Databehandlingsaftale (DPA)

Tillæg om databehandling (DPA). Gældende fra: 25. marts 2026. Juridisk enhed: MB Tutlio. Kontakt: info@tutlio.lt.

Ved at bruge Tutlio-platformen og indtaste elevdata bekræfter du, at du har læst og accepterer denne databehandlingsaftale (DPA), Privatlivspolitik og Servicevilkår.

✓ Jeg accepterer DPA-vilkårene

Dokument oprettet: 2026-03-25

Juridisk enhed: MB Tutlio

Version: 1.0

Bemærk: Denne databehandlingsaftale (DPA) er en integreret del af Tutlio-platformens servicevilkår og privatlivspolitik. Den gælder for alle tutorer og organisationer, der bruger Tutlio-platformen og behandler elevers persondata.

10. KONTRAKTOPHØR OG DATARETURNERING

• Datareturnering: Tjenesteudbyderen leverer alle kundedata i JSON- eller CSV-format inden for 30 dage
• Datasletning: Tjenesteudbyderen sletter sikkert alle kunde- og elevdata inden for 30 dage

10.1. Datareturnering eller sletning

Ved ophør af aftalen mellem kunden og tjenesteudbyderen kan kunden vælge:

• Lovkrav (f.eks. regnskabslove – 10 år for betalingsregistreringer)
• Juridiske krav (tvistløsning)
• Teknisk nødvendighed (f.eks. backups, som automatisk slettes inden for 30 dage)

10.2. Undtagelser

Tjenesteudbyderen kan opbevare visse data længere, hvis det kræves af:

• Tjenesteudbyderen er ansvarlig for brud på tekniske og organisatoriske sikkerhedsforanstaltninger, datasikkerhedshændelser forårsaget af egen skyld
• Kunden er ansvarlig for behandling af data uden retsgrundlag, utilstrækkelig underretning af registrerede, indtastning af uberettigede eller ukorrekte data
• Gensidig ansvar: Hvis en registreret indgiver en klage over GDPR-overtrædelse, samarbejder parterne og er ansvarlige i henhold til deres respektive ansvarsområder

11. ANSVAR OG ERSTATNING

Hver part er ansvarlig for manglende overholdelse af sine forpligtelser i henhold til denne DPA:

Ansvarsbegrænsningen er fastlagt i platformens servicevilkår og gældende lovgivning.

MB Tutlio-kontakter for GDPR-spørgsmål:

E-mail: info@tutlio.lt

Bemærk: Pt. har MB Tutlio ikke en udpeget databeskyttelsesrådgiver (DPO), da det ikke falder ind under GDPR Art. 37-kravene. Alle GDPR-sager håndteres via den generelle kontakt.

Inden for 5 hverdage

Svartid:

"GDPR / Databeskyttelse"

Emne: "GDPR / Databeskyttelse"

12. KONTAKTER OG DATABESKYTTELSESRÅDGIVER

• Tutlio-servicevilkår
• Tutlio-privatlivspolitik
• Organisationsaftaler (hvis relevant)

13. BILAG OG YDERLIGERE INFORMATION

Denne DPA er en integreret del af følgende dokumenter:

• Gyldighed: Denne DPA træder i kraft fra 2026-03-25 og er gyldig i hele aftalens varighed mellem kunden og tjenesteudbyderen
• Ændringer: Tjenesteudbyderen kan opdatere denne DPA ved at underrette kunden via e-mail senest 30 dage før ændringerne træder i kraft
• Gældende lov: Denne DPA er underlagt Republikken Litauens lovgivning og GDPR
• Tvister: Tvister løses gennem forhandling; ved uenighed – i Republikken Litauens domstole

14. AFSLUTTENDE BESTEMMELSER

1. PARTER OG DEFINITIONER

• MB Tutlio (herefter – tjenesteudbyderen, platformen), der leverer Tutlio-platformtjenester, og
• Tutor/Organisation (herefter – kunden), der bruger platformen til elevers datastyring og lektionsorganisering.

1.1. Parter

Denne databehandlingsaftale (herefter – DPA) indgås mellem:

• GDPR – Generel forordning om databeskyttelse (EU 2016/679)
• Persondata – enhver information vedrørende en fysisk person (elev, forælder/værge) hvis identitet er kendt eller kan fastslås
• Dataansvarlig – en fysisk eller juridisk person, der bestemmer formålene med og midlerne til databehandling
• Databehandler – en fysisk eller juridisk person, der behandler persondata på vegne af den dataansvarlige
• Registreret – en fysisk person (elev, forælder/værge) hvis persondata behandles
• Underdatabehandler – en tredjepart, der bruges af tjenesteudbyderen til databehandlingsoperationer (f.eks. Supabase, Stripe)

1.2. Definitioner

2. DATABEHANDLINGENS OMFANG OG FORMÅL

• For- og efternavn
• E-mailadresse
• Telefonnummer
• Alder og klassetrin (valgfrit)
• Invitationskoder
• Lektionshistorik (datoer, tider, emner, noter)
• Betalingsoplysninger (beløb, status, betalingsfrister)
• Forælder/værge-data (hvis betaleren ikke er eleven): navn, e-mail

2.1. Data der behandles

Følgende elevers og forælders/værges persondata kan behandles på platformen:

• Platformens tjenestelevering: Lektionsplanlægning, kalenderstyring, afsendelse af påmindelser
• Betalingsadministration: Behandling af lektionsbetalinger, afsendelse af fakturaer
• Kommunikation: Afsendelse af automatiske notifikationer (påmindelser, bekræftelser, invitationer)
• Bogføring: Styring af finansielle registreringer i overensstemmelse med lovkrav
• Platformforbedring: Anonym statistik til forbedring af platformtjenester

2.2. Formål med databehandling

Data behandles til følgende formål:

• Så længe aftalen mellem kunden og platformen er gældende
• Finansielle registreringer (betalinger, fakturaer) – 10 år som krævet af regnskabslove
• Efter kontraktophør: op til 30 dage, medmindre kunden anmoder om tidligere sletning eller datareturnering

2.3. Varighed af databehandling

Data opbevares:

3. PARTERNES FORPLIGTELSER OG ANSVAR

• Kun behandle data iht. kundens instruktioner og til de formål, der er angivet i denne DPA
• Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger:

Datakryptering (under transport og i hvile)

Adgangskontrol (autentificering, autorisation, RLS-politikker)

Regelmæssige backups og genopretningsplaner

Sikkerhedsaudit og overvågning

Medarbejderuddannelse i databeskyttelse

• Rapportere datasikkerhedsbrud inden for 72 timer efter opdagelse til kunden og DPA (hvis påkrævet)
• Bistå med implementering af registreredes rettigheder:

Ret til indsigt – give mulighed for dataeksport

Ret til sletning – slette data inden for 30 dage

Ret til berigtigelse – tillade datarettelse via platformen

Ret til dataportabilitet – eksportere data i JSON/CSV-format

• Kun bruge godkendte underdatabehandlere (se afsnit 4) og informere kunden om eventuelle ændringer
• Returnere eller slette data ved kontraktophør efter kundens valg
• Tillade revision – give information og dokumenter, der kræves til GDPR-overholdelsesvurdering
• Ikke overføre data uden for EU/EØS uden passende beskyttelsesforanstaltninger (f.eks. standardkontraktbestemmelser)

3.1. Tjenesteudbyderens forpligtelser

Tjenesteudbyderen forpligter sig til at:

• Have et retsgrundlag for behandling af alle data indtastet på platformen (samtykke, kontrakt, legitim interesse under GDPR Art. 6)
• Informere registrerede (elever, forældre) om:

Hvilke data der behandles

Hvorfor de behandles (formål)

At data behandles på Tutlio-platformen

Link til Tutlio-privatlivspolitik: tutlio.lt/privacy-policy

Deres rettigheder (indsigt, sletning, berigtigelse osv.)

• Indhente passende samtykke: Hvis den registrerede er mindreårig (under 16), indhente forælder/værge-samtykke
• Sikre datanøjagtighed: Kun indtaste korrekte og aktuelle data på platformen
• Kun indtaste nødvendige data: Overholde dataminimeringsprincippet
• Besvare registreredes anmodninger: Ved brug af platformfunktioner eller kontakt til tjenesteudbyderen for assistance
• Rapportere sikkerhedshændelser: Straks informere tjenesteudbyderen om eventuelle observerede datasikkerhedsbrud
• Bruge platformen ansvarligt: Ikke dele adgang med tredjeparter, beskytte loginoplysninger

3.2. Kundens forpligtelser

Kunden forpligter sig til at:

GDPR-overholdelse:

Datalokation:

Privatlivspolitik:

Resend (Zernonia, Inc.)

GDPR-overholdelse: GDPR-kompatibel

Datalokation: USA (AWS)

Tjeneste: E-maillevering (påmindelser, invitationer, notifikationer)

Tjeneste:

Stripe, Inc.

GDPR-overholdelse: GDPR-kompatibel, PCI DSS Level 1-certificeret

Datalokation: USA, EU (med standardkontraktbestemmelser)

Tjeneste: Betalingsbehandling, abonnementsstyring

Supabase Inc.

GDPR-overholdelse: GDPR-kompatibel, ISO 27001-certificeret

Datalokation: EU (AWS eu-central-1)

Tjeneste: Databasehosting og -styring

4. UNDERDATABEHANDLERE

4.1. Godkendte underdatabehandlere

Tjenesteudbyderen bruger følgende underdatabehandlere til databehandlingsoperationer:

4.2. Ændringer af underdatabehandlere

Hvis tjenesteudbyderen planlægger at tilføje en ny underdatabehandler eller erstatte en eksisterende, informeres kunden via e-mail senest 30 dage før ændringen. Kunden har ret til at modsætte sig den nye underdatabehandler, i hvilket tilfælde de kan opsige kontrakten uden ekstra gebyrer.

5. REGISTREREDES RETTIGHEDER

• Ret til indsigt (Art. 15): Få en kopi af deres data
• Ret til berigtigelse (Art. 16): Rette unøjagtige data
• Ret til sletning (Art. 17): "Ret til at blive glemt" (med undtagelser, f.eks. regnskabslove)
• Ret til begrænsning (Art. 18): Begrænse behandling af visse data
• Ret til dataportabilitet (Art. 20): Modtage data i et struktureret, maskinlæsbart format
• Ret til indsigelse (Art. 21): Gøre indsigelse mod databehandling baseret på legitime interesser
• Ret til at indgive klage (Art. 77): Indgive klage til datatilsynsmyndigheden

5.1. Udøvelse af rettigheder

Registrerede (elever, forældre) har følgende rettigheder under GDPR:

• Direkte til kunden (tutor/organisation)
• Via platformindstillinger (hvis eleven har en konto)
• Via e-mail til tjenesteudbyderen: info@tutlio.lt

5.2. Svarfrister og procedurer

Registreredes anmodninger kan indsendes:

Svarfrist: Senest 30 dage fra modtagelse af anmodningen (kan forlænges til 60 dage i komplekse tilfælde med underretning af den registrerede).

6. DATASIKKERHEDSFORANSTALTNINGER

• Kryptering: TLS 1.3 under transport, AES-256 i hvile
• Autentificering: Sikker adgangskodelagring (bcrypt), MFA-kapacitet
• Adgangskontrol: Row-Level Security (RLS) politikker i databasen
• Backups: Automatiske daglige backups med 30 dages opbevaring
• Overvågning: Sikkerhedshændelsesovervågning og notifikationer
• Opdateringer: Regelmæssige system- og afhængighedsopdateringer

6.1. Tekniske foranstaltninger

• Medarbejderuddannelse: GDPR- og databeskyttelsesuddannelse
• Fortrolighedsforpligtelser: Alle medarbejdere underskriver fortrolighedsaftaler
• Adgangsbegrænsning: Kun autoriserede medarbejdere har adgang til data
• Hændelsesstyring: Dokumenterede procedurer til håndtering af datasikkerhedsbrud
• Revisioner: Regelmæssige interne sikkerhedsrevisioner

6.2. Organisatoriske foranstaltninger

7. DATASIKKERHEDSBRUD

• Straks (inden for 72 timer) underretter kunden via e-mail
• Beskriver bruddet: Bruddets karakter, hvilke data der var berørt, hvor mange registrerede
• Angiver trufne foranstaltninger: Hvordan bruddet blev inddæmmet, hvilke foranstaltninger der blev truffet for at gendanne data
• Anbefaler handlinger: Hvad kunden bør underrette registrerede om
• Hvis bruddet udgør en høj risiko for registreredes rettigheder, underretter tjenesteudbyderen DPA og bistår kunden med at underrette berørte registrerede

7.1. Underretningsprocedure

I tilfælde af et datasikkerhedsbrud foretager tjenesteudbyderen:

7.2. Kundens ansvar

Kunden forpligter sig til straks at rapportere til tjenesteudbyderen eventuelle observerede sikkerhedshændelser relateret til deres konto eller data på platformen.

• Overholde GDPR-krav
• Bruge standardkontraktbestemmelser (SCC) godkendt af Europa-Kommissionen
• Have passende tekniske og organisatoriske sikkerhedsforanstaltninger

8. INTERNATIONALE DATAOVERFØRSLER

Primære data opbevares i EU (Supabase AWS eu-central-1-regionen). Nogle underdatabehandlere (Stripe, Resend) kan opbevare data i USA, men de:

Tjenesteudbyderen vil ikke overføre data til tredjelande uden for EU/EØS uden passende beskyttelsesforanstaltninger og underretning af kunden.

• Give dokumenter der bekræfter implementering af sikkerhedsforanstaltninger
• Give en liste over underdatabehandlere og deres GDPR-overholdelse
• Tillade revisioner (efter rimelig anmodning og forudgående aftale)
• Samarbejde med tilsynsmyndigheder

9. REVISION OG OVERHOLDELSESVURDERING

Kunden har ret til at anmode om information om tjenesteudbyderens GDPR-overholdelse. Tjenesteudbyderen forpligter sig til at: