v2026.02.28 本データ処理補遺(以下「DPA」)は、Giftpack, Inc.(以下「Giftpack」)と、Giftpack に個人データを提出し、または Giftpack サービスを利用する顧客、ユーザー、パートナーまたは組織(以下「顧客」)との契約の一部を構成します。本 DPA は、Giftpack が適用されるデータ保護法の下で処理者、サービスプロバイダー、請負業者または類似の立場として顧客に代わり個人データを処理する場合に適用されます。本 DPA は、注文書への署名、サービス規約の承諾、プラットフォーム上でのクリック承諾、受取人データの提出、キャンペーンの承認、または顧客に代わる個人データ処理を伴うサービスの利用により承諾されます。別途署名されたデータ処理契約は、抵触する範囲で本オンライン DPA に優先します。
「データ保護法」とは、顧客個人データの処理に適用されるプライバシー、データ保護およびセキュリティ法令をいい、GDPR、UK GDPR、スイス連邦データ保護法、CCPA/CPRA その他の適用法令を含む場合があります。「顧客個人データ」とは、顧客が Giftpack に提供し、または顧客に代わる処理のため Giftpack に利用可能にする個人データ、個人情報または類似の規制対象データをいいます。「GDPR」は Regulation (EU) 2016/679 をいい、「CCPA」は California Privacy Rights Act および施行規則により改正された California Consumer Privacy Act をいいます。管理者、処理者、事業者、サービスプロバイダー、請負業者、個人データ、個人情報、処理およびデータ主体等の用語は、適用されるデータ保護法上の意味を有します。
顧客管理キャンペーン、受取人ワークフロー、注文履行、プラットフォーム管理、レポートおよび関連サービスに関連して処理される顧客個人データについて、顧客は管理者または事業者であり、Giftpack は処理者、サービスプロバイダー、請負業者または類似の立場で行動します。Giftpack は、プライバシーポリシーに記載されるとおり、アカウント管理、セキュリティ、不正防止、分析、法令遵守、サービス改善、請求および内部運営のため、一部データを独立した管理者または事業者として処理することがあります。
Giftpack は、本 DPA、サービス規約、適用される注文書、キャンペーン注文、プラットフォーム設定、サービスを通じて提出された顧客指示、および当事者が合意したその他の書面指示を含む、顧客の文書化された指示に従ってのみ顧客個人データを処理します。ただし法令により要求される場合を除きます。Giftpack は、指示がデータ保護法に違反すると考える場合、法令で禁止される場合を除き顧客に通知します。
処理の対象、期間、性質、目的、個人データのカテゴリおよびデータ主体のカテゴリは別紙 A に記載されます。顧客は、顧客の指示が適法であり、Giftpack が顧客個人データを処理するために必要な通知、権利、許可、同意および法的根拠を提供または取得していることについて責任を負います。
Giftpack は、顧客個人データを処理する権限を与えられた担当者が秘密保持義務または職業上の秘密保持義務に服し、データ取扱いに関する適切な指示を受けるよう確保します。
Giftpack は、顧客個人データを不正または違法な処理、ならびに偶発的な滅失、破壊、損傷、開示またはアクセスから保護するために設計された適切な技術的および組織的措置を実施し維持します。現在の措置は別紙 B および Giftpack のセキュリティページに記載されます。Giftpack は、全体的な保護を実質的に低下させない限り、当該措置を随時更新できます。
顧客は、Giftpack がサービスの提供およびサポートのため復処理者を利用することを承認します。Giftpack は、復処理者のサービスに適用される範囲で、本 DPA と実質的に同等の書面によるデータ保護義務を課します。Giftpack は、データ保護法により要求される範囲で復処理者の処理について責任を負います。復処理者情報は、請求に応じて、または信頼、セキュリティもしくはプライバシーのチャネルを通じて提供されます。通知が行われる場合、顧客は合理的期間内に合理的なデータ保護上の理由に基づき新たな復処理者に異議を述べることができます。
Giftpack は、顧客に代わり処理される顧客個人データについて、偶発的または違法な破壊、滅失、変更、不正開示またはアクセスを生じさせる確認済みセキュリティインシデントを認識した後、不当な遅滞なく顧客に通知します。Giftpack は、顧客の漏えい通知義務を支援するため合理的に入手可能な情報を提供します。通知は過失または責任の承認ではありません。
処理の性質を考慮し、Giftpack は、実行可能な場合、適切な技術的および組織的措置を通じて、適用されるデータ保護法上のデータ主体、消費者またはプライバシー権請求に顧客が対応できるよう合理的に支援します。Giftpack が顧客個人データに関する個人からの請求を直接受けた場合、法的に別途対応が要求される場合を除き、当該個人を顧客に案内することがあります。
Giftpack は、データ保護法により要求され、かつ要求された支援が Giftpack による顧客個人データの処理に関連する場合、データ保護影響評価、事前協議、サイバーセキュリティ評価その他の遵守義務について顧客を合理的に支援します。適用法令で禁止される場合または別途合意される場合を除き、Giftpack は標準サポートを超える支援について合理的な料金を請求できます。
サービス終了時または顧客の書面請求時、Giftpack は契約、プラットフォーム機能および適用法令に従って顧客個人データを削除または返却します。Giftpack は、法令上必要な場合、または正当な業務記録、不正防止、セキュリティ、紛争解決、税務、会計、遵守もしくはバックアップ目的のため顧客個人データを保持できます。ただし保持データは削除まで本 DPA により保護されます。
Giftpack は、本 DPA の遵守を示すため合理的に必要な情報を提供します。データ保護法により要求される場合、顧客は Giftpack の関連統制の監査または評価を求めることができます。監査は範囲、頻度、時期および秘密保持において合理的でなければならず、SOC 2 報告書、セキュリティ質問票、認証、要約その他の適切な文書により充足される場合があります。オンサイト監査には、事前の書面通知、合理的な範囲、ならびに Giftpack のセキュリティおよび秘密保持上の承認が必要です。
顧客は、Giftpack およびその復処理者が米国その他 Giftpack または復処理者が事業を行う法域で顧客個人データを処理することを承認します。欧州経済領域、英国またはスイスから十分性のない国へ顧客個人データが移転される場合、当事者は標準契約条項、英国補遺その他の適法な移転メカニズムを含む適切な移転措置を用います。必要な場合、適用される SCC は参照により組み込まれ、事実関係が異なる構成を要求しない限り、Giftpack がデータ輸入者、顧客がデータ輸出者となります。
CCPA が適用される場合、Giftpack は別紙 A に記載される事業目的のため、サービスプロバイダーまたは請負業者として顧客個人データを処理します。Giftpack は、顧客個人データを販売または共有せず、契約で指定された事業目的または CCPA で許可される目的以外で保持、使用または開示せず、CCPA で許可される場合を除き顧客との直接の事業関係外で保持、使用または開示せず、CCPA で許可される場合を除き他の情報源から受領した個人情報と結合しません。Giftpack は適用される義務を遵守し、履行不能と判断した場合は顧客に通知します。
Giftpack は、顧客または個人を識別せず、適用法令に従って取り扱われる限り、分析、ベンチマーク、製品改善、サービス信頼性および業務運営のため、非識別化、集計または匿名化されたデータを処理できます。
本 DPA と契約が抵触する場合、顧客個人データの処理については本 DPA が優先します。SCC が必要で本 DPA と抵触する場合、法令上必要な範囲で SCC が優先します。
| 項目 | 詳細 |
|---|---|
| 対象 | Giftpack によるプラットフォーム、ギフト、リワード、調達、キャンペーン管理、受取人エンゲージメント、履行調整、寄付/インパクト配分、レポート、サポートおよび関連サービスの提供。 |
| 期間 | 契約期間中、および保持、削除、法令遵守、紛争解決、バックアップのため別途必要な期間。 |
| 性質および目的 | サービス提供のため、顧客個人データをホスト、保存、整理、送信、表示、分析、保護、支援、履行、配送、連絡、報告、トラブルシュートその他処理すること。 |
| データ主体 | 顧客管理者、承認ユーザー、従業員、受取人、エンドユーザー、購入者、寄付者、サプライヤー連絡先、受益者連絡先、および Giftpack にデータが提出されるその他の個人。 |
| 個人データカテゴリ | 氏名、業務連絡先、提供された個人連絡先、配送先、メール、電話、会社、役職、認証情報、キャンペーン情報、ギフト嗜好、メッセージ、引換活動、注文詳細、決済メタデータ、配送状況、サポート通信、デバイス/ログデータ、その他サービス経由で提出されるデータ。 |
| センシティブデータ | Giftpack は、明示的にサポートされ書面承認されない限り、センシティブ個人データの提出を要求しません。顧客は、契約および適用法令で許可されない限り、センシティブデータを提出してはなりません。 |
| 顧客の義務 | 顧客は、法的根拠、通知、許可、データ正確性、キャンペーン適格性および指示について責任を負います。 |
Giftpack は、クラウドインフラ統制、転送中および保存時の暗号化、ロールベースアクセス制御、最小権限の実務、内部秘密保持義務、セキュリティ意識向上、ログ記録および監視、脆弱性スキャンおよび定期テスト、インシデント対応プロセス、バックアップおよび災害復旧、変更管理、ベンダーおよび復処理者レビュー、ならびにサービスの性質に応じた物理的、管理的および技術的保護措置を含む、顧客個人データを保護するための措置を維持します。Giftpack の公開セキュリティページは概要を提供し、随時更新される場合があります。