Adatfeldolgozási Megállapodás (DPA)

Utolsó frissítés: 2026. május 29.

1. Felek

Ez az Adatfeldolgozási Megállapodás („DPA") az alábbi felek között jön létre:

  • Costplus OÜ, Észtországban bejegyzett társaság, székhelye: Pärnu mnt 139b, 11317 Tallinn, Észtország, cégjegyzékszáma: 16936614 („Adatfeldolgozó"„mi"„minket" vagy „Cost+"); és
  • az a kereskedő, aki telepítette a Cost+ Checkout Shopify alkalmazást, vagy egyéb módon integrálódott a Cost+ Checkout szolgáltatással, elfogadva a Szolgáltatási Feltételeinket a következő címen: https://costplus.io/shopify-app-terms.html („Adatkezelő"„Kereskedő" vagy „Ön"),

külön-külön „Fél", együttesen „Felek".

Ez a DPA a Felek közötti Szolgáltatási Feltételek részét képezi, és azoknak van alárendelve. A DPA és a Szolgáltatási Feltételek között a személyes adatok kezelésére vonatkozóan fennálló bármely ellentmondás esetén ez a DPA az irányadó.

2. Fogalommeghatározások

Eltérő meghatározás hiányában a nagybetűvel írt fogalmak az (EU) 2016/679 rendeletben („GDPR") megadott jelentéssel bírnak. A könnyebb hivatkozás érdekében:

  • Személyes adat" a GDPR 4. cikk (1) bekezdésében meghatározott fogalommal bír.
  • Adatkezelés" a GDPR 4. cikk (2) bekezdésében meghatározott fogalommal bír.
  • Érintett" jelent minden olyan Shopify ügyfelet vagy végfelhasználót, akinek személyes adatait e DPA alapján kezelik.
  • Alfeldolgozó" jelent minden olyan harmadik felet, akit az Adatfeldolgozó az Adatkezelő nevében végzett adatkezelés céljából vesz igénybe.
  • Szolgáltatások" jelenti a Cost+ Checkout szolgáltatást (a Shopify alkalmazást, a kapcsolódó API-kat és a tárolt fizetési oldalakat), amelyet az Adatfeldolgozó nyújt az Adatkezelőnek a Szolgáltatási Feltételek alapján.

3. Az adatkezelés tárgya, jellege, célja és időtartama

3.1 Az adatkezelés tárgya

Az Adatfeldolgozó az Adatkezelő ügyfeleire vonatkozó személyes adatokat a Szolgáltatások nyújtása céljából kezeli. A Cost+ Checkout egy tölcsér-koordinációs eszköz, amely a Kereskedő által irányított belépési pontokon (például e-mail-kampányokon, céloldalakon, közösségi médián megjelenő hirdetéseken vagy közvetlen Shopify áruházi linkeken) érkező vásárlókat egyetlen, egységes vásárlási élményen vezeti végig, és a fizetés teljesítése után létrehozza a megfelelő rendelést a Kereskedő Shopify áruházában.

3.2 Az adatkezelés jellege és célja

Az Adatfeldolgozó a személyes adatokat az alábbi célokból kezeli:

  • A vásárló kapcsolattartási és szállítási adatainak gyűjtése a fizetési folyamat során;
  • Az alkalmazandó adók és szállítási díjak kiszámítása a Shopify saját adó- és szállítási díj kalkulációs szolgáltatásain keresztül;
  • A megfelelő Shopify rendelés létrehozása a vásárló fizetésének teljesítése után;
  • Fizetések feldolgozása a Cost+ fizetési infrastruktúráján vagy a Kereskedő által beállított fizetési szolgáltatón keresztül;
  • A Kereskedő Shopify adminisztrációjában kezdeményezett visszatérítések, lemondások és teljesítési események visszatükrözése a Kereskedő Cost+ Checkout konfigurációjába;
  • A Shopify által a szabványos GDPR webhookokon (customers/data_request, customers/redact, shop/redact) továbbított érintetti kérelmek megválaszolása;
  • Összesített és álnevesített munkamenet-adatokból származtatott, kereskedői analitika biztosítása.

3.3 Időtartam

Az Adatfeldolgozó a Szolgáltatások nyújtásának teljes időtartama alatt kezeli a személyes adatokat, és azokat az alábbi 9. szakaszban meghatározott időtartamokig tárolja.

4. A személyes adatok típusai és az érintettek kategóriái

4.1 A személyes adatok típusai

  • Vezetéknév és utónév;
  • E-mail-cím;
  • Telefonszám (ha megadásra került);
  • Szállítási cím (utca, város, irányítószám, ország, opcionális 2. cím sor, megye/állam);
  • Számlázási cím (azonos mezők);
  • Rendelési adatok, beleértve a tételeket, termékazonosítókat, mennyiségeket, árakat, alkalmazott kedvménykódokat, rendelés végösszegét, pénznemet és teljesítési állapotot;
  • Fizetéssel kapcsolatos metaadatok (fizetési mód token vagy hivatkozás, jóváhagyási és rögzítési azonosítók) — megjegyzés: a teljes elsődleges számlaszámok (PAN) soha nem kerülnek be az Adatfeldolgozó rendszereibe; azokat a Cost+ PCI DSS-kompatibilis fizetési infrastruktúrája vagy a Kereskedő által beállított fizetési szolgáltató tokenizálja.

4.2 Az érintettek kategóriái

  • Az Adatkezelő azon ügyfelei (vásárlói), akik a Cost+ Checkout-on keresztül teljesítik a vásárlást.

5. Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó köteles:

5.1 Dokumentált utasítások

A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezelni, beleértve a személyes adatok harmadik országba vagy nemzetközi szervezethez történő továbbítását is, kivéve, ha az Adatfeldolgozóra alkalmazandó uniós vagy tagállami jog ezt megköveteli. Ilyen esetben az Adatfeldolgozó az adatkezelés megkezdése előtt tájékoztatja az Adatkezelőt az adott jogi követelményről, kivéve, ha az adott jog fontos közérdekre hivatkozva tiltja az ilyen tájékoztatást. A Felek megállapodnak abban, hogy a Szolgáltatási Feltételek, ez a DPA, valamint az Adatkezelő által a standard konfigurációs lehetőségeken keresztüli Szolgáltatás-igénybevétel a GDPR 28. cikk (3) bekezdés a) pontja szerinti dokumentált utasításoknak minősül.

5.2 Titoktartás

Gondoskodni arról, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy megfelelő jogszabályi titoktartási kötelezettség terheli őket.

5.3 Biztonsági intézkedések

A GDPR 32. cikkének megfelelően megfelelő technikai és szervezeti intézkedéseket végrehajtani a kockázattal arányos biztonsági szint biztosítása érdekében. Ezen intézkedések összefoglalója az 1. mellékletben található. Az Adatkezelő tudomásul veszi, hogy az 1. melléklet időről időre frissülhet az Adatfeldolgozó biztonsági helyzetének javulásával összefüggésben, és hogy az ilyen frissítés nem eredményezi a biztonsági szint lényeges csökkentését.

5.4 Alfeldolgozók

Alfeldolgozókat kizárólag az alábbi 7. szakaszban foglalt feltételek szerint igénybe venni.

5.5 Segítségnyújtás az érintetti jogok gyakorlásához

Az adatkezelés jellegét figyelembe véve, megfelelő technikai és szervezeti intézkedésekkel – amennyire lehetséges – segíteni az Adatkezelőt a GDPR III. fejezete szerinti érintetti jogok gyakorlására irányuló kérelmek teljesítésére vonatkozó kötelezettség teljesítésében.

5.6 Segítségnyújtás az Adatkezelő egyéb kötelezettségeihez

Az adatkezelés jellegét és az Adatfeldolgozó rendelkezésére álló információkat figyelembe véve segíteni az Adatkezelőt a GDPR 32–36. cikke szerinti kötelezettségek teljesítésében.

5.7 Visszaszolgáltatás vagy törlés a Szolgáltatások végén

Az Adatkezelő választásától függően az adatkezeléssel összefüggő Szolgáltatások nyújtásának megszűnése után valamennyi személyes adatot törölni vagy visszaszolgáltatni az Adatkezelőnek, és a meglévő másolatokat törölni, kivéve, ha az uniós vagy tagállami jog a személyes adatok tárolását előírja. Az Adatfeldolgozó a Szolgáltatások megszűnésétől számított 90 napon belül törli a személyes adatokat, kivéve, ha a 9. szakasz hosszabb megőrzést ír elő.

5.8 Az adatkezelési tevékenységek nyilvántartása

Az Adatkezelő nevében végzett összes adatkezelési tevékenység kategóriájáról írásos nyilvántartást vezetni a GDPR 30. cikk (2) bekezdésének megfelelően.

5.9 Ellenőrzések

Az Adatkezelő rendelkezésére bocsátani minden olyan információt, amely a GDPR 28. cikknek való megfelelés igazolásához szükséges, valamint lehetővé tenni és elősegíteni az Adatkezelő vagy az Adatkezelő által megbízott más auditor által végzett ellenőrzéseket, beleértve a helyszíni vizsgálatokat is. Az Adatkezelő viseli az olyan ellenőrzések költségét, amelyek meghaladják a Szolgáltatásokon keresztül az Adatkezelő számára már rendelkezésre álló standard információk biztosítását. Az Adatkezelő ésszerű előzetes értesítést ad (legalább 30 nappal korábban), az ellenőrzéseket rendes munkaidőben végzi, és nem zavarja meg az Adatfeldolgozó működését.

6. Az Adatkezelő kötelezettségei

Az Adatkezelő szavatolja, hogy:

  • Érvényes jogalapot állapított meg a GDPR 6. cikke (és adott esetben a GDPR 9. cikke) alapján minden olyan személyes adat tekintetében, amelyet a Szolgáltatásokon keresztül az Adatfeldolgozó rendelkezésére bocsát;
  • Az érintetteket a GDPR 13. és 14. cikke szerint minden szükséges átláthatósági információval ellátta, beleértve azt a tényt, hogy a fizetési és rendelési adatok feldolgozásához a Cost+ Checkout-ot használja;
  • A Cost+ Checkout-ot megfelelően konfigurálta (beleértve a folyamatszabályokat, az engedélyezett országokat, a fizetési módokat és az egyéni szkripteket vagy blokkokat) annak érdekében, hogy a Szolgáltatások csak a Kereskedő jogszerű céljai szempontjából szükséges személyes adatokat kezeljék;
  • Az Adatfeldolgozó által továbbított érintetti kérelmekre a jogszabály által előírt határidőn belül válaszol.

7. Alfeldolgozók

7.1 Általános felhatalmazás

Az Adatkezelő általános felhatalmazást ad az Adatfeldolgozónak arra, hogy alfeldolgozókat vegyen igénybe a Szolgáltatások teljesítéséhez. A jelenlegi alfeldolgozók listája a 2. mellékletben található, és időről időre frissül.

7.2 Változásokról szóló értesítés

Az Adatfeldolgozó legalább 30 nappal előre tájékoztatja az Adatkezelőt az alfeldolgozók listájának tervezett változásairól (hozzáadás vagy csere), lehetőséget adva az Adatkezelőnek arra, hogy ésszerű indokkal kifogást emeljen. Ha az Adatkezelő kifogást emel, és a Felek 30 napon belül nem jutnak megállapodásra, az Adatkezelő felmondhatja az érintett Szolgáltatások azon részét, amelyre a kifogás vonatkozik.

7.3 Kötelezettségek továbbhárítása

Az Adatfeldolgozó minden alfeldolgozóra szerződéses úton ugyanolyan adatvédelmi kötelezettségeket ró ki, mint amelyek ebben a DPA-ban szerepelnek, és teljes mértékben felelős marad az Adatkezelővel szemben minden alfeldolgozó kötelezettségeinek teljesítéséért.

8. Nemzetközi adattovábbítás

8.1 Elsődleges tárhelyszolgáltatás

Az Adatfeldolgozó az Európai Unióban tárolja a Szolgáltatásokat, és a személyes adatokat elsősorban az EU/EGT-n belül kezeli. Egyes engedélyezett alfeldolgozók (például bizonyos fizetési acquirer partnerek) az EGT-n kívül találhatók; ilyen esetben az Adatfeldolgozó gondoskodik arról, hogy az adattovábbítást megfelelőségi határozat vagy a 8.2 szakaszban meghatározott általános szerződési feltételek védjék, és az érintett alfeldolgozókat a 2. mellékletben azonosítja.

8.2 Alfeldolgozói adattovábbítás

Ha egy alfeldolgozó az EU/EGT-n kívül található, az Adatfeldolgozó gondoskodik arról, hogy az adattovábbítást a GDPR 45. cikke szerinti megfelelőségi határozat, az Európai Bizottság által elfogadott általános szerződési feltételek (2. modul: adatkezelőtől adatfeldolgozóhoz, vagy 3. modul: adatfeldolgozótól adatfeldolgozóhoz, az adott esettől függően), vagy a GDPR V. fejezete szerinti más érvényes adattovábbítási mechanizmus fedezze.

8.3 Továbbított adatok kezelése

A Shopify önálló adatkezelőként jár el az Adatkezelő által saját Shopify áruházába bevitt ügyféladatok tekintetében. Az Adatfeldolgozó általi ilyen adatok Shopifytól való átvétele, valamint a Shopify által létrehozott rendelési adatok visszaküldése a Shopify-nak az Adatkezelő és a Shopify között fennálló adatvédelmi feltételek hatálya alá esik, és nem minősül e DPA szerinti továbbított adatnak.

9. Megőrzés és törlés

Az Adatfeldolgozó a személyes adatokat az alábbi időtartamokig őrzi meg:

  • Aktív munkamenet-adatok (folyamatban lévő, még nem befejezett fizetési munkamenetek): törlés a munkamenet lejártát követő 30 nappal;
  • Befejezett rendelési adatok (Shopify rendelést eredményező munkamenetek): 7 évig megőrzendők az észtországi és a legtöbb uniós joghatóságban érvényes adó- és számviteli jogi megőrzési követelmények teljesítése céljából, majd törlés;
  • Fizetési tokenek és jóváhagyási nyilvántartások: az érintett fizetési mód megőrzési idejéig megőrzendők (jellemzően 7 év);
  • Naplóadatok (kérésnaplók, webhook-kézbesítési naplók): 90 napig megőrzendők, majd rotálás;
  • Audit / biztonsági eseménynaplók: 1 évig megőrzendők.

A Szolgáltatások megszűnésekor az Adatfeldolgozó törli vagy visszaszolgáltatja a személyes adatokat a fenti 5.7 szakaszban foglaltak szerint, az alkalmazandó jog által előírt megőrzési időszakokra is figyelemmel.

10. Adatvédelmi incidens bejelentése

Az Adatfeldolgozó indokolatlan késedelem nélkül, de legkésőbb az Adatkezelő adatait érintő személyes adatvédelmi incidens tudomására jutásától számított 48 órán belül értesíti az Adatkezelőt. Az értesítés legalább a GDPR 33. cikk (3) bekezdése által előírt, rendelkezésre álló információkat tartalmazza, és a további információk megismerésével folyamatosan frissítésre kerül.

