Databehandleravtale (DPA)

Sist oppdatert: 29. mai 2026

1. Parter

Denne databehandleravtalen («DPA») er inngått mellom:

  • Costplus OÜ, et selskap registrert i Estland, med forretningsadresse Pärnu mnt 139b, 11317 Tallinn, Estland, organisasjonsnummer 16936614 («Databehandler», «vi», «oss», eller «Cost+»); og
  • selgeren som har installert Cost+ Checkout Shopify-applikasjonen, eller på annen måte har integrert med Cost+ Checkout-tjenesten, ved å godta våre bruksvilkår på https://costplus.io/shopify-app-terms.htmlBehandlingsansvarlig», «Selger», eller «deg»),

hver omtalt som «Part» og samlet som «Partene».

Denne DPA-en er en del av, og underlagt, bruksvilkårene mellom Partene. Ved eventuell konflikt mellom denne DPA-en og bruksvilkårene med hensyn til behandling av personopplysninger, går denne DPA-en foran.

2. Definisjoner

Med mindre annet er definert, har ord med stor forbokstav den betydningen som er gitt dem i forordning (EU) 2016/679 («GDPR»). For ordens skyld:

  • «Personopplysninger» har den betydningen som fremgår av artikkel 4 nr. 1 GDPR.
  • «Behandling» har den betydningen som fremgår av artikkel 4 nr. 2 GDPR.
  • «Registrert» betyr en Shopify-kunde eller sluttbruker hvis personopplysninger behandles under denne DPA-en.
  • «Underdatabehandler» betyr en tredjepart som Databehandleren har engasjert til å behandle personopplysninger på vegne av Behandlingsansvarlig.
  • «Tjenestene» betyr Cost+ Checkout-tjenesten (Shopify-appen, tilhørende API-er og hortede utsjekkingssider) som Databehandleren leverer til Behandlingsansvarlig i henhold til bruksvilkårene.

3. Gjenstand, art, formål og varighet for behandlingen

3.1 Gjenstand

Databehandleren behandler personopplysninger om Behandlingsansvarliges kunder for å levere Tjenestene. Cost+ Checkout er et verktøy for traktstrukturering som leder kjøpere som ankommer fra inngangspunkter kontrollert av Selgeren (for eksempel e-postkampanjer, landingssider, annonser i sosiale medier eller direkte Shopify-butikklenker) gjennom én konsistent utsjekkingsopplevelse og oppretter den tilhørende ordren i Selgerens Shopify-butikk etter betaling.

3.2 Art og formål med behandlingen

Databehandleren behandler personopplysninger for følgende formål:

  • Innsamling av kjøperens kontakt- og leveringsinformasjon under utsjekking;
  • Beregning av gjeldende avgifter og fraktsatser via Shopifys egne tjenester for avgifts- og fraktberegning;
  • Opprettelse av den tilhørende Shopify-ordren etter at kjøperen har fullført betalingen;
  • Behandling av betalinger via Cost+s betalingsinfrastruktur eller Selgerens konfigurerte betalingsleverandør;
  • Reflektering av refusjoner, kanselleringer og leveringshendelser initiert av Selgeren i deres Shopify-admin tilbake i Selgerens Cost+ Checkout-konfigurasjon;
  • Behandling av forespørsler fra registrerte videresendt av Shopify via standard GDPR-webhooks (customers/data_request, customers/redact, shop/redact);
  • Levering av selgerrettet analyse basert på aggregerte og pseudonymiserte sesjonsdata.

3.3 Varighet

Databehandleren behandler personopplysninger i den perioden Tjenestene leveres, og oppbevarer slike data i de periodene som er angitt i punkt 9 nedenfor.

4. Typer personopplysninger og kategorier av registrerte

4.1 Typer personopplysninger

  • For- og etternavn;
  • E-postadresse;
  • Telefonnummer (når oppgitt);
  • Leveringsadresse (gate, by, postnummer, land, valgfri adresselinje 2, fylke/stat);
  • Faktureringsadresse (samme felt);
  • Ordredetaljer, inkludert varelinjer, produktidentifikatorer, antall, priser, brukte rabattkoder, ordretotal, valuta og leveringsstatus;
  • Betalingsrelaterte metadata (betalingsmetodetoken eller referanse, autorisasjons- og capture-identifikatorer) — merk at fullstendige primære kontonumre (PAN) aldri kommer inn i Databehandlerens systemer; de tokeniseres av Cost+s PCI-DSS-kompatible betalingsinfrastruktur eller Selgerens konfigurerte betalingsleverandør.

4.2 Kategorier av registrerte

  • Behandlingsansvarliges kunder (kjøpere) som fullfører utsjekking via Cost+ Checkout.

5. Databehandlerens forpliktelser

Databehandleren skal:

5.1 Dokumenterte instruksjoner

Behandle personopplysninger bare i henhold til Behandlingsansvarliges dokumenterte instruksjoner, inkludert med hensyn til overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre dette er påkrevd av EU-rett eller nasjonal rett som Databehandleren er underlagt. I så fall skal Databehandleren informere Behandlingsansvarlig om dette lovkravet før behandlingen starter, med mindre loven forbyr slik informasjon av viktige allmenne interesser. Partene er enige om at bruksvilkårene, denne DPA-en og Behandlingsansvarliges bruk av Tjenestene gjennom standard konfigurasjonsalternativer utgjør dokumenterte instruksjoner i henhold til artikkel 28 nr. 3 bokstav a GDPR.

5.2 Konfidensialitet

Sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.

5.3 Sikkerhetstiltak

Iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, i henhold til artikkel 32 GDPR. Et sammendrag av disse tiltakene er angitt i Vedlegg 1. Behandlingsansvarlig erkjenner at Vedlegg 1 kan oppdateres fra tid til annen for å gjenspeile forbedringer i Databehandlerens sikkerhetsposisjon, og at en slik oppdatering ikke vil medføre en vesentlig reduksjon av sikkerhetsnivået.

5.4 Underdatabehandlere

Engasjere underdatabehandlere kun i henhold til vilkårene i punkt 7 nedenfor.

5.5 Bistand ved de registrertes rettigheter

Under hensyntagen til behandlingens art, bistå Behandlingsansvarlig med egnede tekniske og organisatoriske tiltak, så langt det er mulig, for å oppfylle Behandlingsansvarliges forpliktelse til å besvare forespørsler om utøvelse av de registrertes rettigheter etter kapittel III i GDPR.

5.6 Bistand ved Behandlingsansvarliges øvrige forpliktelser

Bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene etter artiklene 32 til 36 GDPR, under hensyntagen til behandlingens art og opplysningene som er tilgjengelige for Databehandleren.

5.7 Tilbakelevering eller sletting ved avslutning av Tjenestene

Etter Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger til Behandlingsansvarlig etter at leveringen av Tjenestene knyttet til behandlingen er avsluttet, og slette eksisterende kopier, med mindre EU-rett eller nasjonal rett krever oppbevaring av personopplysningene. Databehandleren skal slette personopplysninger innen 90 dager etter at Tjenestene er avsluttet, med unntak av der lengre oppbevaring er påkrevd av punkt 9.

5.8 Registre over behandlingsaktiviteter

Føre et skriftlig register over alle kategorier av behandlingsaktiviteter som utføres på vegne av Behandlingsansvarlig, i henhold til artikkel 30 nr. 2 GDPR.

5.9 Revisjoner

Gjøre all nødvendig informasjon tilgjengelig for Behandlingsansvarlig for å dokumentere overholdelse av artikkel 28 GDPR, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig eller en annen revisor gitt mandat av Behandlingsansvarlig. Behandlingsansvarlig skal dekke eventuelle kostnader ved slike revisjoner utover den standardinformasjonen som allerede er tilgjengelig for Behandlingsansvarlig gjennom Tjenestene. Behandlingsansvarlig skal gi rimelig forhåndsvarsel (minst 30 dager), gjennomføre revisjoner i normal arbeidstid og ikke forstyrre Databehandlerens virksomhet.

6. Behandlingsansvarliges forpliktelser

Behandlingsansvarlig garanterer at:

  • Det er etablert et gyldig rettslig grunnlag etter artikkel 6 GDPR (og, der det er aktuelt, artikkel 9 GDPR) for alle personopplysninger som gjøres tilgjengelig for Databehandleren gjennom Tjenestene;
  • All nødvendig informasjon er gitt til de registrerte i henhold til artiklene 13 og 14 GDPR, inkludert opplysningen om at Cost+ Checkout brukes til å behandle utsjekking og ordredata;
  • Cost+ Checkout er korrekt konfigurert (inkludert flytregler, tillatte land, betalingsmetoder og eventuelle tilpassede skript eller blokker) slik at Tjenestene bare behandler personopplysninger som er nødvendige for Selgerens lovlige formål;
  • Det vil besvare forespørsler fra registrerte videresendt av Databehandleren innenfor de fristene loven krever.

7. Underdatabehandlere

7.1 Generell autorisasjon

Behandlingsansvarlig gir generell autorisasjon for at Databehandleren kan engasjere underdatabehandlere for å utføre Tjenestene. En liste over gjeldende underdatabehandlere er oppbevart i Vedlegg 2 og oppdateres fra tid til annen.

7.2 Varsel om endringer

Databehandleren skal informere Behandlingsansvarlig om planlagte endringer i listen over underdatabehandlere (tillegg eller erstatning) med minst 30 dagers forhåndsvarsel, slik at Behandlingsansvarlig får mulighet til å protestere på rimelig grunnlag. Dersom Behandlingsansvarlig protesterer og Partene ikke kan bli enige om en løsning innen 30 dager, kan Behandlingsansvarlig si opp den berørte delen av Tjenestene uten særskilt grunn.

7.3 Videreføring av forpliktelser

Databehandleren skal pålegge enhver underdatabehandler, ved kontrakt, de samme forpliktelsene om databeskyttelse som er fastsatt i denne DPA-en, og forblir fullt ansvarlig overfor Behandlingsansvarlig for utførelsen av hver underdatabehandlers forpliktelser.

8. Internasjonale dataoverføringer

8.1 Primær hosting

Databehandleren drifter Tjenestene i Den europeiske union og behandler personopplysninger primært innenfor EU/EØS. Noen autoriserte underdatabehandlere (for eksempel visse betalingsinnkjøpspartnere) er lokalisert utenfor EØS; der dette er tilfellet, sikrer Databehandleren at overføringen er beskyttet av en adekvansavgjørelse eller av standardkontraktklausuler som angitt i punkt 8.2, og identifiserer de relevante underdatabehandlerne i Vedlegg 2.

8.2 Underdatabehandleroverføringer

Der en underdatabehandler befinner seg utenfor EU/EØS, sikrer Databehandleren at overføringer er dekket av en adekvansavgjørelse etter artikkel 45 GDPR, eller av standardkontraktklausuler vedtatt av Europakommisjonen (modul 2: behandlingsansvarlig-til-databehandler eller modul 3: databehandler-til-databehandler, alt etter hva som er aktuelt), eller av en annen gyldig overføringsmekanisme etter kapittel V GDPR.

8.3 Videre overføringer

Shopify opptrer selv som en uavhengig behandlingsansvarlig med hensyn til kundedata som Behandlingsansvarlig har lagt inn i sin Shopify-butikk. Databehandlerens mottak av slike data fra Shopify, og retur av Shopify-opprettede ordredata til Shopify, er dekket av Shopifys egne databeskyttelsesvilkår med Selgeren og er ikke videre overføringer under denne DPA-en.

9. Oppbevaring og sletting

Databehandleren oppbevarer personopplysninger i følgende perioder:

  • Aktive sesjonsdata (pågående utsjekkingssesjoner som ikke er fullført): slettes 30 dager etter at sesjonen utløper;
  • Fullførte ordredata (sesjoner som resulterte i en Shopify-ordre): oppbevares i 7 år for å oppfylle krav til oppbevaring etter skatte- og regnskapslovgivning i Estland og de fleste EU-jurisdiksjoner, deretter slettes;
  • Betalingstokens og autorisasjonsregistre: oppbevares i oppbevaringsperioden for den underliggende betalingsmetoden (vanligvis 7 år);
  • Loggdata (forespørselslogger, webhook-leveringslogger): oppbevares i 90 dager, deretter roteres de ut;
  • Revisjons-/sikkerhetshendelselogger: oppbevares i 1 år.

Ved avslutning av Tjenestene skal Databehandleren slette eller tilbakelevere personopplysninger som angitt i punkt 5.7 ovenfor, med forbehold for oppbevaringsperioder påkrevd av gjeldende lov.

10. Varsling ved databrudd

Databehandleren skal varsle Behandlingsansvarlig uten unødig forsinkelse, og uansett innen 48 timer, etter å ha blitt klar over et brudd på personopplysningssikkerheten som berører Behandlingsansvarliges data. Varselet skal inneholde minst den informasjonen som kreves av artikkel 33 nr. 3 GDPR i den grad den er tilgjengelig, og skal oppdateres etter hvert som ytterligere informasjon blir kjent.

11. Ansvar

Partenes ansvar under denne DPA-en er underlagt ansvarsbestemmelsene i bruksvilkårene, med unntak av at enhver ansvarsbegrensning i bruksvilkårene ikke utelukker eller begrenser ansvar for forhold der slik utelukkelse eller begrensning ville være ulovlig etter gjeldende personvernlovgivning.

12. Lovvalg og verneting

Denne DPA-en er underlagt estlandsk rett, uten hensyn til landets lovvalgsregler. Partene vedtar eksklusivt verneting ved domstolene i Harju County, Estland, for enhver tvist som oppstår i tilknytning til denne DPA-en, med forbehold for eventuelle ufravikelige lovbestemmelser om verneting i forbruker- eller personverntvister.

13. Varighet og oppsigelse

Denne DPA-en trer i kraft den datoen Behandlingsansvarlig første gang installerer eller bruker Tjenestene, og opphører automatisk ved oppsigelse av bruksvilkårene. Bestemmelser som etter sin natur skal overleve oppsigelse (inkludert punktene 5.7, 9, 10 og 12) skal fortsette å gjelde.

14. Fullstendig avtale

Denne DPA-en, sammen med bruksvilkårene på https://costplus.io/shopify-app-terms.html og personvernreglene på https://costplus.io/privacy-policy.html, utgjør den fullstendige avtalen mellom Partene med hensyn til gjenstanden og erstatter alle tidligere forståelser.

Vedlegg 1 — Tekniske og organisatoriske tiltak

Databehandleren iverksetter følgende tekniske og organisatoriske tiltak for å beskytte personopplysninger:

Kryptering

  • All data under overføring er kryptert med TLS 1.2 eller høyere, med sertifikater administrert via Let's Encrypt og automatisk rotasjon.
  • Shopify API-tilgangstokens og tredjeparts betalingsleverandørlegitimasjon er kryptert i hvile med AES-256-GCM med applikasjonslagnøkler administrert via HashiCorp Vault Transit eller et tilsvarende nøkkelhåndteringssystem.
  • Databasesikkerhetskopier er kryptert før overføring til ekstern lagring.

Tilgangskontroll

  • Tilgang til produksjonssystemer er begrenset til et definert sett med autorisert personell med individuelt identifiserbare kontoer, SSH-nøkkelbasert autentisering for servertilgang og maskinvarestøttet eller TOTP-flerfaktorautentisering for administrative grensesnitt.
  • Applikasjonsnivåpassord for selgere er hashet med Argon2id med minnekrevende parametere.
  • Tilgang til personopplysninger er logget og oppbevart i henhold til punkt 9 i DPA-en.

