Andmetöötluskokkulepe (DPA)

Viimati uuendatud: 29. mai 2026

1. Pooled

Käesolev andmetöötluskokkulepe („DPA") sõlmitakse järgmiste poolte vahel:

  • Costplus OÜ, Eestis registreeritud äriühing, registrijärgne asukoht Pärnu mnt 139b, 11317 Tallinn, Eesti, registrikood 16936614 („Töötleja", „meie", „meid" või „Cost+"); ning
  • kaupleja, kes on installinud Cost+ Checkout Shopify rakenduse või muul viisil integreerinud Cost+ Checkout teenuse, nõustudes meie teenustingimustega aadressil https://costplus.io/shopify-app-terms.html („Vastutav töötleja", „Kaupleja" või „teie"),

kumbki eraldi „Pool" ning ühiselt „Pooled".

Käesolev DPA moodustab osa Poolte vahel sõlmitud teenustingimustest ja allub neile. Kõigis vastuoludes käesoleva DPA ja teenustingimuste vahel isikuandmete töötlemise osas on ülimuslik käesolev DPA.

2. Mõisted

Kui ei ole teisiti määratletud, on suure algustähega mõistetel tähendus, mis on neile antud määruses (EL) 2016/679 („GDPR"). Selguse huvides:

  • Isikuandmed" on GDPR artikli 4 lõike 1 tähenduses.
  • Töötlemine" on GDPR artikli 4 lõike 2 tähenduses.
  • Andmesubjekt" tähendab Shopify klienti või lõppkasutajat, kelle isikuandmeid käesoleva DPA alusel töödeldakse.
  • Volitatud töötleja" tähendab mis tahes kolmandat isikut, kelle Töötleja on kaasanud isikuandmete töötlemiseks Vastutava töötleja nimel.
  • Teenused" tähendab Cost+ Checkout teenust (Shopify rakendust, seotud API-sid ja hostitud kassalehti), mida Töötleja osutab Vastutavale töötlejale teenustingimuste alusel.

3. Töötlemise ese, olemus, eesmärk ja kestus

3.1 Töötlemise ese

Töötleja töötleb Vastutava töötleja klientide isikuandmeid Teenuste osutamiseks. Cost+ Checkout on lehtri-orchestration tööriist, mis suunab Kaupleja kontrollitavatest sisenemispunktidest (näiteks e-posti kampaaniaid, sihtlehti, sotsiaalreklaame või Shopify poe otselinke kasutades) saabuvad ostjad läbi ühtse kassakogemuse ning loob pärast makset vastavasse Kaupleja Shopify poodi tellimuse.

3.2 Töötlemise olemus ja eesmärk

Töötleja töötleb isikuandmeid järgmistel eesmärkidel:

  • Ostja kontaktandmete ja tarneaadressi kogumine kassa käigus;
  • Kohaldatavate maksude ja tarnekulude arvestamine Shopify enda maksu- ja tarnekulude arvutamisteenuste kaudu;
  • Vastava Shopify tellimuse loomine pärast seda, kui ostja makse on sooritatud;
  • Maksete töötlemine Cost+ makseteenuse infrastruktuuri või Kaupleja seadistatud makseettevõtte kaudu;
  • Kaupleja poolt nende Shopify halduskeskuses algatatud tagasimaksete, tühistuste ja täitmissündmuste kajastamine Kaupleja Cost+ Checkout seadistuses;
  • Vastamine andmesubjektide päringutele, mille Shopify on edastanud standardsete GDPR webhookide kaudu (customers/data_request, customers/redact, shop/redact);
  • Kauplejatele suunatud analüütika pakkumine koondatud ja pseudonümiseeritud seansiandmete põhjal.

3.3 Kestus

Töötleja töötleb isikuandmeid Teenuste osutamise ajal ning säilitab selliseid andmeid allpool jaotises 9 sätestatud perioodide jooksul.

4. Isikuandmete liigid ja andmesubjektide kategooriad

4.1 Isikuandmete liigid

  • Ees- ja perekonnanimi;
  • E-posti aadress;
  • Telefoninumber (kui on esitatud);
  • Tarneaadress (tänav, linn, postiindeks, riik, valikuline aadressirida 2, maakond/osariik);
  • Arveaadress (samad väljad);
  • Tellimuse andmed, sh kaubaread, tooteidentifikaatorid, kogused, hinnad, rakendatud sooduskoodid, tellimuse kogusumma, valuuta ja täitmise olek;
  • Maksega seotud metaandmed (makseviisi token või viide, autoriseerimise ja hõivamise identifikaatorid) — täielikud esmased kontonumbrid (PAN) ei sisene kunagi Töötleja süsteemidesse; need tokeniseeritakse Cost+ PCI-DSS-nõuetele vastava makseinfrastruktuuri või Kaupleja seadistatud makseettevõtte poolt.

4.2 Andmesubjektide kategooriad

  • Vastutava töötleja kliendid (ostjad), kes sooritavad ostu Cost+ Checkout kaudu.

5. Töötleja kohustused

Töötleja kohustub:

5.1 Dokumenteeritud juhised

Töötlema isikuandmeid üksnes Vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas isikuandmete edastamisel kolmandasse riiki või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui Töötlejale kohaldatav liidu või liikmesriigi õigus seda nõuab. Sellisel juhul teavitab Töötleja Vastutavat töötlejat sellest õiguslikust nõudest enne töötlemist, välja arvatud juhul, kui see seadus keelab sellise teavitamise ülekaaluka avaliku huvi tõttu. Pooled lepivad kokku, et teenustingimused, käesolev DPA ning Vastutava töötleja poolt standardsete konfiguratsioonivalikute kaudu Teenuste kasutamine kujutavad endast dokumenteeritud juhiseid GDPR artikli 28 lõike 3 punkti a tähenduses.

5.2 Konfidentsiaalsus

Tagama, et isikuandmete töötlemiseks volitatud isikud on võtnud endale konfidentsiaalsuskohustuse või on asjakohase seadusliku konfidentsiaalsuskohustuse all.

5.3 Turvameetmed

Rakendama asjakohased tehnilised ja organisatsioonilised meetmed, et tagada riskile vastav turvalisuse tase vastavalt GDPR artiklile 32. Nende meetmete kokkuvõte on esitatud 1. lisas. Vastutav töötleja tunnistab, et 1. lisa võidakse aeg-ajalt uuendada, et kajastada Töötleja turvataseme parandusi, ning selline uuendus ei too kaasa turvalisuse taseme olulist vähenemist.

5.4 Volitatud töötlejad

Kaasama volitatud töötlejaid üksnes allpool jaotises 7 sätestatud tingimustel.

5.5 Abi andmesubjektide õiguste teostamisel

Arvestades töötlemise olemust, abistama Vastutavat töötlejat asjakohaste tehniliste ja organisatsiooniliste meetmetega, niivõrd kui see on võimalik, Vastutava töötleja kohustuse täitmiseks vastata GDPR III peatüki alusel andmesubjektide õiguste teostamise taotlustele.

5.6 Abi Vastutava töötleja muude kohustuste täitmisel

Abistama Vastutavat töötlejat GDPR artiklite 32–36 kohaste kohustuste täitmisel, arvestades töötlemise olemust ja Töötlejale kättesaadavat teavet.

5.7 Tagastamine või kustutamine Teenuste lõppemisel

Vastutava töötleja valikul kustutama või tagastama kõik isikuandmed Vastutavale töötlejale pärast töötlemisega seotud Teenuste osutamise lõppu ning kustutama olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õigus nõuab isikuandmete säilitamist. Töötleja kustutab isikuandmed 90 päeva jooksul Teenuste lõppemisest, välja arvatud juhul, kui jaotis 9 nõuab pikemat säilitamist.

5.8 Töötlemistoimingute register

Pidama kirjalikku registrit kõigi Vastutava töötleja nimel teostatud töötlemistoimingute kategooriate kohta vastavalt GDPR artikli 30 lõikele 2.

5.9 Auditid

Tegema Vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik GDPR artikli 28 täitmise tõendamiseks, ning võimaldama ja toetama auditeid, sealhulgas Vastutava töötleja või tema volitatud muu audiitori läbiviidavaid inspektsioone. Vastutav töötleja kannab kõik auditite kulud, mis ületavad Vastutavale töötlejale Teenuste kaudu juba kättesaadava standardteabe esitamist. Vastutav töötleja esitab mõistliku etteteatamise (vähemalt 30 päeva), viib auditid läbi tavapäraste tööaegade jooksul ega sega Töötleja tegevust.

6. Vastutava töötleja kohustused

Vastutav töötleja kinnitab, et:

  • Ta on kehtestanud GDPR artikli 6 alusel (ning vajaduse korral GDPR artikli 9 alusel) kehtiva õigusliku aluse kõigi isikuandmete jaoks, mille ta teeb Töötlejale Teenuste kaudu kättesaadavaks;
  • Ta on esitanud andmesubjektidele GDPR artiklite 13 ja 14 kohase nõutava läbipaistvusteabe, sealhulgas asjaolu, et kassa- ja tellimisandmete töötlemiseks kasutatakse Cost+ Checkout'i;
  • Ta on Cost+ Checkout'i nõuetekohaselt seadistanud (sealhulgas voogude reeglid, lubatud riigid, makseviisid ning mis tahes kohandatud skriptid või plokid), nii et Teenused töötlevad üksnes isikuandmeid, mis on vajalikud Kaupleja seaduslikeks eesmärkideks;
  • Ta vastab Töötleja poolt edastatud andmesubjektide taotlustele seadusega nõutavate tähtaegade jooksul.

7. Volitatud töötlejad

7.1 Üldine volitus

Vastutav töötleja annab Töötlejale üldise volituse kaasata Teenuste osutamiseks volitatud töötlejaid. Praeguste volitatud töötlejate nimekiri on esitatud 2. lisas ning seda uuendatakse aeg-ajalt.

7.2 Muudatustest teavitamine

Töötleja teavitab Vastutavat töötlejat volitatud töötlejate nimekirja kavandatavatest muudatustest (lisamised või asendamised) vähemalt 30 päeva ette, andes Vastutavale töötlejale võimaluse esitada põhjendatud vastuväiteid. Kui Vastutav töötleja esitab vastuväite ning Pooled ei jõua 30 päeva jooksul lahendusele, võib Vastutav töötleja lõpetada Teenuste mõjutatud osa omal äranägemisel.

7.3 Kohustuste edasiandmine

Töötleja kehtestab lepinguga igale volitatud töötlejale samad andmekaitseköhustused, mis on sätestatud käesolevas DPA-s, ning jääb Vastutava töötleja ees täielikult vastutavaks iga volitatud töötleja kohustuste täitmise eest.

8. Rahvusvahelised andmeedastused

8.1 Peamine hostimiskoht

Töötleja hostib Teenuseid Euroopa Liidus ning töötleb isikuandmeid peamiselt EL/EMPs. Mõned volitatud töötlejad (näiteks teatud makseomanduse partnerid) asuvad väljaspool EMP-d; sellisel juhul tagab Töötleja, et edastus on kaitstud adekvaatsusotsuse või 2. jaotises sätestatud standardklauslitega, ning identifitseerib asjaomased volitatud töötlejad 2. lisas.

8.2 Volitatud töötlejate edastused

Kui volitatud töötleja asub väljaspool EL/EMP-d, tagab Töötleja, et edastused on kaetud GDPR artikli 45 kohase adekvaatsusotsusega, Euroopa Komisjoni poolt vastu võetud standardlepingutingimustega (moodul 2: vastutavalt töötlejalt volitatud töötlejale või moodul 3: volitatud töötlejalt volitatud töötlejale, vastavalt vajadusele), või muu kehtiva GDPR V peatüki kohase edastamismehhanismiga.

8.3 Edasised edastused

Shopify ise tegutseb sõltumatu vastutava töötlejana seoses kliendiandmetega, mille Vastutav töötleja on oma Shopify poodi sisestanud. Töötleja poolt selliste andmete vastuvõtmine Shopify'lt ning Shopify loodud tellimusandmete tagastamine Shopify'le on hõlmatud Shopify enda andmekaitsetingimustega Kauplejaga ning ei kujuta endast käesoleva DPA kohast edasist edastust.

9. Säilitamine ja kustutamine

Töötleja säilitab isikuandmeid järgmistel perioodidel:

  • Aktiivsed seansiandmed (pooleli olevad kassaseansid, mis ei ole lõpetatud): kustutatakse 30 päeva pärast seansi aegumist;
  • Lõpetatud tellimuste andmed (seansid, mille tulemusena loodi Shopify tellimus): säilitatakse 7 aastat Eesti ja enamiku EL liikmesriikide maksu- ja raamatupidamisõiguse säilitamisnõuete täitmiseks, seejärel kustutatakse;
  • Makse tokenid ja autoriseerimisandmed: säilitatakse aluseks oleva makseviisi säilitusperioodi jooksul (tavaliselt 7 aastat);
  • Logiandmed (päringulogid, webhookide kohaletoimetamise logid): säilitatakse 90 päeva, seejärel kustutatakse;
  • Auditi- ja turvasündmuste logid: säilitatakse 1 aasta.

Teenuste lõpetamisel kustutab või tagastab Töötleja isikuandmed vastavalt eespool jaotises 5.7 sätestatule, arvestades kohaldatavast õigusest tulenevaid säilitustähtaegu.

10. Andmeleketest teavitamine

Töötleja teavitab Vastutavat töötlejat põhjendamatu viivituseta ja igal juhul 48 tunni jooksul pärast seda, kui ta saab teadlikuks Vastutava töötleja andmeid puudutavast isikuandmete rikkumisest. Teatis sisaldab vähemalt GDPR artikli 33 lõikes 3 nõutavat teavet, niivõrd kui see on kättesaadav, ning seda täiendatakse lisateabe selgumisel.

11. Vastutus

Poolte vastutus käesoleva DPA alusel allub teenustingimuste vastutussätetele, välja arvatud et teenustingimuste mis tahes vastutuse piirang ei välista ega piira vastutust mis tahes küsimuse eest, mille puhul selline välistamine või piirang oleks kohaldatava andmekaitseõiguse alusel õigusvastane.

12. Kohaldatav õigus ja kohtualluvus

Käesolevale DPA-le kohaldatakse Eesti õigust, arvestamata selle kollisiooninorme. Pooled alluvad käesolevast DPA-st tuleneva või sellega seotud vaidluse lahendamiseks Harju Maakohtu ainupädevusele, arvestades tarbijate või andmesubjektide vaidlusi puudutavaid kohustuslikke seadusesätteid.

13. Kehtivus ja lõpetamine

Käesolev DPA jõustub kuupäeval, mil Vastutav töötleja Teenuseid esmakordselt installib või kasutab, ning lõpeb automaatselt teenustingimuste lõpetamisega. Sätted, mis oma olemuselt peaksid lõpetamise üle elama (sealhulgas jaotised 5.7, 9, 10 ja 12), jäävad kehtima.

14. Terviklikkus

Käesolev DPA koos teenustingimustega aadressil https://costplus.io/shopify-app-terms.html ja privaatsuspoliitikaga aadressil https://costplus.io/privacy-policy.html, kujutab endast Poolte vahelist täielikku kokkulepet käesoleva DPA eseme osas ning asendab kõik varasemad kokkulepped.

1. lisa — Tehnilised ja organisatsioonilised meetmed

Töötleja rakendab isikuandmete kaitseks järgmisi tehnilisi ja organisatsioonilisi meetmeid:

Krüpteerimine

  • Kõik transiidis olevad andmed on krüpteeritud TLS 1.2 või kõrgema versiooniga; sertifikaate haldab Let's Encrypt automaatse roteerimisega.
  • Shopify API juurdepääsutokenid ja kolmandate osapoolte makseettevõtete volitused on puhkeolekus krüpteeritud AES-256-GCM abil, kasutades rakenduskihi võtmeid, mida haldab HashiCorp Vault Transit või samaväärne võtmehaldussüsteem.
  • Andmebaasi varukoopiad krüpteeritakse enne sidevälisel salvestusruumile ülekandmist.

Juurdepääsukontroll

  • Tootmissüsteemile juurdepääs on piiratud kindlaksmääratud volitatud töötajatega, kellel on isikupõhised kontod, SSH-võtmepõhine autentimine serverile juurdepääsuks ning riistvara-põhine või TOTP mitmefaktoriline autentimine administreerimisliidesele.
  • Rakenduse tasemel kauplejate paroolid on räsitud Argon2id abil mälumahukate parameetritega.
  • Juurdepääs isikuandmetele on logitud ja säilitatud vastavalt DPA jaotisele 9.

