Duomenų tvarkymo sutartis (DTS)
Paskutinį kartą atnaujinta: 2026 m. gegužės 29 d.
1. Šalys
Ši duomenų tvarkymo sutartis (toliau – „DTS") sudaroma tarp:
- Costplus OÜ, Estijoje registruota bendrovė, kurios registruota buveinė yra Pärnu mnt 139b, 11317 Talinas, Estija, įmonės registracijos numeris 16936614 (toliau – „Duomenų tvarkytojas", „mes", „mums", arba „Cost+"); ir
- prekybininko, kuris įdiegė Cost+ Checkout Shopify programą arba kitaip integravosi su Cost+ Checkout paslauga, sutikdamas su mūsų paslaugų teikimo sąlygomis adresu https://costplus.io/shopify-app-terms.html (toliau – „Duomenų valdytojas", „Prekybininkas", arba „jūs"),
kiekviena atskirai – „Šalis", o kartu – „Šalys".
Ši DTS yra sudedamoji Šalių paslaugų teikimo sąlygų dalis ir jiems pavaldi. Jei ši DTS ir paslaugų teikimo sąlygos prieštarauja vienos kitai asmens duomenų tvarkymo klausimais, pirmenybė teikiama šiai DTS.
2. Sąvokos
Jei nenurodyta kitaip, didžiosiomis raidėmis rašomos sąvokos turi reikšmes, nurodytas Reglamente (ES) 2016/679 (toliau – „BDAR"). Patogumo sumetimais:
- „Asmens duomenys" turi reikšmę, nurodytą BDAR 4 straipsnio 1 dalyje.
- „Tvarkymas" turi reikšmę, nurodytą BDAR 4 straipsnio 2 dalyje.
- „Duomenų subjektas" – Shopify klientas ar galutinis naudotojas, kurio asmens duomenys tvarkomi pagal šią DTS.
- „Subtvarkytojas" – bet kuri trečioji šalis, kurią Duomenų tvarkytojas pasitelkia asmens duomenims tvarkyti Duomenų valdytojo vardu.
- „Paslaugos" – Cost+ Checkout paslauga (Shopify programa, susijusios API ir talpinami mokėjimo puslapiai), kurią Duomenų tvarkytojas teikia Duomenų valdytojui pagal paslaugų teikimo sąlygas.
3. Tvarkymo dalykas, pobūdis, tikslai ir trukmė
3.1 Dalykas
Duomenų tvarkytojas tvarko Duomenų valdytojo klientų asmens duomenis, siekdamas teikti Paslaugas. Cost+ Checkout yra srauto valdymo įrankis, nukreipiantis pirkėjus, patenkančius iš Prekybininko valdomų įėjimo taškų (pvz., el. pašto kampanijų, nukreipimo puslapių, socialinės žiniasklaidos skelbimų ar tiesioginių Shopify parduotuvės nuorodų), per vieningą mokėjimo patirtį ir sukuriantis atitinkamą užsakymą Prekybininko Shopify parduotuvėje po apmokėjimo.
3.2 Tvarkymo pobūdis ir tikslai
Duomenų tvarkytojas tvarko asmens duomenis šiais tikslais:
- Pirkėjo kontaktinės ir pristatymo informacijos rinkimas apmokėjimo metu;
- Taikomų mokesčių ir pristatymo tarifų apskaičiavimas naudojant Shopify mokesčių ir pristatymo skaičiavimo paslaugas;
- Atitinkamo Shopify užsakymo sukūrimas po to, kai pirkėjas užbaigia mokėjimą;
- Mokėjimų apdorojimas per Cost+ mokėjimo infrastruktūrą arba Prekybininko sukonfigūruotą mokėjimo paslaugų teikėją;
- Prekybininko inicijuotų grąžinimų, atšaukimų ir vykdymo įvykių Shopify administracinėje sistemoje atspindėjimas Prekybininko Cost+ Checkout konfigūracijoje;
- Atsakymai į duomenų subjektų prašymus, persiųstus Shopify per standartines BDAR atžvilgiu numatytas sąsajas (
customers/data_request,customers/redact,shop/redact); - Prekybininkams skirtų analizės duomenų teikimas, grindžiamas suvestiniais ir pseudonimizuotais sesijos duomenimis.
3.3 Trukmė
Duomenų tvarkytojas tvarko asmens duomenis Paslaugų teikimo laikotarpiu ir saugo juos laikotarpiais, nurodytais toliau 9 skyriuje.
4. Asmens duomenų rūšys ir duomenų subjektų kategorijos
4.1 Asmens duomenų rūšys
- Vardas ir pavardė;
- El. pašto adresas;
- Telefono numeris (kai pateikiamas);
- Pristatymo adresas (gatvė, miestas, pašto kodas, šalis, neprivaloma antroji adreso eilutė, apskritis / valstija);
- Atsiskaitymo adresas (tie patys laukai);
- Užsakymo informacija, įskaitant eilučių elementus, produktų identifikatorius, kiekius, kainas, pritaikytus nuolaidų kodus, užsakymo sumą, valiutą ir vykdymo būseną;
- Su mokėjimu susijęs metaduomenys (mokėjimo metodo prieigos raktas arba nuoroda, autorizacijos ir nuskaičiavimo identifikatoriai) — pastaba: visas pirminių sąskaitų numeriai (PAN) niekada nepatenka į Duomenų tvarkytojo sistemas; juos tokenizuoja Cost+ PCI DSS atitinkanti mokėjimo infrastruktūra arba Prekybininko sukonfigūruotas mokėjimo paslaugų teikėjas.
4.2 Duomenų subjektų kategorijos
- Duomenų valdytojo klientai (pirkėjai), baigiantys mokėjimo procesą per Cost+ Checkout.
5. Duomenų tvarkytojo įsipareigojimai
Duomenų tvarkytojas privalo:
5.1 Dokumentuoti nurodymai
Tvarkyti asmens duomenis tik pagal dokumentuotus Duomenų valdytojo nurodymus, įskaitant asmens duomenų perdavimą trečiajai šaliai ar tarptautinei organizacijai, nebent to reikalauja Sąjungos ar valstybės narės teisė, kuriai Duomenų tvarkytojas yra pavaldus. Tokiu atveju Duomenų tvarkytojas prieš pradedant tvarkymą informuoja Duomenų valdytoją apie tą teisinį reikalavimą, nebent minėta teisė draudžia tokį informavimą svarbiais viešojo intereso pagrindais. Šalys susitaria, kad paslaugų teikimo sąlygos, ši DTS ir Duomenų valdytojo naudojimasis Paslaugomis per standartines konfigūracijos parinktis sudaro dokumentuotus nurodymus, kaip tai suprantama BDAR 28 straipsnio 3 dalies a punkte.
5.2 Konfidencialumas
Užtikrinti, kad asmenys, įgalioti tvarkyti asmens duomenis, būtų prisiėmę konfidencialumo įsipareigojimus arba jiems taikytųsi atitinkama teisinė konfidencialumo pareiga.
5.3 Saugumo priemonės
Įgyvendinti tinkamas technines ir organizacines priemones, siekiant užtikrinti rizikai adekvačią apsaugos lygį, kaip reikalaujama BDAR 32 straipsnyje. Šių priemonių santrauka išdėstyta 1 priede. Duomenų valdytojas pripažįsta, kad 1 priedas gali būti periodiškai atnaujinamas, siekiant atspindėti Duomenų tvarkytojo saugumo pažangą, ir kad toks atnaujinimas nesukels esminio apsaugos lygio sumažėjimo.
5.4 Subtvarkytojai
Pasitelkti subtvarkytorius tik laikantis toliau nurodyto 7 skyriaus sąlygų.
5.5 Pagalba įgyvendinant duomenų subjektų teises
Atsižvelgiant į tvarkymo pobūdį, kiek tai įmanoma, padėti Duomenų valdytojui tinkamomis techninėmis ir organizacinėmis priemonėmis vykdyti pareigą atsakyti į prašymus dėl duomenų subjektų teisių, numatytų BDAR III skyriuje, įgyvendinimo.
5.6 Pagalba vykdant kitus Duomenų valdytojo įsipareigojimus
Padėti Duomenų valdytojui užtikrinti atitiktį pareigoms pagal BDAR 32–36 straipsnius, atsižvelgiant į tvarkymo pobūdį ir Duomenų tvarkytojui prieinamą informaciją.
5.7 Grąžinimas arba ištrynimas pasibaigus Paslaugoms
Duomenų valdytojo pasirinkimu, pasibaigus Paslaugų teikimui, susijusiam su tvarkymu, ištrinti arba grąžinti Duomenų valdytojui visus asmens duomenis ir sunaikinti esamas kopijas, nebent Sąjungos ar valstybės narės teisė reikalauja asmens duomenis saugoti. Duomenų tvarkytojas ištrina asmens duomenis per 90 dienų nuo Paslaugų pabaigos, išskyrus atvejus, kai ilgesnis saugojimas reikalaujamas pagal 9 skyrių.
5.8 Tvarkymo įrašai
Tvarkyti rašytinius visų Duomenų valdytojo vardu vykdomų tvarkymo veiklų kategorijų įrašus, kaip reikalaujama BDAR 30 straipsnio 2 dalyje.
5.9 Auditai
Pateikti Duomenų valdytojui visą informaciją, būtiną atitikčiai BDAR 28 straipsniui įrodyti, ir sudaryti galimybę atlikti auditus, įskaitant patikrinimus, vykdomus Duomenų valdytojo arba jo įgalioto auditoriaus, bei bendradarbiauti jų metu. Duomenų valdytojas padengia bet kokias audito išlaidas, viršijančias standartinės informacijos, kurią Duomenų valdytojas jau gauna per Paslaugas, pateikimą. Duomenų valdytojas privalo iš anksto pranešti (ne vėliau kaip prieš 30 dienų), auditus vykdyti įprastomis darbo valandomis ir netrukdyti Duomenų tvarkytojo veiklai.
6. Duomenų valdytojo įsipareigojimai
Duomenų valdytojas garantuoja, kad:
- Jis nustatė tinkamą teisinį pagrindą pagal BDAR 6 straipsnį (ir, jei taikoma, BDAR 9 straipsnį) visiems asmens duomenims, kuriuos per Paslaugas perduoda Duomenų tvarkytojui;
- Jis pateikė duomenų subjektams visą reikiamą skaidrumo informaciją pagal BDAR 13 ir 14 straipsnius, įskaitant faktą, kad apmokėjimo ir užsakymų duomenims tvarkyti naudojamas Cost+ Checkout;
- Jis tinkamai sukonfigūravo Cost+ Checkout (įskaitant srauto taisykles, leidžiamas šalis, mokėjimo metodus ir visus pasirinktinius scenarijus ar blokus), kad Paslaugos tvarkytų tik tuos asmens duomenis, kurie būtini teisėtiems Prekybininko tikslams;
- Jis atsakys į Duomenų tvarkytojo persiųstus duomenų subjektų prašymus per įstatymų reikalaujamus terminus.
7. Subtvarkytojai
7.1 Bendrasis leidimas
Duomenų valdytojas suteikia bendrąjį leidimą Duomenų tvarkytojui pasitelkti subtvarkytorius Paslaugoms teikti. Dabartinių subtvarkytorijų sąrašas yra pateiktas 2 priede ir periodiškai atnaujinamas.
7.2 Pranešimas apie pakeitimus
Duomenų tvarkytojas ne vėliau kaip prieš 30 dienų informuoja Duomenų valdytoją apie numatomus subtvarkytorijų sąrašo pakeitimus (pridėjimą ar pakeitimą), suteikdamas Duomenų valdytojui galimybę pareikšti prieštaravimą pagrįstais pagrindais. Jei Duomenų valdytojas prieštarauja ir Šalys per 30 dienų neranda sprendimo, Duomenų valdytojas gali nutraukti atitinkamą Paslaugų dalį savo nuožiūra.
7.3 Pareigų perdavimas
Duomenų tvarkytojas sutartimi įpareigoja kiekvieną subtvarkytoją laikytis tų pačių duomenų apsaugos pareigų, nustatytų šioje DTS, ir išlieka visiškai atsakingas Duomenų valdytojui už kiekvieno subtvarkytojo pareigų vykdymą.
8. Tarptautiniai duomenų perdavimai
8.1 Pagrindinis talpinimas
Duomenų tvarkytojas talpina Paslaugas Europos Sąjungoje ir asmens duomenis tvarko pirmiausia ES / EEE ribose. Kai kurie įgalioti subtvarkytojai (pvz., tam tikri mokėjimų įgijimo partneriai) yra ne EEE šalyse; tokiais atvejais Duomenų tvarkytojas užtikrina, kad perdavimas yra apsaugotas tinkamumo sprendimu arba standartinėmis sutartinėmis sąlygomis, kaip nurodyta 8.2 skirsnyje, ir identifikuoja atitinkamus subtvarkytorius 2 priede.
8.2 Subtvarkytorijų duomenų perdavimai
Kai subtvarkytojas yra ne ES / EEE, Duomenų tvarkytojas užtikrina, kad perdavimai yra grindžiami tinkamumo sprendimu pagal BDAR 45 straipsnį arba Europos Komisijos patvirtintomis standartinėmis sutartinėmis sąlygomis (2 modulis: valdytojas–tvarkytojas arba 3 modulis: tvarkytojas–tvarkytojas, atitinkamai), arba kitu galiojančiu perdavimo mechanizmu pagal BDAR V skyrių.
8.3 Tolimesni perdavimai
Shopify pati veikia kaip nepriklausomas valdytojas kliento duomenų, kuriuos Duomenų valdytojas įvedė į savo Shopify parduotuvę. Duomenų tvarkytojo gauti tokie duomenys iš Shopify ir Shopify sukurtų užsakymų duomenų grąžinimas atgal į Shopify yra reglamentuojami Shopify pačios duomenų apsaugos sąlygų su Prekybininku ir nėra tolimesni perdavimai pagal šią DTS.
9. Saugojimas ir ištrynimas
Duomenų tvarkytojas saugo asmens duomenis šiais laikotarpiais:
- Aktyvių sesijų duomenys (nebaigtos mokėjimo sesijos): ištrinami praėjus 30 dienų nuo sesijos galiojimo pabaigos;
- Užbaigtų užsakymų duomenys (sesijos, po kurių sukurtas Shopify užsakymas): saugomi 7 metus, siekiant atitikti mokesčių ir buhalterinės apskaitos teisės aktų reikalavimus Estijoje ir daugelyje ES jurisdikcijų, po to ištrinami;
- Mokėjimo prieigos raktai ir autorizacijos įrašai: saugomi tiek, kiek reikalauja pagrindinio mokėjimo metodo saugojimo laikotarpis (paprastai 7 metai);
- Žurnalų duomenys (užklausų žurnalai, webhook pristatymo žurnalai): saugomi 90 dienų, po to pasukama;
- Audito / saugumo įvykių žurnalai: saugomi 1 metus.
Nutraukus Paslaugas, Duomenų tvarkytojas ištrina arba grąžina asmens duomenis, kaip nustatyta pirmiau esančiame 5.7 skyriuje, laikydamasis taikytinos teisės nustatytų saugojimo laikotarpių.
10. Pranešimas apie duomenų saugumo pažeidimus
Duomenų tvarkytojas, sužinojęs apie asmens duomenų saugumo pažeidimą, paveikusį Duomenų valdytojo duomenis, nedelsdamas ir bet kuriuo atveju per 48 valandas apie tai praneša Duomenų valdytojui. Pranešime turi būti pateikta bent BDAR 33 straipsnio 3 dalyje nurodyta informacija tiek, kiek ji žinoma, ir jis bus atnaujinamas gavus papildomą informaciją.
11. Atsakomybė
Šalių atsakomybė pagal šią DTS yra reglamentuojama paslaugų teikimo sąlygų atsakomybės nuostatomis, išskyrus tai, kad jokia atsakomybės apribojimo nuostata paslaugų teikimo sąlygose neišskiria ir neapriboja atsakomybės už tuos atvejus, kai toks išskyrimas ar apribojimas būtų neteisėtas pagal taikytiną duomenų apsaugos teisę.
12. Taikytina teisė ir jurisdikcija
Šiai DTS taikoma Estijos teisė, neatsižvelgiant į jos kolizines normas. Šalys susitaria dėl išimtinės Harjumaa teismo, Estija, jurisdikcijos bet kokiam ginčui, kylaniam iš šios DTS ar susijusiam su ja, laikantis imperatyvių įstatymų nuostatų dėl jurisdikcijos vartotojų ar duomenų subjektų ginčuose.
13. Galiojimas ir nutraukimas
Ši DTS įsigalioja nuo tos dienos, kurią Duomenų valdytojas pirmą kartą įdiegia arba pradeda naudotis Paslaugomis, ir automatiškai baigia galioti nutraukus paslaugų teikimo sąlygas. Sąlygos, kurios dėl savo pobūdžio turi išlikti galioti po nutraukimo (įskaitant 5.7, 9, 10 ir 12 skyrius), išlieka galiojančios.
14. Visas susitarimas
Ši DTS kartu su paslaugų teikimo sąlygomis, esančiomis adresu https://costplus.io/shopify-app-terms.html ir privatumo politika adresu https://costplus.io/privacy-policy.html, sudaro visą Šalių susitarimą dėl šio dalyko ir pakeičia visus ankstesnius susitarimus.
1 priedas — Techninės ir organizacinės priemonės
Duomenų tvarkytojas įgyvendina šias technines ir organizacines priemones asmens duomenims apsaugoti:
Šifravimas
- Visi duomenys perduodami užšifruoti naudojant TLS 1.2 arba naujesnę versiją; sertifikatai valdomi per Let's Encrypt su automatiniu atnaujinimu.
- Shopify API prieigos raktai ir trečiųjų šalių mokėjimo paslaugų teikėjų kredencialai saugomi užšifruoti naudojant AES-256-GCM su programos lygio raktais, valdomais per HashiCorp Vault Transit arba lygiavertę raktų valdymo sistemą.
- Duomenų bazių atsarginės kopijos užšifruojamos prieš perduodant jas į išorinę saugyklą.
Prieigos kontrolė
- Prieiga prie gamybinių sistemų suteikiama tik apibrėžtam sąrašui įgaliotų darbuotojų, turinčių individualiai identifikuojamas paskyras, SSH raktais pagrįstą autentifikavimą serverių prieigai ir aparatine įranga pagrįstą arba TOTP daugiafaktorį autentifikavimą administracinėms sąsajoms.
- Programos lygio prekiautojų slaptažodžiai maišomi naudojant Argon2id su atminties reikliausiais parametrais.
- Prieiga prie asmens duomenų yra registruojama ir saugoma pagal DPA 9 skyrių.
Infrastruktūra
- Paslaugos veikia III lygio arba lygiavertėse duomenų centruose, esančiuose Europos Sąjungoje.
- Loginis testavimo ir gamybinės aplinkos atskyrimas; gamybiniai duomenys nenaudojami kūrimo ar testavimo aplinkose.
- Reguliarus operacinių sistemų, vykdymo aplinkų ir trečiųjų šalių priklausomybių pataisų diegimas.
Personalas
- Darbuotojai, turintys prieigą prie asmens duomenų, yra įpareigoti rašytiniais konfidencialumo įsipareigojimais, galiojančiais ir pasibaigus jų darbo santykiams.
- Įvadiniai ir periodiniai informacinio saugumo mokymai visiems darbuotojams, turintiems prieigą prie asmens duomenų arba gamybinės infrastruktūros.
Reagavimas į incidentus
- Dokumentuota saugumo incidentų valdymo procedūra, apimanti aptikimą, lokalizavimą, tyrimą, pranešimą (įskaitant pranešimą Valdytojui per 48 valandas pagal 10 skyrių) ir incidento peržiūrą po jo pabaigos.
- Ketvirčio incidentų valdymo procedūrų ir kontaktinės informacijos peržiūra.
Duomenų praradimo prevencija
- Programos lygio prieigos kontrolė, skirta atskiriems prekiautojams ir atskiroms sesijoms; joks prekiautojas negali pasiekti kito prekiautojo duomenų per API.
- Visos prieigos prie asmens duomenų audito registravimas, saugomas pagal 9 skyrių.
- Reguliarūs užšifruotų atsarginių kopijų atkūrimo testai.
Saugi kūrimo praktika
- Išeities kodas saugomas privačioje saugykloje su privalomu visų pakeitimų peržiūros procesu prieš suliejimą.
- Automatinis priklausomybių skenavimas ir reguliarus trečiųjų šalių bibliotekų atnaujinimas.
- Įsiskverbimo testavimas ne rečiau kaip kartą per metus, kai Paslaugos tampa visuotinai prieinamos.
2 priedas – Įgaliotieji duomenų tvarkymo subrangovai
Nuo paskutinio šio DPA atnaujinimo datos šie subrangovai yra įgalioti tvarkyti asmens duomenis Valdytojo vardu:
| Subtvarkytojas | Paskirtis | Vieta | Perdavimo mechanizmas |
|---|---|---|---|
| OVH SAS | Debesijos infrastruktūros priegloba (skaičiavimas, saugykla, tinklas) ir užšifruotos išorinės atsarginės kopijos | Prancūzija (ES) | Intra-EEA |
| SMTP2GO | Transakcijų ir pranešimų el. laiškai | ES | Intra-EEA |
| Cost+ mokėjimų infrastruktūra (Costplus OÜ) | Mokėjimo tokenizavimas, autorizavimas, surinkimas, grąžinimas | ES | Intra-EEA |
| Ginger Payments | Mokėjimo šliuzas / operacijų maršrutizavimas | Nyderlandai (ES) | Intra-EEA |
| FinteqHub | Mokėjimo šliuzas / orkestracija | Kipras ir Lietuva (ES) | Intra-EEA |
| ComplyPay | Bankininkystė kaip paslauga (BaaS) teikėjas | Danija (ES) | Intra-EEA |
| Rapyd | Mokėjimų įsigijimas / apdorojimas | ES / Jungtinė Karalystė | Intra-EEA; JK pervedimai pagal ES–JK tinkamumo sprendimą |
| SHIFT4 | Mokėjimų įsigijimas / apdorojimas | ES / Jungtinė Karalystė | Intra-EEA; JK pervedimai pagal ES–JK tinkamumo sprendimą |
| Elavon | Mokėjimų įsigijimas / apdorojimas | ES / Jungtinė Karalystė | Intra-EEA; JK pervedimai pagal ES–JK tinkamumo sprendimą |
| Clearhaus | Mokėjimų įsigijimas / apdorojimas | Danija (ES) | Intra-EEA |
| Paynetics | Mokėjimų įsigijimas / elektroninių pinigų išleidimas | Bulgarija (ES) | Intra-EEA |
| Didit | Tapatybės tikrinimas, KYB / KYC / AML atitiktis | Jungtinės Valstijos / Ispanija (ES) | Standartinės sutarčių sąlygos (BDAR 46 str.) |
Tvarkytojas palaikys naujausią šio sąrašo versiją adresu https://costplus.io/dpa/sub-processors ir informuos Valdytoją apie visus papildymus ar pakeitimus pagal šio DPA 7.2 skyrių.
Duomenų tvarkymo sutarties pabaiga.