Infrastruktur

  • Tjenestene er driftet i Tier III-datasentre eller tilsvarende, lokalisert innenfor Den europeiske union.
  • Logisk separasjon mellom test- og produksjonsmiljøer; ingen produksjonsdata brukes i utvikling eller testmiljøer.
  • Regelmessig oppdatering av operativsystemer, kjøretidsmiljøer og tredjepartsavhengigheter.

Personell

  • Personell med tilgang til personopplysninger er bundet av skriftlige taushetspliktsforpliktelser som gjelder etter avslutningen av deres ansettelsesforhold.
  • Introduksjonsopplæring og periodisk sikkerhetsbevissthetstrening for alt personell med tilgang til personopplysninger eller produksjonsinfrastruktur.

Hendelseshåndtering

  • Dokumentert prosedyre for håndtering av sikkerhetshendelser som dekker deteksjon, begrensning, etterforskning, varsling (inkludert til Behandlingsansvarlig innen 48 timer per punkt 10) og gjennomgang etter hendelsen.
  • Kvartalsvise gjennomganger av prosedyrer for hendelseshåndtering og kontaktinformasjon.

Forebygging av datatap

  • Tilgangskontroller på applikasjonsnivå avgrenset til individuelle selgere og individuelle sesjoner; ingen selger kan få tilgang til en annen selgers data via API-et.
  • Revisjonslogging av all tilgang til personopplysninger, oppbevart i henhold til avsnitt 9.
  • Regelmessige gjenopprettingstester av krypterte sikkerhetskopier.

Sikker utvikling

  • Kildekode lagret i et privat repositorium med obligatorisk gjennomgang av alle endringer før sammenslåing.
  • Automatisert avhengighetsskanning og regelmessige oppdateringer av tredjepartsbiblioteker.
  • Penetrasjonstesting minst én gang i året når tjenestene er allment tilgjengelige.

Vedlegg 2 — Godkjente underdatabehandlere

Per siste oppdateringsdato for denne DPA-en er følgende underdatabehandlere godkjent til å behandle personopplysninger på vegne av den behandlingsansvarlige:

UnderdatabehandlerFormålPlasseringOverføringsmekanisme
OVH SASSkyinfrastrukturvert (beregning, lagring, nettverk) og krypterte eksterne sikkerhetskopierFrankrike (EU)Intra-EEA
SMTP2GOTransaksjons- og varslingseposterEUIntra-EEA
Cost+ betalingsinfrastruktur (Costplus OÜ)Betalingstokenisering, autorisasjon, innkreving, refusjonEUIntra-EEA
Ginger PaymentsBetalingsgateway / transaksjonsrutingNederland (EU)Intra-EEA
FinteqHubBetalingsgateway / orkestreringKypros og Litauen (EU)Intra-EEA
ComplyPayBanking-as-a-Service (BaaS)-leverandørDanmark (EU)Intra-EEA
RapydBetalingsinnkreving / prosesseringEU / StorbritanniaIntra-EEA; overføringer til Storbritannia under EU–Storbritannia-adekvansavgjørelsen
SHIFT4Betalingsinnkreving / prosesseringEU / StorbritanniaIntra-EEA; overføringer til Storbritannia under EU–Storbritannia-adekvansavgjørelsen
ElavonBetalingsinnkreving / prosesseringEU / StorbritanniaIntra-EEA; overføringer til Storbritannia under EU–Storbritannia-adekvansavgjørelsen
ClearhausBetalingsinnkreving / prosesseringDanmark (EU)Intra-EEA
PayneticsBetalingsinnkreving / utstedelse av e-pengerBulgaria (EU)Intra-EEA
DiditIdentitetsverifisering, KYB / KYC / AML-samsvarUSA / Spania (EU)Standard Contractual Clauses (art. 46 GDPR)

Databehandleren vil til enhver tid opprettholde en oppdatert versjon av denne listen på https://costplus.io/dpa/sub-processors og vil varsle den behandlingsansvarlige om eventuelle tillegg eller utskiftninger i henhold til avsnitt 7.2 i denne DPA-en.

Slutt på databehandleravtalen.