隐私政策
Last updated: 2026-05-21
GiBSeS OÜ(「GiBSeS」「我们」)依据欧盟法规 2016/679(GDPR)、爱沙尼亚《个人数据保护法》(Isikuandmete kaitse seadus)及适用法律保护您的个人数据。本政策描述我们收集哪些数据、为什么收集、如何使用、保留多久,以及您可行使的权利。
1. 数据控制者
GiBSeS OÜ — 爱沙尼亚登记号 17231761,注册办公地址 Juhkentali tn 8, Kesklinna linnaosa, 10132 Tallinn, Estonia。电子邮件:info@gibses.com。电话:+372 537 05283。数据保护相关请求:legal@gibses.com。目前尚未根据 GDPR 第 37 条强制任命数据保护官(DPO);请求由公司的法定代表处理。
2. 处理的数据类别
身份和联系数据:姓名、电子邮件、账单地址,企业客户视情况包括公司名称和 VAT 号。 交易数据:订单历史、发票、支付元数据。注:完整卡片数据不经过我们的服务器,也不存储在其上 — 由 Stripe Payments Europe Ltd 直接处理。 使用数据:IP 地址、用户代理、浏览器语言、访问页面,通过尊重隐私的分析工具收集。 通讯数据:支持请求、邮件对话、营销偏好。 联盟数据(如适用):联盟码、佣金支付用 IBAN、税务文件(发票/收据)、活动和点击报告。
3. 目的和法律依据
履行合同(GDPR 第 6.1.b 条):账户管理、订单履行、开票、提供 SaaS 服务(RADAR、ECHO、MAIKE)、联盟计划管理、客户支持。 法律义务(第 6.1.c 条):保留会计和税务记录(爱沙尼亚《会计法》第 12 条规定 7 年)、防止欺诈、必要时进行 AML/KYC。 合法利益(第 6.1.f 条):系统安全和滥用监控、服务改进、争议处理、服务通讯。您可通过 legal@gibses.com 书面反对。 同意(第 6.1.a 条):新闻邮件和营销通讯、分析和非严格必要的 cookie。同意可随时撤回,不影响撤回前已进行处理的合法性。
4. 保留期限
账户数据:合同关系期间及取消后 30 天(备份恢复),随后匿名化。 发票和税务记录:财年结束后 7 年(爱沙尼亚《会计法》)。 联盟数据和佣金:关系期间及终止后 10 年(诉讼时效 + 税务目的)。 营销同意日志:直至撤回,然后出于举证目的保留 5 年。 服务器和安全日志:90 天。 分析数据:聚合并假名化;原始事件 30 天。 支持对话数据:工单关闭后 24 个月。
5. 接收方和处理者
为提供服务,我们使用以下处理者(GDPR 第 28 条),均受合同约束: • Stripe Payments Europe Ltd(爱尔兰)— 支付处理。 • Resend, Inc.(美国)— 交易邮件发送 — 基于欧盟标准合同条款转移。 • Contabo GmbH(德国)— 基础设施托管。 • 集团办公和协作提供商(例如 Google Workspace)如适用。 我们不向第三方出售或租赁您的个人数据。仅在合法命令下并在法律范围内向公共当局披露数据。
6. 欧盟以外的转移
部分处理者(如 Stripe、Resend)可能在欧洲经济区以外处理数据。此类转移遵守 GDPR 第 44-49 条,并由欧盟委员会通过的标准合同条款(决定 2021/914)、充分性决定或必要时的补充措施所涵盖。如需保障措施副本,请发邮件至 legal@gibses.com。
7. 数据主体的权利
您有权: a) 访问您的个人数据(第 15 条); b) 更正不准确的数据(第 16 条); c) 删除/被遗忘权(第 17 条); d) 限制处理(第 18 条); e) 可携权(第 20 条); f) 反对处理(第 21 条),包括直接营销; g) 随时撤回同意(第 7.3 条); h) 不受第 22 条所述自动化决定的约束; i) 向有管辖权的监管机构投诉:在爱沙尼亚为 Andmekaitse Inspektsioon(www.aki.ee),或向您所在的欧盟成员国居住地、工作地或所称侵权发生地的主管机构投诉。 如需行使权利,请发邮件至 legal@gibses.com。我们将在收到请求后 30 天内回复(对复杂请求可延长 60 天,并附理由通知)。
8. 自动化决定和画像
我们不使用对数据主体产生法律效果或对其有重大影响的自动化决策流程(GDPR 第 22 条)。我们为企业客户提供的 SaaS 工具(RADAR、ECHO、MAIKE)可能包含 AI 组件,但受服务合同和客户 DPA 约束,不属于本通知范围。
9. 安全
我们根据 GDPR 第 32 条采取适当的技术和组织措施,包括:TLS 1.3 加密传输、敏感数据静态加密、密码哈希(bcrypt,计划迁移到 argon2id)、基于角色的访问控制、关键操作(退款、许可撤销、账户删除)的审计日志、定期备份、环境隔离、变更的代码审查和安全审查、持续监控。没有系统是不可攻破的:如发生影响您权利的数据泄露,我们将根据 GDPR 第 33-34 条在 72 小时内通知您和当局。
10. 未成年人
我们的服务不针对 16 岁以下的未成年人,我们不会有意收集未成年人的个人数据。如果您认为我们在未获得监护人有效同意的情况下收集了未成年人的数据,请联系 legal@gibses.com 立即删除。
11. Cookie
有关 cookie 和类似技术使用的详细信息,请参阅我们的 Cookie 政策。对于非严格必要的 cookie,我们依据通过横幅收集的明示同意。
12. 本通知的变更
我们可能更新本隐私通知。最新版本始终在本页顶部以「最后更新」日期显示。重大变更将至少提前 15 天通过邮件通知活跃客户。先前版本已归档,可应请求提供。
13. 联系方式
如对本通知或您个人数据的处理有任何疑问:GiBSeS OÜ — Juhkentali tn 8, 10132 Tallinn, Estonia — legal@gibses.com — +372 537 05283。爱沙尼亚登记号:17231761。
最后修订:2026 年 5 月 21 日。GiBSeS OÜ — 登记号 17231761 — Juhkentali tn 8, 10132 Tallinn, Estonia。