Umowa o przetwarzaniu danych (DPA)
Ostatnia aktualizacja: 29 maja 2026
1. Strony
Niniejsza Umowa o przetwarzaniu danych („DPA") jest zawierana między:
- Costplus OÜ, spółką zarejestrowaną w Estonii, z siedzibą pod adresem Pärnu mnt 139b, 11317 Tallinn, Estonia, numer rejestrowy spółki 16936614 („Podmiot przetwarzający", „my", „nas", lub „Cost+"); oraz
- sprzedawcą, który zainstalował aplikację Shopify Cost+ Checkout lub w inny sposób zintegrował się z usługą Cost+ Checkout, akceptując nasze Warunki korzystania z usługi pod adresem https://costplus.io/shopify-app-terms.html („Administrator", „Sprzedawca", lub „Użytkownik"),
każda zwana „Stroną", a łącznie „Stronami".
Niniejsza DPA stanowi część Warunków korzystania z usługi zawartych między Stronami i podlega tym Warunkom. W przypadku jakiejkolwiek sprzeczności między niniejszą DPA a Warunkami korzystania z usługi w zakresie przetwarzania Danych osobowych, niniejsza DPA ma pierwszeństwo.
2. Definicje
O ile nie zdefiniowano inaczej, terminy pisane wielką literą mają znaczenie nadane im w Rozporządzeniu (UE) 2016/679 („RODO"). Dla wygody:
- „Dane osobowe" mają znaczenie nadane w art. 4 ust. 1 RODO.
- „Przetwarzanie" ma znaczenie nadane w art. 4 ust. 2 RODO.
- „Osoba, której dane dotyczą" oznacza klienta Shopify lub użytkownika końcowego, którego Dane osobowe są przetwarzane na podstawie niniejszej DPA.
- „Podprzetwarzający" oznacza każdą stronę trzecią zaangażowaną przez Podmiot przetwarzający do przetwarzania Danych osobowych w imieniu Administratora.
- „Usługi" oznaczają usługę Cost+ Checkout (aplikację Shopify, powiązane API oraz hostowane strony checkout) świadczoną przez Podmiot przetwarzający na rzecz Administratora na podstawie Warunków korzystania z usługi.
3. Przedmiot, charakter, cel i czas trwania przetwarzania
3.1 Przedmiot
Podmiot przetwarzający przetwarza Dane osobowe dotyczące klientów Administratora w celu świadczenia Usług. Cost+ Checkout to narzędzie do zarządzania lejkiem sprzedażowym, które kieruje kupujących przybywających z punktów wejścia kontrolowanych przez Sprzedawcę (np. kampanie e-mailowe, strony docelowe, reklamy w mediach społecznościowych lub bezpośrednie linki do sklepu Shopify) przez spójne doświadczenie zakupowe i tworzy odpowiednie zamówienie w sklepie Shopify Sprzedawcy po dokonaniu płatności.
3.2 Charakter i cel przetwarzania
Podmiot przetwarzający przetwarza Dane osobowe w następujących celach:
- Zbieranie danych kontaktowych i adresu dostawy kupującego podczas procesu checkout;
- Obliczanie należnych podatków i stawek za dostawę za pośrednictwem własnych usług obliczania podatków i wysyłki Shopify;
- Tworzenie odpowiedniego zamówienia Shopify po dokonaniu płatności przez kupującego;
- Przetwarzanie płatności za pośrednictwem infrastruktury płatniczej Cost+ lub skonfigurowanego przez Sprzedawcę dostawcy płatności;
- Odzwierciedlanie zwrotów, anulowań oraz zdarzeń realizacji zamówień inicjowanych przez Sprzedawcę w panelu administracyjnym Shopify w konfiguracji Cost+ Checkout Sprzedawcy;
- Odpowiadanie na żądania osób, których dane dotyczą, przekazywane przez Shopify za pośrednictwem standardowych webhooków RODO (
customers/data_request,customers/redact,shop/redact); - Udostępnianie sprzedawcom analityki opartej na zagregowanych i zanonimizowanych danych sesji.
