Andmetöötlusleping (DPA)

Andmetöötluse lisa (DPA). Jõustub: 25. märts 2026. Juriidiline isik: MB Tutlio. Kontakt: info@tutlio.lt

Tutlio platvormi kasutades ja õpilaste andmeid sisestades kinnitate, et olete lugenud ja nõustute selle andmetöötluslepinguga (DPA).

✓ Nõustun DPA tingimustega

Dokument loodud: 2026-03-25

Juriidiline isik: MB Tutlio

Versioon: 1.0

Märkus: See andmetöötlusleping (DPA) on Tutlio platvormi kasutustingimuste lahutamatu osa

10. LEPINGU LÕPETAMINE JA ANDMETE TAGASTAMINE

• Andmete tagastamine: Teenusepakkuja edastab kõik Kliendi andmed JSON- või CSV-vormingus 30 päeva jooksul
• Andmete kustutamine: Teenusepakkuja kustutab turvaliselt kõik Kliendi ja õpilaste andmed 30 päeva jooksul

10.1. Andmete tagastamine või kustutamine

Kliendi ja Teenusepakkuja vahelise lepingu lõppemisel võib Klient valida:

• Juriidilised nõuded (nt raamatupidamisseadused – 10 aastat maksekirjete jaoks)
• Õiguslikud nõuded (vaidluste lahendamine)
• Tehniline vajadus (nt varukoopiad, mis kustutatakse automaatselt 30 päeva jooksul)

10.2. Erandid

Teenusepakkuja võib säilitada teatud andmeid kauem, kui seda nõuavad:

• Teenusepakkuja vastutab tehniliste ja organisatsiooniliste turvameetmete rikkumise, andmeturbe rikkumiste eest
• Klient vastutab andmete töötlemise eest ilma õigusliku aluseta, andmesubjektide ebapiisava teavitamise eest
• Vastastikune vastutus: Kui andmesubjekt esitab nõude GDPR-i rikkumise eest, teevad pooled koostööd ja vastutavad proportsionaalselt

11. VASTUTUS JA HÜVITAMINE

Kumbki pool vastutab oma selle DPA kohustuste täitmata jätmise eest:

Vastutuse piiramine on kehtestatud platvormi kasutustingimustes ja kohaldatavas õiguses.

MB Tutlio kontaktid GDPR-i küsimustes:

E-post: info@tutlio.lt

Märkus: Praegu ei ole MB Tutlio-l määratud andmekaitsespetsialisti (DPO), kuna see ei ole seadusest tulenev kohustus

5 tööpäeva jooksul

Vastamise aeg:

"GDPR / Andmekaitse"

Teema: "GDPR / Andmekaitse"

12. KONTAKTID JA ANDMEKAITSESPETSIALIST

• Tutlio kasutustingimused
• Tutlio privaatsuspoliitika
• Organisatsiooni lepingud (kui kohaldatavad)

13. LISAD JA LISATEAVE

See DPA on lahutamatu osa järgmistest dokumentidest:

• Jõustumine: See DPA jõustub alates 2026-03-25 ja kehtib kogu lepingu kehtivuse ajal
• Muudatused: Teenusepakkuja võib seda DPA-d uuendada, teavitades Klienti e-postiga vähemalt 30 päeva ette
• Kohaldatav õigus: Seda DPA-d reguleerib Leedu Vabariigi õigus ja GDPR
• Vaidlused: Vaidlused lahendatakse läbirääkimiste teel; kokkuleppe mittesaavutamisel – Leedu Vabariigi kohtutes

14. LÕPPSÄTTED

1. POOLED JA MÕISTED

• MB Tutlio (edaspidi – Teenusepakkuja, Platvorm), kes osutab Tutlio platvormi teenuseid, ja
• Õpetaja/Organisatsioon (edaspidi – Klient), kes kasutab Platvormi õpilaste andmete haldamiseks ja tundide korraldamiseks

1.1. Pooled

See andmetöötlusleping (edaspidi – DPA) on sõlmitud:

• GDPR – isikuandmete kaitse üldmäärus (EL 2016/679)
• Isikuandmed – igasugune teave, mis on seotud füüsilise isikuga (õpilane, vanem/eestkostja), kelle identiteeti on võimalik tuvastada
• Vastutav töötleja – füüsiline või juriidiline isik, kes määrab andmetöötluse eesmärgid ja vahendid
• Volitatud töötleja – füüsiline või juriidiline isik, kes töötleb isikuandmeid vastutava töötleja nimel
• Andmesubjekt – füüsiline isik (õpilane, vanem/eestkostja), kelle isikuandmeid töödeldakse
• Alltöötleja – kolmas isik, keda Teenusepakkuja kasutab andmetöötlustoiminguteks (nt Supabase)

1.2. Mõisted

2. ANDMETÖÖTLUSE ULATUS JA EESMÄRGID

• Ees- ja perekonnanimi
• E-posti aadress
• Telefoninumber
• Vanus ja klass (valikuline)
• Kutsekoodid
• Tundide ajalugu (kuupäevad, kellaajad, teemad, märkmed)
• Makseteave (summa, staatus, maksetähtajad)
• Vanema/eestkostja andmed (kui maksja ei ole õpilane): nimi, e-post

2.1. Töödeldavad andmed

Platvormil võidakse töödelda järgmisi õpilaste ja vanemate/eestkostjate isikuandmeid:

• Platvormi teenuste osutamine: Tundide planeerimine, kalendri haldamine, meeldetuletuste saatmine
• Maksete haldamine: Tundide maksete töötlemine, arvete saatmine
• Suhtlus: Automaatsete teadete saatmine (meeldetuletused, kinnitused, kutsed)
• Raamatupidamine: Finantsdokumentide haldamine vastavalt seaduse nõuetele
• Platvormi täiustamine: Anonüümne statistika platvormi teenuste parandamiseks

2.2. Andmetöötluse eesmärgid

Andmeid töödeldakse järgmistel eesmärkidel:

• Nii kaua, kui kehtib leping Kliendi ja Platvormi vahel
• Finantsdokumendid (maksed, arved) – 10 aastat vastavalt raamatupidamisseaduse nõuetele
• Pärast lepingu lõpetamist: kuni 30 päeva, kui Klient ei nõua varasemat kustutamist või andmete tagastamist

2.3. Andmetöötluse kestus

Andmeid säilitatakse:

3. POOLTE KOHUSTUSED JA VASTUTUS

• Töödelda andmeid ainult vastavalt Kliendi juhistele ja selles DPA-s määratletud eesmärkidel
• Rakendada asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid:

Andmete krüpteerimine (edastamisel ja säilitamisel)

Juurdepääsukontroll (autentimine, autoriseerimine, RLS-poliitikad)

Regulaarsed varukoopiad ja taastamisplaanid

Turvaaudit ja jälgimine

Töötajate koolitamine andmekaitse alal

• Teatada andmeturbe rikkumistest 72 tunni jooksul pärast avastamist Kliendile ja DPA-le (kui nõutud)
• Abistada andmesubjektide õiguste teostamisel:

Juurdepääsuõigus – tagada andmete ekspordi võimalus

Kustutamisõigus – kustutada andmed 30 päeva jooksul

Parandamisõigus – võimaldada andmete parandamist Platvormi kaudu

Andmete ülekantavuse õigus – eksportida andmeid JSON/CSV-vormingus

• Kasutada ainult heakskiidetud alltöötlejaid (vt punkt 4) ja teavitada Klienti kõigist muudatustest
• Tagastada või kustutada andmed lepingu lõpetamisel vastavalt Kliendi valikule
• Lubada auditeerimist – esitada teavet ja dokumente, mis on vajalikud GDPR-i vastavuse kontrollimiseks
• Mitte edastada andmeid väljapoole EL-i/EMP-d ilma asjakohaste kaitsemeetmeteta (nt standardsed lepingutingimused)

3.1. Teenusepakkuja kohustused

Teenusepakkuja kohustub:

• Omada õiguslikku alust kõigi Platvormi sisestatud andmete töötlemiseks (nõusolek, leping, õigustatud huvi)
• Teavitada andmesubjekte (õpilasi, vanemaid):

Milliseid andmeid töödeldakse

Miks neid töödeldakse (eesmärgid)

Et andmeid töödeldakse Tutlio platvormil

Tutlio privaatsuspoliitika link: tutlio.lt/privacy-policy

Nende õigustest (juurdepääs, kustutamine, parandamine jne)

• Hankida asjakohane nõusolek: Kui andmesubjekt on alaealine (alla 16-aastane), hankida vanema/eestkostja nõusolek
• Tagada andmete täpsus: Sisestada Platvormi ainult õigeid ja ajakohaseid andmeid
• Sisestada ainult vajalikke andmeid: Järgida andmete minimeerimise põhimõtet
• Vastata andmesubjektide taotlustele: Kasutades Platvormi funktsioone või pöördudes Teenusepakkuja poole abi saamiseks
• Teatada turvaintsidentidest: Viivitamata teavitada Teenusepakkujat kõigist täheldatud andmeturbe rikkumistest
• Kasutada Platvormi vastutustundlikult: Mitte jagada juurdepääsu kolmandatele isikutele, kaitsta sisselogimisandmeid

3.2. Kliendi kohustused

Klient kohustub:

GDPR-i vastavus:

Andmete asukoht:

Privaatsuspoliitika:

Resend (Zernonia, Inc.)

GDPR-i vastavus: GDPR-ile vastav

Andmete asukoht: USA (AWS)

Teenus: E-kirjade edastamine (meeldetuletused, kutsed, teated)

Teenus:

Stripe, Inc.

GDPR-i vastavus: GDPR-ile vastav, PCI DSS Level 1 sertifitseeritud

Andmete asukoht: USA, EL (standardsete lepingutingimustega)

Teenus: Maksete töötlemine, tellimuste haldamine

Supabase Inc.

GDPR-i vastavus: GDPR-ile vastav, ISO 27001 sertifitseeritud

Andmete asukoht: Euroopa Liit (AWS eu-central-1)

Teenus: Andmebaasi majutamine ja haldamine

4. ALLTÖÖTLEJAD

4.1. Heakskiidetud alltöötlejad

Teenusepakkuja kasutab andmetöötlustoiminguteks järgmisi alltöötlejaid:

4.2. Alltöötlejate muudatused

Kui Teenusepakkuja kavatseb lisada uue alltöötleja või asendada olemasoleva, teavitab ta Klienti e-postiga 30 päeva ette

5. ANDMESUBJEKTIDE ÕIGUSED

• Juurdepääsuõigus (art 15): Saada koopia oma andmetest
• Parandamisõigus (art 16): Parandada ebatäpseid andmeid
• Kustutamisõigus (art 17): „Õigus olla unustatud" (eranditega, nt raamatupidamisseadused)
• Töötlemise piiramise õigus (art 18): Piirata teatud andmete töötlemist
• Andmete ülekantavuse õigus (art 20): Saada andmeid struktureeritud, masinloetavas vormingus
• Vastuväite esitamise õigus (art 21): Esitada vastuväide õigustatud huvidel põhineva andmetöötluse vastu
• Kaebuse esitamise õigus (art 77): Esitada kaebus Riiklikule Andmekaitse Inspektsioonile (VDAI)

5.1. Õiguste teostamine

Andmesubjektidel (õpilastel, vanematel) on GDPR-i alusel järgmised õigused:

• Otse Kliendile (õpetajale/organisatsioonile)
• Platvormi seadete kaudu (kui õpilasel on konto)
• E-postiga Teenusepakkujale: info@tutlio.lt

5.2. Vastamise tähtajad ja protseduurid

Andmesubjektide taotlusi saab esitada:

Vastamise tähtaeg: Hiljemalt 30 päeva jooksul taotluse saamisest (keerukatel juhtudel võib pikendada 60 päevani)

6. ANDMETURBE MEETMED

• Krüpteerimine: TLS 1.3 edastamisel, AES-256 säilitamisel
• Autentimine: Turvaline paroolide säilitamine (bcrypt), MFA võimalus
• Juurdepääsukontroll: Row-Level Security (RLS) poliitikad andmebaasis
• Varukoopiad: Automaatsed igapäevased varukoopiad 30-päevase säilitamisega
• Jälgimine: Turvasündmuste jälgimine ja teated
• Uuendused: Regulaarsed süsteemi ja sõltuvuste uuendused

6.1. Tehnilised meetmed

• Töötajate koolitamine: GDPR-i ja andmekaitse koolitused
• Konfidentsiaalsuskohustused: Kõik töötajad allkirjastavad konfidentsiaalsuslepingud
• Juurdepääsu piiramine: Andmetele pääsevad ligi ainult volitatud töötajad
• Intsidentide haldamine: Dokumenteeritud protseduurid andmeturbe rikkumiste käsitlemiseks
• Auditid: Regulaarsed sisemised turvaauditid

6.2. Organisatsioonilised meetmed

7. ANDMETURBE RIKKUMISED

• Viivitamata (72 tunni jooksul) teavitab Klienti e-postiga
• Kirjeldab rikkumist: Rikkumise olemus, milliseid andmeid mõjutati, kui palju andmesubjekte
• Toob välja võetud meetmed: Kuidas rikkumine piirati, milliseid meetmeid võeti andmete taastamiseks
• Soovitab tegevusi: Millest peaks Klient andmesubjekte teavitama
• Kui rikkumine kujutab kõrget ohtu andmesubjektide õigustele, teavitab Teenusepakkuja andmekaitseasutust ja aitab

7.1. Teavitamise protseduur

Andmeturbe rikkumise korral Teenusepakkuja:

7.2. Kliendi vastutus

Klient kohustub viivitamata teatama Teenusepakkujale kõigist täheldatud turvaintsidentidest, mis on seotud tema kontoga

• Järgida GDPR-i nõudeid
• Kasutada Euroopa Komisjoni heakskiidetud standardseid lepingutingimusi (SCC)
• Omada asjakohaseid tehnilisi ja organisatsioonilisi turvameetmeid

8. RAHVUSVAHELISED ANDMEEDASTUSED

Põhiandmeid säilitatakse Euroopa Liidus (Supabase AWS eu-central-1). Mõned alltöötlejad (Stripe, Resend) töötlevad andmeid USA-s asjakohaste kaitsemeetmetega.

Teenusepakkuja ei edasta andmeid kolmandatesse riikidesse väljaspool EL-i/EMP-d ilma asjakohaste kaitsemeetmete ja Kliendi teavitamiseta

• Esitada dokumendid, mis kinnitavad turvameetmete rakendamist
• Esitada alltöötlejate nimekiri ja nende GDPR-i vastavus
• Lubada auditeid (mõistliku taotluse ja eelneva kokkuleppe alusel)
• Teha koostööd järelevalveasutustega (VDAI)

9. AUDIT JA VASTAVUSE KONTROLL

Kliendil on õigus nõuda teavet Teenusepakkuja GDPR-i vastavuse kohta. Teenusepakkuja kohustub: