Samningur um vinnslu gagna (DPA)

Síðast uppfært: 29. maí 2026

1. Aðilar

Þessi samningur um vinnslu gagna („DPA") er gerður milli:

  • Costplus OÜ, fyrirtæki skráð á Eistlandi, með skráð aðsetur að Pärnu mnt 139b, 11317 Tallinn, Eistland, skráningarnúmer fyrirtækis 16936614 („Vinnsluaðili", „við", „okkur", eða „Cost+"); og
  • söluaðilinn sem hefur sett upp Cost+ Checkout Shopify-forritið, eða tengt sig á annan hátt við Cost+ Checkout-þjónustuna, með því að samþykkja þjónustuskilmála okkar á https://costplus.io/shopify-app-terms.html („Ábyrgðaraðili", „Söluaðili", eða „þú"),

hvort um sig „Aðili" og saman „Aðilar".

Þessi DPA er hluti af þjónustuskilmálunum milli aðilanna og lýtur þeim. Komi upp ágreiningur milli þessa DPA og þjónustuskilmálanna að því er varðar vinnslu persónuupplýsinga, gengur þessi DPA framar.

2. Skilgreiningar

Nema annað sé skilgreint hafa hugtök með stórum staf þá merkingu sem þeim er gefin í reglugerð (ESB) 2016/679 („GDPR"). Til glöggvunar:

  • Persónuupplýsingar" hafa þá merkingu sem er í 4. gr. (1) GDPR.
  • Vinnsla" hefur þá merkingu sem er í 4. gr. (2) GDPR.
  • Hinn skráði" merkir Shopify-viðskiptavin eða notanda sem persónuupplýsingar um eru unnar samkvæmt þessum DPA.
  • Undirvinnsluaðili" merkir sérhvern þriðja aðila sem vinnsluaðilinn fær til að vinna persónuupplýsingar fyrir hönd ábyrgðaraðilans.
  • Þjónusta" merkir Cost+ Checkout-þjónustuna (Shopify-forritið, tengd API og hýstar greiðslugáttarsíður) sem vinnsluaðilinn veitir ábyrgðaraðilanum samkvæmt þjónustuskilmálunum.

3. Efni, eðli, tilgangur og tímalengd vinnslu

3.1 Efni

Vinnsluaðilinn vinnur persónuupplýsingar um viðskiptavini ábyrgðaraðilans til að veita þjónustuna. Cost+ Checkout er verkfæri til að stýra greiðslugáttarferli sem leiðir kaupendur, sem koma frá inngangspunktum undir stjórn söluaðilans (til dæmis, tölvupóstsherferðir, lendingarsíður, auglýsingar á samfélagsmiðlum, eða beinir tenglar á Shopify-verslunina), í gegnum eitt samræmt greiðslugáttarferli og stofnar samsvarandi pöntun í Shopify-verslun söluaðilans að greiðslu lokinni.

3.2 Eðli og tilgangur vinnslu

Vinnsluaðilinn vinnur persónuupplýsingar í eftirfarandi tilgangi:

  • Söfnun tengiliðs- og sendingaupplýsinga kaupanda við greiðslu;
  • Útreikningur á gildandi sköttum og sendingarkostnaði í gegnum Shopify's eigin þjónustu við skatta- og sendingaútreikninga;
  • Stofnun samsvarandi Shopify-pöntunar eftir að kaupandi lýkur greiðslu;
  • Greiðsluvinnsla í gegnum greiðsluinnviði Cost+ eða greyðsluveitanda sem söluaðilinn hefur skilgreint;
  • Endurspegla endurgreiðslur, afpantanir og uppfyllingaratvik sem söluaðilinn hefur hafið í Shopify-stjórnendaviðmóti sínu aftur í Cost+ Checkout-stillingar söluaðilans;
  • Svara beiðnum hinna skráðu sem Shopify sendir áfram í gegnum staðlaða GDPR-vefkrókana (customers/data_request, customers/redact, shop/redact);
  • Veita söluaðilum greiningar byggðar á samanlögðum og dulnefndum lotugögnum.

3.3 Tímalengd

Vinnsluaðilinn vinnur persónuupplýsingar á meðan þjónustan er veitt og varðveitir slík gögn í þær tímalengdir sem fram koma í kafla 9 hér að neðan.

4. Tegundir persónuupplýsinga og flokkar hinna skráðu

4.1 Tegundir persónuupplýsinga

  • Eiginnafn og eftirnafn;
  • Netfang;
  • Símanúmer (þegar það er gefið upp);
  • Sendingarfang (gata, borg, póstnúmer, land, valfrjálst annað heimilisfangslína, sýsla/fylki);
  • Greiðslufang (sömu reitir);
  • Pöntunarupplýsingar, þar á meðal línueiningar, vöruauðkenni, magn, verð, beittar afsláttarkóðar, heildarverð pöntunar, gjaldmiðill og uppfyllingarstaða;
  • Lýsigögn tengd greiðslu (greiðslumátalykill eða tilvísun, heimildarauðkenni og afgreiðsluauðkenni) — athugið að fullbúin aðalreikningsnúmer (PAN) koma aldrei inn í kerfi vinnsluaðilans; þau eru tokenised af PCI-DSS-samræmdum greiðsluinnviðum Cost+ eða greiðsluveitanda sem söluaðilinn hefur skilgreint.

4.2 Flokkar hinna skráðu

  • Viðskiptavinir (kaupendur) ábyrgðaraðilans sem ljúka greiðslu í gegnum Cost+ Checkout.

5. Skyldur vinnsluaðilans

Vinnsluaðilinn skal:

5.1 Skjalfestar leiðbeiningar

Vinna persónuupplýsingar einungis samkvæmt skjálfestum leiðbeiningum ábyrgðaraðilans, þar á meðal að því er varðar flutning persónuupplýsinga til þriðja lands eða alþjóðlegrar stofnunar, nema lög Sambandsins eða aðildarríkis sem vinnsluaðilinn lýtur krefjist þess. Í slíku tilviki skal vinnsluaðilinn upplýsa ábyrgðaraðilann um þessa lagaskyldu áður en vinnsla hefst, nema lög banni slíkar upplýsingar af mikilvægum ástæðum í þágu almannahagsmuna. Aðilar eru sammála um að þjónustuskilmálarnir, þessi DPA og notkun ábyrgðaraðilans á þjónustunni í gegnum staðlaðar stillingarvalkosti teljist skjalfestar leiðbeiningar í skilningi 28. gr. (3)(a) GDPR.

5.2 Trúnaður

Tryggja að þeir sem hafa heimild til að vinna persónuupplýsingarnar hafi skuldbundið sig til trúnaðar eða séu bundnir viðeigandi lögbundinni trúnaðarskyldu.

5.3 Öryggisráðstafanir

Innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggisstig sem er hæft hættunni, eins og krafist er í 32. gr. GDPR. Yfirlit yfir þessar ráðstafanir er í Viðauka 1. Ábyrgðaraðilinn viðurkennir að Viðauki 1 getur verið uppfærður reglulega til að endurspegla umbætur á öryggisástandi vinnsluaðilans, og að slík uppfærsla mun ekki leiða til verulegrar skerðingar á öryggisstiginu.

5.4 Undirvinnsluaðilar

Fá undirvinnsluaðila aðeins samkvæmt skilmálum kafla 7 hér að neðan.

5.5 Aðstoð við réttindi hinna skráðu

Með hliðsjón af eðli vinnslunnar, aðstoða ábyrgðaraðilann með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að því marki sem mögulegt er, til að uppfylla skyldur ábyrgðaraðilans til að svara beiðnum um að neyta réttinda hinna skráðu samkvæmt III. kafla GDPR.

5.6 Aðstoð við aðrar skyldur ábyrgðaraðilans

Aðstoða ábyrgðaraðilann við að tryggja samræmi við skyldur samkvæmt 32.–36. gr. GDPR, með hliðsjón af eðli vinnslunnar og þeim upplýsingum sem vinnsluaðilinn hefur aðgang að.

5.7 Skil eða eyðing við lok þjónustu

Að vali ábyrgðaraðilans, eyða eða skila öllum persónuupplýsingum til ábyrgðaraðilans að lokinni veitingu þjónustunnar sem tengist vinnslu, og eyða fyrirliggjandi afritum, nema lög Sambandsins eða aðildarríkis krefjist geymslu persónuupplýsinganna. Vinnsluaðilinn skal eyða persónuupplýsingum innan 90 daga frá lokum þjónustunnar, nema lengri varðveisla sé krafist samkvæmt kafla 9.

5.8 Skrár yfir vinnslu

Viðhalda skriflegri skrá yfir alla flokka vinnsluvirkni sem fram fer fyrir hönd ábyrgðaraðilans, eins og krafist er í 30. gr. (2) GDPR.

5.9 Úttektir

Gera ábyrgðaraðilanum aðgengilegar allar upplýsingar sem eru nauðsynlegar til að sýna fram á samræmi við 28. gr. GDPR, og leyfa og leggja til úttektir, þar á meðal skoðanir, sem framkvæmdar eru af ábyrgðaraðilanum eða öðrum úttektaraðila sem ábyrgðaraðilinn hefur umboðað. Ábyrgðaraðilinn ber allan kostnað slíkra úttekta umfram þær staðlaðar upplýsingar sem þegar eru aðgengilegar ábyrgðaraðilanum í gegnum þjónustuna. Ábyrgðaraðilinn skal gefa sanngjarnar fyrirvara (að minnsta kosti 30 daga), framkvæma úttektir á venjulegum opnunartíma og ekki trufla starfsemi vinnsluaðilans.

6. Skyldur ábyrgðaraðilans

Ábyrgðaraðilinn lýsir því yfir að:

  • Hann hafi komið á gildri lagalegri grundvelli samkvæmt 6. gr. GDPR (og eftir atvikum 9. gr. GDPR) fyrir allar persónuupplýsingar sem hann gerir vinnsluaðilanum aðgengilegar í gegnum þjónustuna;
  • Hann hafi veitt hinum skráðu allar nauðsynlegar gagnsæjar upplýsingar samkvæmt 13. og 14. gr. GDPR, þar á meðal þá staðreynd að Cost+ Checkout er notað til að vinna greiðslu- og pöntunargögn;
  • Hann hafi rétt stillt Cost+ Checkout (þar með talið flæðireglur, leyfð lönd, greiðslumátar og sérsniðin forskrift eða blokkir) þannig að þjónustan vinni einungis persónuupplýsingar sem eru nauðsynlegar í löglegum tilgangi söluaðilans;
  • Hann muni svara beiðnum hinna skráðu sem vinnsluaðilinn sendir áfram innan þeirra tímamarka sem lög kveða á um.

7. Undirvinnsluaðilar

7.1 Almenn heimild

Ábyrgðaraðilinn veitir almenna heimild til að vinnsluaðilinn fái undirvinnsluaðila til að veita þjónustuna. Listi yfir núverandi undirvinnsluaðila er viðhaldið í Viðauka 2 og er uppfærður reglulega.

7.2 Tilkynning um breytingar

Vinnsluaðilinn skal tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á lista undirvinnsluaðila (bætur við eða skipti) með að minnsta kosti 30 daga fyrirvara, sem gefur ábyrgðaraðilanum tækifæri til að gera andmæli á grundvelli rökrænna ástæðna. Ef ábyrgðaraðilinn gerir andmæli og aðilar geta ekki komið sér saman um lausn innan 30 daga, getur ábyrgðaraðilinn sagt upp þeim hluta þjónustunnar sem er í hlutaverki af þessum sökum.

7.3 Framseldar skyldur

Vinnsluaðilinn skal leggja á hvern undirvinnsluaðila, með samningi, sömu persónuverndarskyldur og fram koma í þessum DPA, og skal vera fulljafn ábyrgur gagnvart ábyrgðaraðilanum fyrir framkvæmd skyldna hvers undirvinnsluaðila.

8. Alþjóðlegir gagnaflutningar

8.1 Aðalhýsing

Vinnsluaðilinn hýsir þjónustuna í Evrópusambandinu og vinnur persónuupplýsingar aðallega innan ESB/EES. Sumir heimildaðir undirvinnsluaðilar (til dæmis, tilteknar greiðslumiðlunarfyrirtæki) eru staðsettir utan EES; þar sem svo er tryggir vinnsluaðilinn að flutningurinn sé varinn af ákvörðun um fullnægjandi vernd eða af stöðluðum samningsákvæðum eins og kveðið er á um í kafla 8.2, og tilgreinir viðkomandi undirvinnsluaðila í Viðauka 2.

8.2 Flutningar undirvinnsluaðila

Þar sem undirvinnsluaðili er staðsettur utan ESB/EES tryggir vinnsluaðilinn að flutningar séu hultir af ákvörðun um fullnægjandi vernd samkvæmt 45. gr. GDPR, eða af stöðluðum samningsákvæðum sem Evrópuþingið hefur samþykkt (Eining 2: frá ábyrgðaraðila til vinnsluaðila eða Eining 3: milli vinnsluaðila, eftir því sem við á), eða af öðrum gildum flutningsmekanisma samkvæmt V. kafla GDPR.

8.3 Frekari flutningar

Shopify sjálft starfar sem sjálfstæður ábyrgðaraðili að því er varðar viðskiptavinagögn sem ábyrgðaraðilinn hefur fært inn í Shopify-verslun sína. Móttaka vinnsluaðilans á slíkum gögnum frá Shopify, og skil á Shopify-stofnaðri pöntunargögnum til Shopify, falla undir eigin persónuverndarskilmála Shopify við söluaðilann og teljast ekki frekari flutningar samkvæmt þessum DPA.

9. Varðveisla og eyðing

Vinnsluaðilinn varðveitir persónuupplýsingar í eftirfarandi tímabil:

  • Virk lotagögn (greiðslugáttarlotur í gangi sem hafa ekki lokið): eytt 30 dögum eftir lok lotunnar;
  • Lokin pöntunargögn (lotur sem leiddu til Shopify-pöntunar): varðveitt í 7 ár til að uppfylla varðveisingarskyldur skatta- og bókhaldsréttar á Eistlandi og í flestum ESB-lögsögu, síðan eytt;
  • Greiðslulyklar og heimildarskrár: varðveitt í varðveislutíma undirliggjandi greiðslumáta (venjulega 7 ár);
  • Annálsgögn (beiðniannálar, afhendingannálar vefkróka): varðveitt í 90 daga, síðan fjarlægð;
  • Úttektar-/öryggisviðburðarannálar: varðveitt í 1 ár.

Við lok þjónustunnar skal vinnsluaðilinn eyða eða skila persónuupplýsingum eins og kveðið er á um í kafla 5.7 hér að ofan, með fyrirvara um varðveislutímabil sem gildandi lög kveða á um.

10. Tilkynning um gagnabrot

Vinnsluaðilinn skal tilkynna ábyrgðaraðilanum án óþarfa tafar, og í öllum tilvikum innan 48 klukkustunda, um að hafa orðið var við gagnabrot persónuupplýsinga sem hefur áhrif á gögn ábyrgðaraðilans. Tilkynningin skal innihalda að minnsta kosti þær upplýsingar sem krafist er samkvæmt 33. gr. (3) GDPR að því marki sem þær eru aðgengilegar, og skal uppfærð þegar frekari upplýsingar verða þekktar.

11. Ábyrgð

Ábyrgð aðilanna samkvæmt þessum DPA er háð ábyrgðarákvæðum þjónustuskilmálanna, þó þannig að engin takmörkun á ábyrgð í þjónustuskilmálunum útiloki eða takmarki ábyrgð vegna málefna þar sem slík útilokun eða takmörkun væri ólögleg samkvæmt gildandi persónuverndarlöggjöf.

12. Gildandi lög og lögsaga

Þessi DPA er stjórnaður af lögum Eistlands, án tillits til reglna þess um lagaval. Aðilar lúta einkaréttarlegri lögsögu dómstóla Harju-sýslu á Eistlandi vegna hvers kyns deilna sem rísa af eða í tengslum við þennan DPA, með fyrirvara um ófrávíkjanlegar lagaákvæðagreinar um lögsögu í deilum neytenda eða hinna skráðu.

13. Gildistími og uppsögn

Þessi DPA öðlast gildi á þeim degi sem ábyrgðaraðilinn setur upp eða notar þjónustuna í fyrsta skipti og lýkur sjálfkrafa við lok þjónustuskilmálanna. Ákvæði sem eðli málsins samkvæmt eiga að lifa af uppsögn (þar á meðal kaflar 5.7, 9, 10 og 12) lifa af.

14. Heildarsamningur

Þessi DPA, ásamt þjónustuskilmálunum á https://costplus.io/shopify-app-terms.html og persónuverndarstefnunni á https://costplus.io/privacy-policy.html, myndar heildarsamninga aðilanna um efni málsins og kemur í stað allra fyrri samninga.

Viðauki 1 — Tæknilegar og skipulagslegar ráðstafanir

Vinnsluaðilinn innleiðir eftirfarandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar:

Dulkóðun

  • Öll gögn í flutningi eru dulkóðuð með TLS 1.2 eða nýrra, með vottorðum sem Let's Encrypt sér um og eru endurnýjuð sjálfkrafa.
  • Shopify API aðgangslyklar og skilríki þriðja aðila greiðsluveitenda eru dulkóðuð í hvíld með AES-256-GCM og forritalagslyklar eru stjórnað í gegnum HashiCorp Vault Transit eða jafngildar lykillastjórnunarlausnir.
  • Öryggisafrit gagnagrunna eru dulkóðuð áður en þau eru flutt í ytri geymslu.

Aðgangsstýring

  • Aðgangur að framleiðslukerfi er takmarkaður við skilgreint hóp leyfðra starfsmanna með einstaklingsbundnum reikningum, SSH-lyklaauðkenningu fyrir þjónaraðgang og vélbundna eða TOTP-fjölþáttaauðkenningu fyrir stjórnunarviðmót.
  • Lykilorð kaupmanna á forritalagi eru geymd sem kjötkássa með Argon2id með minnisfrekum færibreytum.
  • Aðgangur að persónuupplýsingum er skráður og varðveittur í samræmi við grein 9 í DPA.

