Smlouva o zpracování dat (DPA)

Poslední aktualizace: 29. května 2026

1. Smluvní strany

Tato smlouva o zpracování dat (\"DPA\") je uzavřena mezi:

  • Costplus OÜ, společností registrovanou v Estonsku se sídlem na adrese Pärnu mnt 139b, 11317 Tallinn, Estonsko, registrační číslo společnosti 16936614 (\"Zpracovatel\", \"my\", \"nás\", nebo \"Cost+\"); a
  • obchodníkem, který nainstaloval aplikaci Cost+ Checkout pro Shopify nebo jiným způsobem integroval službu Cost+ Checkout, a to přijetím našich Podmínek služby na adrese https://costplus.io/shopify-app-terms.html (\"Správce\", \"Obchodník\", nebo \"vy\"),

každý označován jako \"Strana\" a společně jako \"Strany\".

Tato DPA tvoří součást Podmínek služby mezi Stranami a podléhá jim. V případě jakéhokoli rozporu mezi touto DPA a Podmínkami služby ve vztahu ke zpracování osobních údajů má tato DPA přednost.

2. Definice

Pokud není stanoveno jinak, mají pojmy s velkým počátečním písmenem význam přidělený jim v Nařízení (EU) 2016/679 (\"GDPR\"). Pro přehlednost:

  • \"Osobní údaje\" mají význam podle článku 4 odst. 1 GDPR.
  • \"Zpracování\" má význam podle článku 4 odst. 2 GDPR.
  • \"Subjekt údajů\" označuje zákazníka Shopify nebo koncového uživatele, jehož osobní údaje jsou zpracovávány v rámci této DPA.
  • \"Dílčí zpracovatel\" označuje jakoukoli třetí stranu pověřenou Zpracovatelem ke zpracování osobních údajů jménem Správce.
  • \"Služby\" označují službu Cost+ Checkout (aplikaci pro Shopify, přidružené API a hostované stránky pokladny) poskytovanou Zpracovatelem Správci na základě Podmínek služby.

3. Předmět, povaha, účel a doba zpracování

3.1 Předmět zpracování

Zpracovatel zpracovává osobní údaje o zákaznících Správce za účelem poskytování Služeb. Cost+ Checkout je nástroj pro řízení trychtýře nákupního procesu, který přesměrovává nakupující přicházející z vstupních bodů kontrolovaných Obchodníkem (například e-mailové kampaně, přistávací stránky, reklamy na sociálních sítích nebo přímé odkazy na Shopify obchod) přes jednotné konzistentní rozhraní pokladny a vytváří příslušnou objednávku v Shopify obchodě Obchodníka po provedení platby.

3.2 Povaha a účel zpracování

Zpracovatel zpracovává osobní údaje pro následující účely:

  • Shromažďování kontaktních a doručovacích informací kupujícího během pokladního procesu;
  • Výpočet příslušných daní a nákladů na dopravu prostřednictvím vlastních služeb Shopify pro výpočet daní a dopravy;
  • Vytvoření příslušné objednávky Shopify poté, co kupující dokončí platbu;
  • Zpracování plateb prostřednictvím platební infrastruktury Cost+ nebo nakonfigurovaného poskytovatele plateb Obchodníka;
  • Promítání refundací, storno a plnění iniciovaných Obchodníkem v jejich administraci Shopify zpět do konfigurace Cost+ Checkout Obchodníka;
  • Reakce na žádosti subjektů údajů předané Shopify prostřednictvím standardních GDPR webhooků (customers/data_request, customers/redact, shop/redact);
  • Poskytování analytiky pro obchodníky odvozené z agregovaných a pseudonymizovaných dat relací.

3.3 Doba zpracování

Zpracovatel zpracovává osobní údaje po dobu trvání Služeb a uchovává tato data po doby stanovené v oddílu 9 níže.

4. Druhy osobních údajů a kategorie subjektů údajů

4.1 Druhy osobních údajů

  • Jméno a příjmení;
  • E-mailová adresa;
  • Telefonní číslo (je-li uvedeno);
  • Doručovací adresa (ulice, město, PSČ, stát, volitelný druhý řádek adresy, kraj/region);
  • Fakturační adresa (stejné údaje);
  • Podrobnosti objednávky, včetně položek, identifikátorů produktů, množství, cen, použitých slevových kódů, celkové částky objednávky, měny a stavu plnění;
  • Metadata související s platbou (token platební metody nebo reference, identifikátory autorizace a zachycení) — plná čísla primárního účtu (PAN) nikdy nevstupují do systémů Zpracovatele; jsou tokenizována platební infrastrukturou Cost+ splňující PCI DSS nebo nakonfigurovaným poskytovatelem plateb Obchodníka.

4.2 Kategorie subjektů údajů

  • Zákazníci (kupující) Správce, kteří dokončují pokladní proces prostřednictvím Cost+ Checkout.

5. Povinnosti Zpracovatele

Zpracovatel je povinen:

5.1 Zdokumentované pokyny

Zpracovávat osobní údaje pouze na základě zdokumentovaných pokynů Správce, včetně pokynů týkajících se předávání osobních údajů do třetí země nebo mezinárodní organizace, pokud mu to neukládá právo Unie nebo členského státu, jemuž Zpracovatel podléhá. V takovém případě Zpracovatel informuje Správce o příslušném zákonném požadavku před zahájením zpracování, ledaže takový zákon toto sdělení zakazuje ze závažných důvodů veřejného zájmu. Strany se dohodly, že Podmínky služby, tato DPA a používání Služeb Správcem prostřednictvím standardních možností konfigurace představují zdokumentované pokyny ve smyslu článku 28 odst. 3 písm. a) GDPR.

5.2 Důvěrnost

Zajistit, aby osoby oprávněné ke zpracování osobních údajů přijaly závazek zachovávat důvěrnost nebo aby je k tomu zavazovala příslušná zákonná povinnost mlčenlivosti.

5.3 Bezpečnostní opatření

Zavést vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající danému riziku, jak vyžaduje článek 32 GDPR. Souhrn těchto opatření je uveden v příloze 1. Správce bere na vědomí, že příloha 1 může být čas od času aktualizována tak, aby odrážela zlepšení bezpečnostní úrovně Zpracovatele, a že žádná taková aktualizace nepovede k podstatnému snížení úrovně bezpečnosti.

5.4 Dílčí zpracovatelé

Pověřovat dílčí zpracovatele pouze za podmínek uvedených v oddílu 7 níže.

5.5 Pomoc s právy subjektů údajů

S přihlédnutím k povaze zpracování pomáhat Správci vhodnými technickými a organizačními opatřeními, pokud je to možné, při plnění povinnosti Správce reagovat na žádosti o uplatnění práv subjektů údajů podle kapitoly III GDPR.

5.6 Pomoc s dalšími povinnostmi Správce

Pomáhat Správci při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, s přihlédnutím k povaze zpracování a informacím, které má Zpracovatel k dispozici.

5.7 Vrácení nebo výmaz po ukončení Služeb

Na základě volby Správce vymazat nebo vrátit Správci veškeré osobní údaje po ukončení poskytování Služeb souvisejících se zpracováním a vymazat existující kopie, pokud právo Unie nebo členského státu nevyžaduje uchovávání osobních údajů. Zpracovatel vymaže osobní údaje do 90 dnů od ukončení Služeb, s výjimkou případů, kdy delší uchovávání vyžaduje oddíl 9.

5.8 Záznamy o zpracování

Vést písemný záznam o všech kategoriích zpracování prováděných jménem Správce, jak vyžaduje článek 30 odst. 2 GDPR.

5.9 Audity

Poskytnout Správci veškeré informace potřebné k prokázání souladu s článkem 28 GDPR a umožnit audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem pověřeným Správcem, a přispívat k nim. Správce nese veškeré náklady na tyto audity přesahující poskytnutí standardních informací, které jsou Správci již k dispozici prostřednictvím Služeb. Správce poskytne přiměřené předchozí oznámení (nejméně 30 dní), provede audity v běžné pracovní době a nenaruší provoz Zpracovatele.

6. Povinnosti Správce

Správce prohlašuje, že:

  • Stanovil platný právní základ podle článku 6 GDPR (a případně článku 9 GDPR) pro veškeré osobní údaje, které zpřístupňuje Zpracovateli prostřednictvím Služeb;
  • Poskytl subjektům údajů veškeré požadované informace o zpracování podle článků 13 a 14 GDPR, včetně skutečnosti, že k zpracování pokladního procesu a dat objednávek se používá Cost+ Checkout;
  • Řádně nakonfiguroval Cost+ Checkout (včetně pravidel toku, povolených zemí, platebních metod a případných vlastních skriptů nebo bloků) tak, aby Služby zpracovávaly pouze osobní údaje nezbytné pro zákonné účely Obchodníka;
  • Bude reagovat na žádosti subjektů údajů předané Zpracovatelem ve lhůtách požadovaných zákonem.

7. Dílčí zpracovatelé

7.1 Obecné oprávnění

Správce uděluje obecné oprávnění Zpracovateli pověřit dílčí zpracovatele k plnění Služeb. Aktuální seznam dílčích zpracovatelů je uveden v příloze 2 a je průběžně aktualizován.

7.2 Oznámení o změnách

Zpracovatel informuje Správce o jakýchkoli zamýšlených změnách v seznamu dílčích zpracovatelů (přidání nebo nahrazení) s předstihem nejméně 30 dní, čímž dává Správci možnost vznést námitky z důvodných důvodů. Pokud Správce vznese námitky a Strany nedosáhnou dohody do 30 dní, může Správce ukončit dotčenou část Služeb bez udání důvodů.

7.3 Přenos povinností

Zpracovatel uloží každému dílčímu zpracovateli smluvně stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v této DPA, a zůstane plně odpovědný Správci za plnění povinností každého dílčího zpracovatele.

8. Mezinárodní předávání dat

8.1 Primární hosting

Zpracovatel hostuje Služby v Evropské unii a zpracovává osobní údaje primárně v rámci EU/EHP. Někteří oprávnění dílčí zpracovatelé (například určití partneři pro zpracování plateb) se nacházejí mimo EHP; v těchto případech Zpracovatel zajistí, aby byl přenos chráněn rozhodnutím o odpovídající ochraně nebo standardními smluvními doložkami podle oddílu 8.2, a v příloze 2 identifikuje příslušné dílčí zpracovatele.

8.2 Přenosy prostřednictvím dílčích zpracovatelů

Pokud se dílčí zpracovatel nachází mimo EU/EHP, Zpracovatel zajistí, aby byly přenosy kryty rozhodnutím o odpovídající ochraně podle článku 45 GDPR, nebo standardními smluvními doložkami přijatými Evropskou komisí (modul 2: správce–zpracovatel nebo modul 3: zpracovatel–zpracovatel, dle potřeby), nebo jiným platným mechanismem předávání podle kapitoly V GDPR.

8.3 Následné předávání

Shopify vystupuje jako nezávislý správce ve vztahu k zákaznickým datům, která Správce vložil do svého obchodu Shopify. Příjem takových dat Zpracovatelem od Shopify a vrácení dat objednávek vytvořených v Shopify zpět do Shopify se řídí vlastními podmínkami ochrany dat Shopify s Obchodníkem a nepředstavuje následné předávání v rámci této DPA.