Taristu

  • Teenused on majutatud Tier-III või samaväärsetes andmekeskustes, mis asuvad Euroopa Liidus.
  • Loogiline eraldatus test- ja tootmiskeskkondade vahel; tootmisandmeid ei kasutata arendus- ega testikeskkondades.
  • Operatsioonisüsteemide, käituskeskkondade ja kolmandate osapoolte sõltuvuste regulaarne paigaldamine.

Personal

  • Isikuandmetele juurdepääsu omav personal on seotud kirjalike konfidentsiaalsuskohustistega, mis kehtivad ka pärast töösuhte lõppemist.
  • Sisseelamiskoolitus ja perioodiline turvateadlikkuse koolitus kõigile personaliliikmetele, kellel on juurdepääs isikuandmetele või tootmistaristu juurde.

Intsidentidele reageerimine

  • Dokumenteeritud turvaincidentidele reageerimise protseduur, mis hõlmab tuvastamist, ohjeldamist, uurimist, teavitamist (sh vastutavale töötlejale 48 tunni jooksul vastavalt jaotisele 10) ning intsidentijärgset ülevaadet.
  • Intsidentidele reageerimise protseduuride ja kontaktandmete kvartaalne ülevaade.

Andmekao ennetamine

  • Rakenduse taseme juurdepääsukontrollid, mis on piiratud üksikute kaupmeeste ja üksikute sessioonidega; ükski kaupmeest ei saa teise kaupmehe andmetele API kaudu juurde pääseda.
  • Kõigi isikuandmetele juurdepääsude audit-logimine, mida säilitatakse vastavalt jaotisele 9.
  • Krüpteeritud varunduste regulaarsed taastetestid.

Turvaline arendus

  • Lähtekood on majutatud privaatses hoidlas, kus kõik muudatused enne ühendamist vaadatakse kohustuslikult üle.
  • Automaatne sõltuvuste skannimine ja kolmandate osapoolte teekide regulaarne uuendamine.
  • Läbitungimistestimine vähemalt kord aastas, kui teenused jõuavad üldisesse kättesaadavusse.

Lisa 2 — Volitatud alamtöötlejad

Käesoleva DPA viimase uuendamise kuupäeva seisuga on järgmised alamtöötlejad volitatud töötlema isikuandmeid vastutava töötleja nimel:

Volitatud töötlejaEesmärkAsukohtEdastusmehhanism
OVH SASPilvtaristu majutus (arvutus, salvestus, võrk) ja krüpteeritud välised varukoopiadPrantsusmaa (EL)EMP-sisene
SMTP2GOTehingulised ja teavituslikud e-kirjadELEMP-sisene
Cost+ maksete taristu (Costplus OÜ)Makse tokeniseerimine, autoriseerimine, kogumine, tagasimaksmineELEMP-sisene
Ginger PaymentsMaksevahendaja / tehingute suunamineHolland (EL)EMP-sisene
FinteqHubMaksevahendaja / orkestratsioonKüpros ja Leedu (EL)EMP-sisene
ComplyPayPangandus teenusena (BaaS) pakkujaTaani (EL)EMP-sisene
RapydMakse omandamine / töötlemineEL / ÜhendkuningriikEMP-sisene; Ühendkuningriiki edastamine EL–UK adekvaatsusotsuse alusel
SHIFT4Makse omandamine / töötlemineEL / ÜhendkuningriikEMP-sisene; Ühendkuningriiki edastamine EL–UK adekvaatsusotsuse alusel
ElavonMakse omandamine / töötlemineEL / ÜhendkuningriikEMP-sisene; Ühendkuningriiki edastamine EL–UK adekvaatsusotsuse alusel
ClearhausMakse omandamine / töötlemineTaani (EL)EMP-sisene
PayneticsMakse omandamine / e-raha väljastamineBulgaaria (EL)EMP-sisene
DiditIsiku tuvastamine, KYB / KYC / AML vastavusAmeerika Ühendriigid / Hispaania (EL)Standardsed lepingutingimused (GDPR art. 46)

Töötleja haldab selle loendi ajakohast versiooni aadressil https://costplus.io/dpa/sub-processors ning teavitab vastutavat töötlejat kõigist lisandumistest või asendustest vastavalt käesoleva DPA jaotisele 7.2.

Andmetöötluslepingu lõpp.