Sovelletaan Tutlio-alustan käyttöön.
Huomautus: Tämä henkilötietojen käsittelysopimus (DPA) on erottamaton osa palvelusopimusta, jos sellainen on allekirjoitettu, Tutlio-alustan Käyttöehtoja ja Tietosuojakäytäntöä. Sitä sovelletaan kaikkiin opettajiin ja organisaatioihin, jotka käyttävät Tutlio-alustaa ja käsittelevät oppilaiden henkilötietoja.
1. Osapuolet ja määritelmät
1.1. Osapuolet ja roolit
Tämä henkilötietojen käsittelysopimus, jäljempänä DPA, tehdään MB Tutlion, jäljempänä Palveluntarjoaja tai Alusta, joka tarjoaa Tutlio-alustan palveluja, ja opettajan/organisaation, jäljempänä Asiakas, välillä. Asiakas käyttää Alustaa oppilastietojen hallintaan ja oppituntien järjestämiseen.
Osapuolet sopivat nimenomaisesti, että yleisen tietosuoja-asetuksen (GDPR) mukaan Asiakas toimii Alustalla tapahtuvassa henkilötietojen käsittelyssä yksinomaan rekisterinpitäjänä ja MB Tutlio yksinomaan henkilötietojen käsittelijänä GDPR:n 28 artiklan mukaisesti.
1.2. Määritelmät
- GDPR: Yleinen tietosuoja-asetus (EU 2016/679).
- Henkilötiedot: Kaikki tiedot tunnistetusta tai tunnistettavissa olevasta luonnollisesta henkilöstä, oppilaasta tai vanhemmasta/huoltajasta.
- Rekisterinpitäjä: Luonnollinen henkilö tai oikeushenkilö, Asiakas, joka määrittää käsittelyn tarkoitukset ja keinot.
- Henkilötietojen käsittelijä: Luonnollinen henkilö tai oikeushenkilö, MB Tutlio, joka käsittelee henkilötietoja yksinomaan rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti.
- Rekisteröity: Luonnollinen henkilö, oppilas tai vanhempi/huoltaja, jonka henkilötietoja käsitellään.
- Alikäsittelijä: Kolmas osapuoli, jota Palveluntarjoaja käyttää käsittelytoimiin, esimerkiksi Supabase, Stripe ja Perlas Finance.
2. Käsittelyn laajuus ja tarkoitukset
2.1. Käsiteltävät tiedot
Alustalla voidaan Asiakkaan ohjeiden mukaisesti käsitellä seuraavia oppilaiden ja vanhempien/huoltajien henkilötietoja:
- Etu- ja sukunimi.
- Sähköpostiosoite.
- Puhelinnumero.
- Ikä ja luokka, valinnainen.
- Kutsukoodit.
- Oppituntihistoria, mukaan lukien päivämäärät, ajat, aiheet ja muistiinpanot.
- Maksutiedot, mukaan lukien summa, tila ja maksun määräajat.
- Vanhempien/huoltajien tiedot, jos maksaja ei ole oppilas itse: nimi ja sähköposti.
2.2. Käsittelyn tarkoitukset
- Alustan palvelujen tarjoaminen: Oppituntien suunnittelu, kalenterin hallinta ja muistutusten lähettäminen.
- Maksujen hallinnointi: Oppituntimaksujen käsittely, laskujen luominen ja lähettäminen.
- Viestintä: Automaattisten ilmoitusten lähettäminen, mukaan lukien muistutukset, vahvistukset ja kutsut.
- Kirjanpito: Taloudellisten tietueiden käsittely lainsäädännön vaatimusten mukaisesti.
- Alustan kehittäminen: Anonyymi tilastointi Alustan palvelujen parantamiseksi.
2.3. Käsittelyn kesto
- Tietoja säilytetään niin kauan kuin Asiakkaan ja Alustan välinen palvelusopimus tai tilin käyttö on voimassa.
- Taloudellisia tietueita, mukaan lukien maksut ja laskut, säilytetään 10 vuotta kirjanpitolainsäädännön vaatimusten mukaisesti.
- Sopimuksen päättymisen tai tilin poistamisen jälkeen tietoja säilytetään enintään 30 päivää, ellei Asiakas pyydä aikaisempaa poistamista tai tietojen vientiä.
3. Osapuolten velvoitteet ja vastuut
3.1. Palveluntarjoajan, henkilötietojen käsittelijän, velvoitteet
- Käsitellä tietoja vain Asiakkaan, rekisterinpitäjän, ohjeiden mukaisesti ja tässä DPA:ssa mainittuihin tarkoituksiin.
- Toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimet, mukaan lukien salaus, pääsynhallinta ja varmuuskopiot.
- Ilmoittaa Asiakkaalle tietoturvaloukkauksista 72 tunnin kuluessa niiden havaitsemisesta.
- Auttaa Asiakasta toteuttamaan rekisteröityjen oikeuksia, mukaan lukien pääsy, poistaminen, oikaisu ja siirrettävyys Alustan toimintojen avulla.
- Käyttää vain hyväksyttyjä alikäsittelijöitä, katso kohta 4, ja ilmoittaa Asiakkaalle niiden muutoksista.
- Palauttaa tai poistaa tiedot sopimuksen päättyessä Asiakkaan valinnan mukaan.
- Sallia auditointi antamalla perustellusta pyynnöstä GDPR-vaatimustenmukaisuuden tarkistamiseen tarvittavat tiedot.
- Olla siirtämättä tietoja EU/ETA-alueen ulkopuolelle ilman asianmukaisia suojatoimia.
3.2. Asiakkaan, rekisterinpitäjän, velvoitteet
- Olla oikeusperuste kaikkien Alustalle syötettävien tietojen käsittelylle, kuten suostumus, sopimus tai oikeutettu etu GDPR:n 6 artiklan mukaisesti.
- Informoida rekisteröityjä, oppilaita ja vanhempia, siitä, mitä tietoja kerätään, miksi niitä kerätään ja että niitä käsitellään Tutlio-alustalla, sekä antaa linkki Tutlion Tietosuojakäytäntöön.
- Hankkia asianmukaiset suostumukset, ja jos rekisteröity on alaikäinen, hankkia vanhempien/huoltajien suostumus.
- Varmistaa tietojen täsmällisyys ja noudattaa tietojen minimoinnin periaatetta syöttämällä vain oppitunteja varten välttämättömät tiedot.
- Vastata itsenäisesti rekisteröityjen pyyntöihin tarvittaessa Alustan toimintojen avulla.
- Käyttää Alustaa vastuullisesti, olla luovuttamatta pääsyä kolmansille osapuolille ja suojata kirjautumistiedot.
4. Alikäsittelijät
4.1. Hyväksytyt alikäsittelijät
Asiakas antaa Palveluntarjoajalle yleisen luvan käyttää seuraavia alikäsittelijöitä:
- Supabase Inc. Palvelu: tietokannan isännöinti ja hallinta. Tietojen sijainti: Euroopan unioni, AWS eu-central-1 -alue. GDPR-vaatimustenmukaisuus: GDPR:n mukainen, ISO 27001 -sertifioitu.
- Stripe, Inc. Palvelu: maksujen käsittely kansainvälisille markkinoille. Tietojen sijainti: Yhdysvallat, EU, käyttäen Standard Contractual Clauses (SCC) -lausekkeita. GDPR-vaatimustenmukaisuus: GDPR:n mukainen, PCI DSS Level 1 -sertifioitu.
- UAB „Perlas Finance“. Palvelu: avoimen pankkitoiminnan ja maksujen käsittelypalvelut paikallisille markkinoille. Tietojen sijainti: Euroopan unioni, Liettua. GDPR-vaatimustenmukaisuus: Liettuan keskuspankin lisensoima maksulaitos, GDPR:n mukainen.
- Resend (Zernonia, Inc.). Palvelu: sähköpostien lähettäminen, mukaan lukien muistutukset ja ilmoitukset. Tietojen sijainti: Yhdysvallat, AWS, käyttäen SCC-lausekkeita. GDPR-vaatimustenmukaisuus: GDPR:n mukainen.
4.2. Alikäsittelijöiden vaihtaminen
Jos Palveluntarjoaja aikoo lisätä uuden alikäsittelijän tai vaihtaa olemassa olevan, se ilmoittaa Asiakkaalle sähköpostitse viimeistään 30 päivää ennen muutosta. Asiakkaalla on oikeus vastustaa uutta alikäsittelijää, jos siihen on perusteltuja tietosuojaan liittyviä syitä. Tällöin Asiakkaalla on oikeus irtisanoa palvelusopimus.
5. Rekisteröityjen oikeudet
5.1. Oikeuksien toteuttaminen
Rekisteröidyillä, oppilailla ja vanhemmilla, on GDPR:n mukaiset seuraavat oikeudet: oikeus saada pääsy tietoihin, oikaisuoikeus, poisto-oikeus eli oikeus tulla unohdetuksi, käsittelyn rajoittamisoikeus, siirrettävyysoikeus, vastustamisoikeus ja oikeus tehdä valitus Valstybinė duomenų apsaugos inspekcija (VDAI) -viranomaiselle.
5.2. Vastausajat ja menettelyt
Rekisteröityjen pyynnöt käsittelee ensisijaisesti Asiakas, rekisterinpitäjä. Jos Asiakas tarvitsee teknistä apua tietojen hakemisessa tai poistamisessa, hän voi ottaa yhteyttä Palveluntarjoajaan sähköpostitse osoitteessa info@tutlio.lt. Palveluntarjoaja vastaa tällaisiin pyyntöihin viimeistään 30 päivän kuluessa.
6. Tietoturvatoimet
6.1. Tekniset toimenpiteet
- Salaus: TLS 1.3 siirrossa ja AES-256 levossa säilytyksessä.
- Todennus: Salasanojen turvallinen säilytys bcrypt hash -muodossa.
- Pääsynhallinta: Rajattu pääsy tietoihin Row-Level Security - RLS -menetelmällä.
- Varmuuskopiot: Automaattiset päivittäiset varmuuskopiot, joita säilytetään 30 päivää.
- Valvonta: Turvallisuustapahtumien ja palvelinmetriikan seuranta.
6.2. Organisatoriset toimenpiteet
- Työntekijöiden koulutus ja salassapitovelvoitteet, kaikki työntekijät allekirjoittavat NDA:n.
- Pääsyn rajoittaminen: vain valtuutetuilla työntekijöillä on tekninen pääsy infrastruktuuriin.
- Poikkeamien hallinta: dokumentoidut menettelyt tietoturvaloukkausten käsittelyyn.
7. Tietoturvaloukkaukset
Jos tietoturvaloukkaus tapahtuu, Palveluntarjoaja ilmoittaa siitä Asiakkaalle viipymättä, viimeistään 72 tunnin kuluessa, sähköpostitse, kuvaa loukkauksen luonteen, ilmoittaa toteutetut toimenpiteet ja antaa suositukset. Asiakas vastaa rekisterinpitäjänä rekisteröityjen tai VDAI:n jatkoinformoinnista GDPR-vaatimusten mukaisesti.
8. Kansainvälinen tietojen siirto
Pääasialliset henkilötiedot säilytetään Euroopan unionissa, AWS eu-central-1. Käytettäessä Yhdysvaltoihin rekisteröityjä alikäsittelijöitä, kuten Stripe ja Resend, tietojen siirto tapahtuu Euroopan komission hyväksymien Standard Contractual Clauses (SCC) -lausekkeiden mukaisesti, mikä varmistaa EU:n edellyttämän suojan tason.
9. Auditointi ja vaatimustenmukaisuuden tarkistus
Asiakkaalla on oikeus pyytää tietoja Palveluntarjoajan soveltamista GDPR-vaatimustenmukaisuustoimenpiteistä. Palveluntarjoaja sitoutuu toimittamaan vahvistavat asiakirjat. Fyysiset infrastruktuuriauditoinnit voidaan suorittaa vain etukäteen sopimalla, Palveluntarjoajan auditointituen kustannukset kattaen ja muiden asiakkaiden luottamuksellisuutta rikkomatta.
10. Sopimuksen päättyminen ja tietojen palauttaminen
Palvelusopimuksen päättyessä tai Asiakkaan poistaessa tilinsä Palveluntarjoaja palauttaa tiedot mahdollistamalla viennin JSON- tai CSV-muodossa. 30 päivän siirtymäajan päätyttyä kaikki Asiakkaan henkilötiedot poistetaan peruuttamattomasti järjestelmistä ja varmuuskopioista, lukuun ottamatta tietoja, joiden säilyttämistä laki edellyttää, esimerkiksi taloudellisia tapahtumia kirjanpitotarkoituksiin.
11. Vastuu ja korvaukset
Kumpikin osapuoli vastaa vahingosta, joka aiheutuu sen omasta tämän DPA:n ja GDPR:n rikkomisesta. Palveluntarjoajan, henkilötietojen käsittelijän, enimmäistaloudellinen vastuu tämän DPA:n rikkomuksista rajoittuu pääpalvelusopimuksessa tai Alustan Käyttöehdoissa määriteltyihin määriin ja ehtoihin, vastuunrajoitus tai Liability Cap.
12. Yhteystiedot
MB Tutlion yhteystiedot GDPR- ja tietosuoja-asioissa:
- Sähköposti: info@tutlio.lt.
- Aihe: BDAR / Duomenų apsauga.
- Vastausaika: 5 työpäivän kuluessa.
13. Loppumääräykset
Tämä DPA tulee voimaan, kun Asiakas hyväksyy Alustan Ehdot, tai allekirjoittaa palvelusopimuksen, ja se on voimassa koko palvelujen tarjoamisen ajan. Palveluntarjoaja voi päivittää tätä DPA:ta ilmoittamalla Asiakkaalle sähköpostitse viimeistään 30 päivää ennen muutosten voimaantuloa. Tähän sopimukseen sovelletaan Liettuan tasavallan lakia ja EU:n GDPR-vaatimuksia.