3.3 Czas trwania
Podmiot przetwarzający przetwarza Dane osobowe przez czas trwania Usług i przechowuje takie dane przez okresy określone w Sekcji 9 poniżej.
4. Rodzaje Danych osobowych i kategorie osób, których dane dotyczą
4.1 Rodzaje Danych osobowych
- Imię i nazwisko;
- Adres e-mail;
- Numer telefonu (jeśli podany);
- Adres dostawy (ulica, miasto, kod pocztowy, kraj, opcjonalna druga linia adresu, województwo/stan);
- Adres rozliczeniowy (te same pola);
- Szczegóły zamówienia, w tym pozycje, identyfikatory produktów, ilości, ceny, zastosowane kody rabatowe, łączna kwota zamówienia, waluta oraz status realizacji;
- Metadane związane z płatnością (token lub referencja metody płatności, identyfikatory autoryzacji i przechwycenia) — pełne numery podstawowego konta (PAN) nigdy nie trafiają do systemów Podmiotu przetwarzającego; są tokenizowane przez zgodną z PCI DSS infrastrukturę płatniczą Cost+ lub skonfigurowanego przez Sprzedawcę dostawcę płatności.
4.2 Kategorie osób, których dane dotyczą
- Klienci (kupujący) Administratora, którzy finalizują zakup za pośrednictwem Cost+ Checkout.
5. Obowiązki Podmiotu przetwarzającego
Podmiot przetwarzający zobowiązuje się:
5.1 Udokumentowane instrukcje
Przetwarzać Dane osobowe wyłącznie na udokumentowane instrukcje Administratora, w tym w odniesieniu do przekazywania Danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że obowiązek taki wynika z prawa Unii lub prawa państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku Podmiot przetwarzający informuje Administratora o tym wymógu prawnym przed przystąpieniem do przetwarzania, chyba że prawo to zabrania udzielania takich informacji z uwagi na ważny interes publiczny. Strony uzgadniają, że Warunki korzystania z usługi, niniejsza DPA oraz korzystanie przez Administratora z Usług za pośrednictwem standardowych opcji konfiguracji stanowią udokumentowane instrukcje w rozumieniu art. 28 ust. 3 lit. a) RODO.
5.2 Poufność
Zapewnić, że osoby upoważnione do przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.
5.3 Środki bezpieczeństwa
Wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku, zgodnie z wymogami art. 32 RODO. Podsumowanie tych środków zawiera Załącznik 1. Administrator przyjmuje do wiadomości, że Załącznik 1 może być aktualizowany od czasu do czasu w celu odzwierciedlenia usprawnień w zakresie bezpieczeństwa Podmiotu przetwarzającego, oraz że żadna taka aktualizacja nie spowoduje istotnego obniżenia poziomu bezpieczeństwa.
5.4 Podprzetwarzający
Angażować Podprzetwarzających wyłącznie na warunkach określonych w Sekcji 7 poniżej.
5.5 Pomoc w zakresie praw osób, których dane dotyczą
Uwzględniając charakter przetwarzania, pomagać Administratorowi za pomocą odpowiednich środków technicznych i organizacyjnych, w zakresie, w jakim jest to możliwe, w wywiązywaniu się przez Administratora z obowiązku odpowiadania na żądania dotyczące wykonywania praw osób, których dane dotyczą, na podstawie Rozdziału III RODO.
5.6 Pomoc w zakresie innych obowiązków Administratora
Pomagać Administratorowi w zapewnieniu przestrzegania obowiązków wynikających z art. 32–36 RODO, uwzględniając charakter przetwarzania i informacje dostępne Podmiotowi przetwarzającemu.
5.7 Zwrot lub usunięcie danych po zakończeniu Usług
Na żądanie Administratora, usunąć lub zwrócić Administratorowi wszystkie Dane osobowe po zakończeniu świadczenia Usług związanych z przetwarzaniem oraz usunąć istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie Danych osobowych. Podmiot przetwarzający usuwa Dane osobowe w ciągu 90 dni od zakończenia Usług, z wyjątkiem przypadków, gdy dłuższy okres przechowywania jest wymagany przez Sekcję 9.
5.8 Rejestr czynności przetwarzania
Prowadzić pisemny rejestr wszystkich kategorii czynności przetwarzania wykonywanych w imieniu Administratora, zgodnie z wymogami art. 30 ust. 2 RODO.
5.9 Audyty
Udostępniać Administratorowi wszelkie informacje niezbędne do wykazania zgodności z art. 28 RODO oraz umożliwiać i uczestniczyć w audytach, w tym inspekcjach, przeprowadzanych przez Administratora lub innego audytora upoważnionego przez Administratora. Administrator ponosi wszelkie koszty takich audytów wykraczające poza udostępnienie standardowych informacji już dostępnych Administratorowi za pośrednictwem Usług. Administrator zobowiązany jest do zapewnienia rozsądnego wyprzedzenia (co najmniej 30 dni), przeprowadzania audytów w normalnych godzinach pracy oraz do nienaruszania działalności operacyjnej Podmiotu przetwarzającego.
6. Obowiązki Administratora
Administrator oświadcza, że:
- Dysponuje ważną podstawą prawną zgodnie z art. 6 RODO (a tam, gdzie ma to zastosowanie, art. 9 RODO) dla wszystkich Danych osobowych udostępnianych Podmiotowi przetwarzającemu za pośrednictwem Usług;
- Przekazał osobom, których dane dotyczą, wszystkie wymagane informacje dotyczące przejrzystości przetwarzania na podstawie art. 13 i 14 RODO, w tym informację o tym, że Cost+ Checkout jest używany do przetwarzania danych dotyczących zamówień i procesu checkout;
- Prawidłowo skonfigurował Cost+ Checkout (w tym reguły przepływu, dozwolone kraje, metody płatności oraz wszelkie niestandardowe skrypty lub bloki) tak, aby Usługi przetwarzały wyłącznie Dane osobowe niezbędne do zgodnych z prawem celów Sprzedawcy;
- Będzie odpowiadać na żądania osób, których dane dotyczą, przekazane przez Podmiot przetwarzający w terminach wymaganych przez prawo.
7. Podprzetwarzający
7.1 Ogólne upoważnienie
Administrator udziela ogólnego upoważnienia Podmiotowi przetwarzającemu do angażowania Podprzetwarzających w celu wykonania Usług. Lista aktualnych Podprzetwarzających jest prowadzona w Załączniku 2 i jest aktualizowana od czasu do czasu.
7.2 Powiadomienie o zmianach
Podmiot przetwarzający informuje Administratora o wszelkich planowanych zmianach w wykazie Podprzetwarzających (dodanie lub zastąpienie) z co najmniej 30-dniowym wyprzedzeniem, dając Administratorowi możliwość wniesienia sprzeciwu na uzasadnionych podstawach. Jeżeli Administrator wniesie sprzeciw, a Strony nie dojdą do porozumienia w ciągu 30 dni, Administrator może wypowiedzieć dotkniętą część Usług ze skutkiem natychmiastowym.
7.3 Obowiązki przekazywane dalej
Podmiot przetwarzający nakłada na każdego Podprzetwarzającego, w drodze umowy, te same obowiązki w zakresie ochrony danych, co określone w niniejszej DPA, i pozostaje w pełni odpowiedzialny wobec Administratora za wykonanie obowiązków każdego Podprzetwarzającego.
8. Międzynarodowe transfery danych
8.1 Podstawowy hosting
Podmiot przetwarzający hostuje Usługi w Unii Europejskiej i przetwarza Dane osobowe przede wszystkim w obrębie UE/EOG. Niektórzy upoważnieni Podprzetwarzający (na przykład niektórzy partnerzy acquiringowi) są zlokalizowani poza EOG; w takich przypadkach Podmiot przetwarzający zapewnia, że transfer jest chroniony decyzją stwierdzającą odpowiedni stopień ochrony lub Standardowymi Klauzulami Umownymi zgodnie z Sekcją 8.2, oraz wskazuje odpowiednich Podprzetwarzających w Załączniku 2.
8.2 Transfery do Podprzetwarzających
W przypadku gdy Podprzetwarzający jest zlokalizowany poza UE/EOG, Podmiot przetwarzający zapewnia, że transfery są objęte decyzją stwierdzającą odpowiedni stopień ochrony na podstawie art. 45 RODO, lub Standardowymi Klauzulami Umownymi przyjętymi przez Komisję Europejską (Moduł 2: administrator–podmiot przetwarzający lub Moduł 3: podmiot przetwarzający–podmiot przetwarzający, stosownie do okoliczności), lub innym ważnym mechanizmem transferu na podstawie Rozdziału V RODO.
8.3 Dalsze transfery
Shopify działa jako niezależny administrator w odniesieniu do danych klientów wprowadzonych przez Administratora do jego sklepu Shopify. Otrzymywanie przez Podmiot przetwarzający takich danych od Shopify oraz zwracanie do Shopify danych dotyczących zamówień utworzonych przez Shopify są objęte własnymi warunkami ochrony danych Shopify z Sprzedawcą i nie stanowią dalszych transferów na podstawie niniejszej DPA.
9. Przechowywanie i usuwanie danych
Podmiot przetwarzający przechowuje Dane osobowe przez następujące okresy:
- Dane aktywnych sesji (sesje checkout w toku, które nie zostały zakończone): usuwane 30 dni po wygaśnięciu sesji;
- Dane zakończonych zamówień (sesje, które zaowocowały zamówieniem Shopify): przechowywane przez 7 lat w celu spełnienia wymogów przechowywania wynikających z prawa podatkowego i rachunkowego w Estonii i większości jurysdykcji UE, następnie usuwane;
- Tokeny płatnicze i rekordy autoryzacji: przechowywane przez okres retencji właściwy dla danej metody płatności (zazwyczaj 7 lat);
- Dane logów (logi żądań, logi dostarczania webhooków): przechowywane przez 90 dni, następnie rotowane;
- Logi audytowe/zdarzeń bezpieczeństwa: przechowywane przez 1 rok.
Po rozwiązaniu Usług Podmiot przetwarzający usuwa lub zwraca Dane osobowe zgodnie z Sekcją 5.7 powyżej, z zastrzeżeniem okresów przechowywania wymaganych przez obowiązujące przepisy prawa.
10. Powiadomienie o naruszeniu danych
Podmiot przetwarzający powiadamia Administratora bez zbędnej zwłoki, a w każdym razie w ciągu 48 godzin od powzięcia wiadomości o naruszeniu ochrony Danych osobowych dotyczącym danych Administratora. Powiadomienie zawiera co najmniej informacje wymagane przez art. 33 ust. 3 RODO w zakresie, w jakim są dostępne, i jest aktualizowane w miarę pojawiania się nowych informacji.
11. Odpowiedzialność
Odpowiedzialność Stron wynikająca z niniejszej DPA podlega postanowieniom dotyczącym odpowiedzialności zawartym w Warunkach korzystania z usługi, z tym zastrzeżeniem, że żadne ograniczenie odpowiedzialności w Warunkach korzystania z usługi nie wyłącza ani nie ogranicza odpowiedzialności za jakiekolwiek kwestie, co do których takie wyłączenie lub ograniczenie byłoby niezgodne z prawem na mocy obowiązującego prawa o ochronie danych.
