Tietojenkäsittelysopimus (DPA)

Tietojenkäsittelyn lisäsopimus (DPA). Voimassa: 25. maaliskuuta 2026. Oikeushenkilö: MB Tutlio. Yhteystiedot: info@tutlio.lt.

Käyttämällä Tutlio-alustaa ja syöttämällä oppilaiden tietoja vahvistat, että olet lukenut ja hyväksyt tämän tietojenkäsittelysopimuksen (DPA), tietosuojakäytännön ja käyttöehdot.

✓ Hyväksyn DPA-ehdot

Asiakirja luotu: 25.3.2026

Oikeushenkilö: MB Tutlio

Versio: 1.0

Huomautus: Tämä tietojenkäsittelysopimus (DPA) on olennainen osa Tutlio-alustan käyttöehtoja ja tietosuojakäytäntöä. Se koskee kaikkia tutoreita ja organisaatioita, jotka käyttävät Tutlio-alustaa ja käsittelevät oppilaiden henkilötietoja.

10. SOPIMUKSEN PÄÄTTYMINEN JA TIETOJEN PALAUTUS

• Tietojen palautus: Palveluntarjoaja toimittaa kaikki asiakkaan tiedot JSON- tai CSV-muodossa 30 päivän kuluessa
• Tietojen poisto: Palveluntarjoaja poistaa turvallisesti kaikki asiakkaan ja oppilaiden tiedot 30 päivän kuluessa

10.1. Tietojen palautus tai poisto

Asiakkaan ja palveluntarjoajan välisen sopimuksen päättyessä asiakas voi valita:

• Lakisääteiset vaatimukset (esim. kirjanpitolait – 10 vuotta maksutiedoille)
• Oikeudelliset vaateet (riitojen ratkaisu)
• Tekninen välttämättömyys (esim. varmuuskopiot, jotka poistetaan automaattisesti 30 päivän kuluessa)

10.2. Poikkeukset

Palveluntarjoaja voi säilyttää tiettyjä tietoja pidempään, jos seuraavat vaativat:

• Palveluntarjoaja on vastuussa teknisten ja organisatoristen turvatoimien rikkomuksista, omasta virheestään johtuvista tietoturvaloukkauksista
• Asiakas on vastuussa tietojen käsittelystä ilman oikeusperustaa, rekisteröityjen puutteellisesta tiedottamisesta, perusteettomien tai virheellisten tietojen syöttämisestä
• Yhteinen vastuu: Jos rekisteröity esittää vaatimuksen GDPR-rikkomuksesta, osapuolet tekevät yhteistyötä ja ovat vastuussa omien vastuualueidensa mukaan

11. VASTUU JA KORVAUKSET

Kumpikin osapuoli on vastuussa tämän DPA:n mukaisten velvoitteidensa noudattamatta jättämisestä:

Vastuun rajoitus määritellään alustan käyttöehdoissa ja sovellettavassa lainsäädännössä.

MB Tutlion yhteystiedot GDPR-asioissa:

Sähköposti: info@tutlio.lt

Huomautus: MB Tutliolla ei tällä hetkellä ole nimettyä tietosuojavastaavaa (DPO), koska se ei kuulu GDPR Art. 37 -vaatimusten piiriin. Kaikki GDPR-asiat hoidetaan yleisten yhteystietojen kautta.

5 arkipäivän kuluessa

Vastausaika:

"GDPR / Tietosuoja"

Aihe: "GDPR / Tietosuoja"

12. YHTEYSTIEDOT JA TIETOSUOJAVASTAAVA

• Tutlion käyttöehdot
• Tutlion tietosuojakäytäntö
• Organisaatiosopimukset (tarvittaessa)

13. LIITTEET JA LISÄTIEDOT

Tämä DPA on olennainen osa seuraavia asiakirjoja:

• Voimassaolo: Tämä DPA tulee voimaan 25.3.2026 ja on voimassa koko asiakkaan ja palveluntarjoajan välisen sopimuksen ajan
• Muutokset: Palveluntarjoaja voi päivittää tätä DPA:ta ilmoittamalla asiakkaalle sähköpostitse viimeistään 30 päivää ennen muutosten voimaantuloa
• Sovellettava laki: Tämä DPA on Liettuan tasavallan lain ja GDPR:n alainen
• Riidat: Riidat ratkaistaan neuvottelemalla; sopimukseen pääsemättä – Liettuan tasavallan tuomioistuimissa

14. LOPPUMÄÄRÄYKSET

1. OSAPUOLET JA MÄÄRITELMÄT

• MB Tutlio (jäljempänä – palveluntarjoaja, alusta), joka tarjoaa Tutlio-alustapalveluja, ja
• Tutor/organisaatio (jäljempänä – asiakas), joka käyttää alustaa oppilaiden tietojenhallintaan ja tuntien järjestämiseen.

