Kehtib Tutlio platvormi kasutamisel.
Märkus: Käesolev Andmetöötlusleping (DPA) on teenuslepingu, kui selline on allkirjastatud, Tutlio Platvormi kasutustingimuste ja privaatsuspoliitika lahutamatu osa. See kohaldub kõigile Juhendajatele ja Organisatsioonidele, kes kasutavad Tutlio platvormi ja töötlevad õpilaste isikuandmeid.
1. Pooled ja mõisted
1.1. Pooled ja rollid
Käesolev Andmetöötlusleping (edaspidi DPA) on sõlmitud MB Tutlio (edaspidi Teenusepakkuja või Platvorm), kes osutab Tutlio platvormi teenuseid, ning Juhendaja/Organisatsiooni (edaspidi Klient), kes kasutab Platvormi õpilaste andmete haldamiseks ja tundide korraldamiseks, vahel. Pooled lepivad selgesõnaliselt kokku, et isikuandmete töötlemisel Platvormil tegutseb Klient isikuandmete kaitse üldmääruse (GDPR) alusel üksnes vastutava töötlejana ning MB Tutlio tegutseb üksnes volitatud töötlejana GDPR artikli 28 tähenduses.
1.2. Mõisted
GDPR tähendab isikuandmete kaitse üldmäärust (EL 2016/679). Isikuandmed tähendab mis tahes teavet füüsilise isiku, st õpilase, vanema või eestkostja kohta, kelle isik on teada või tuvastatav. Vastutav töötleja tähendab füüsilist või juriidilist isikut, st Klienti, kes määrab andmetöötluse eesmärgid ja vahendid. Volitatud töötleja tähendab füüsilist või juriidilist isikut, st MB Tutlio, kes töötleb isikuandmeid üksnes vastutava töötleja nimel ja juhiste järgi. Andmesubjekt tähendab füüsilist isikut, st õpilast, vanemat või eestkostjat, kelle isikuandmeid töödeldakse. All-töötleja tähendab kolmandat isikut, keda Teenusepakkuja kasutab andmetöötlustoiminguteks, näiteks Supabase, Stripe või Perlas Finance.
2. Andmetöötluse ulatus ja eesmärgid
2.1. Töödeldavad andmed
Platvormil võib Kliendi juhiste alusel töödelda järgmisi õpilaste ja vanemate/eestkostjate isikuandmeid: ees- ja perekonnanimi; e-posti aadress; telefoninumber; vanus ja klass, valikuliselt; kutsekoodid; tundide ajalugu, sealhulgas kuupäevad, kellaajad, teemad ja märkmed; makseteave, sealhulgas summa, staatus ja maksetähtajad; vanemate/eestkostjate andmed, kui maksja ei ole õpilane ise: nimi ja e-posti aadress.
2.2. Andmetöötluse eesmärgid
Andmeid töödeldakse järgmistel eesmärkidel: Platvormi teenuste osutamine, sealhulgas tundide planeerimine, kalendri haldamine ja meeldetuletuste saatmine; maksete haldamine, sealhulgas tundide eest maksete töötlemine ning arvete koostamine ja saatmine; suhtlus, sealhulgas automaatsete teadete saatmine; raamatupidamine, sealhulgas finantskirjete pidamine vastavalt õigusaktide nõuetele; Platvormi täiustamine, kasutades anonüümset statistikat platvormiteenuste parandamiseks.
2.3. Andmetöötluse kestus
Andmeid säilitatakse nii kaua, kuni kehtib Kliendi ja Platvormi vaheline teenusleping või konto kasutamine; finantskirjeid, sealhulgas makseid ja arveid, säilitatakse 10 aastat vastavalt raamatupidamisseaduste nõuetele; pärast lepingu lõppemist või konto kustutamist säilitatakse andmeid kuni 30 päeva, välja arvatud juhul, kui Klient taotleb varasemat kustutamist või andmete eksportimist.
3. Poolte kohustused ja vastutus
3.1. Teenusepakkuja kui volitatud töötleja kohustused
Teenusepakkuja kohustub: töötlema andmeid ainult Kliendi juhiste järgi; rakendama asjakohaseid tehnilisi ja korralduslikke turvameetmeid; teatama Kliendile andmeturbe rikkumistest 72 tunni jooksul alates teadasaamisest; abistama Klienti andmesubjektide õiguste teostamisel; kasutama ainult heakskiidetud all-töötlejaid; tagastama või kustutama andmed lepingu lõppemisel vastavalt Kliendi valikule; võimaldama auditeid; mitte edastama andmeid väljapoole ELi/EMPd ilma asjakohaste kaitsemeetmeteta.
3.2. Kliendi kui vastutava töötleja kohustused
Klient kohustub: omama õiguslikku alust kõigi Platvormile sisestatud andmete töötlemiseks; teavitama andmesubjekte; hankima nõuetekohased nõusolekud; tagama andmete täpsuse ja järgima andmete minimeerimise põhimõtet; vastama iseseisvalt andmesubjektide päringutele; kasutama Platvormi vastutustundlikult, mitte andma juurdepääsu kolmandatele isikutele ja hoidma sisselogimisandmeid turvaliselt.
4. All-töötlejad
4.1. Heakskiidetud all-töötlejad
Klient annab Teenusepakkujale üldise loa kasutada järgmisi all-töötlejaid: Supabase Inc. andmebaasi majutamiseks ja haldamiseks, EL AWS eu-central-1, GDPR nõuetele vastav, ISO 27001; Stripe, Inc. maksete töötlemiseks, USA/EL, kasutades SCC, PCI DSS Level 1; UAB Perlas Finance avatud panganduse ja maksete töötlemise teenusteks, Leedu, Leedu Panga litsentsitud makseasutus; Resend (Zernonia, Inc.) e-kirjade saatmiseks, USA AWS, kasutades SCC.
4.2. All-töötlejate muutmine
Kui Teenusepakkuja kavatseb lisada uue all-töötleja või asendada olemasoleva, teavitab ta Klienti e-posti teel hiljemalt 30 päeva enne muudatust. Kliendil on õigus uuele all-töötlejale vastu olla, kui selleks on põhjendatud andmekaitsega seotud põhjused; sellisel juhul on Kliendil õigus teenusleping lõpetada.
5. Andmesubjektide õigused
5.1. Õiguste teostamine
Andmesubjektidel, st õpilastel ja vanematel, on GDPR alusel järgmised õigused: juurdepääsuõigus, parandamisõigus, kustutamisõigus ehk õigus olla unustatud, töötlemise piiramise õigus, andmete ülekandmise õigus, vastuväite esitamise õigus ning õigus esitada kaebus Riiklikule Andmekaitse Inspektsioonile (VDAI).
5.2. Vastamise tähtajad ja kord
Andmesubjektide päringuid peab esmalt käsitlema Klient vastutava töötlejana. Kui Klient vajab tehnilist abi andmete väljavõtmiseks või kustutamiseks, võib ta võtta Teenusepakkujaga ühendust e-posti aadressil info@tutlio.lt. Teenusepakkuja vastab sellistele päringutele hiljemalt 30 päeva jooksul.
6. Andmeturbe meetmed
6.1. Tehnilised meetmed
Krüpteerimine: TLS 1.3 edastamisel, AES-256 puhkeolekus säilitamisel. Autentimine: paroolide turvaline säilitamine bcrypt hashina. Juurdepääsukontroll: eraldatud juurdepääs andmetele (Row-Level Security - RLS). Varukoopiad: automaatsed igapäevased varukoopiad, mida säilitatakse 30 päeva. Monitooring: turvasündmuste ja serverimõõdikute jälgimine.
6.2. Korralduslikud meetmed
Töötajate koolitus ja konfidentsiaalsuskohustused, kus kõik töötajad allkirjastavad NDA. Juurdepääsu piiramine: ainult volitatud töötajatel on tehniline juurdepääs taristule. Intsidentide haldamine: dokumenteeritud protseduurid turvarikkumiste käsitlemiseks.
7. Andmeturbe rikkumised
Kui toimub andmeturbe rikkumine, teavitab Teenusepakkuja Klienti viivitamata, kuid hiljemalt 72 tunni jooksul, e-posti teel, kirjeldab rikkumise laadi, märgib võetud meetmed ja annab soovitused. Klient vastutava töötlejana vastutab edasise andmesubjektide või VDAI teavitamise eest vastavalt GDPR nõuetele.
8. Rahvusvaheline andmeedastus
Põhilisi isikuandmeid säilitatakse Euroopa Liidus (AWS eu-central-1). USA-s registreeritud all-töötlejate, näiteks Stripe'i ja Resendi, kasutamisel toimub andmeedastus Euroopa Komisjoni kinnitatud lepingu tüüptingimuste (SCC) alusel, tagades ELis nõutava kaitsetaseme.
9. Audit ja vastavuskontroll
Kliendil on õigus küsida teavet Teenusepakkuja rakendatavate GDPR vastavusmeetmete kohta. Teenusepakkuja kohustub esitama tõendavad dokumendid. Taristu füüsilisi auditeid võib teha ainult eelneval kokkuleppel, kattes Teenusepakkuja audititoe kulud ja kahjustamata teiste klientide konfidentsiaalsust.
10. Lepingu lõppemine ja andmete tagastamine
Teenuslepingu lõpetamisel või Kliendi konto kustutamisel tagastab Teenusepakkuja andmed, võimaldades eksporti JSON- või CSV-vormingus. Pärast 30-päevase üleminekuperioodi lõppu kustutatakse kõik Kliendi isikuandmed süsteemidest ja varukoopiatest pöördumatult, välja arvatud andmed, mida seadus nõuab säilitada, näiteks finantstehingud raamatupidamise eesmärgil.
11. Vastutus ja hüvitised
Kumbki pool vastutab kahju eest, mis tuleneb tema enda käesoleva DPA ja GDPR rikkumisest. Teenusepakkuja kui volitatud töötleja maksimaalne rahaline vastutus käesoleva DPA rikkumiste eest on piiratud summade ja tingimustega, mis on sätestatud põhilises teenuslepingus või Platvormi kasutustingimustes vastutuse piiramise / Liability Cap osas.
12. Kontaktid
MB Tutlio kontaktid GDPR ja privaatsuse küsimustes: E-post: info@tutlio.lt; Teema: BDAR / Andmekaitse; Vastamisaeg: 5 tööpäeva jooksul.
13. Lõppsätted
Käesolev DPA jõustub, kui Klient nõustub Platvormi Reeglitega või allkirjastab Teenuslepingu, ning kehtib kogu teenuste osutamise perioodi jooksul. Teenusepakkuja võib käesolevat DPA-d uuendada, teavitades Klienti e-posti teel hiljemalt 30 päeva enne muudatuste jõustumist. Käesolevale lepingule kohaldatakse Leedu Vabariigi õigust ja ELi GDPR nõudeid.