12. Prawo właściwe i jurysdykcja
Niniejsza DPA podlega prawu estońskiemu, bez uwzględniania jego norm kolizyjnych. Strony poddają się wyłącznej jurysdykcji sądów hrabstwa Harju w Estonii w odniesieniu do wszelkich sporów wynikających z lub związanych z niniejszą DPA, z zastrzeżeniem bezwzględnie obowiązujących przepisów prawa dotyczących jurysdykcji w sporach konsumenckich lub sporach dotyczących osób, których dane dotyczą.
13. Czas trwania i rozwiązanie
Niniejsza DPA wchodzi w życie w dniu pierwszej instalacji lub pierwszego użycia Usług przez Administratora i wygasa automatycznie z chwilą rozwiązania Warunków korzystania z usługi. Postanowienia, które ze swojej natury powinny pozostać w mocy po rozwiązaniu umowy (w tym Sekcje 5.7, 9, 10 i 12), pozostają w mocy.
14. Całość umowy
Niniejsza DPA, wraz z Warunkami korzystania z usługi dostępnymi pod adresem https://costplus.io/shopify-app-terms.html oraz Polityką prywatności dostępną pod adresem https://costplus.io/privacy-policy.html, stanowi całość umowy między Stronami w odniesieniu do przedmiotu umowy i zastępuje wszystkie wcześniejsze ustalenia.
Załącznik 1 — Środki techniczne i organizacyjne
Podmiot przetwarzający wdraża następujące środki techniczne i organizacyjne w celu ochrony Danych osobowych:
Szyfrowanie
- Wszystkie dane przesyłane są szyfrowane przy użyciu TLS 1.2 lub wyższego, z certyfikatami zarządzanymi przez Let's Encrypt i automatyczną rotacją.
- Tokeny dostępu do Shopify API oraz dane uwierzytelniające zewnętrznych dostawców płatności są szyfrowane w stanie spoczynku przy użyciu AES-256-GCM z kluczami warstwy aplikacji zarządzanymi za pośrednictwem HashiCorp Vault Transit lub równoważnego systemu zarządzania kluczami.
- Kopie zapasowe bazy danych są szyfrowane przed przesłaniem do zewnętrznego miejsca przechowywania.
Kontrola dostępu
- Dostęp do systemu produkcyjnego jest ograniczony do określonego zbioru upoważnionego personelu z indywidualnie identyfikowalnymi kontami, uwierzytelnianiem opartym na kluczach SSH dla dostępu do serwerów oraz uwierzytelnianiem wieloskładnikowym opartym na sprzęcie lub TOTP dla interfejsów administracyjnych.
- Hasła sprzedawców na poziomie aplikacji są haszowane przy użyciu Argon2id z parametrami utrudniającymi ataki z użyciem pamięci.
- Dostęp do Danych Osobowych jest rejestrowany i przechowywany zgodnie z Sekcją 9 DPA.
Infrastruktura
- Usługi są hostowane w centrach danych klasy Tier-III lub równoważnych, zlokalizowanych w Unii Europejskiej.
- Logiczne oddzielenie środowisk testowych i produkcyjnych; dane produkcyjne nie są wykorzystywane w środowiskach deweloperskich ani testowych.
- Regularne aktualizacje systemów operacyjnych, środowisk uruchomieniowych i zależności zewnętrznych.
Personel
- Personel mający dostęp do Danych Osobowych jest związany pisemnymi zobowiązaniami do zachowania poufności, które pozostają w mocy po zakończeniu współpracy.
- Szkolenie wdrożeniowe oraz cykliczne szkolenia z zakresu bezpieczeństwa dla całego personelu mającego dostęp do Danych Osobowych lub infrastruktury produkcyjnej.
Reagowanie na incydenty
- Udokumentowana procedura reagowania na incydenty bezpieczeństwa obejmująca wykrycie, opanowanie, dochodzenie, powiadamianie (w tym Administratora w ciągu 48 godzin zgodnie z Sekcją 10) oraz przegląd po incydencie.
- Kwartalne przeglądy procedur reagowania na incydenty oraz danych kontaktowych.
Zapobieganie utracie danych
- Kontrole dostępu na poziomie aplikacji przypisane do poszczególnych merchantów i sesji; żaden merchant nie może uzyskać dostępu do danych innego merchanta za pośrednictwem API.
- Rejestrowanie audytowe wszystkich dostępów do Danych Osobowych, przechowywane zgodnie z Sekcją 9.
- Regularne testy odtwarzania zaszyfrowanych kopii zapasowych.
Bezpieczne tworzenie oprogramowania
- Kod źródłowy hostowany w prywatnym repozytorium z obowiązkowym przeglądem wszystkich zmian przed scaleniem.
- Automatyczne skanowanie zależności i regularne aktualizacje bibliotek zewnętrznych.
- Testy penetracyjne co najmniej raz w roku, po osiągnięciu przez Usługi ogólnej dostępności.
Załącznik 2 — Autoryzowani Podpodmiotw Przetwarzający
Według daty ostatniej aktualizacji niniejszego DPA, następujące Podpodmioty Przetwarzające są upoważnione do przetwarzania Danych Osobowych w imieniu Administratora:
| Podprzetwarzający | Cel | Lokalizacja | Mechanizm transferu |
|---|---|---|---|
| OVH SAS | Hosting infrastruktury chmurowej (obliczenia, przechowywanie, sieć) oraz zaszyfrowane kopie zapasowe poza siedzibą | Francja (UE) | Wewnątrz-EOG |
| SMTP2GO | Transakcyjne i powiadamiające wiadomości e-mail | UE | Wewnątrz-EOG |
| Infrastruktura płatnicza Cost+ (Costplus OÜ) | Tokenizacja płatności, autoryzacja, przechwytywanie, zwrot | UE | Wewnątrz-EOG |
| Ginger Payments | Brama płatnicza / routing transakcji | Holandia (UE) | Wewnątrz-EOG |
| FinteqHub | Brama płatnicza / orkiestracja | Cypr i Litwa (UE) | Wewnątrz-EOG |
| ComplyPay | Dostawca usług Banking-as-a-Service (BaaS) | Dania (UE) | Wewnątrz-EOG |
| Rapyd | Akceptacja płatności / przetwarzanie | UE / Wielka Brytania | Wewnątrz-EOG; transfery do Wielkiej Brytanii na podstawie decyzji o adekwatności UE–Wielka Brytania |
| SHIFT4 | Akceptacja płatności / przetwarzanie | UE / Wielka Brytania | Wewnątrz-EOG; transfery do Wielkiej Brytanii na podstawie decyzji o adekwatności UE–Wielka Brytania |
| Elavon | Akceptacja płatności / przetwarzanie | UE / Wielka Brytania | Wewnątrz-EOG; transfery do Wielkiej Brytanii na podstawie decyzji o adekwatności UE–Wielka Brytania |
| Clearhaus | Akceptacja płatności / przetwarzanie | Dania (UE) | Wewnątrz-EOG |
| Paynetics | Akceptacja płatności / emisja pieniądza elektronicznego | Bułgaria (UE) | Wewnątrz-EOG |
| Didit | Weryfikacja tożsamości, zgodność KYB / KYC / AML | Stany Zjednoczone / Hiszpania (UE) | Standardowe Klauzule Umowne (art. 46 RODO) |
Podmiot Przetwarzający będzie utrzymywał aktualną wersję tej listy pod adresem https://costplus.io/dpa/sub-processors i będzie powiadamiał Administratora o wszelkich dodaniach lub zastąpieniach zgodnie z Sekcją 7.2 niniejszego DPA.
Koniec Umowy o Przetwarzanie Danych.
