Databehandleravtal (DPA)
Senast uppdaterad: 29 maj 2026
1. Parter
Detta databehandleravtal ("DPA") ingås mellan:
- Costplus OÜ, ett bolag registrerat i Estland, med säte på Pärnu mnt 139b, 11317 Tallinn, Estland, organisationsnummer 16936614 ("Personuppgiftsbiträde, vi, oss, eller Cost+"); och
- den handlare som har installerat Shopify-appen Cost+ Checkout, eller på annat sätt integrerats med tjänsten Cost+ Checkout, genom att godkänna våra användarvillkor på https://costplus.io/shopify-app-terms.html ("Personuppgiftsansvarig, Handlare, eller du"),
var och en en "Part och tillsammans Parterna".
Detta DPA utgör en del av, och är underkastat, användarvillkoren mellan Parterna. Vid eventuell konflikt mellan detta DPA och användarvillkoren avseende behandling av personuppgifter har detta DPA företräde.
2. Definitioner
Om inget annat anges har termer med stor begynnelsebokstav den betydelse som ges dem i förordning (EU) 2016/679 ("GDPR"). För tydlighetens skull:
- "Personuppgifter" har den betydelse som anges i artikel 4(1) GDPR.
- "Behandling" har den betydelse som anges i artikel 4(2) GDPR.
- "Registrerad" avser en Shopify-kund eller slutanvändare vars personuppgifter behandlas inom ramen för detta DPA.
- "Underbiträde" avser tredje part som anlitas av personuppgiftsbiträdet för att behandla personuppgifter för den personuppgiftsansvariges räkning.
- "Tjänsterna" avser tjänsten Cost+ Checkout (Shopify-appen, tillhörande API:er och värdbaserade kassasidor) som tillhandahålls av personuppgiftsbiträdet till den personuppgiftsansvarige enligt användarvillkoren.
3. Föremål, art, syfte och varaktighet för behandlingen
3.1 Föremål
Personuppgiftsbiträdet behandlar personuppgifter om den personuppgiftsansvariges kunder för att tillhandahålla tjänsterna. Cost+ Checkout är ett flödesorkestreringsverktyg som leder köpare som anländer via handlarens kontrollerade ingångspunkter (t.ex. e-postkampanjer, landningssidor, sociala annonser eller direktlänkar till Shopify-butiken) genom en enhetlig kassaupplevelse och skapar motsvarande order i handlarens Shopify-butik efter betalning.
3.2 Behandlingens art och syfte
Personuppgiftsbiträdet behandlar personuppgifter för följande ändamål:
- Insamling av köparens kontakt- och leveransinformation under kassan;
- Beräkning av tillämpliga skatter och fraktkostnader via Shopifys egna beräkningstjänster för skatt och frakt;
- Skapande av motsvarande Shopify-order efter att köparen har slutfört betalningen;
- Behandling av betalningar via Cost+:s betalningsinfrastruktur eller handlarens konfigurerade betalningsleverantör;
- Återspegla återbetalningar, avbokningar och leveranshändelser initierade av handlaren i deras Shopify-admin i handlarens Cost+ Checkout-konfiguration;
- Hantering av begäranden från registrerade som vidarebefordras av Shopify via standard-GDPR-webhookarna (
customers/data_request,customers/redact,shop/redact); - Tillhandahållande av handlaranalys baserad på aggregerade och pseudonymiserade sessionsdata.
3.3 Varaktighet
Personuppgiftsbiträdet behandlar personuppgifter under tjänsternas löptid och lagrar sådana uppgifter under de perioder som anges i avsnitt 9 nedan.
4. Typer av personuppgifter och kategorier av registrerade
4.1 Typer av personuppgifter
- För- och efternamn;
- E-postadress;
- Telefonnummer (när det anges);
- Leveransadress (gata, ort, postnummer, land, valfri adressrad 2, region/delstat);
- Faktureringsadress (samma fält);
- Orderuppgifter, inklusive orderrader, produktidentifierare, kvantiteter, priser, tillämpade rabattkoder, ordertotal, valuta och leveransstatus;
- Betalningsrelaterade metadata (betalningsmetod-token eller referens, auktoriserings- och infångstidentifierare) — observera att fullständiga primärkontonnummer (PAN) aldrig når personuppgiftsbiträdets system; de tokeniseras av Cost+:s PCI-DSS-kompatibla betalningsinfrastruktur eller handlarens konfigurerade betalningsleverantör.
4.2 Kategorier av registrerade
- Den personuppgiftsansvariges kunder (köpare) som genomför kassan via Cost+ Checkout.
5. Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträdet ska:
5.1 Dokumenterade instruktioner
Behandla personuppgifter enbart enligt den personuppgiftsansvariges dokumenterade instruktioner, inklusive vad gäller överföring av personuppgifter till ett tredjeland eller en internationell organisation, om inte unionsrätten eller en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av kräver sådan behandling. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav innan behandlingen påbörjas, såvida inte lagen förbjuder sådan information av viktiga skäl av allmänt intresse. Parterna är överens om att användarvillkoren, detta DPA och den personuppgiftsansvariges användning av tjänsterna via standardkonfigurationsalternativ utgör dokumenterade instruktioner i den mening som avses i artikel 28(3)(a) GDPR.
5.2 Konfidentialitet
Säkerställa att personer som är behöriga att behandla personuppgifterna har åtagit sig konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
5.3 Säkerhetsåtgärder
Genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken, i enlighet med artikel 32 GDPR. En sammanfattning av dessa åtgärder finns i bilaga 1. Den personuppgiftsansvarige bekräftar att bilaga 1 kan uppdateras från tid till annan för att återspegla förbättringar av personuppgiftsbiträdets säkerhetsnivå, och att en sådan uppdatering inte innebär en väsentlig försämring av säkerhetsnivån.
5.4 Underbiträden
Anlita underbiträden enbart enligt villkoren i avsnitt 7 nedan.
5.5 Stöd vid de registrerades rättigheter
Med beaktande av behandlingens art, bistå den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, för att uppfylla den personuppgiftsansvariges skyldighet att besvara begäranden om utövande av de registrerades rättigheter enligt kapitel III i GDPR.
5.6 Stöd vid den personuppgiftsansvariges övriga skyldigheter
Bistå den personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt artiklarna 32–36 GDPR, med beaktande av behandlingens art och den information som finns tillgänglig för personuppgiftsbiträdet.
5.7 Återlämnande eller radering vid tjänsternas upphörande
Efter den personuppgiftsansvariges val, radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter att tillhandahållandet av tjänsterna som rör behandlingen har upphört, och radera befintliga kopior, om inte unionsrätten eller en medlemsstats nationella rätt kräver lagring av personuppgifterna. Personuppgiftsbiträdet ska radera personuppgifterna inom 90 dagar efter tjänsternas upphörande, utom när längre lagring krävs enligt avsnitt 9.
5.8 Register över behandling
Föra ett skriftligt register över alla kategorier av behandlingsaktiviteter som utförs för den personuppgiftsansvariges räkning, i enlighet med artikel 30(2) GDPR.
5.9 Revisioner
Ge den personuppgiftsansvarige tillgång till all information som behövs för att påvisa efterlevnad av artikel 28 GDPR, samt möjliggöra och medverka till revisioner, inklusive inspektioner, som genomförs av den personuppgiftsansvarige eller en annan revisor som denne anlitat. Den personuppgiftsansvarige ska bära eventuella kostnader för sådana revisioner utöver den standardinformation som redan är tillgänglig för den personuppgiftsansvarige via tjänsterna. Den personuppgiftsansvarige ska lämna rimlig förhandsvarsel (minst 30 dagar), genomföra revisioner under ordinarie arbetstid och inte störa personuppgiftsbiträdets verksamhet.