11. Felelősség

A Felek e DPA szerinti felelőssége a Szolgáltatási Feltételek felelősségi rendelkezéseinek hatálya alá esik, azzal a kivétellel, hogy a Szolgáltatási Feltételekben szereplő felelősségkorlátozás nem zárja ki vagy korlátozza a felelősséget olyan esetekben, amelyekre vonatkozóan az alkalmazandó adatvédelmi jog alapján az ilyen kizárás vagy korlátozás jogellenes lenne.

12. Irányadó jog és joghatóság

Ezt a DPA-t Észtország jogszabályai szabályozzák, a kollíziós jogi szabályok figyelembevétele nélkül. A Felek alávetik magukat a Harju Megyei Bíróság kizárólagos joghatóságának az e DPA-ból eredő vagy azzal összefüggő jogviták tekintetében, a fogyasztói vagy érintetti jogvitákra vonatkozó kötelező joghatósági rendelkezések fenntartásával.

13. Hatályba lépés és megszűnés

Ez a DPA azon a napon lép hatályba, amikor az Adatkezelő először telepíti vagy igénybe veszi a Szolgáltatásokat, és automatikusan megszűnik a Szolgáltatási Feltételek megszűnésekor. Az olyan rendelkezések, amelyeknek természetüknél fogva a megszűnés után is hatályban kell maradniuk (beleértve az 5.7, 9, 10 és 12 szakaszokat), a megszűnés után is hatályban maradnak.

14. Teljes megállapodás

Ez a DPA, a következő helyen elérhető Szolgáltatási Feltételekkel együtt: https://costplus.io/shopify-app-terms.html, valamint a következő helyen elérhető Adatvédelmi Tájékoztatóval: https://costplus.io/privacy-policy.html, a Felek közötti teljes megállapodást képezi a tárgyában, és felváltja az összes korábbi megegyezést.

1. melléklet — Technikai és szervezeti intézkedések

Az Adatfeldolgozó az alábbi technikai és szervezeti intézkedéseket alkalmazza a személyes adatok védelme érdekében:

Titkosítás

  • Az átvitel alatt lévő összes adat titkosítva van TLS 1.2 vagy magasabb verzió használatával, a tanúsítványokat a Let's Encrypt kezeli automatikus megújítással.
  • A Shopify API hozzáférési tokenek és harmadik féltől származó fizetési szolgáltató hitelesítő adatai AES-256-GCM titkosítással, HashiCorp Vault Transit vagy egyenértékű kulcskezelő rendszer által kezelt alkalmazásszintű kulcsokkal vannak titkosítva tárolás közben.
  • Az adatbázis biztonsági mentései titkosítva kerülnek átvitelre a helyszínen kívüli tárolóhelyre.

Hozzáférés-ellenőrzés

  • Az éles rendszerekhez való hozzáférés egy meghatározott, arra jogosult személyi körre korlátozott, egyedileg azonosítható fiókokkal, SSH-kulcs alapú hitelesítéssel a szervereléréshez, valamint hardver alapú vagy TOTP többfaktoros hitelesítéssel az adminisztrációs felületekhez.
  • Az alkalmazásszintű kereskedői jelszavak Argon2id algoritmussal, memóriaigényes paraméterekkel vannak kivonatolva.
  • A személyes adatokhoz való hozzáférés naplózásra kerül, és a DPA 9. szakaszának megfelelően megőrzésre kerül.

Infrastruktúra

  • A szolgáltatások Tier-III vagy azzal egyenértékű, az Európai Unión belül található adatközpontokban üzemelnek.
  • Logikai szétválasztás a teszt- és éles környezetek között; éles adatok nem kerülnek felhasználásra fejlesztési vagy tesztelési környezetekben.
  • Az operációs rendszerek, futtatókörnyezetek és harmadik féltől származó függőségek rendszeres frissítése.

Személyzet

  • A személyes adatokhoz hozzáférő személyzet írásbeli titoktartási kötelezettséggel van kötve, amely a munkaviszony megszűnése után is érvényes.
  • Bevezetési és rendszeres biztonsági tudatossági képzés minden olyan személyzet számára, aki személyes adatokhoz vagy éles infrastruktúrához fér hozzá.

Incidenskezelés

  • Dokumentált biztonsági incidenskezelési eljárás, amely kiterjed az észlelésre, elszigetelésre, kivizsgálásra, értesítésre (beleértve az Adatkezelő felé való értesítést a 10. szakasz szerinti 48 órán belül), és az incidens utáni felülvizsgálatra.
  • Az incidenskezelési eljárások és elérhetőségek negyedéves felülvizsgálata.

Adatvesztés-megelőzés

  • Alkalmazásszintű hozzáférés-vezérlés az egyes kereskedőkre és munkamenetekre korlátozva; egyetlen kereskedő sem férhet hozzá egy másik kereskedő adataihoz az API-n keresztül.
  • A személyes adatokhoz való összes hozzáférés audit naplózása, a 9. szakasz szerint megőrzve.
  • A titkosított biztonsági mentések rendszeres visszaállítási tesztjei.

Biztonságos fejlesztés

  • A forráskód privát tárolóban van elhelyezve, ahol minden módosítást kötelező felülvizsgálatnak kell alávetni a beolvasztás előtt.
  • Automatizált függőség-ellenőrzés és harmadik féltől származó könyvtárak rendszeres frissítése.
  • Legalább éves penetrációs tesztelés, amint a Szolgáltatások elérik az általános elérhetőséget.

2. melléklet — Engedélyezett aladatfeldolgozók

A jelen DPA utolsó frissítési dátumától a következő aladatfeldolgozók jogosultak személyes adatok feldolgozására az Adatkezelő nevében:

AlfeldolgozóCélHelyszínAdattovábbítási mechanizmus
OVH SASFelhő-infrastruktúra tárhely (számítás, tárolás, hálózat) és titkosított helyszínen kívüli biztonsági mentésekFranciaország (EU)EGT-n belüli
SMTP2GOTranzakciós és értesítési e-mailekEUEGT-n belüli
Cost+ fizetési infrastruktúra (Costplus OÜ)Fizetési tokenizáció, engedélyezés, rögzítés, visszatérítésEUEGT-n belüli
Ginger PaymentsFizetési átjáró / tranzakcióirányításHollandia (EU)EGT-n belüli
FinteqHubFizetési átjáró / orchestrációCiprus és Litvánia (EU)EGT-n belüli
ComplyPayBanking-as-a-Service (BaaS) szolgáltatóDánia (EU)EGT-n belüli
RapydFizetési elfogadás / feldolgozásEU / Egyesült KirályságEGT-n belüli; az Egyesült Királyságba irányuló adattovábbítás az EU–UK megfelelőségi határozat alapján
SHIFT4Fizetési elfogadás / feldolgozásEU / Egyesült KirályságEGT-n belüli; az Egyesült Királyságba irányuló adattovábbítás az EU–UK megfelelőségi határozat alapján
ElavonFizetési elfogadás / feldolgozásEU / Egyesült KirályságEGT-n belüli; az Egyesült Királyságba irányuló adattovábbítás az EU–UK megfelelőségi határozat alapján
ClearhausFizetési elfogadás / feldolgozásDánia (EU)EGT-n belüli
PayneticsFizetési elfogadás / elektronikuspénz-kibocsátásBulgária (EU)EGT-n belüli
DiditSzemélyazonosság-ellenőrzés, KYB / KYC / AML megfelelőségEgyesült Államok / Spanyolország (EU)Általános szerződési feltételek (GDPR 46. cikk)

Az Adatfeldolgozó a lista naprakész verzióját a következő helyen tartja fenn: https://costplus.io/dpa/sub-processors és a jelen DPA 7.2. szakaszának megfelelően értesíti az Adatkezelőt minden kiegészítésről vagy cseréről.

Az adatfeldolgozási megállapodás vége.