Gælder ved brug af Tutlio-platformen.
Bemærkning: Denne Databehandleraftale (DPA) er en integreret del af tjenesteydelsesaftalen, hvis en sådan er underskrevet, Tutlio-platformens Brugervilkår og Privatlivspolitik. Den gælder for alle tutorer og organisationer, der bruger Tutlio-platformen og behandler elevers personoplysninger.
1. Parter og definitioner
1.1. Parter og roller
Denne Databehandleraftale, herefter DPA, indgås mellem MB Tutlio, herefter Tjenesteudbyderen eller Platformen, som leverer Tutlio-platformens tjenester, og tutor/organisation, herefter Kunden, som bruger Platformen til administration af elevoplysninger og organisering af lektioner.
Parterne er udtrykkeligt enige om, at Kunden i henhold til databeskyttelsesforordningen (GDPR) udelukkende fungerer som dataansvarlig ved behandling af personoplysninger i Platformen, mens MB Tutlio udelukkende fungerer som databehandler efter GDPR artikel 28.
1.2. Definitioner
- GDPR: Databeskyttelsesforordningen (EU 2016/679).
- Personoplysninger: Enhver oplysning om en fysisk person, elev eller forælder/værge, hvis identitet er kendt eller kan fastlægges.
- Dataansvarlig: En fysisk eller juridisk person, Kunden, som fastlægger formål og midler for behandlingen.
- Databehandler: En fysisk eller juridisk person, MB Tutlio, som behandler personoplysninger udelukkende på vegne af og efter instruktion fra den dataansvarlige.
- Registreret: En fysisk person, elev eller forælder/værge, hvis personoplysninger behandles.
- Underdatabehandler: En tredjepart, som Tjenesteudbyderen bruger til behandlingsaktiviteter, for eksempel Supabase, Stripe og Perlas Finance.
2. Behandlingens omfang og formål
2.1. Behandlede oplysninger
I Platformen kan følgende personoplysninger om elever og forældre/værger behandles efter Kundens instruktioner:
- For- og efternavn.
- E-mailadresse.
- Telefonnummer.
- Alder og klasse, valgfrit.
- Invitationskoder.
- Lektionshistorik, herunder datoer, tidspunkter, emner og noter.
- Betalingsoplysninger, herunder beløb, status og betalingsfrister.
- Oplysninger om forældre/værger, hvis betaleren ikke er eleven selv: navn og e-mailadresse.
2.2. Formål med behandlingen
- Levering af Platformens tjenester: Lektionsplanlægning, kalenderstyring og udsendelse af påmindelser.
- Betalingsadministration: Behandling af betalinger for lektioner, generering og udsendelse af fakturaer.
- Kommunikation: Udsendelse af automatiske meddelelser, herunder påmindelser, bekræftelser og invitationer.
- Bogføring: Håndtering af finansielle registreringer i henhold til lovkrav.
- Forbedring af Platformen: Anonym statistik til forbedring af Platformens tjenester.
2.3. Behandlingens varighed
- Oplysninger opbevares, så længe tjenesteydelsesaftalen eller kontobrugen mellem Kunden og Platformen er gældende.
- Finansielle registreringer, herunder betalinger og fakturaer, opbevares i 10 år i henhold til bogføringslovgivningens krav.
- Efter ophør af aftalen eller sletning af konto opbevares oplysninger i op til 30 dage, medmindre Kunden anmoder om tidligere sletning eller dataeksport.
3. Parternes forpligtelser og ansvar
3.1. Tjenesteudbyderens, databehandlerens, forpligtelser
- Behandle oplysninger kun efter Kundens, den dataansvarliges, instruktioner og til de formål, der er angivet i denne DPA.
- Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder kryptering, adgangskontrol og sikkerhedskopier.
- Underrette Kunden om brud på persondatasikkerheden inden for 72 timer fra kendskab.
- Hjælpe Kunden med at gennemføre registreredes rettigheder, herunder adgang, sletning, berigtigelse og dataportabilitet ved brug af Platformens funktionalitet.
- Bruge kun godkendte underdatabehandlere, se afsnit 4, og informere Kunden om ændringer.
- Returnere eller slette oplysninger efter aftalens ophør efter Kundens valg.
- Tillade audit ved på begrundet anmodning at give oplysninger, der er nødvendige for kontrol af GDPR-overholdelse.
- Ikke overføre oplysninger uden for EU/EØS uden passende beskyttelsesforanstaltninger.
3.2. Kundens, den dataansvarliges, forpligtelser
- Have et retsgrundlag for behandling af alle oplysninger, der indtastes i Platformen, såsom samtykke, kontrakt eller legitim interesse efter GDPR artikel 6.
- Informere registrerede, elever og forældre, om hvilke oplysninger der indsamles, hvorfor de indsamles, og at de vil blive behandlet i Tutlio-platformen, samt give et link til Tutlios Privatlivspolitik.
- Indhente passende samtykker, og hvis den registrerede er mindreårig, indhente samtykke fra forældre/værger.
- Sikre oplysningernes korrekthed og overholde princippet om dataminimering ved kun at indtaste oplysninger, der er nødvendige for lektioner.
- Selvstændigt besvare registreredes forespørgsler, om nødvendigt ved brug af Platformens funktionalitet.
- Bruge Platformen ansvarligt, ikke videregive adgang til tredjeparter og beskytte loginoplysninger.
4. Underdatabehandlere
4.1. Godkendte underdatabehandlere
Kunden giver Tjenesteudbyderen en generel tilladelse til at bruge følgende underdatabehandlere:
- Supabase Inc. Tjeneste: databasehosting og -administration. Dataplacering: Den Europæiske Union, AWS eu-central-1-regionen. GDPR-overholdelse: overholder GDPR, ISO 27001-certificeret.
- Stripe, Inc. Tjeneste: betalingsbehandling til internationale markeder. Dataplacering: USA, EU, med Standard Contractual Clauses (SCC). GDPR-overholdelse: overholder GDPR, PCI DSS Level 1-certificeret.
- UAB „Perlas Finance“. Tjeneste: open banking- og betalingsbehandlingstjenester til det lokale marked. Dataplacering: Den Europæiske Union, Litauen. GDPR-overholdelse: betalingsinstitut licenseret af Litauens centralbank, overholder GDPR.
- Resend (Zernonia, Inc.). Tjeneste: e-mailudsendelse, herunder påmindelser og meddelelser. Dataplacering: USA, AWS, med SCC. GDPR-overholdelse: overholder GDPR.
4.2. Ændring af underdatabehandlere
Hvis Tjenesteudbyderen planlægger at tilføje en ny underdatabehandler eller udskifte en eksisterende, informerer Tjenesteudbyderen Kunden via e-mail senest 30 dage før ændringen. Kunden har ret til at gøre indsigelse mod en ny underdatabehandler, hvis der er begrundede databeskyttelsesrelaterede årsager. I så fald har Kunden ret til at opsige tjenesteydelsesaftalen.
5. Registreredes rettigheder
5.1. Gennemførelse af rettigheder
Registrerede, elever og forældre, har følgende rettigheder efter GDPR: ret til adgang, ret til berigtigelse, ret til sletning, retten til at blive glemt, ret til begrænsning, ret til dataportabilitet, ret til indsigelse og ret til at klage til Valstybinė duomenų apsaugos inspekcija (VDAI).
5.2. Svarfrister og procedurer
Forespørgsler fra registrerede skal først behandles af Kunden, den dataansvarlige. Hvis Kunden har brug for teknisk hjælp til at udtrække eller slette oplysninger, kan Kunden kontakte Tjenesteudbyderen via e-mail på info@tutlio.lt. Tjenesteudbyderen svarer på sådanne forespørgsler senest inden for 30 dage.
6. Datasikkerhedsforanstaltninger
6.1. Tekniske foranstaltninger
- Kryptering: TLS 1.3 til transport og AES-256 i hvile til lagring.
- Autentifikation: Sikker lagring af adgangskoder med bcrypt hash.
- Adgangskontrol: Afgrænset adgang til oplysninger gennem Row-Level Security - RLS.
- Sikkerhedskopier: Automatiske daglige sikkerhedskopier, der opbevares i 30 dage.
- Overvågning: Overvågning af sikkerhedshændelser og servermetrikker.
6.2. Organisatoriske foranstaltninger
- Medarbejdertræning og fortrolighedsforpligtelser, hvor alle medarbejdere underskriver NDA.
- Adgangsbegrænsning: kun autoriserede medarbejdere har teknisk adgang til infrastrukturen.
- Hændelseshåndtering: dokumenterede procedurer for håndtering af sikkerhedsbrud.
7. Brud på persondatasikkerheden
Hvis der sker et brud på persondatasikkerheden, underretter Tjenesteudbyderen straks, senest inden for 72 timer, Kunden via e-mail, beskriver bruddets karakter, angiver trufne foranstaltninger og giver anbefalinger. Kunden er som dataansvarlig ansvarlig for videre underretning af registrerede eller VDAI i henhold til GDPR-kravene.
8. International dataoverførsel
De primære personoplysninger opbevares i Den Europæiske Union, AWS eu-central-1. Ved brug af USA-registrerede underdatabehandlere, for eksempel Stripe og Resend, sker dataoverførsel i henhold til Europa-Kommissionens godkendte Standard Contractual Clauses (SCC), hvilket sikrer det beskyttelsesniveau, som EU kræver.
9. Audit og overholdelseskontrol
Kunden har ret til at anmode om oplysninger om de GDPR-overholdelsesforanstaltninger, som Tjenesteudbyderen anvender. Tjenesteudbyderen forpligter sig til at fremlægge dokumentation. Fysiske audits af infrastrukturen kan kun gennemføres efter forudgående aftale, med dækning af Tjenesteudbyderens omkostninger til auditstøtte og uden at krænke andre kunders fortrolighed.
10. Aftalens ophør og returnering af oplysninger
Ved ophør af tjenesteydelsesaftalen eller Kundens sletning af kontoen returnerer Tjenesteudbyderen oplysningerne ved at muliggøre eksport i JSON- eller CSV-format. Efter en overgangsperiode på 30 dage slettes alle Kundens personoplysninger uigenkaldeligt fra systemer og sikkerhedskopier, bortset fra oplysninger som loven kræver opbevaret, for eksempel finansielle transaktioner til bogføringsformål.
11. Ansvar og erstatning
Hver part er ansvarlig for skade, der opstår som følge af partens egen overtrædelse af denne DPA og GDPR. Tjenesteudbyderens, databehandlerens, maksimale økonomiske ansvar for overtrædelser af denne DPA er begrænset til de beløb og vilkår, der er fastsat i den primære tjenesteydelsesaftale eller Platformens Brugervilkår, ansvarsbegrænsning eller Liability Cap.
12. Kontakt
MB Tutlios kontakt for GDPR- og privatlivsspørgsmål:
- E-mail: info@tutlio.lt.
- Emne: BDAR / Duomenų apsauga.
- Svartid: inden for 5 arbejdsdage.
13. Afsluttende bestemmelser
Denne DPA træder i kraft, når Kunden accepterer Platformens Vilkår, eller underskriver tjenesteydelsesaftalen, og gælder i hele tjenesteperioden. Tjenesteudbyderen kan opdatere denne DPA ved at informere Kunden via e-mail senest 30 dage før ændringerne træder i kraft. Denne aftale er underlagt Republikken Litauens ret og EU's GDPR-krav.