpack 将根料协议、平台功能和适用法律删除或返还客戶個人資料。Giftpack 可为法律要求、合法商业记錄、欺诈预防、安全、争议解决、税務、会计、合规或备份目的保留客戶個人資料,但保留資料在删除前仍受本 DPA 保護。
Giftpack 将提供合理必要的信息以证明遵守本 DPA。在資料保護法律要求时,客戶可请求审计或评估 Giftpack 相关控制。审计的范围、频率、时间和保密性必须合理,并可通过 SOC 2 报告、安全问卷、认证、摘要或其他适当文件满足。现场审计须提前书面通知、范围合理,并经 Giftpack 安全和保密批准。
客戶授權 Giftpack 及其子處理者在美國及 Giftpack 或子處理者运营所在的其他司法管辖区處理客戶個人資料。当客戶個人資料从欧洲经济区、英國或瑞士傳輸至未提供充分保護水平的國家时,双方将使用适当傳輸机制,包括標准合同條款、英國附錄或其他适用的合法傳輸机制。必要时,适用 SCC 以引用方式并入,Giftpack 为資料进口方,客戶为資料出口方,除非事实需要不同配置。
在 CCPA 适用时,Giftpack 将作为服務提供商或承包商,为附錄 A 所述商业目的處理客戶個人資料。Giftpack 不会出售或共享客戶個人資料,不会为协议规定或 CCPA 另行允许以外的目的保留、使用或披露客戶個人資料,不会在与客戶的直接商业关系之外保留、使用或披露客戶個人資料,除非 CCPA 允许,也不会将客戶個人資料与来自其他来源的個人信息结合,除非 CCPA 允许。Giftpack 将遵守适用于服務提供商和承包商的 CCPA 義務,并在确定无法继续履行该等義務时通知客戶。
Giftpack 可为分析、基准比较、产品改进、服務可靠性和商业运营處理去標識化、彙總或匿名化資料,但该等資料不得識别客戶或任何個人,并须按适用法律處理。
如本 DPA 与协议冲突,就客戶個人資料處理而言,以本 DPA 为准。如需要 SCC 且 SCC 与本 DPA 冲突,则在法律要求范围内以 SCC 为准。
| 字段 | 详情 |
|---|---|
| 主题 | Giftpack 提供平台、礼赠、奖励、寻源、活动管理、收件人互动、履约协调、捐赠/影响力分配、报告、支持及相关服務。 |
| 期限 | 协议期限内,以及为保留、删除、法律合规、争议解决和备份另行需要的期间。 |
| 性质和目的 | 托管、存储、組織、傳輸、显示、分析、保護、支持、履行、配送、沟通、报告、排错及以其他方式處理客戶個人資料以提供服務。 |
| 資料主体 | 客戶管理员、授權用戶、员工、收件人、最终用戶、购买者、捐赠者、供应商联系人、受益人联系人及其資料提交给 Giftpack 的其他個人。 |
| 個人資料类别 | 姓名、商務联系方式、提供时的個人联系方式、配送地址、电子邮件、电话、公司、职位、账戶凭料、活动信息、礼品偏好、消息、兑换活动、訂单详情、支付元資料、配送状态、支持通信、设备/日志資料及通过服務提交的其他資料。 |
| 敏感資料 | Giftpack 不要求客戶提交敏感個人資料,除非明确支持并经书面批准。客戶不得提交敏感資料,除非协议和适用法律授權。 |
| 客戶義務 | 客戶负责法律依料、通知、许可、資料准确性、活动资格和指示。 |
Giftpack 维護旨在保護客戶個人資料的措施,包括云基础设施控制、傳輸中和静态加密、基于角色的访问控制、最小權限实践、内部保密義務、安全意識、日志和监控、漏洞扫描和定期测试、事件响应流程、备份和灾难恢复实践、变更管理、供应商和子處理者审查,以及适合服務性质的物理、行政和技術保障措施。Giftpack 公开安全页面提供高层概览,并可不时更新。