Grunnvirki

  • Þjónustur eru hýstar í Tier-III gagnaverum eða jafngildum, staðsettum innan Evrópusambandsins.
  • Rökrænn aðskilnaður á milli prófunar- og framleiðsluumhverfa; engin framleiðslugögn eru notuð í þróunar- eða prófunarumhverfum.
  • Reglulegar uppfærslur á stýrikerfum, keyrsluumhverfum og þriðja aðila háðum kerfum.

Starfsfólk

  • Starfsfólk með aðgang að persónuupplýsingum er bundið skriflegum trúnaðarskyldum sem gilda áfram eftir lok starfssamnings.
  • Þjálfun í öryggismeðvitund við upphaf starfs og reglulega þar eftir fyrir allt starfsfólk með aðgang að persónuupplýsingum eða framleiðslugrunnvirki.

Viðbrögð við öryggisatvikum

  • Skjalfest málsmeðferð vegna öryggisatvika sem tekur til greiningar, afmörkunar, rannsóknar, tilkynningar (þar á meðal til ábyrgðaraðilans innan 48 klukkustunda skv. grein 10) og eftirfylgni eftir atvik.
  • Ársfjórðungsleg endurskoðun á málsmeðferð vegna öryggisatvika og tengiliðaupplýsingum.

Forvarnir gegn gagnatapi

  • Aðgangsstýring á forritalagi afmörkuð við einstaka kaupmenn og einstaka lotur; enginn kaupmaður getur nálgast gögn annars kaupmanns í gegnum API.
  • Endurskoðunarskráning á öllum aðgangi að persónuupplýsingum, varðveitt skv. grein 9.
  • Reglulegar endurheimstuprófanir á dulkóðuðum öryggisafritum.

Örugg hugbúnaðarþróun

  • Frumkóði geymdur í einkargeymslum með lögbundna yfirferð allra breytinga áður en þær eru sameinaðar.
  • Sjálfvirk skönnun á háðum kerfum og reglulegar uppfærslur á þriðja aðila söfnum.
  • Innbrotsprófanir að minnsta kosti árlega þegar þjónusturnar ná almennri aðgengi.

Viðauki 2 — Leyfðir undirvinnsluaðilar

Frá og með síðast uppfærðum degi þessa DPA eru eftirfarandi undirvinnsluaðilar leyfðir til að vinna persónuupplýsingar fyrir hönd ábyrgðaraðilans:

UndirvinnsluaðiliTilgangurStaðsetningFlutningsmekanismi
OVH SASHýsing á skýjagrunnvirki (reikniþjónusta, geymsla, net) og dulkóðuð ytri öryggisafritFrakkland (ESB)Intra-EEA
SMTP2GOFærslu- og tilkynningartölvupósturEUIntra-EEA
Cost+ greiðslugrunnvirki (Costplus OÜ)Greiðslumerkjun, heimild, innheimta, endurgreiðslaEUIntra-EEA
Ginger PaymentsGreiðslugátt / leiðarval færslnaHolland (ESB)Intra-EEA
FinteqHubGreiðslugátt / samhæfingKýpur og Litháen (ESB)Intra-EEA
ComplyPayBanking-as-a-Service (BaaS) veitandiDanmörk (ESB)Intra-EEA
RapydGreiðsluöflun / vinnslaEU / BretlandIntra-EEA; flutningur til Bretlands undir ESB–Bretlands hæfisákvörðun
SHIFT4Greiðsluöflun / vinnslaEU / BretlandIntra-EEA; flutningur til Bretlands undir ESB–Bretlands hæfisákvörðun
ElavonGreiðsluöflun / vinnslaEU / BretlandIntra-EEA; flutningur til Bretlands undir ESB–Bretlands hæfisákvörðun
ClearhausGreiðsluöflun / vinnslaDanmörk (ESB)Intra-EEA
PayneticsGreiðsluöflun / útgáfa rafeyrisBúlgaría (ESB)Intra-EEA
DiditAuðkennisstaðfesting, KYB / KYC / AML samræmiBandaríkin / Spánn (ESB)Staðlaðar samningsskilmálar (gr. 46 GDPR)

Vinnsluaðilinn mun viðhalda uppfærðri útgáfu þessa lista á https://costplus.io/dpa/sub-processors og mun tilkynna ábyrgðaraðilanum um allar viðbætur eða breytingar í samræmi við grein 7.2 í þessum DPA.

Lok gagnvinnslusamnings.