Acord de prelucrare a datelor (DPA)

Ultima actualizare: 29 mai 2026

1. Părți

Prezentul Acord de prelucrare a datelor („DPA") este încheiat între:

  • Costplus OÜ, o societate înregistrată în Estonia, cu sediul social la Pärnu mnt 139b, 11317 Tallinn, Estonia, număr de înregistrare 16936614 („Operator împuternicit", „noi", „nouă" sau „Cost+"); și
  • comerciantul care a instalat aplicația Shopify Cost+ Checkout sau care s-a integrat în alt mod cu serviciul Cost+ Checkout, acceptând Termenii noștri de serviciu la adresa https://costplus.io/shopify-app-terms.html („Operator", „Comerciant" sau „dumneavoastră"),

fiecare denumit „Parte" și împreună „Părțile".

Prezentul DPA face parte din Termenii de serviciu dintre Părți și este supus acestora. În cazul oricărui conflict între prezentul DPA și Termenii de serviciu cu privire la prelucrarea Datelor cu caracter personal, prezentul DPA prevalează.

2. Definiții

Cu excepția cazului în care sunt definite altfel, termenii scrișii cu majusculă au înțelesurile prevăzute în Regulamentul (UE) 2016/679 („GDPR"). Pentru claritate:

  • Date cu caracter personal" are înțelesul prevăzut la Articolul 4(1) GDPR.
  • Prelucrare" are înțelesul prevăzut la Articolul 4(2) GDPR.
  • Persoană vizată" înseamnă un client sau utilizator final Shopify ale cărui Date cu caracter personal sunt prelucrate în temeiul prezentului DPA.
  • Suboperator" înseamnă orice terț angajat de Operatorul împuternicit pentru a prelucra Date cu caracter personal în numele Operatorului.
  • Servicii" înseamnă serviciul Cost+ Checkout (aplicația Shopify, API-urile asociate și paginile de checkout găzduite) furnizat de Operatorul împuternicit Operatorului în temeiul Termenilor de serviciu.

3. Obiectul, natura, scopul și durata prelucrării

3.1 Obiectul prelucrării

Operatorul împuternicit prelucrează Date cu caracter personal despre clienții Operatorului în scopul furnizării Serviciilor. Cost+ Checkout este un instrument de orchestrare a pâlniei de vânzări care direcționează cumpărătorii care ajung prin puncte de intrare controlate de Comerciant (de exemplu, campanii de e-mail, pagini de destinație, reclame pe rețele sociale sau linkuri directe către magazinul Shopify) printr-o experiență de checkout unică și consecventă și creează comanda corespunzătoare în magazinul Shopify al Comerciantului după efectuarea plății.

3.2 Natura și scopul prelucrării

Operatorul împuternicit prelucrează Date cu caracter personal în următoarele scopuri:

  • Colectarea informațiilor de contact și de livrare ale cumpărătorului în timpul procesului de checkout;
  • Calcularea taxelor aplicabile și a tarifelor de livrare prin intermediul serviciilor proprii de calcul al taxelor și livrărilor ale Shopify;
  • Crearea comenzii corespunzătoare în Shopify după finalizarea plății de către cumpărător;
  • Procesarea plăților prin infrastructura de plăți Cost+ sau prin furnizorul de plăți configurat de Comerciant;
  • Reflectarea rambursărilor, anulărilor și evenimentelor de onorare inițiate de Comerciant în panoul lor de administrare Shopify înapoi în configurația Cost+ Checkout a Comerciantului;
  • Răspunsul la solicitările persoanelor vizate transmise de Shopify prin intermediul webhook-urilor GDPR standard (customers/data_request, customers/redact, shop/redact);
  • Furnizarea de analize pentru comercianți derivate din date de sesiune agregate și pseudonimizate.

3.3 Durata

Operatorul împuternicit prelucrează Datele cu caracter personal pe durata Serviciilor și păstrează aceste date pentru perioadele prevăzute la Secțiunea 9 de mai jos.

4. Tipurile de Date cu caracter personal și categoriile de Persoane vizate

4.1 Tipuri de Date cu caracter personal

  • Prenume și nume de familie;
  • Adresă de e-mail;
  • Număr de telefon (dacă este furnizat);
  • Adresă de livrare (stradă, oraș, cod poștal, țară, linie de adresă opțională 2, județ/stat);
  • Adresă de facturare (aceleași câmpuri);
  • Detalii ale comenzii, inclusiv articolele, identificatorii de produs, cantitățile, prețurile, codurile de reducere aplicate, totalul comenzii, moneda și statusul onorării;
  • Metadate legate de plată (token sau referință de metodă de plată, identificatori de autorizare și captură) — de reținut că numerele complete de cont principal (PAN) nu intră niciodată în sistemele Operatorului împuternicit; acestea sunt tokenizate de infrastructura de plăți conformă PCI DSS a Cost+ sau de furnizorul de plăți configurat de Comerciant.

4.2 Categorii de Persoane vizate

  • Clienții (cumpărătorii) Operatorului care finalizează procesul de checkout prin Cost+ Checkout.

5. Obligațiile Operatorului împuternicit

Operatorul împuternicit va:

5.1 Instrucțiuni documentate

Prelucra Datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului, inclusiv în ceea ce privește transferurile de Date cu caracter personal către o țară terță sau o organizație internațională, cu excepția cazului în care este obligat în acest sens de dreptul Uniunii sau al statului membru căruia îi este supus Operatorul împuternicit. Într-un astfel de caz, Operatorul împuternicit va informa Operatorul cu privire la acea cerință legală înainte de prelucrare, cu excepția cazului în care legea respectivă interzice furnizarea unor astfel de informații din motive importante de interes public. Părțile convin că Termenii de serviciu, prezentul DPA și utilizarea Serviciilor de către Operator prin opțiunile standard de configurare constituie instrucțiuni documentate în sensul Articolului 28(3)(a) GDPR.

5.2 Confidențialitate

Asigurarea faptului că persoanele autorizate să prelucreze Datele cu caracter personal s-au angajat la păstrarea confidențialității sau sunt supuse unei obligații legale corespunzătoare de confidențialitate.

5.3 Măsuri de securitate

Implementarea unor măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, astfel cum se prevede la Articolul 32 GDPR. Un rezumat al acestor măsuri este prezentat în Anexa 1. Operatorul ia la cunoștință că Anexa 1 poate fi actualizată periodic pentru a reflecta îmbunătățirile posturii de securitate a Operatorului împuternicit și că nicio astfel de actualizare nu va duce la o reducere semnificativă a nivelului de securitate.

5.4 Suboperatori

Angajarea Suboperatorilor exclusiv în condițiile Secțiunii 7 de mai jos.

5.5 Asistență privind drepturile Persoanelor vizate

Ținând cont de natura prelucrării, asistarea Operatorului prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației Operatorului de a răspunde la solicitările de exercitare a drepturilor Persoanelor vizate prevăzute la Capitolul III din GDPR.

5.6 Asistență privind alte obligații ale Operatorului

Asistarea Operatorului în asigurarea conformității cu obligațiile prevăzute la Articolele 32–36 GDPR, ținând cont de natura prelucrării și de informațiile disponibile Operatorului împuternicit.

5.7 Returnarea sau ștergerea datelor la încheierea Serviciilor

La alegerea Operatorului, ștergerea sau returnarea tuturor Datelor cu caracter personal către Operator după încheierea furnizării Serviciilor legate de prelucrare și ștergerea copiilor existente, cu excepția cazului în care dreptul Uniunii sau al statului membru impune stocarea Datelor cu caracter personal. Operatorul împuternicit va șterge Datele cu caracter personal în termen de 90 de zile de la încetarea Serviciilor, cu excepția cazurilor în care Secțiunea 9 impune o perioadă de retenție mai lungă.

5.8 Evidența activităților de prelucrare

Menținerea unui registru scris al tuturor categoriilor de activități de prelucrare desfășurate în numele Operatorului, astfel cum se prevede la Articolul 30(2) GDPR.

5.9 Audituri

Punerea la dispoziția Operatorului a tuturor informațiilor necesare pentru a demonstra conformitatea cu Articolul 28 GDPR și permiterea și sprijinirea auditurilor, inclusiv a inspecțiilor, efectuate de Operator sau de un alt auditor mandatat de acesta. Operatorul va suporta orice cost al acestor audituri care depășește furnizarea informațiilor standard deja disponibile Operatorului prin intermediul Serviciilor. Operatorul va acorda o notificare prealabilă rezonabilă (de cel puțin 30 de zile), va efectua auditurile în timpul orelor normale de lucru și nu va perturba activitățile Operatorului împuternicit.

6. Obligațiile Operatorului

Operatorul garantează că:

  • A stabilit un temei juridic valabil în temeiul Articolului 6 GDPR (și, dacă este cazul, al Articolului 9 GDPR) pentru toate Datele cu caracter personal pe care le pune la dispoziția Operatorului împuternicit prin intermediul Serviciilor;
  • A furnizat toate informațiile de transparență obligatorii Persoanelor vizate în temeiul Articolelor 13 și 14 GDPR, inclusiv faptul că Cost+ Checkout este utilizat pentru procesarea datelor de checkout și de comandă;
  • A configurat corect Cost+ Checkout (inclusiv regulile de flux, țările permise, metodele de plată și orice scripturi sau blocuri personalizate), astfel încât Serviciile să prelucreze numai Datele cu caracter personal necesare pentru scopurile legale ale Comerciantului;
  • Va răspunde la solicitările Persoanelor vizate transmise de Operatorul împuternicit în termenele impuse de lege.

7. Suboperatori

7.1 Autorizare generală

Operatorul acordă autorizare generală Operatorului împuternicit pentru a angaja Suboperatori în vederea executării Serviciilor. O listă a Suboperatorilor actuali este menținută în Anexa 2 și este actualizată periodic.

7.2 Notificarea modificărilor

Operatorul împuternicit va informa Operatorul cu privire la orice modificări preconizate ale listei de Suboperatori (adăugare sau înlocuire) cu cel puțin 30 de zile înainte, oferind Operatorului posibilitatea de a formula obiecțiuni pe motive rezonabile. Dacă Operatorul formulează obiecțiuni și Părțile nu ajung la o soluție în termen de 30 de zile, Operatorul poate rezilia porțiunea afectată din Servicii în mod discreționar.

7.3 Obligații în lanț

Operatorul împuternicit va impune fiecărui Suboperator, prin contract, aceleași obligații de protecție a datelor prevăzute în prezentul DPA și va rămâne pe deplin răspunzător față de Operator pentru îndeplinirea obligațiilor fiecărui Suboperator.

8. Transferuri internaționale de date

8.1 Găzduire principală

Operatorul împuternicit găzduiește Serviciile în Uniunea Europeană și prelucrează Datele cu caracter personal în principal în UE/SEE. Unii Suboperatori autorizați (de exemplu, anumiți parteneri de achiziție a plăților) sunt situați în afara SEE; în aceste cazuri, Operatorul împuternicit se asigură că transferul este protejat printr-o decizie de adecvare sau prin Clauze contractuale standard, astfel cum se prevede la Secțiunea 8.2, și identifică Suboperatorii relevanți în Anexa 2.

8.2 Transferuri către Suboperatori

Atunci când un Suboperator este situat în afara UE/SEE, Operatorul împuternicit se asigură că transferurile sunt acoperite de o decizie de adecvare în temeiul Articolului 45 GDPR, de Clauze contractuale standard adoptate de Comisia Europeană (Modulul 2: operator-operator împuternicit sau Modulul 3: operator împuternicit-operator împuternicit, după caz) sau de un alt mecanism de transfer valabil în temeiul Capitolului V GDPR.

8.3 Transferuri ulterioare

Shopify acționează în calitate de operator independent în ceea ce privește datele clienților pe care Operatorul le-a introdus în magazinul său Shopify. Primirea de către Operatorul împuternicit a acestor date de la Shopify și returnarea datelor de comandă create de Shopify înapoi la Shopify sunt reglementate de propriii termeni de protecție a datelor ai Shopify cu Comerciantul și nu constituie transferuri ulterioare în sensul prezentului DPA.

9. Retenție și ștergere

Operatorul împuternicit păstrează Datele cu caracter personal pentru următoarele perioade:

  • Datele sesiunilor active (sesiuni de checkout în curs care nu s-au finalizat): șterse la 30 de zile după expirarea sesiunii;
  • Datele comenzilor finalizate (sesiuni care au generat o comandă Shopify): păstrate timp de 7 ani pentru a respecta cerințele de retenție prevăzute de legislația fiscală și contabilă din Estonia și din majoritatea jurisdicțiilor UE, apoi șterse;
  • Tokenuri de plată și înregistrări de autorizare: păstrate pe durata perioadei de retenție a metodei de plată subiacente (de regulă 7 ani);
  • Date de jurnal (jurnale de cereri, jurnale de livrare webhook): păstrate 90 de zile, apoi șterse;
  • Jurnale de audit / evenimente de securitate: păstrate timp de 1 an.

La încetarea Serviciilor, Operatorul împuternicit va șterge sau va returna Datele cu caracter personal astfel cum se prevede la Secțiunea 5.7 de mai sus, cu respectarea perioadelor de retenție impuse de legislația aplicabilă.

10. Notificarea în caz de încălcare a securității datelor

Operatorul împuternicit va notifica Operatorul fără întârzieri nejustificate și, în orice caz, în termen de 48 de ore de la momentul în care a luat cunoștință de o încălcare a securității Datelor cu caracter personal care afectează datele Operatorului. Notificarea va conține cel puțin informațiile prevăzute la Articolul 33(3) GDPR în măsura în care sunt disponibile și va fi actualizată pe măsură ce devin cunoscute informații suplimentare.

11. Răspundere

Răspunderea Părților în temeiul prezentului DPA este supusă dispozițiilor privind răspunderea din Termenii de serviciu, cu excepția faptului că nicio limitare a răspunderii prevăzută în Termenii de serviciu nu exclude sau nu limitează răspunderea pentru orice aspect pentru care o astfel de excludere sau limitare ar fi ilegală în temeiul legislației aplicabile privind protecția datelor.

12. Legea aplicabilă și jurisdicția

Prezentul DPA este guvernat de legislația Estoniei, fără a ține seama de normele sale de conflict de legi. Părțile se supun jurisdicției exclusive a instanțelor din județul Harju, Estonia, pentru orice litigiu care decurge din sau în legătură cu prezentul DPA, sub rezerva oricăror dispoziții legale obligatorii privind jurisdicția în materie de litigii cu consumatorii sau persoanele vizate.

13. Durata și rezilierea

Prezentul DPA intră în vigoare la data la care Operatorul instalează sau utilizează Serviciile pentru prima dată și încetează automat la rezilierea Termenilor de serviciu. Clauzele care prin natura lor ar trebui să supraviețuiască rezilierii (inclusiv Secțiunile 5.7, 9, 10 și 12) vor rămâne în vigoare.

14. Acordul integral

Prezentul DPA, împreună cu Termenii de serviciu de la https://costplus.io/shopify-app-terms.html și Politica de confidențialitate de la https://costplus.io/privacy-policy.html, constituie acordul integral dintre Părți cu privire la obiectul său și înlocuiește toate înțelegerile anterioare.

Anexa 1 — Măsuri tehnice și organizatorice

Operatorul împuternicit implementează următoarele măsuri tehnice și organizatorice pentru protejarea Datelor cu caracter personal:

Criptare

  • Toate datele în tranzit sunt criptate folosind TLS 1.2 sau o versiune superioară, cu certificate gestionate prin Let's Encrypt și rotație automată.
  • Tokenurile de acces la Shopify API și credențialele furnizorilor de plăți terți sunt criptate în repaus folosind AES-256-GCM cu chei la nivel de aplicație gestionate prin HashiCorp Vault Transit sau un sistem echivalent de gestionare a cheilor.
  • Copiile de rezervă ale bazelor de date sunt criptate înainte de transferul la spațiul de stocare extern.

Control acces

  • Accesul la sistemele de producție este restricționat la un set definit de personal autorizat cu conturi identificabile individual, autentificare pe bază de cheie SSH pentru accesul la servere și autentificare multifactor cu suport hardware sau TOTP pentru interfețele administrative.
  • Parolele comercianților la nivel de aplicație sunt hașurate folosind Argon2id cu parametri cu memorie intensivă.
  • Accesul la Datele cu caracter personal este înregistrat în jurnal și păstrat în conformitate cu Secțiunea 9 din DPA.

Infrastructură

  • Serviciile sunt găzduite în centre de date de nivelul III sau echivalent situate în Uniunea Europeană.
  • Separare logică între mediile de testare și cele de producție; niciun date de producție nu sunt utilizate în mediile de dezvoltare sau testare.
  • Aplicarea regulată de patch-uri pentru sistemele de operare, mediile de execuție și dependențele terților.

Personal

  • Personalul cu acces la Datele cu caracter personal este obligat prin angajamente scrise de confidențialitate care rămân în vigoare după încetarea angajării.
  • Instruire la angajare și periodică privind conștientizarea securității pentru tot personalul cu acces la Date cu caracter personal sau la infrastructura de producție.

Răspuns la incidente

  • Procedură documentată de răspuns la incidente de securitate, acoperind detectarea, izolarea, investigarea, notificarea (inclusiv a Operatorului în termen de 48 de ore conform Secțiunii 10) și revizuirea post-incident.
  • Revizuire trimestrială a procedurilor de răspuns la incidente și a informațiilor de contact.

Prevenirea pierderii datelor

  • Controale de acces la nivel de aplicație, limitate la comercianți individuali și sesiuni individuale; niciun comerciant nu poate accesa datele altui comerciant prin API.
  • Jurnalizarea auditului tuturor accesărilor la Datele cu Caracter Personal, păstrate conform Secțiunii 9.
  • Teste regulate de restaurare a copiilor de rezervă criptate.

Dezvoltare securizată

  • Codul sursă găzduit într-un depozit privat, cu revizuire obligatorie a tuturor modificărilor înainte de integrare.
  • Scanare automată a dependențelor și actualizări periodice ale bibliotecilor terțe.
  • Teste de penetrare cel puțin anual, odată ce Serviciile ating disponibilitatea generală.

Anexa 2 — Sub-procesatori autorizați

La data ultimei actualizări a acestui DPA, următorii Sub-procesatori sunt autorizați să prelucreze Date cu Caracter Personal în numele Operatorului:

SuboperatorScopLocațieMecanism de transfer
OVH SASGăzduire infrastructură cloud (calcul, stocare, rețea) și copii de rezervă criptate în afara amplasamentuluiFranța (UE)Intra-SEE
SMTP2GOE-mailuri tranzacționale și de notificareUEIntra-SEE
Infrastructura de plăți Cost+ (Costplus OÜ)Tokenizarea plăților, autorizare, captură, rambursareUEIntra-SEE
Ginger PaymentsGateway de plată / rutare a tranzacțiilorȚările de Jos (UE)Intra-SEE
FinteqHubGateway de plată / orchestrareCipru și Lituania (UE)Intra-SEE
ComplyPayFurnizor Banking-as-a-Service (BaaS)Danemarca (UE)Intra-SEE
RapydAchiziție / procesare plățiUE / Regatul UnitIntra-SEE; transferuri către Regatul Unit în baza deciziei de adecvare UE–Regatul Unit
SHIFT4Achiziție / procesare plățiUE / Regatul UnitIntra-SEE; transferuri către Regatul Unit în baza deciziei de adecvare UE–Regatul Unit
ElavonAchiziție / procesare plățiUE / Regatul UnitIntra-SEE; transferuri către Regatul Unit în baza deciziei de adecvare UE–Regatul Unit
ClearhausAchiziție / procesare plățiDanemarca (UE)Intra-SEE
PayneticsAchiziție plăți / emitere monedă electronicăBulgaria (UE)Intra-SEE
DiditVerificarea identității, conformitate KYB / KYC / AMLStatele Unite / Spania (UE)Clauze Contractuale Standard (Art. 46 GDPR)

Procesatorul va menține o versiune actualizată a acestei liste la https://costplus.io/dpa/sub-processors și va notifica Operatorul cu privire la orice adăugiri sau înlocuiri, în conformitate cu Secțiunea 7.2 din acest DPA.

Sfârșitul Acordului de Prelucrare a Datelor.