6. Den personuppgiftsansvariges skyldigheter
Den personuppgiftsansvarige garanterar att:
- Den har fastställt en giltig rättslig grund enligt artikel 6 GDPR (och, i tillämpliga fall, artikel 9 GDPR) för alla personuppgifter som görs tillgängliga för personuppgiftsbiträdet via tjänsterna;
- Den har tillhandahållit all nödvändig transparensinformation till registrerade enligt artiklarna 13 och 14 GDPR, inklusive det faktum att Cost+ Checkout används för att behandla kassa- och orderdata;
- Den har korrekt konfigurerat Cost+ Checkout (inklusive flödesregler, tillåtna länder, betalningsmetoder och eventuella anpassade skript eller block) så att tjänsterna enbart behandlar de personuppgifter som är nödvändiga för handlarens lagliga ändamål;
- Den kommer att besvara begäranden från registrerade som vidarebefordras av personuppgiftsbiträdet inom de tidsfrister som lagen kräver.
7. Underbiträden
7.1 Generellt godkännande
Den personuppgiftsansvarige ger ett generellt godkännande för personuppgiftsbiträdet att anlita underbiträden för utförandet av tjänsterna. En förteckning över aktuella underbiträden finns i bilaga 2 och uppdateras från tid till annan.
7.2 Meddelande om ändringar
Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella avsedda ändringar i förteckningen över underbiträden (tillägg eller ersättningar) med minst 30 dagars förvarning, och ge den personuppgiftsansvarige möjlighet att invända på rimliga grunder. Om den personuppgiftsansvarige invänder och Parterna inte kan enas om en lösning inom 30 dagar, får den personuppgiftsansvarige säga upp den berörda delen av tjänsterna för bekvämlighets skull.
7.3 Nedströmsförpliktelser
Personuppgiftsbiträdet ska ålägga varje underbiträde, genom avtal, samma skyldigheter för dataskydd som anges i detta DPA, och ska förbli fullt ansvarig gentemot den personuppgiftsansvarige för varje underbiträdes fullgörande av sina skyldigheter.
8. Internationella dataöverföringar
8.1 Primär hosting
Personuppgiftsbiträdet driftar tjänsterna inom Europeiska unionen och behandlar personuppgifter primärt inom EU/EES. Vissa auktoriserade underbiträden (t.ex. vissa betalningsförvärvande partners) är belägna utanför EES; i sådana fall säkerställer personuppgiftsbiträdet att överföringen skyddas av ett adekvansbesked eller av standardavtalsklausuler enligt avsnitt 8.2, och identifierar de relevanta underbiträdena i bilaga 2.
8.2 Underbiträdenas överföringar
När ett underbiträde är beläget utanför EU/EES säkerställer personuppgiftsbiträdet att överföringar täcks av ett adekvansbesked enligt artikel 45 GDPR, av standardavtalsklausuler antagna av Europeiska kommissionen (modul 2: personuppgiftsansvarig till personuppgiftsbiträde, eller modul 3: personuppgiftsbiträde till personuppgiftsbiträde, beroende på vad som är lämpligt), eller av en annan giltig överföringsmekanism enligt kapitel V GDPR.
8.3 Vidareöverföringar
Shopify agerar själv som självständig personuppgiftsansvarig avseende kunddata som den personuppgiftsansvarige har registrerat i sin Shopify-butik. Personuppgiftsbiträdets mottagande av sådana data från Shopify, och återlämnande av Shopify-skapade orderdata till Shopify, omfattas av Shopifys egna dataskyddsvillkor med handlaren och utgör inte vidareöverföringar enligt detta DPA.
9. Lagring och radering
Personuppgiftsbiträdet lagrar personuppgifter under följande perioder:
- Aktiva sessionsdata (pågående kassasessioner som inte har slutförts): raderas 30 dagar efter sessionens utgång;
- Slutförda orderdata (sessioner som resulterade i en Shopify-order): lagras i 7 år för att uppfylla skatte- och bokföringslagens lagringsregler i Estland och de flesta EU-jurisdiktioner, och raderas därefter;
- Betalningstokens och auktoriseringsuppgifter: lagras under lagringsperioden för den underliggande betalningsmetoden (vanligtvis 7 år);
- Loggdata (begärandeloggar, webhook-leveransloggar): lagras i 90 dagar och roteras sedan ut;
- Revisions- och säkerhetshändelseloggar: lagras i 1 år.
Vid tjänsternas upphörande ska personuppgiftsbiträdet radera eller återlämna personuppgifter enligt avsnitt 5.7 ovan, med förbehåll för de lagringstider som föreskrivs i tillämplig lag.
10. Anmälan om personuppgiftsincident
Personuppgiftsbiträdet ska utan onödigt dröjsmål, och i alla händelser inom 48 timmar, underrätta den personuppgiftsansvarige om biträdet får kännedom om en personuppgiftsincident som berör den personuppgiftsansvariges data. Underrättelsen ska innehålla minst den information som krävs enligt artikel 33(3) GDPR i den mån den är tillgänglig, och ska uppdateras allteftersom ytterligare information blir känd.
11. Ansvar
Parternas ansvar enligt detta DPA är underkastat ansvarsbestämmelserna i användarvillkoren, med undantag för att eventuella ansvarsbegränsningar i användarvillkoren inte utesluter eller begränsar ansvar för ärenden där sådan uteslutning eller begränsning vore olaglig enligt tillämplig dataskyddslagstiftning.
12. Tillämplig lag och jurisdiktion
Detta DPA regleras av estnisk lag, utan hänsyn till dess lagvalsregler. Parterna underkaster sig den exklusiva jurisdiktionen för domstolarna i Harju County, Estland, för tvister som uppstår ur eller i samband med detta DPA, med förbehåll för eventuella tvingande lagbestämmelser om jurisdiktion i konsument- eller registrerade tvister.
13. Giltighetstid och uppsägning
Detta DPA träder i kraft det datum den personuppgiftsansvarige för första gången installerar eller använder tjänsterna och upphör automatiskt att gälla när användarvillkoren upphör. Klausuler som till sin natur ska överleva upphörandet (inklusive avsnitten 5.7, 9, 10 och 12) ska fortsätta att gälla.
14. Fullständigt avtal
Detta DPA, tillsammans med användarvillkoren på https://costplus.io/shopify-app-terms.html och integritetspolicyn på https://costplus.io/privacy-policy.html, utgör det fullständiga avtalet mellan Parterna avseende föremålet och ersätter alla tidigare överenskommelser.
Bilaga 1 — Tekniska och organisatoriska åtgärder
Personuppgiftsbiträdet genomför följande tekniska och organisatoriska åtgärder för att skydda personuppgifter:
Kryptering
- All data under transport krypteras med TLS 1.2 eller högre, med certifikat hanterade via Let's Encrypt och automatisk rotation.
- Shopify API-åtkomsttokens och tredjepartsbetalningsleverantörers uppgifter krypteras i vila med AES-256-GCM med applikationslagernycklar hanterade via HashiCorp Vault Transit eller ett likvärdigt nyckelhanteringssystem.
- Databassäkerhetskopior krypteras innan överföring till extern lagring.
Åtkomstkontroll
- Åtkomst till produktionssystem är begränsad till en definierad uppsättning behörig personal med individuellt identifierbara konton, SSH-nyckelbaserad autentisering för serveråtkomst samt maskinvarustödd eller TOTP-multifaktorautentisering för administrativa gränssnitt.
- Handlarlösenord på applikationsnivå hashas med Argon2id med minneskrävande parametrar.
- Åtkomst till personuppgifter loggas och lagras i enlighet med avsnitt 9 i DPA.
Infrastruktur
- Tjänsterna driftas i Tier III-datacenter eller likvärdiga datacenter belägna inom Europeiska unionen.
- Logisk separation mellan test- och produktionsmiljöer; inga produktionsdata används i utvecklings- eller testmiljöer.
- Regelbunden patchning av operativsystem, körtidsmiljöer och tredjepartsberoenden.
Personal
- Personal med åtkomst till personuppgifter är bundna av skriftliga sekretessåtaganden som gäller även efter anställningens upphörande.
- Introduktions- och periodisk säkerhetsmedvetenhetsutbildning för all personal med åtkomst till personuppgifter eller produktionsinfrastruktur.
Incidenthantering
- Dokumenterad procedur för hantering av säkerhetsincidenter som täcker identifiering, inneslutning, utredning, anmälan (inklusive till den personuppgiftsansvarige inom 48 timmar enligt avsnitt 10) och genomgång efter incidenten.
- Kvartalsvisa genomgångar av incidenthanteringsprocedurer och kontaktinformation.
Förebyggande av dataförlust
- Åtkomstkontroller på applikationsnivå avgränsade till enskilda handlare och enskilda sessioner; ingen handlare kan komma åt en annan handlares data via API.
- Granskningsloggning av all åtkomst till personuppgifter, lagrad enligt avsnitt 9.
- Regelbundna återställningstester av krypterade säkerhetskopior.
Säker utveckling
- Källkod lagrad i ett privat repository med obligatorisk granskning av alla ändringar före sammanslagning.
- Automatiserad beroendeanalys och regelbundna uppdateringar av tredjepartsbibliotek.
- Penetrationstester minst en gång per år när tjänsterna är allmänt tillgängliga.
Bilaga 2 — Auktoriserade underbiträden
Per det senaste uppdateringsdatumet för detta DPA är följande underbiträden auktoriserade att behandla personuppgifter för den personuppgiftsansvariges räkning:
| Underbiträde | Syfte | Plats | Överföringsmekanism |
|---|---|---|---|
| OVH SAS | Molntjänster för infrastruktur (beräkning, lagring, nätverk) och krypterade säkerhetskopior utanför anläggningen | Frankrike (EU) | Intra-EEA |
| SMTP2GO | Transaktions- och notifikationsmail | EU | Intra-EEA |
| Cost+ betalningsinfrastruktur (Costplus OÜ) | Betalningstokenisering, auktorisering, inhämtning, återbetalning | EU | Intra-EEA |
| Ginger Payments | Betalningsgateway / transaktionsroutning | Nederländerna (EU) | Intra-EEA |
| FinteqHub | Betalningsgateway / orkestrering | Cypern och Litauen (EU) | Intra-EEA |
| ComplyPay | Banking-as-a-Service (BaaS)-leverantör | Danmark (EU) | Intra-EEA |
| Rapyd | Betalningsinlösen / betalningshantering | EU / Storbritannien | Intra-EEA; UK-överföringar enligt EU–UK-adequacy decision |
| SHIFT4 | Betalningsinlösen / betalningshantering | EU / Storbritannien | Intra-EEA; UK-överföringar enligt EU–UK-adequacy decision |
| Elavon | Betalningsinlösen / betalningshantering | EU / Storbritannien | Intra-EEA; UK-överföringar enligt EU–UK-adequacy decision |
| Clearhaus | Betalningsinlösen / betalningshantering | Danmark (EU) | Intra-EEA |
| Paynetics | Betalningsinlösen / utgivning av e-pengar | Bulgarien (EU) | Intra-EEA |
| Didit | Identitetsverifiering, KYB / KYC / AML-efterlevnad | USA / Spanien (EU) | Standardavtalsklausuler (art. 46 GDPR) |
Personuppgiftsbiträdet upprätthåller en aktuell version av denna lista på https://costplus.io/dpa/sub-processors och meddelar den personuppgiftsansvarige om eventuella tillägg eller ersättningar i enlighet med avsnitt 7.2 i detta DPA.
Slut på personuppgiftsbiträdesavtalet.