1.1. Osapuolet

Tämä tietojenkäsittelysopimus (jäljempänä – DPA) solmitaan seuraavien osapuolten välillä:

• GDPR – Yleinen tietosuoja-asetus (EU 2016/679)
• Henkilötiedot – kaikki tiedot, jotka liittyvät luonnolliseen henkilöön (oppilas, vanhempi/huoltaja), jonka henkilöllisyys on tiedossa tai voidaan selvittää
• Rekisterinpitäjä – luonnollinen tai oikeushenkilö, joka määrittelee tietojenkäsittelyn tarkoitukset ja keinot
• Henkilötietojen käsittelijä – luonnollinen tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän puolesta
• Rekisteröity – luonnollinen henkilö (oppilas, vanhempi/huoltaja), jonka henkilötietoja käsitellään
• Alikäsittelijä – kolmas osapuoli, jota palveluntarjoaja käyttää tietojenkäsittelytoimiin (esim. Supabase, Stripe)

1.2. Määritelmät

2. TIETOJENKÄSITTELYN LAAJUUS JA TARKOITUKSET

• Etu- ja sukunimi
• Sähköpostiosoite
• Puhelinnumero
• Ikä ja luokka (valinnainen)
• Kutsukoodit
• Tuntihistoria (päivämäärät, ajat, aiheet, muistiinpanot)
• Maksutiedot (summa, tila, maksun eräpäivät)
• Vanhemman/huoltajan tiedot (jos maksaja ei ole oppilas): nimi, sähköposti

2.1. Käsiteltävät tiedot

Alustalla voidaan käsitellä seuraavia oppilaiden ja vanhempien/huoltajien henkilötietoja:

• Alustapalvelujen tuottaminen: Tuntien aikataulutus, kalenterinhallinta, muistutusten lähettäminen
• Maksujen hallinnointi: Tuntimaksujen käsittely, laskujen lähettäminen
• Viestintä: Automaattisten ilmoitusten lähettäminen (muistutukset, vahvistukset, kutsut)
• Kirjanpito: Taloustietojen hallinta lakisääteisten vaatimusten mukaisesti
• Alustan parantaminen: Anonyymit tilastot alustapalvelujen parantamiseen

2.2. Tietojenkäsittelyn tarkoitukset

Tietoja käsitellään seuraaviin tarkoituksiin:

• Niin kauan kuin asiakkaan ja alustan välinen sopimus on voimassa
• Taloustiedot (maksut, laskut) – 10 vuotta kirjanpitolakien mukaisesti
• Sopimuksen päättymisen jälkeen: enintään 30 päivää, ellei asiakas pyydä aikaisempaa poistoa tai tietojen palautusta

2.3. Tietojenkäsittelyn kesto

Tietoja säilytetään:

3. OSAPUOLTEN VELVOITTEET JA VASTUUT

• Käsitellä tietoja vain asiakkaan ohjeiden mukaisesti ja tässä DPA:ssa määriteltyihin tarkoituksiin
• Toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet:

Tietojen salaus (siirron aikana ja levossa)

Pääsynhallinta (autentikointi, valtuutus, RLS-käytännöt)

Säännölliset varmuuskopiot ja palautussuunnitelmat

Tietoturva-auditointi ja -valvonta

Henkilöstön koulutus tietosuojasta

• Ilmoittaa tietoturvarikkomuksista 72 tunnin kuluessa havaitsemisesta asiakkaalle ja DPA:lle (tarvittaessa)
• Avustaa rekisteröidyn oikeuksien toteuttamisessa:

Pääsyoikeus – tarjota mahdollisuus tietojen viemiseen

Oikeus poistamiseen – poistaa tiedot 30 päivän kuluessa

Oikeus oikaisuun – sallia tietojen korjaus alustan kautta

Oikeus tietojen siirrettävyyteen – viedä tiedot JSON/CSV-muodossa

• Käyttää vain hyväksyttyjä alikäsittelijöitä (ks. kohta 4) ja ilmoittaa asiakkaalle muutoksista
• Palauttaa tai poistaa tiedot sopimuksen päättyessä asiakkaan valinnan mukaan
• Sallia auditointi – antaa tiedot ja asiakirjat GDPR-yhteensopivuuden todentamiseen
• Ei siirtää tietoja EU/ETA:n ulkopuolelle ilman asianmukaisia suojatoimia (esim. vakiosopimuslausekkeet)

3.1. Palveluntarjoajan velvoitteet

Palveluntarjoaja sitoutuu:

• Omaavan oikeusperustan kaikkien alustalle syötettävien tietojen käsittelyyn (suostumus, sopimus, oikeutettu etu GDPR Art. 6)
• Tiedottamaan rekisteröityjä (oppilaita, vanhempia) seuraavista:

Mitä tietoja käsitellään

Miksi niitä käsitellään (tarkoitukset)

Että tietoja käsitellään Tutlio-alustalla

Tutlion tietosuojakäytännön linkki: tutlio.lt/privacy-policy

Heidän oikeutensa (pääsy, poisto, oikaisu jne.)

• Hankkimaan asianmukaisen suostumuksen: Jos rekisteröity on alaikäinen (alle 16), vanhemman/huoltajan suostumus
• Varmistamaan tietojen oikeellisuuden: Syöttämään alustalle vain oikeita ja ajantasaisia tietoja
• Syöttämään vain tarpeellisia tietoja: Noudattamaan tietojen minimoinnin periaatetta
• Vastaamaan rekisteröityjen pyyntöihin: Alustan ominaisuuksia käyttäen tai ottamalla yhteyttä palveluntarjoajaan
• Ilmoittamaan tietoturvaloukkauksista: Ilmoittamaan palveluntarjoajalle välittömästi havaituista tietoturvarikkomuksista
• Käyttämään alustaa vastuullisesti: Ei jakamaan pääsyä kolmansille osapuolille, suojaamaan kirjautumistietoja

3.2. Asiakkaan velvoitteet

Asiakas sitoutuu:

GDPR-yhteensopivuus:

Tietojen sijainti:

Tietosuojakäytäntö:

Resend (Zernonia, Inc.)

GDPR-yhteensopivuus: GDPR-yhteensopiva

Tietojen sijainti: USA (AWS)

Palvelu: Sähköpostien toimitus (muistutukset, kutsut, ilmoitukset)

Palvelu:

Stripe, Inc.

GDPR-yhteensopivuus: GDPR-yhteensopiva, PCI DSS Level 1 -sertifioitu

Tietojen sijainti: USA, EU (vakiosopimuslausekkeilla)

Palvelu: Maksujen käsittely, tilausten hallinta

Supabase Inc.

GDPR-yhteensopivuus: GDPR-yhteensopiva, ISO 27001 -sertifioitu

Tietojen sijainti: Euroopan unioni (AWS eu-central-1)

Palvelu: Tietokannan isännöinti ja hallinta

4. ALIKÄSITTELIJÄT

4.1. Hyväksytyt alikäsittelijät

Palveluntarjoaja käyttää seuraavia alikäsittelijöitä tietojenkäsittelytoimiin:

4.2. Alikäsittelijöiden muutokset

Jos palveluntarjoaja aikoo lisätä uuden alikäsittelijän tai vaihtaa nykyisen, se ilmoittaa asiakkaalle sähköpostitse viimeistään 30 päivää ennen muutosta. Asiakkaalla on oikeus vastustaa uutta alikäsittelijää, jolloin hän voi irtisanoa sopimuksen ilman lisämaksuja.

5. REKISTERÖIDYN OIKEUDET

• Pääsyoikeus (Art. 15): Saada kopio tiedoistaan
• Oikeus oikaisuun (Art. 16): Korjata virheelliset tiedot
• Oikeus poistamiseen (Art. 17): "Oikeus tulla unohdetuksi" (poikkeuksineen, esim. kirjanpitolait)
• Oikeus rajoitukseen (Art. 18): Rajoittaa tiettyjen tietojen käsittelyä
• Oikeus tietojen siirrettävyyteen (Art. 20): Saada tiedot jäsennellyssä, koneluettavassa muodossa
• Oikeus vastustaa (Art. 21): Vastustaa tietojenkäsittelyä oikeutettujen etujen perusteella
• Oikeus valitukseen (Art. 77): Tehdä valitus tietosuojavaltuutetulle

5.1. Oikeuksien käyttäminen

Rekisteröidyillä (oppilailla, vanhemmilla) on seuraavat oikeudet GDPR:n mukaan:

• Suoraan asiakkaalle (tutor/organisaatio)
• Alustan asetusten kautta (jos oppilaalla on tili)
• Sähköpostitse palveluntarjoajalle: info@tutlio.lt

5.2. Vastausajat ja menettelyt

Rekisteröidyn pyynnöt voidaan lähettää:

Vastausaika: Viimeistään 30 päivän kuluessa pyynnön vastaanottamisesta (voidaan pidentää 60 päivään monimutkaisissa tapauksissa, rekisteröidylle ilmoittaen).

6. TIETOTURVATOIMET

• Salaus: TLS 1.3 siirrossa, AES-256 levossa
• Autentikointi: Turvallinen salasanojen tallennus (bcrypt), MFA-valmius
• Pääsynhallinta: Row-Level Security (RLS) -käytännöt tietokannassa
• Varmuuskopiot: Automaattiset päivittäiset varmuuskopiot 30 päivän säilytyksellä
• Valvonta: Tietoturvatapahtumien seuranta ja ilmoitukset
• Päivitykset: Säännölliset järjestelmä- ja riippuvuuspäivitykset

6.1. Tekniset toimenpiteet

• Henkilöstön koulutus: GDPR- ja tietosuojakoulutus
• Salassapitovelvollisuudet: Kaikki työntekijät allekirjoittavat salassapitosopimuksen
• Pääsyn rajoitus: Vain valtuutetuilla työntekijöillä on pääsy tietoihin
• Poikkeamien hallinta: Dokumentoidut menettelyt tietoturvaloukkausten käsittelyyn
• Auditoinnit: Säännölliset sisäiset tietoturva-auditoinnit

6.2. Organisatoriset toimenpiteet

7. TIETOTURVALOUKKAUKSET

• Välittömästi (72 tunnin kuluessa) ilmoittaa asiakkaalle sähköpostitse
• Kuvaa loukkauksen: Loukkauksen luonne, mitkä tiedot vaikuttuivat, kuinka monta rekisteröityä
• Ilmoittaa tehdyt toimenpiteet: Miten loukkaus rajattiin, mitä toimia tietojen palauttamiseksi tehtiin
• Suosittelee toimia: Mistä asiakkaan tulisi ilmoittaa rekisteröidyille
• Jos loukkaus aiheuttaa korkean riskin rekisteröityjen oikeuksille, palveluntarjoaja ilmoittaa DPA:lle ja avustaa asiakasta rekisteröityjen ilmoittamisessa

7.1. Ilmoitusmenettely

Tietoturvaloukkauksen tapahtuessa palveluntarjoaja:

7.2. Asiakkaan vastuu

Asiakas sitoutuu ilmoittamaan palveluntarjoajalle välittömästi kaikista havaitsemistaan tiliinsä tai alustan tietoihin liittyvistä tietoturvaloukkauksista.

• Noudattamaan GDPR-vaatimuksia
• Käyttämään Euroopan komission hyväksymiä vakiosopimuslausekkeita (SCC)
• Omaavan asianmukaiset tekniset ja organisatoriset turvatoimet

8. KANSAINVÄLISET TIEDONSIIRROT

Ensisijaiset tiedot tallennetaan Euroopan unioniin (Supabase AWS eu-central-1 -alue). Jotkut alikäsittelijät (Stripe, Resend) voivat tallentaa tietoja USA:han, mutta ne:

Palveluntarjoaja ei siirrä tietoja EU/ETA:n ulkopuolisiin maihin ilman asianmukaisia suojatoimia ja asiakkaan tiedottamista.

• Antaa asiakirjat turvatoimien toteutuksesta
• Antaa listan alikäsittelijöistä ja niiden GDPR-yhteensopivuudesta
• Sallia auditoinnit (kohtuullisesta pyynnöstä ja ennakkosopimuksella)
• Tehdä yhteistyötä valvontaviranomaisten kanssa

9. AUDITOINTI JA YHTEENSOPIVUUDEN TODENTAMINEN

Asiakkaalla on oikeus pyytää tietoja palveluntarjoajan GDPR-yhteensopivuudesta. Palveluntarjoaja sitoutuu: