Databehandleraftale (DPA)

Senest opdateret: 29. maj 2026

1. Parter

Denne databehandleraftale ("DPA") indgås mellem:

  • Costplus OÜ, et selskab registreret i Estland, med hjemstedsadresse Pärnu mnt 139b, 11317 Tallinn, Estland, CVR-nr. 16936614 ("Databehandler, vi, os, eller Cost+"); og
  • den forhandler, der har installeret Cost+ Checkout Shopify-applikationen eller på anden måde integreret med Cost+ Checkout-tjenesten ved at acceptere vores servicevilkår på https://costplus.io/shopify-app-terms.html ("Dataansvarlig, Forhandler, eller dig"),

hver betegnet som en "Part og tilsammen Parterne".

Denne DPA udgør en del af og er underlagt servicevilkårene mellem Parterne. I tilfælde af konflikt mellem denne DPA og servicevilkårene med hensyn til behandling af personoplysninger, har denne DPA forrang.

2. Definitioner

Medmindre andet er defineret, har ord med stort begyndelsesbogstav den betydning, der er tillagt dem i forordning (EU) 2016/679 ("GDPR"). For overskuelighedens skyld:

  • "Personoplysninger" har den betydning, der fremgår af artikel 4(1) GDPR.
  • "Behandling" har den betydning, der fremgår af artikel 4(2) GDPR.
  • "Den registrerede" betyder en Shopify-kunde eller slutbruger, hvis personoplysninger behandles i henhold til denne DPA.
  • "Underdatabehandler" betyder enhver tredjepart, som Databehandleren engagerer til at behandle personoplysninger på vegne af den Dataansvarlige.
  • "Tjenester" betyder Cost+ Checkout-tjenesten (Shopify-appen, tilknyttede API'er og hostede betalingssider), som Databehandleren leverer til den Dataansvarlige i henhold til servicevilkårene.

3. Emne, karakter, formål og varighed af behandlingen

3.1 Emne

Databehandleren behandler personoplysninger om den Dataansvarliges kunder for at levere Tjenesterne. Cost+ Checkout er et funnel-orkestreringsværktøj, der leder kunder, der ankommer fra forhandlerkontrollerede indgangspunkter (f.eks. e-mailkampagner, landingssider, annoncer på sociale medier eller direkte Shopify-butikslinks), gennem en ensartet betalingsoplevelse og opretter den tilsvarende ordre i Forhandlerens Shopify-butik efter betaling.

3.2 Behandlingens karakter og formål

Databehandleren behandler personoplysninger til følgende formål:

  • Indsamling af købers kontakt- og leveringsoplysninger under betaling;
  • Beregning af gældende skatter og fragtpriser via Shopifys egne beregningsservices for skat og fragt;
  • Oprettelse af den tilsvarende Shopify-ordre, efter at køber har gennemført betalingen;
  • Behandling af betalinger via Cost+'s betalingsinfrastruktur eller Forhandlerens konfigurerede betalingsudbyder;
  • Afspejling af refunderinger, annulleringer og opfyldelseshændelser initieret af Forhandleren i Shopify-admin tilbage i Forhandlerens Cost+ Checkout-konfiguration;
  • Behandling af anmodninger fra registrerede videresendt af Shopify via standard GDPR-webhooks (customers/data_request, customers/redact, shop/redact);
  • Levering af forhandlervendt analyse baseret på aggregerede og pseudonymiserede sessionsdata.

3.3 Varighed

Databehandleren behandler personoplysninger i Tjenesternes løbetid og opbevarer sådanne data i de perioder, der er angivet i afsnit 9 nedenfor.

4. Typer af personoplysninger og kategorier af registrerede

4.1 Typer af personoplysninger

  • For- og efternavn;
  • E-mailadresse;
  • Telefonnummer (når det oplyses);
  • Leveringsadresse (gade, by, postnummer, land, valgfri adresselinje 2, region/stat);
  • Faktureringsadresse (samme felter);
  • Ordreoplysninger, herunder varelinjer, produktidentifikatorer, mængder, priser, anvendte rabatkoder, ordretotal, valuta og opfyldelsesstatus;
  • Betalingsrelaterede metadata (betalingsmetode-token eller reference, autorisations- og hævningsidentifikatorer) — bemærk, at fulde primære kontonumre (PAN) aldrig indgår i Databehandlerens systemer; de tokeniseres af Cost+'s PCI-DSS-kompatible betalingsinfrastruktur eller Forhandlerens konfigurerede betalingsudbyder.

4.2 Kategorier af registrerede

  • Den Dataansvarliges kunder (købere), der gennemfører betaling via Cost+ Checkout.

5. Databehandlerens forpligtelser

Databehandleren skal:

5.1 Dokumenterede instruktioner

Behandle personoplysninger udelukkende på grundlag af den Dataansvarliges dokumenterede instruktioner, herunder med hensyn til overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre behandling er påkrævet ved EU-ret eller medlemsstaternes nationale ret, som Databehandleren er underlagt. I sådanne tilfælde skal Databehandleren informere den Dataansvarlige om dette lovkrav inden behandlingen, medmindre loven forbyder en sådan information af vigtige samfundsmæssige hensyn. Parterne er enige om, at servicevilkårene, denne DPA og den Dataansvarliges brug af Tjenesterne via standardkonfigurationsindstillingerne udgør dokumenterede instruktioner i henhold til artikel 28(3)(a) GDPR.

5.2 Fortrolighed

Sikre, at personer med adgang til at behandle personoplysninger har påtaget sig fortrolighedsforpligtelser eller er underlagt en passende lovbestemt fortrolighedsforpligtelse.

5.3 Sikkerhedsforanstaltninger

Implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen, som krævet ved artikel 32 GDPR. En oversigt over disse foranstaltninger fremgår af Bilag 1. Den Dataansvarlige anerkender, at Bilag 1 kan opdateres fra tid til anden for at afspejle forbedringer i Databehandlerens sikkerhedsniveau, og at en sådan opdatering ikke vil medføre en væsentlig reduktion af sikkerhedsniveauet.

5.4 Underdatabehandlere

Engagere underdatabehandlere udelukkende i henhold til vilkårene i afsnit 7 nedenfor.

5.5 Bistand ved registreredes rettigheder

Under hensyntagen til behandlingens karakter, bistå den Dataansvarlige med passende tekniske og organisatoriske foranstaltninger, i det omfang det er muligt, med henblik på at opfylde den Dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af registreredes rettigheder i henhold til kapitel III i GDPR.

5.6 Bistand med den Dataansvarliges øvrige forpligtelser

Bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artiklerne 32 til 36 GDPR under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren.

5.7 Tilbagelevering eller sletning ved Tjenesternes ophør

Efter den Dataansvarliges valg, slette eller tilbagelevere alle personoplysninger til den Dataansvarlige efter afslutningen af de behandlingsrelaterede tjenester og slette eksisterende kopier, medmindre EU-ret eller medlemsstaternes nationale ret kræver opbevaring af personoplysningerne. Databehandleren skal slette personoplysninger inden 90 dage efter Tjenesternes ophør, medmindre længere opbevaring er påkrævet i henhold til afsnit 9.

5.8 Fortegnelser over behandlingsaktiviteter

Føre skriftlige fortegnelser over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den Dataansvarlige, som krævet ved artikel 30(2) GDPR.

5.9 Revisioner

Stille alle oplysninger til rådighed for den Dataansvarlige, der er nødvendige for at påvise overholdelse af artikel 28 GDPR, og muliggøre og bidrage til revisioner, herunder inspektioner, foretaget af den Dataansvarlige eller en anden revisor bemyndiget af den Dataansvarlige. Den Dataansvarlige bærer eventuelle omkostninger ved sådanne revisioner ud over at give adgang til de standardoplysninger, der allerede er tilgængelige via Tjenesterne. Den Dataansvarlige skal give rimeligt forudgående varsel (mindst 30 dage), gennemføre revisioner inden for normal arbejdstid og ikke forstyrre Databehandlerens drift.

6. Den Dataansvarliges forpligtelser

Den Dataansvarlige garanterer, at:

  • Der er etableret et gyldigt behandlingsgrundlag i henhold til artikel 6 GDPR (og, hvor det er relevant, artikel 9 GDPR) for alle personoplysninger, der stilles til rådighed for Databehandleren via Tjenesterne;
  • Alle krævede oplysninger er givet til registrerede i henhold til artiklerne 13 og 14 GDPR, herunder at Cost+ Checkout anvendes til at behandle betalings- og ordredata;
  • Cost+ Checkout er korrekt konfigureret (herunder flowregler, tilladte lande, betalingsmetoder og eventuelle brugerdefinerede scripts eller blokke), således at Tjenesterne udelukkende behandler personoplysninger, der er nødvendige for Forhandlerens lovlige formål;
  • Anmodninger fra registrerede, der videresendes af Databehandleren, besvares inden for de frister, som loven kræver.

7. Underdatabehandlere

7.1 Generel godkendelse

Den Dataansvarlige giver generel godkendelse til, at Databehandleren må engagere underdatabehandlere til udførelse af Tjenesterne. En liste over aktuelle underdatabehandlere vedligeholdes i Bilag 2 og opdateres løbende.

7.2 Meddelelse om ændringer

Databehandleren skal informere den Dataansvarlige om påtænkte ændringer i listen over underdatabehandlere (tilføjelse eller udskiftning) med mindst 30 dages forudgående varsel, så den Dataansvarlige har mulighed for at gøre indsigelse på rimelig begrundelse. Hvis den Dataansvarlige gør indsigelse, og Parterne ikke kan nå til enighed inden for 30 dage, kan den Dataansvarlige opsige den berørte del af Tjenesterne uden begrundelse.

7.3 Videregivelse af forpligtelser

Databehandleren skal ved kontrakt pålægge hver underdatabehandler de samme databeskyttelsesforpligtelser som fastsat i denne DPA og forblive fuldt ansvarlig over for den Dataansvarlige for hver underdatabehandlers opfyldelse af sine forpligtelser.

8. Internationale dataoverførsler

8.1 Primær hosting

Databehandleren hoster Tjenesterne i Den Europæiske Union og behandler primært personoplysninger inden for EU/EØS. Visse godkendte underdatabehandlere (f.eks. bestemte betalingsindløsningspartnere) er placeret uden for EØS; i sådanne tilfælde sikrer Databehandleren, at overførslen er beskyttet af en afgørelse om tilstrækkeligt beskyttelsesniveau eller af standardkontraktbestemmelser som angivet i afsnit 8.2, og identificerer de relevante underdatabehandlere i Bilag 2.

8.2 Overførsler til underdatabehandlere

Hvor en underdatabehandler er placeret uden for EU/EØS, sikrer Databehandleren, at overførsler er dækket af en afgørelse om tilstrækkeligt beskyttelsesniveau i henhold til artikel 45 GDPR, af standardkontraktbestemmelser vedtaget af Europa-Kommissionen (Modul 2: dataansvarlig-til-databehandler eller Modul 3: databehandler-til-databehandler, alt efter hvad der er relevant), eller af en anden gyldig overførselsmekanisme i henhold til kapitel V GDPR.

8.3 Videreoverførsler

Shopify optræder selv som uafhængig dataansvarlig med hensyn til de kundedata, som den Dataansvarlige har registreret i sin Shopify-butik. Databehandlerens modtagelse af sådanne data fra Shopify samt returnering af Shopify-oprettede ordredata til Shopify er dækket af Shopifys egne databeskyttelsesvilkår med Forhandleren og udgør ikke videreoverførsler i henhold til denne DPA.

9. Opbevaring og sletning

Databehandleren opbevarer personoplysninger i følgende perioder:

  • Aktive sessionsdata (igangværende betalingssessioner, der ikke er afsluttet): slettes 30 dage efter sessionens udløb;
  • Afsluttede ordredata (sessioner, der resulterede i en Shopify-ordre): opbevares i 7 år for at opfylde krav til skattemæssig og regnskabsmæssig opbevaring i Estland og de fleste EU-jurisdiktioner, derefter slettet;
  • Betalingstokens og autorisationsposter: opbevares i den underliggende betalingsmetodes opbevaringsperiode (typisk 7 år);
  • Logdata (anmodningslogs, webhook-leveringslogs): opbevares i 90 dage, derefter slettet;
  • Revisions- / sikkerhedshændelseslogs: opbevares i 1 år.

Ved Tjenesternes ophør skal Databehandleren slette eller tilbagelevere personoplysninger som angivet i afsnit 5.7 ovenfor, med forbehold for de opbevaringsperioder, der er påkrævet ved gældende lov.

10. Underretning om brud på persondatasikkerheden

Databehandleren skal uden unødigt ophold og under alle omstændigheder inden for 48 timer underrette den Dataansvarlige, når Databehandleren bliver bekendt med et brud på persondatasikkerheden, der berører den Dataansvarliges data. Underretningen skal indeholde mindst de oplysninger, der kræves i henhold til artikel 33(3) GDPR i det omfang disse er tilgængelige, og skal opdateres, efterhånden som yderligere oplysninger bliver tilgængelige.

11. Ansvar

Parternes ansvar i henhold til denne DPA er underlagt ansvarsbegrænsningsbestemmelserne i servicevilkårene, bortset fra at en eventuel ansvarsbegrænsning i servicevilkårene ikke udelukker eller begrænser ansvar for forhold, hvor en sådan udelukkelse eller begrænsning ville være ulovlig i henhold til gældende databeskyttelseslovgivning.

12. Lovvalg og værneting

Denne DPA er underlagt estisk ret, uden hensyntagen til lovvalgsregler. Parterne underkaster sig den eksklusive jurisdiktion ved domstolene i Harju County, Estland, for enhver tvist, der udspringer af eller har forbindelse med denne DPA, med forbehold for eventuelle ufravigelige lovbestemmelser vedrørende værneting i forbruger- eller registreretstvister.

13. Ikrafttræden og opsigelse

Denne DPA træder i kraft på den dato, den Dataansvarlige første gang installerer eller anvender Tjenesterne, og ophører automatisk ved servicevilkårenes ophør. Bestemmelser, der efter deres karakter bør overleve ophøret (herunder afsnit 5.7, 9, 10 og 12), forbliver gældende.

14. Hele aftalen

Denne DPA, sammen med servicevilkårene på https://costplus.io/shopify-app-terms.html og privatlivspolitikken på https://costplus.io/privacy-policy.html, udgør den samlede aftale mellem Parterne med hensyn til emnet og afløser alle tidligere forståelser.

Bilag 1 — Tekniske og organisatoriske foranstaltninger

Databehandleren implementerer følgende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger:

Kryptering

  • Alle data under overførsel krypteres med TLS 1.2 eller højere, med certifikater administreret via Let's Encrypt og automatisk rotation.
  • Shopify API-adgangstokens og tredjeparters betalingsudbyderoplysninger krypteres i hvile med AES-256-GCM med applikationslagsnøgler administreret via HashiCorp Vault Transit eller et tilsvarende nøglehåndteringssystem.
  • Databasesikkerhedskopier krypteres inden overførsel til ekstern opbevaring.

Adgangskontrol

  • Adgang til produktionssystemer er begrænset til en defineret gruppe af autoriserede medarbejdere med individuelt identificerbare konti, SSH-nøglebaseret godkendelse til serveradgang og hardware-understøttet eller TOTP-baseret multifaktorgodkendelse til administrative grænseflader.
  • Forhandleradgangskoder på applikationsniveau hashes med Argon2id med hukommelseskrævende parametre.
  • Adgang til personoplysninger logges og opbevares i overensstemmelse med afsnit 9 i DPA.

Infrastruktur

  • Tjenesterne hostes i Tier III-datacentre eller tilsvarende, beliggende i Den Europæiske Union.
  • Logisk adskillelse mellem test- og produktionsmiljøer; ingen produktionsdata anvendes i udviklings- eller testmiljøer.
  • Regelmæssig opdatering af styresystemer, runtime-miljøer og tredjepartsafhængigheder.

Personale

  • Medarbejdere med adgang til personoplysninger er bundet af skriftlige fortrolighedsforpligtelser, der overlever ansættelsesforholdets ophør.
  • Introduktions- og løbende sikkerhedsbevidsthedstræning for alle medarbejdere med adgang til personoplysninger eller produktionsinfrastruktur.

Hændelseshåndtering

  • Dokumenteret procedure for sikkerhedshændelser, der dækker opdagelse, begrænsning, undersøgelse, underretning (herunder til den Dataansvarlige inden for 48 timer i henhold til afsnit 10) og efterfølgende gennemgang.
  • Kvartalsmæssig gennemgang af procedurer for hændelseshåndtering og kontaktoplysninger.

Forebyggelse af datatab

  • Adgangskontrol på applikationsniveau afgrænset til individuelle forhandlere og individuelle sessioner; ingen forhandler kan tilgå en anden forhandlers data via API.
  • Revisionslogning af al adgang til personoplysninger, opbevaret i henhold til afsnit 9.
  • Regelmæssige gendannelsestest af krypterede sikkerhedskopier.

Sikker udvikling

  • Kildekode hostet i et privat repository med gennemtvungen gennemgang af alle ændringer før sammenlægning.
  • Automatiseret scanning af afhængigheder og regelmæssige opdateringer af tredjepartsbiblioteker.
  • Penetrationstest mindst én gang om året, når tjenesterne er generelt tilgængelige.

Bilag 2 — Godkendte underdatabehandlere

Fra den senest opdaterede dato for denne DPA er følgende underdatabehandlere godkendt til at behandle personoplysninger på vegne af den dataansvarlige:

UnderdatabehandlerFormålPlaceringOverførselsmekanisme
OVH SASCloud-infrastrukturhosting (compute, storage, netværk) og krypterede off-site backupsFrankrig (EU)Intra-EEA
SMTP2GOTransaktions- og notifikationsmailsEUIntra-EEA
Cost+ betalingsinfrastruktur (Costplus OÜ)Betalingstokenisering, godkendelse, opkrævning, refusionEUIntra-EEA
Ginger PaymentsBetalingsgateway / transaktionsroutingNederlandene (EU)Intra-EEA
FinteqHubBetalingsgateway / orkestreringCypern og Litauen (EU)Intra-EEA
ComplyPayBanking-as-a-Service (BaaS)-udbyderDanmark (EU)Intra-EEA
RapydBetalingsindløsning / -behandlingEU / Det Forenede KongerigeIntra-EEA; UK-overførsler i henhold til EU–UK-afgørelse om tilstrækkeligt beskyttelsesniveau
SHIFT4Betalingsindløsning / -behandlingEU / Det Forenede KongerigeIntra-EEA; UK-overførsler i henhold til EU–UK-afgørelse om tilstrækkeligt beskyttelsesniveau
ElavonBetalingsindløsning / -behandlingEU / Det Forenede KongerigeIntra-EEA; UK-overførsler i henhold til EU–UK-afgørelse om tilstrækkeligt beskyttelsesniveau
ClearhausBetalingsindløsning / -behandlingDanmark (EU)Intra-EEA
PayneticsBetalingsindløsning / udstedelse af e-pengeBulgarien (EU)Intra-EEA
DiditIdentitetsverifikation, KYB / KYC / AML-overholdelseUSA / Spanien (EU)Standard Contractual Clauses (art. 46 GDPR)

Databehandleren vil opretholde en opdateret version af denne liste på https://costplus.io/dpa/sub-processors og vil underrette den dataansvarlige om eventuelle tilføjelser eller udskiftninger i overensstemmelse med afsnit 7.2 i denne DPA.

Slutning på databehandleraftale.