Tietojenkäsittelysopimus (DPA)

Viimeksi päivitetty: 29. toukokuuta 2026

1. Osapuolet

Tämä tietojenkäsittelysopimus ("DPA") tehdään seuraavien osapuolten välillä:

  • Costplus OÜ, Virossa rekisteröity yhtiö, jonka rekisteröity toimipaikka on Pärnu mnt 139b, 11317 Tallinn, Viro, yritystunnus 16936614 ("Käsittelijä, me, meidät, tai Cost+"); sekä
  • kauppias, joka on asentanut Cost+ Checkout -Shopify-sovelluksen tai muutoin integroitunut Cost+ Checkout -palveluun hyväksymällä palveluehtomme osoitteessa https://costplus.io/shopify-app-terms.html ("Rekisterinpitäjä, Kauppias, tai sinä"),

kumpikin erikseen "Osapuoli ja yhdessä Osapuolet".

Tämä DPA on osa osapuolten välistä palvelusopimusta ja siihen sovelletaan palvelusopimusta. Mikäli tämän DPA:n ja palvelusopimuksen välillä on ristiriita henkilötietojen käsittelyn osalta, tämä DPA on ensisijainen.

2. Määritelmät

Ellei toisin määritellä, isolla alkukirjaimella kirjoitetuilla termeillä on asetuksessa (EU) 2016/679 ("GDPR") annetut merkitykset. Selvyyden vuoksi:

  • "Henkilötieto" tarkoittaa GDPR:n 4 artiklan 1 kohdan mukaista henkilötietoa.
  • "Käsittely" tarkoittaa GDPR:n 4 artiklan 2 kohdan mukaista käsittelyä.
  • "Rekisteröity" tarkoittaa Shopify-asiakasta tai loppukäyttäjää, jonka henkilötietoja käsitellään tämän DPA:n nojalla.
  • "Alikäsittelijä" tarkoittaa kolmatta osapuolta, jonka Käsittelijä on ottanut käsittelemään henkilötietoja Rekisterinpitäjän puolesta.
  • "Palvelut" tarkoittaa Cost+ Checkout -palvelua (Shopify-sovellus, siihen liittyvät API:t ja isännöidyt kassasivut), jonka Käsittelijä tarjoaa Rekisterinpitäjälle palvelusopimuksen nojalla.

3. Käsittelyn kohde, luonne, tarkoitus ja kesto

3.1 Käsittelyn kohde

Käsittelijä käsittelee Rekisterinpitäjän asiakkaiden henkilötietoja Palvelujen tarjoamiseksi. Cost+ Checkout on suppilohallintaväline, joka ohjaa Kauppiaan hallitsemilta sisääntulopisteiltä (esimerkiksi sähköpostikampanjoista, laskeutumissivuilta, sosiaalisen median mainoksista tai suorista Shopify-myymälälinkeistä) saapuvat ostajat yhtenäisen kassaprosessin läpi ja luo vastaavan tilauksen Kauppiaan Shopify-kauppaan maksun jälkeen.

3.2 Käsittelyn luonne ja tarkoitus

Käsittelijä käsittelee henkilötietoja seuraaviin tarkoituksiin:

  • Ostajan yhteystietojen ja toimitusosoitteen kerääminen kassalla;
  • Sovellettavien verojen ja toimitusmaksujen laskeminen Shopifyn omien vero- ja toimituslaskentatoimintojen avulla;
  • Vastaavan Shopify-tilauksen luominen, kun ostaja on suorittanut maksun;
  • Maksujen käsittely Cost+:n maksuinfrastruktuurin tai Kauppiaan määrittämän maksuntarjoajan kautta;
  • Kauppiaan Shopify-hallinnassa käynnistämien palautusten, peruutusten ja toimitustilanteiden heijastaminen takaisin Kauppiaan Cost+ Checkout -konfiguraatioon;
  • Shopifyn vakio-GDPR-webhookien kautta välitettyihin rekisteröidyn pyyntöihin vastaaminen (customers/data_request, customers/redact, shop/redact);
  • Kauppiaalle suunnatun analytiikan tarjoaminen aggregoitujen ja pseudonymisoitujen istuntotietojen pohjalta.

3.3 Kesto

Käsittelijä käsittelee henkilötietoja Palvelujen voimassaoloajan ja säilyttää niitä jäljempänä kohdassa 9 määriteltyjen jaksojen ajan.

4. Henkilötietotyypit ja rekisteröityjen ryhmät

4.1 Henkilötietotyypit

  • Etu- ja sukunimi;
  • Sähköpostiosoite;
  • Puhelinnumero (jos annettu);
  • Toimitusosoite (katu, kaupunki, postinumero, maa, valinnainen osoiterivi 2, maakunta/osavaltio);
  • Laskutusosoite (samat kentät);
  • Tilaustiedot, mukaan lukien tilausrivit, tuotetunnisteet, määrät, hinnat, käytetyt alennuskoodit, tilauksen loppusumma, valuutta ja toimitustila;
  • Maksuun liittyvät metatiedot (maksutapatunnus tai viite, valtuutus- ja veloitustunnisteet) — huomio: täydelliset ensisijaiset tilinumerot (PAN) eivät koskaan tallennu Käsittelijän järjestelmiin; ne tokenisoidaan Cost+:n PCI DSS -vaatimukset täyttävässä maksuinfrastruktuurissa tai Kauppiaan määrittämän maksuntarjoajan toimesta.

4.2 Rekisteröityjen ryhmät

  • Rekisterinpitäjän asiakkaat (ostajat), jotka suorittavat kassan Cost+ Checkoutin kautta.

5. Käsittelijän velvoitteet

Käsittelijän on:

5.1 Dokumentoidut ohjeet

Käsiteltävä henkilötietoja ainoastaan Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, myös henkilötietojen siirtojen osalta kolmanteen maahan tai kansainväliselle järjestölle, ellei sovellettava EU-oikeus tai jäsenvaltion lainsäädäntö edellytä muuta. Tällaisessa tapauksessa Käsittelijän on ilmoitettava kyseisestä oikeudellisesta vaatimuksesta Rekisterinpitäjälle ennen käsittelyn aloittamista, ellei kyseinen laki kiellä tällaista ilmoitusta tärkeän yleisen edun vuoksi. Osapuolet sopivat, että palvelusopimus, tämä DPA ja Rekisterinpitäjän Palvelujen käyttö vakioasetusten kautta muodostavat GDPR:n 28 artiklan 3 kohdan a alakohdassa tarkoitetut dokumentoidut ohjeet.

5.2 Salassapitovelvollisuus

Varmistettava, että henkilötietoja käsittelemään oikeutetut henkilöt ovat sitoutuneet salassapitoon tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus.

5.3 Turvatoimenpiteet

Toteutettava GDPR:n 32 artiklan edellyttämät asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi. Yhteenveto näistä toimenpiteistä on esitetty liitteessä 1. Rekisterinpitäjä hyväksyy, että liitettä 1 voidaan päivittää ajoittain Käsittelijän tietoturvatason parannusten johdosta, eikä tällainen päivitys johda turvallisuustason olennaiseen heikentymiseen.

5.4 Alikäsittelijät

Käytettävä alikäsittelijöitä ainoastaan jäljempänä kohdan 7 ehtojen mukaisesti.

5.5 Rekisteröityjen oikeuksien käyttämisen avustaminen

Otettava huomioon käsittelyn luonne ja avustettava Rekisterinpitäjää asianmukaisin teknisin ja organisatorisin toimenpitein, siltä osin kuin se on mahdollista, GDPR:n III luvun mukaisten rekisteröidyn oikeuksia koskeviin pyyntöihin vastaamista koskevan velvollisuuden täyttämisessä.

5.6 Rekisterinpitäjän muiden velvoitteiden täyttämisessä avustaminen

Avustettava Rekisterinpitäjää GDPR:n 32–36 artiklan mukaisten velvoitteiden täyttämisessä ottaen huomioon käsittelyn luonne ja Käsittelijän käytettävissä olevat tiedot.

5.7 Palauttaminen tai poistaminen Palvelujen päättyessä

Rekisterinpitäjän valinnan mukaan poistettava tai palautettava kaikki henkilötiedot Rekisterinpitäjälle Palvelujen päätyttyä ja poistettava olemassa olevat kopiot, ellei EU-oikeus tai jäsenvaltion lainsäädäntö edellytä henkilötietojen säilyttämistä. Käsittelijän on poistettava henkilötiedot 90 päivän kuluessa Palvelujen päättymisestä, paitsi jos kohta 9 edellyttää pidempää säilytysaikaa.

5.8 Käsittelytoimien rekisteri

Ylläpidettävä kirjallista rekisteriä kaikista Rekisterinpitäjän puolesta suoritettavista käsittelytoimien luokista GDPR:n 30 artiklan 2 kohdan mukaisesti.

5.9 Tarkastukset

Annettava Rekisterinpitäjän käyttöön kaikki tiedot, jotka ovat tarpeen GDPR:n 28 artiklan noudattamisen osoittamiseksi, sekä sallittava ja myötävaikutettava tarkastuksiin, mukaan lukien Rekisterinpitäjän tai sen valtuuttaman tarkastajan suorittamiin tarkastuksiin. Rekisterinpitäjä vastaa tarkastusten kustannuksista siltä osin kuin ne ylittävät Rekisterinpitäjälle jo Palvelujen kautta saatavilla olevan vakiotiedon toimittamisen. Rekisterinpitäjän on annettava kohtuullinen ennakkoilmoitus (vähintään 30 päivää), suoritettava tarkastukset normaalina työaikana eikä häirittävä Käsittelijän toimintaa.

6. Rekisterinpitäjän velvoitteet

Rekisterinpitäjä vakuuttaa, että:

  • Se on vahvistanut GDPR:n 6 artiklan (ja tarvittaessa 9 artiklan) mukaisen pätevän oikeusperustan kaikille henkilötiedoille, jotka se asettaa Käsittelijän saataville Palvelujen kautta;
  • Se on toimittanut kaikki GDPR:n 13 ja 14 artiklan mukaiset tietosuojailmoitukset rekisteröidyille, mukaan lukien tiedon siitä, että kassaprosessin ja tilaustietojen käsittelyyn käytetään Cost+ Checkoutia;
  • Se on asianmukaisesti konfiguroinut Cost+ Checkoutin (mukaan lukien prosessisäännöt, sallitut maat, maksutavat ja mahdolliset mukautetut skriptit tai lohkot) siten, että Palvelut käsittelevät ainoastaan Kauppiaan laillisiin tarkoituksiin tarpeellisia henkilötietoja;
  • Se vastaa Käsittelijän välittämiin rekisteröityjen pyyntöihin lain edellyttämissä määräajoissa.

7. Alikäsittelijät

7.1 Yleinen valtuutus

Rekisterinpitäjä antaa Käsittelijälle yleisen valtuutuksen käyttää alikäsittelijöitä Palvelujen suorittamisessa. Luettelo nykyisistä alikäsittelijöistä on liitteessä 2 ja sitä päivitetään ajoittain.

7.2 Ilmoitus muutoksista

Käsittelijän on ilmoitettava Rekisterinpitäjälle alikäsittelijäluetteloon suunnitelluista muutoksista (lisäykset tai vaihdokset) vähintään 30 päivää etukäteen, jotta Rekisterinpitäjällä on mahdollisuus vastustaa muutoksia perustelluista syistä. Jos Rekisterinpitäjä vastustaa muutosta eikä osapuolet pääse ratkaisuun 30 päivän kuluessa, Rekisterinpitäjä voi irtisanoa kyseisen Palvelujen osan mukavuussyistä.

7.3 Velvoitteiden siirtäminen

Käsittelijän on sopimuksella asettava jokaiselle alikäsittelijälle samat tietosuojavelvoitteet kuin tässä DPA:ssa on määritelty, ja Käsittelijä vastaa Rekisterinpitäjälle täysimääräisesti kunkin alikäsittelijän velvoitteiden täyttämisestä.

8. Kansainväliset tietojen siirrot

8.1 Ensisijainen isännöinti

Käsittelijä isännöi Palveluja Euroopan unionissa ja käsittelee henkilötietoja ensisijaisesti EU:n/ETA:n alueella. Jotkin valtuutetut alikäsittelijät (esimerkiksi tietyt maksujen hankintakumppanit) sijaitsevat ETA:n ulkopuolella; tällaisissa tapauksissa Käsittelijä varmistaa, että siirto on suojattu vastaavuuspäätöksellä tai vakiosopimuslausekkeilla kohdan 8.2 mukaisesti, ja yksilöi asianomaiset alikäsittelijät liitteessä 2.

8.2 Alikäsittelijöitä koskevat siirrot

Kun alikäsittelijä sijaitsee EU:n/ETA:n ulkopuolella, Käsittelijä varmistaa, että siirrot perustuvat GDPR:n 45 artiklan mukaiseen vastaavuuspäätökseen, Euroopan komission hyväksymiin vakiosopimuslausekkeisiin (moduuli 2: rekisterinpitäjältä käsittelijälle tai moduuli 3: käsittelijältä käsittelijälle, tarpeen mukaan) tai muuhun GDPR:n V luvun mukaiseen pätevään siirtomekanismiin.

8.3 Jatkosiirrot

Shopify toimii itsenäisenä rekisterinpitäjänä sen asiakastiedon osalta, jonka Rekisterinpitäjä on syöttänyt Shopify-kauppaansa. Käsittelijän Shopifyltä vastaanottamat tiedot ja Shopifylle palautetut tilaukset kuuluvat Shopifyn omien tietosuojaehtojen piiriin Kauppiaan kanssa, eikä niitä pidetä jatkosiirtoina tämän DPA:n nojalla.

9. Säilyttäminen ja poistaminen

Käsittelijä säilyttää henkilötietoja seuraavien jaksojen ajan:

  • Aktiiviset istuntotiedot (kesken olevat kassaistunnot, jotka eivät ole päättyneet): poistetaan 30 päivää istunnon vanhentumisen jälkeen;
  • Valmistuneet tilaustiedot (istunnot, joista syntyi Shopify-tilaus): säilytetään 7 vuotta vero- ja kirjanpitolainsäädännön säilytysvaatimusten täyttämiseksi Virossa ja useimmissa EU-maissa, minkä jälkeen poistetaan;
  • Maksutunnisteet ja valtuutustietueet: säilytetään kyseisen maksutavan säilytysajan mukaisesti (tyypillisesti 7 vuotta);
  • Lokitiedot (pyyntölokit, webhook-toimituslokit): säilytetään 90 päivää, minkä jälkeen kierrätetään pois;
  • Tarkastus- ja tietoturvatapahtumalokit: säilytetään 1 vuosi.

Palvelujen päättyessä Käsittelijän on poistettava tai palautettava henkilötiedot edellä kohdan 5.7 mukaisesti, sovellettavan lainsäädännön edellyttämiä säilytysaikoja noudattaen.

10. Tietoturvaloukkausilmoitukset

Käsittelijän on ilmoitettava Rekisterinpitäjälle ilman aiheetonta viivästystä ja joka tapauksessa 48 tunnin kuluessa siitä, kun se on saanut tiedon Rekisterinpitäjän tietoja koskevasta henkilötietojen tietoturvaloukkauksesta. Ilmoituksen on sisällettävä vähintään GDPR:n 33 artiklan 3 kohdassa vaaditut tiedot siltä osin kuin ne ovat saatavilla, ja sitä täydennetään, kun lisätietoja tulee saataville.

11. Vastuu

Osapuolten vastuu tämän DPA:n nojalla on palvelusopimuksen vastuumääräysten alainen, paitsi että palvelusopimuksen vastuunrajoitukset eivät poissulje tai rajoita vastuuta asioissa, joiden osalta tällainen poissulkeminen tai rajoittaminen olisi sovellettavan tietosuojalainsäädännön vastaista.

12. Sovellettava laki ja tuomioistuimen toimivalta

Tähän DPA:han sovelletaan Viron lakia, lukuun ottamatta sen lainvalintasääntöjä. Osapuolet alistuvat Harju Maakoikuksen yksinomaiseen toimivaltaan tähän DPA:han liittyvissä tai siitä johtuvissa riita-asioissa, jollei pakottavista säännöksistä muuta johdu kuluttajia tai rekisteröityjä koskevassa toimivaltakysymyksessä.

13. Voimassaolo ja irtisanominen

Tämä DPA tulee voimaan, kun Rekisterinpitäjä ensimmäistä kertaa asentaa tai käyttää Palveluja, ja päättyy automaattisesti palvelusopimuksen päättyessä. Luonteeltaan irtisanomisen jälkeen voimassa pysyvät ehdot (mukaan lukien kohdat 5.7, 9, 10 ja 12) jäävät voimaan.

14. Täydellinen sopimus

Tämä DPA yhdessä osoitteessa https://costplus.io/shopify-app-terms.html olevan palvelusopimuksen ja osoitteessa https://costplus.io/privacy-policy.html olevan tietosuojakäytännön kanssa muodostaa osapuolten välisen täydellisen sopimuksen sen kohteen osalta ja korvaa kaikki aiemmat sopimukset.

Liite 1 — Tekniset ja organisatoriset toimenpiteet

Käsittelijä toteuttaa seuraavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi:

Salaus

  • Kaikki siirrettävä data on salattu TLS 1.2:lla tai uudemmalla, ja varmenteita hallitaan Let's Encryptin kautta automaattisella rotaatiolla.
  • Shopify API-käyttöoikeustunnukset ja kolmansien osapuolten maksuntarjoajien tunnistetiedot salataan lepotilassa AES-256-GCM-salauksella, jonka sovelluskerroksen avaimia hallinnoidaan HashiCorp Vault Transit -järjestelmällä tai vastaavalla avaintenhallintajärjestelmällä.
  • Tietokantavarmuuskopiot salataan ennen siirtoa ulkoiseen tallennuspaikkaan.

Käyttöoikeuksien hallinta

  • Tuotantojärjestelmien käyttö on rajattu määritellylle joukolle valtuutettuja henkilöitä, joilla on yksilöllisesti tunnistettavat tilit, SSH-avainpohjainen todentaminen palvelinkäyttöön sekä laitteistopohjainen tai TOTP-monivaiheinen todennus hallintaliittymiin.
  • Sovelluskerroksen kauppiassalasanat tiivistetään Argon2id-algoritmilla muistiraskailla parametreilla.
  • Henkilötietoihin kohdistuvat käyttötapahtumat kirjataan lokiin ja säilytetään DPA:n kohdan 9 mukaisesti.

Infrastruktuuri

  • Palvelut isännöidään Tier-III-tasoisissa tai vastaavissa konesaleissa, jotka sijaitsevat Euroopan unionin alueella.
  • Looginen erottelu testi- ja tuotantoympäristöjen välillä; tuotantodataa ei käytetä kehitys- tai testausympäristöissä.
  • Käyttöjärjestelmien, ajonaikaisten ympäristöjen ja kolmannen osapuolen riippuvuuksien säännöllinen korjauspäivitys.

Henkilöstö

  • Henkilötietoihin pääsyä omaavia henkilöstön jäseniä sitovat kirjalliset salassapitovelvoitteet, jotka jatkuvat työsuhteen päättymisen jälkeen.
  • Perehdytys ja säännöllinen tietoturvatietoisuuskoulutus kaikelle henkilöstölle, jolla on pääsy henkilötietoihin tai tuotantoinfrastruktuuriin.

Tapahtumanhallinta

  • Dokumentoitu tietoturvapoikkeamien hallintamenettely, joka kattaa havaitsemisen, rajoittamisen, tutkinnan, ilmoittamisen (mukaan lukien rekisterinpitäjälle 48 tunnin kuluessa kohdan 10 mukaisesti) ja poikkeaman jälkeisen arvioinnin.
  • Tapahtumanhallintamenettelyjen ja yhteystietojen neljännesvuosittainen tarkistus.

Tietohävikkien ehkäisy

  • Sovelluskerroksen käyttöoikeusvalvonta on rajattu yksittäisille kauppiaille ja istunnoille; yksikään kauppias ei voi käyttää toisen kauppiaan tietoja API:n kautta.
  • Kaikkien henkilötietoihin kohdistuvien käyttötapahtumien auditointiloki, säilytetään kohdan 9 mukaisesti.
  • Salattujen varmuuskopioiden säännölliset palautustestit.

Turvallinen kehitys

  • Lähdekoodi säilytetään yksityisessä repositoriossa, jossa kaikkien muutosten katselmointi ennen yhdistämistä on pakollista.
  • Automatisoitu riippuvuuksien skannaus ja kolmannen osapuolen kirjastojen säännölliset päivitykset.
  • Penetraatiotestaus vähintään vuosittain, kun palvelut saavuttavat yleisen saatavuuden.

Liite 2 — Valtuutetut alihenkilötietojenkäsittelijät

Tämän DPA:n viimeisimmän päivityspäivän mukaisesti seuraavat alihenkilötietojenkäsittelijät ovat valtuutettuja käsittelemään henkilötietoja rekisterinpitäjän puolesta:

AlikäsittelijäTarkoitusSijaintiSiirtomekanismi
OVH SASPilvi-infrastruktuurin isännöinti (laskenta, tallennus, verkko) ja salatut ulkoiset varmuuskopiotRanska (EU)Intra-EEA
SMTP2GOTapahtumapohjaiset sähköpostit ja ilmoitussähköpostitEUIntra-EEA
Cost+ -maksuinfrastruktuuri (Costplus OÜ)Maksujen tokenisaatio, valtuutus, veloitus, palautusEUIntra-EEA
Ginger PaymentsMaksuväylä / tapahtumien reititysAlankomaat (EU)Intra-EEA
FinteqHubMaksuväylä / orkestrointiKypros ja Liettua (EU)Intra-EEA
ComplyPayBanking-as-a-Service (BaaS) -palveluntarjoajaTanska (EU)Intra-EEA
RapydMaksujenkäsittely / -hankintaEU / Yhdistynyt kuningaskuntaIntra-EEA; Yhdistyneen kuningaskunnan siirrot EU–UK-riittävyyspäätöksen nojalla
SHIFT4Maksujenkäsittely / -hankintaEU / Yhdistynyt kuningaskuntaIntra-EEA; Yhdistyneen kuningaskunnan siirrot EU–UK-riittävyyspäätöksen nojalla
ElavonMaksujenkäsittely / -hankintaEU / Yhdistynyt kuningaskuntaIntra-EEA; Yhdistyneen kuningaskunnan siirrot EU–UK-riittävyyspäätöksen nojalla
ClearhausMaksujenkäsittely / -hankintaTanska (EU)Intra-EEA
PayneticsMaksujen hankinta / sähköisen rahan liikkeeseenlaskuBulgaria (EU)Intra-EEA
DiditHenkilöllisyyden varmennus, KYB / KYC / AML-vaatimustenmukaisuusYhdysvallat / Espanja (EU)Vakiosopimuslausekkeet (Art. 46 GDPR)

Henkilötietojenkäsittelijä ylläpitää ajantasaista versiota tästä listasta osoitteessa https://costplus.io/dpa/sub-processors ja ilmoittaa rekisterinpitäjälle kaikista lisäyksistä tai korvauksista tämän DPA:n kohdan 7.2 mukaisesti.

Tietojenkäsittelysopimus päättyy tähän.