Datu apstrādes līgums (DPA)

Pēdējo reizi atjaunināts: 2026. gada 29. maijā

1. Puses

Šis datu apstrādes līgums ("DPA") ir noslēgts starp:

  • Costplus OÜ, Igaunijā reģistrēta sabiedrība ar juridisko adresi Pärnu mnt 139b, 11317 Tallina, Igaunija, reģistrācijas numurs 16936614 ("Apstrādātājs, mēs, mums, vai Cost+"); un
  • tirgotājs, kurš ir instalējis Cost+ Checkout Shopify lietojumprogrammu vai citādi integrējies ar Cost+ Checkout pakalpojumu, piekrītot mūsu pakalpojumu sniegšanas noteikumiem https://costplus.io/shopify-app-terms.html ("Pārzinis, Tirgotājs, vai jūs"),

katra atsevišķi — "Puse, un kopā — Puses".

Šis DPA ir daļa no Pušu pakalpojumu sniegšanas noteikumiem un tiem pakļauts. Ja rodas pretrunas starp šo DPA un pakalpojumu sniegšanas noteikumiem attiecībā uz personas datu apstrādi, priekšroka tiek dota šim DPA.

2. Definīcijas

Ja nav noteikts citādi, ar lielo burtu rakstītiem terminiem ir nozīme, kas tiem piešķirta Regulā (ES) 2016/679 ("GDPR"). Ērtības labad:

  • "Personas dati" ir nozīme, kas noteikta GDPR 4. panta 1. punktā.
  • "Apstrāde" ir nozīme, kas noteikta GDPR 4. panta 2. punktā.
  • "Datu subjekts" ir Shopify klients vai galalietotājs, kura personas dati tiek apstrādāti saskaņā ar šo DPA.
  • "Apakšapstrādātājs" ir jebkura trešā persona, kuru Apstrādātājs iesaistījis personas datu apstrādei Pārziņa vārdā.
  • "Pakalpojumi" ir Cost+ Checkout pakalpojums (Shopify lietotne, saistītie API un mitinātās norēķinu lapas), ko Apstrādātājs sniedz Pārzinim saskaņā ar pakalpojumu sniegšanas noteikumiem.

3. Apstrādes priekšmets, raksturs, nolūks un ilgums

3.1 Priekšmets

Apstrādātājs apstrādā Pārziņa klientu personas datus, lai sniegtu Pakalpojumus. Cost+ Checkout ir pirkšanas procesa organizēšanas rīks, kas virza pircējus, kuri ierodas no Tirgotāja kontrolētiem ieejas punktiem (piemēram, e-pasta kampaņas, mērķlapas, sociālo tīklu reklāmas vai tiešās Shopify veikala saites), caur vienotu norēķinu pieredzi un pēc maksājuma izveido atbilstošu pasūtījumu Tirgotāja Shopify veikalā.

3.2 Apstrādes raksturs un nolūks

Apstrādātājs apstrādā personas datus šādiem nolūkiem:

  • Pircēja kontaktinformācijas un piegādes informācijas vākšana norēķinu laikā;
  • Piemērojamo nodokļu un piegādes tarifu aprēķināšana, izmantojot Shopify pašu nodokļu un piegādes aprēķina pakalpojumus;
  • Atbilstoša Shopify pasūtījuma izveide pēc tam, kad pircējs pabeidz maksājumu;
  • Maksājumu apstrāde caur Cost+ maksājumu infrastruktūru vai Tirgotāja konfigurēto maksājumu pakalpojumu sniedzēju;
  • Tirgotāja Shopify administrācijā uzsākto atmaksu, atcelšanas un izpildes notikumu atspoguļošana Tirgotāja Cost+ Checkout konfigurācijā;
  • Atbildēšana uz datu subjektu pieprasījumiem, ko Shopify pārsūtījis caur standarta GDPR tīmekļa āķiem (customers/data_request, customers/redact, shop/redact);
  • Tirgotājiem paredzētas analītikas nodrošināšana, kas iegūta no apkopotiem un pseidonimizētiem sesijas datiem.

3.3 Ilgums

Apstrādātājs apstrādā personas datus Pakalpojumu sniegšanas laikā un glabā šādus datus 9. sadaļā noteiktajiem periodiem.

4. Personas datu veidi un datu subjektu kategorijas

4.1 Personas datu veidi

  • Vārds un uzvārds;
  • E-pasta adrese;
  • Tālruņa numurs (ja norādīts);
  • Piegādes adrese (iela, pilsēta, pasta indekss, valsts, neobligāta 2. adreses rinda, rajons/štats);
  • Rēķina adrese (tie paši lauki);
  • Pasūtījuma informācija, ieskaitot pozīcijas, preču identifikatorus, daudzumus, cenas, piemērotos atlaižu kodus, pasūtījuma kopsummu, valūtu un izpildes statusu;
  • Ar maksājumu saistītie metadati (maksājuma metodes tokens vai atsauce, autorizācijas un uztveršanas identifikatori) — jāatzīmē, ka pilni primārie konta numuri (PAN) nekad nenokļūst Apstrādātāja sistēmās; tos tokenizē Cost+ PCI-DSS-atbilstīgā maksājumu infrastruktūra vai Tirgotāja konfigurētais maksājumu pakalpojumu sniedzējs.

4.2 Datu subjektu kategorijas

  • Pārziņa klienti (pircēji), kas veic norēķinu caur Cost+ Checkout.

5. Apstrādātāja pienākumi

Apstrādātājs:

5.1 Dokumentētas instrukcijas

Apstrādā personas datus tikai saskaņā ar Pārziņa dokumentētajām instrukcijām, tostarp attiecībā uz personas datu pārsūtīšanu uz trešo valsti vai starptautisku organizāciju, ja vien to nenosaka Savienības vai dalībvalsts tiesību akti, kuriem Apstrādātājs ir pakļauts. Šādā gadījumā Apstrādātājs pirms apstrādes informē Pārzini par šo juridisko prasību, ja vien minētie tiesību akti to neaizliedz svarīgu sabiedrības interešu apsvērumu dēļ. Puses vienojas, ka pakalpojumu sniegšanas noteikumi, šis DPA un Pārziņa Pakalpojumu izmantošana caur standarta konfigurācijas opcijām ir dokumentētas instrukcijas GDPR 28. panta 3. punkta a) apakšpunkta nozīmē.

5.2 Konfidencialitāte

Nodrošina, ka personas, kurām ir atļauts apstrādāt personas datus, ir uzņēmušās konfidencialitātes saistības vai tām ir piemērojams atbilstošs likumā noteikts konfidencialitātes pienākums.

5.3 Drošības pasākumi

Ievieš atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, kā prasīts GDPR 32. pantā. Šo pasākumu kopsavilkums ir izklāstīts 1. pielikumā. Pārzinis apzinās, ka 1. pielikums var tikt periodiski atjaunināts, atspoguļojot Apstrādātāja drošības stāvokļa uzlabojumus, un ka jebkāds šāds atjauninājums neradīs būtisku drošības līmeņa samazinājumu.

5.4 Apakšapstrādātāji

Iesaista apakšapstrādātājus tikai saskaņā ar 7. sadaļas noteikumiem.

5.5 Palīdzība datu subjektu tiesību īstenošanā

Ņemot vērā apstrādes raksturu, pēc iespējas palīdz Pārzinim ar atbilstošiem tehniskiem un organizatoriskiem pasākumiem izpildīt Pārziņa pienākumu atbildēt uz pieprasījumiem par datu subjektu tiesību īstenošanu saskaņā ar GDPR III nodaļu.

5.6 Palīdzība Pārziņa citu pienākumu izpildē

Palīdz Pārzinim nodrošināt atbilstību GDPR 32. līdz 36. pantā noteiktajiem pienākumiem, ņemot vērā apstrādes raksturu un Apstrādātājam pieejamo informāciju.

5.7 Atgriešana vai dzēšana pakalpojumu beigās

Pēc Pārziņa izvēles dzēš vai atgriež visus personas datus Pārzinim pēc ar apstrādi saistīto Pakalpojumu sniegšanas beigām un dzēš esošās kopijas, ja vien Savienības vai dalībvalsts tiesību akti neparedz personas datu glabāšanu. Apstrādātājs dzēš personas datus 90 dienu laikā pēc Pakalpojumu beigām, izņemot gadījumus, kad 9. sadaļa paredz ilgāku glabāšanas periodu.

5.8 Apstrādes uzskaite

Uztur rakstisku uzskaiti par visām apstrādes darbību kategorijām, kas veiktas Pārziņa vārdā, kā prasīts GDPR 30. panta 2. punktā.

5.9 Revīzijas

Dara Pārzinim pieejamu visu informāciju, kas nepieciešama, lai pierādītu atbilstību GDPR 28. pantam, un atļauj un veicina revīzijas, tostarp pārbaudes, ko veic Pārzinis vai cits Pārziņa pilnvarots revidents. Pārzinis sedz jebkādas revīzijas izmaksas, kas pārsniedz Pārzinim caur Pakalpojumiem jau pieejamās standarta informācijas sniegšanu. Pārzinis sniedz pamatotu iepriekšēju paziņojumu (vismaz 30 dienas), veic revīzijas parastajā darba laikā un netraucē Apstrādātāja darbību.

6. Pārziņa pienākumi

Pārzinis apliecina, ka:

  • Tas ir izveidojis derīgu juridisko pamatu saskaņā ar GDPR 6. pantu (un, ja piemērojams, GDPR 9. pantu) visiem personas datiem, ko tas dara pieejamus Apstrādātājam caur Pakalpojumiem;
  • Tas ir sniedzis datu subjektiem visu nepieciešamo pārredzamības informāciju saskaņā ar GDPR 13. un 14. pantu, ieskaitot faktu, ka norēķinu un pasūtījumu datu apstrādei tiek izmantots Cost+ Checkout;
  • Tas ir pareizi konfigurējis Cost+ Checkout (ieskaitot plūsmas noteikumus, atļautās valstis, maksājumu metodes un jebkādus pielāgotus skriptus vai blokus) tā, lai Pakalpojumi apstrādātu tikai tos personas datus, kas nepieciešami Tirgotāja likumīgajiem nolūkiem;
  • Tas atbildēs uz Apstrādātāja pārsūtītajiem datu subjektu pieprasījumiem likumā noteiktajos termiņos.

7. Apakšapstrādātāji

7.1 Vispārēja atļauja

Pārzinis sniedz vispārēju atļauju Apstrādātājam iesaistīt apakšapstrādātājus Pakalpojumu sniegšanai. Pašreizējo apakšapstrādātāju saraksts ir uzturēts 2. pielikumā un tiek periodiski atjaunināts.

7.2 Paziņojums par izmaiņām

Apstrādātājs informē Pārzini par jebkādiem paredzētajiem apakšapstrādātāju saraksta grozījumiem (pievienošana vai aizstāšana) vismaz 30 dienas iepriekš, dodot Pārzinim iespēju iebilst pamatotu iemeslu dēļ. Ja Pārzinis iebilst un Puses 30 dienu laikā nevar vienoties par risinājumu, Pārzinis var izbeigt attiecīgo Pakalpojumu daļu bez iemesla norādīšanas.

7.3 Pienākumu nodošana

Apstrādātājs ar līguma starpniecību uzliek katram apakšapstrādātājam tos pašus datu aizsardzības pienākumus, kas noteikti šajā DPA, un paliek pilnībā atbildīgs Pārziņa priekšā par katra apakšapstrādātāja pienākumu izpildi.

8. Starptautiskie datu pārsūtījumi

8.1 Primārā mitināšana

Apstrādātājs mitina Pakalpojumus Eiropas Savienībā un personas datus apstrādā galvenokārt ES/EEZ ietvaros. Daži atļautie apakšapstrādātāji (piemēram, atsevišķi maksājumu iegūšanas partneri) atrodas ārpus EEZ; šādos gadījumos Apstrādātājs nodrošina, ka pārsūtīšana ir aizsargāta ar atbilstības lēmumu vai standarta līguma klauzulām, kā noteikts 8.2 sadaļā, un identificē attiecīgos apakšapstrādātājus 2. pielikumā.

8.2 Apakšapstrādātāju pārsūtījumi

Ja apakšapstrādātājs atrodas ārpus ES/EEZ, Apstrādātājs nodrošina, ka pārsūtījumus aptver atbilstības lēmums saskaņā ar GDPR 45. pantu, vai Eiropas Komisijas pieņemtās standarta līguma klauzulas (2. modulis: pārzinis–apstrādātājs vai 3. modulis: apstrādātājs–apstrādātājs, atkarībā no gadījuma), vai cits derīgs pārsūtīšanas mehānisms saskaņā ar GDPR V nodaļu.

8.3 Tālākie pārsūtījumi

Shopify pats darbojas kā neatkarīgs pārzinis attiecībā uz klientu datiem, ko Pārzinis ir ievadījis savā Shopify veikalā. Apstrādātāja šādu datu saņemšana no Shopify un Shopify izveidoto pasūtījumu datu atgriešana Shopify ir regulēta ar Shopify pašu datu aizsardzības noteikumiem ar Tirgotāju un nav tālākie pārsūtījumi šā DPA nozīmē.

9. Glabāšana un dzēšana

Apstrādātājs glabā personas datus šādos periodos:

  • Aktīvo sesiju dati (notiekošās norēķinu sesijas, kas nav pabeigtas): dzēsti 30 dienas pēc sesijas termiņa beigām;
  • Pabeigto pasūtījumu dati (sesijas, kuru rezultātā tika izveidots Shopify pasūtījums): glabāti 7 gadus, lai izpildītu nodokļu un grāmatvedības tiesību aktu glabāšanas prasības Igaunijā un lielākajā daļā ES jurisdikciju, pēc tam dzēsti;
  • Maksājumu tokeni un autorizācijas ieraksti: glabāti attiecīgās maksājumu metodes glabāšanas periodā (parasti 7 gadi);
  • Žurnāla dati (pieprasījumu žurnāli, tīmekļa āķu piegādes žurnāli): glabāti 90 dienas, pēc tam rotēti;
  • Revīzijas/drošības notikumu žurnāli: glabāti 1 gadu.

Pēc Pakalpojumu izbeigšanas Apstrādātājs dzēš vai atgriež personas datus, kā noteikts 5.7. sadaļā, ievērojot piemērojamos tiesību aktos noteiktos glabāšanas periodus.

10. Paziņošana par datu pārkāpumiem

Apstrādātājs bez nepamatotas kavēšanās un jebkurā gadījumā 48 stundu laikā pēc tam, kad uzzinājis par personas datu pārkāpumu, kas ietekmē Pārziņa datus, paziņo par to Pārzinim. Paziņojumā ir iekļauta vismaz GDPR 33. panta 3. punktā prasītā informācija tādā apjomā, kādā tā ir pieejama, un to atjaunina, kļūstot zināmai papildu informācijai.

11. Atbildība

Pušu atbildība saskaņā ar šo DPA ir pakļauta pakalpojumu sniegšanas noteikumos ietvertajiem atbildības nosacījumiem, izņemot to, ka nekādi atbildības ierobežojumi pakalpojumu sniegšanas noteikumos neizslēdz vai neierobežo atbildību par jebkuru lietu, par kuru šāda izslēgšana vai ierobežošana būtu pretlikumīga saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem.

12. Piemērojamie tiesību akti un jurisdikcija

Šo DPA regulē Igaunijas tiesību akti, neņemot vērā tās kolīziju normas. Puses pakļaujas Harju apgabaltiesas, Igaunija, ekskluzīvajai jurisdikcijai attiecībā uz jebkādu strīdu, kas izriet no šā DPA vai ir saistīts ar to, ievērojot jebkādus obligātus tiesību aktu noteikumus par jurisdikciju pār patērētāju vai datu subjektu strīdiem.

13. Darbības laiks un izbeigšana

Šis DPA stājas spēkā dienā, kad Pārzinis pirmo reizi instalē vai izmanto Pakalpojumus, un automātiski izbeidzas, beidzoties pakalpojumu sniegšanas noteikumiem. Klauzulas, kurām pēc to rakstura jāpaliek spēkā pēc izbeigšanas (ieskaitot 5.7., 9., 10. un 12. sadaļu), paliek spēkā.

14. Pilnīgs līgums

Šis DPA kopā ar pakalpojumu sniegšanas noteikumiem https://costplus.io/shopify-app-terms.html un privātuma politiku https://costplus.io/privacy-policy.html veido pilnīgu Pušu vienošanos par šā līguma priekšmetu un aizstāj visas iepriekšējās vienošanās.

1. pielikums — Tehniskie un organizatoriskie pasākumi

Apstrādātājs ievieš šādus tehniskos un organizatoriskos pasākumus personas datu aizsardzībai:

Šifrēšana

  • Visi tranzītā esošie dati ir šifrēti, izmantojot TLS 1.2 vai augstāku versiju, ar Let's Encrypt pārvaldītiem sertifikātiem un automātisku rotāciju.
  • Shopify API piekļuves tokeni un trešo pušu maksājumu pakalpojumu sniedzēju akreditācijas dati tiek šifrēti miera stāvoklī, izmantojot AES-256-GCM ar lietojumprogrammas slāņa atslēgām, ko pārvalda HashiCorp Vault Transit vai līdzvērtīga atslēgu pārvaldības sistēma.
  • Datu bāzes dublējumkopijas tiek šifrētas pirms pārsūtīšanas uz ārējo glabātuvi.

Piekļuves kontrole

  • Piekļuve ražošanas sistēmām ir ierobežota līdz noteiktam pilnvaroto darbinieku lokam ar individuāli identificējamiem kontiem, SSH atslēgu autentifikāciju servera piekļuvei un aparatūras vai TOTP daudzfaktoru autentifikāciju administratīvajām saskarnēm.
  • Lietojumprogrammas līmeņa tirgotāju paroles tiek jauktas, izmantojot Argon2id ar atmiņas ietilpīgiem parametriem.
  • Piekļuve Personas datiem tiek reģistrēta un saglabāta saskaņā ar DPA 9. punktu.

Infrastruktūra

  • Pakalpojumi tiek mitināti III līmeņa vai līdzvērtīgos datu centros, kas atrodas Eiropas Savienībā.
  • Loģiska testēšanas un ražošanas vides atdalīšana; ražošanas dati netiek izmantoti izstrādes vai testēšanas vidēs.
  • Regulāra operētājsistēmu, izpildlaika vižu un trešo pušu atkarību ielāpošana.

Personāls

  • Personāls ar piekļuvi Personas datiem ir saistīts ar rakstiskiem konfidencialitātes pienākumiem, kas paliek spēkā arī pēc darba attiecību izbeigšanas.
  • Ievadapmācība un regulāra drošības izpratnes apmācība visiem darbiniekiem ar piekļuvi Personas datiem vai ražošanas infrastruktūrai.

Reaģēšana uz incidentiem

  • Dokumentēta drošības incidentu reaģēšanas procedūra, kas aptver atklāšanu, ierobežošanu, izmeklēšanu, paziņošanu (tostarp Pārzinim 48 stundu laikā saskaņā ar 10. punktu) un pēcincidenta pārskatīšanu.
  • Ceturkšņa pārskatīšana par incidentu reaģēšanas procedūrām un kontaktinformāciju.

Datu zuduma novēršana

  • Lietojumprogrammas līmeņa piekļuves kontrole, kas attiecas uz atsevišķiem tirgotājiem un atsevišķām sesijām; neviens tirgotājs nevar piekļūt cita tirgotāja datiem, izmantojot API.
  • Visu piekļuves gadījumu audita reģistrēšana Personas datiem, saglabāta saskaņā ar 9. punktu.
  • Regulāra šifrētu dublējumkopiju atjaunošanas pārbaude.

Droša izstrāde

  • Pirmkods tiek glabāts privātā repozitorijā ar obligātu visu izmaiņu pārskatīšanu pirms sapludināšanas.
  • Automatizēta atkarību skenēšana un regulāra trešo pušu bibliotēku atjaunināšana.
  • Iespiešanās testēšana vismaz reizi gadā, kad Pakalpojumi sasniedz vispārējo pieejamību.

2. pielikums — Pilnvarotie apakšapstrādātāji

Šī DPA pēdējās atjaunināšanas datumā šādi apakšapstrādātāji ir pilnvaroti apstrādāt Personas datus Pārziņa vārdā:

ApakšapstrādātājsMērķisAtrašanās vietaPārsūtīšanas mehānisms
OVH SASMākoņinfrastruktūras mitināšana (aprēķini, glabāšana, tīkls) un šifrētas ārējās dublējumkopijasFrancija (ES)Intra-EEA
SMTP2GODarījumu un paziņojumu e-pasta ziņojumiEUIntra-EEA
Cost+ maksājumu infrastruktūra (Costplus OÜ)Maksājumu tokenizācija, autorizācija, iekasēšana, atmaksaEUIntra-EEA
Ginger PaymentsMaksājumu vārteja / darījumu maršrutēšanaNīderlande (ES)Intra-EEA
FinteqHubMaksājumu vārteja / orķestrācijaKipra un Lietuva (ES)Intra-EEA
ComplyPayBankas kā pakalpojuma (BaaS) sniedzējsDānija (ES)Intra-EEA
RapydMaksājumu iegūšana / apstrādeES / Apvienotā KaralisteIntra-EEA; AK pārsūtīšana saskaņā ar ES–AK atbilstības lēmumu
SHIFT4Maksājumu iegūšana / apstrādeES / Apvienotā KaralisteIntra-EEA; AK pārsūtīšana saskaņā ar ES–AK atbilstības lēmumu
ElavonMaksājumu iegūšana / apstrādeES / Apvienotā KaralisteIntra-EEA; AK pārsūtīšana saskaņā ar ES–AK atbilstības lēmumu
ClearhausMaksājumu iegūšana / apstrādeDānija (ES)Intra-EEA
PayneticsMaksājumu iegūšana / e-naudas izlaišanaBulgārija (ES)Intra-EEA
DiditIdentitātes verificēšana, KYB / KYC / AML atbilstībaAmerikas Savienotās Valstis / Spānija (ES)Standarta līguma klauzulas (VDAR 46. pants)

Apstrādātājs uzturēs šī saraksta aktuālu versiju vietnē https://costplus.io/dpa/sub-processors un paziņos Pārzinim par jebkādiem papildinājumiem vai nomaiņām saskaņā ar šī DPA 7.2. punktu.

Datu apstrādes līguma beigas.