9. Uchovávání a výmaz dat

Zpracovatel uchovává osobní údaje po následující doby:

  • Data aktivních relací (probíhající pokladní relace, které nebyly dokončeny): vymazána 30 dní po vypršení platnosti relace;
  • Data dokončených objednávek (relace, které vyústily v objednávku Shopify): uchovávána po dobu 7 let za účelem splnění daňových a účetních požadavků na uchovávání v Estonsku a ve většině jurisdikcí EU, poté vymazána;
  • Platební tokeny a záznamy o autorizacích: uchovávány po dobu uchovávání příslušné platební metody (obvykle 7 let);
  • Data protokolů (protokoly požadavků, protokoly doručení webhooků): uchovávána 90 dní, poté rotována;
  • Auditní protokoly / protokoly bezpečnostních událostí: uchovávány po dobu 1 roku.

Po ukončení Služeb Zpracovatel vymaže nebo vrátí osobní údaje v souladu s oddílem 5.7 výše, s výhradou dob uchovávání stanovených příslušnými právními předpisy.

10. Oznamování porušení zabezpečení dat

Zpracovatel bez zbytečného odkladu, a v každém případě do 48 hodin od zjištění, oznámí Správci porušení zabezpečení osobních údajů, které se týká dat Správce. Oznámení bude obsahovat přinejmenším informace požadované článkem 33 odst. 3 GDPR v rozsahu, v jakém jsou k dispozici, a bude průběžně aktualizováno s tím, jak budou k dispozici další informace.

11. Odpovědnost

Odpovědnost Stran v rámci této DPA podléhá ustanovením o odpovědnosti obsaženým v Podmínkách služby, s tím že jakékoli omezení odpovědnosti v Podmínkách služby nevylučuje ani neomezuje odpovědnost za záležitosti, u nichž by takové vyloučení nebo omezení bylo protiprávní podle příslušných předpisů o ochraně dat.

12. Rozhodné právo a příslušnost soudu

Tato DPA se řídí právem Estonska bez ohledu na jeho kolizní normy. Strany se podřizují výlučné příslušnosti soudů okresu Harju, Estonsko, pro jakýkoli spor vzniklý z nebo v souvislosti s touto DPA, s výhradou případných kogentních ustanovení právních předpisů týkajících se příslušnosti ve věcech spotřebitelských nebo sporů se subjekty údajů.

13. Trvání a ukončení

Tato DPA nabývá účinnosti dnem, kdy Správce poprvé nainstaluje nebo použije Služby, a automaticky zaniká spolu s ukončením Podmínek služby. Ustanovení, která by měla ze své povahy přetrvat ukončení (včetně oddílů 5.7, 9, 10 a 12), zůstávají v platnosti i po ukončení.

14. Úplná dohoda

Tato DPA spolu s Podmínkami služby na adrese https://costplus.io/shopify-app-terms.html a Zásadami ochrany soukromí na adrese https://costplus.io/privacy-policy.html, představuje úplnou dohodu mezi Stranami ohledně daného předmětu a nahrazuje veškerá předchozí ujednání.

Příloha 1 — Technická a organizační opatření

Zpracovatel zavádí následující technická a organizační opatření k ochraně osobních údajů:

Šifrování

  • Veškerá data přenášená po síti jsou šifrována pomocí TLS 1.2 nebo vyšší verze; certifikáty jsou spravovány prostřednictvím Let's Encrypt s automatickou rotací.
  • Přístupové tokeny Shopify API a přihlašovací údaje třetích stran poskytovatelů plateb jsou šifrovány v klidovém stavu pomocí AES-256-GCM s klíči aplikační vrstvy spravovanými prostřednictvím HashiCorp Vault Transit nebo ekvivalentního systému správy klíčů.
  • Zálohy databáze jsou šifrovány před přenosem do externího úložiště.

Řízení přístupu

  • Přístup k produkčnímu systému je omezen na definovaný okruh oprávněného personálu s individuálně identifikovatelnými účty, autentizací pomocí SSH klíčů pro přístup k serverům a hardwarovou nebo TOTP vícefaktorovou autentizací pro administrační rozhraní.
  • Hesla obchodníků na úrovni aplikace jsou hashována pomocí Argon2id s parametry odolnými vůči paměťovým útokům.
  • Přístup k osobním údajům je protokolován a uchováván v souladu s oddílem 9 DPA.

Infrastruktura

  • Služby jsou hostovány v datových centrech třídy Tier-III nebo ekvivalentních, umístěných v Evropské unii.
  • Logické oddělení testovacího a produkčního prostředí; produkční data nejsou používána ve vývojovém nebo testovacím prostředí.
  • Pravidelné záplatování operačních systémů, runtime prostředí a závislostí třetích stran.

Personál

  • Personál s přístupem k osobním údajům je vázán písemnými povinnostmi mlčenlivosti, které přetrvávají i po ukončení jejich pracovního poměru.
  • Úvodní školení a pravidelná školení zaměřená na bezpečnostní povědomí pro veškerý personál s přístupem k osobním údajům nebo produkční infrastruktuře.

Reakce na incidenty

  • Zdokumentovaný postup reakce na bezpečnostní incidenty zahrnující detekci, omezení, vyšetřování, oznámení (včetně oznámení Správci do 48 hodin dle oddílu 10) a přezkum po incidentu.
  • Čtvrtletní přezkum postupů reakce na incidenty a kontaktních údajů.

Prevence ztráty dat

  • Přístupy na úrovni aplikace omezené na jednotlivé obchodníky a jednotlivé relace; žádný obchodník nemůže prostřednictvím API přistupovat k datům jiného obchodníka.
  • Protokolování veškerého přístupu k osobním údajům, uchovávané dle oddílu 9.
  • Pravidelné testy obnovy ze šifrovaných záloh.

Bezpečný vývoj

  • Zdrojový kód uložen v soukromém repozitáři s povinnou kontrolou všech změn před sloučením.
  • Automatické skenování závislostí a pravidelné aktualizace knihoven třetích stran.
  • Penetrační testování nejméně jednou ročně po dosažení obecné dostupnosti Služeb.

Příloha 2 — Oprávnění dílčí zpracovatelé

K datu poslední aktualizace této DPA jsou následující dílčí zpracovatelé oprávněni zpracovávat osobní údaje jménem správce:

Dílčí zpracovatelÚčelUmístěníMechanismus přenosu
OVH SASHosting cloudové infrastruktury (výpočetní výkon, úložiště, síť) a šifrované zálohy mimo lokalituFrancie (EU)Intra-EEA
SMTP2GOTransakční e-maily a oznámeníEUIntra-EEA
Cost+ platební infrastruktura (Costplus OÜ)Tokenizace plateb, autorizace, zachycení, refundaceEUIntra-EEA
Ginger PaymentsPlatební brána / směrování transakcíNizozemsko (EU)Intra-EEA
FinteqHubPlatební brána / orchestraceKypr a Litva (EU)Intra-EEA
ComplyPayPoskytovatel Banking-as-a-Service (BaaS)Dánsko (EU)Intra-EEA
RapydPlatební acquiring / zpracováníEU / Spojené královstvíIntra-EEA; přenosy do Spojeného království na základě rozhodnutí EU–UK o přiměřenosti
SHIFT4Platební acquiring / zpracováníEU / Spojené královstvíIntra-EEA; přenosy do Spojeného království na základě rozhodnutí EU–UK o přiměřenosti
ElavonPlatební acquiring / zpracováníEU / Spojené královstvíIntra-EEA; přenosy do Spojeného království na základě rozhodnutí EU–UK o přiměřenosti
ClearhausPlatební acquiring / zpracováníDánsko (EU)Intra-EEA
PayneticsPlatební acquiring / vydávání elektronických penězBulharsko (EU)Intra-EEA
DiditOvěření totožnosti, soulad s KYB / KYC / AMLSpojené státy / Španělsko (EU)Standardní smluvní doložky (čl. 46 GDPR)

Zpracovatel bude udržovat aktuální verzi tohoto seznamu na adrese https://costplus.io/dpa/sub-processors a bude správce informovat o jakýchkoli doplněních nebo náhradách v souladu s oddílem 7.2 této DPA.

Konec smlouvy o zpracování dat.