Datu apstrādes līgums (DPA)

Datu apstrādes pielikums (DPA). Spēkā no: 2026. gada 25. marta. Juridiskā persona: MB Tutlio. Kontakti: info@tutlio.lt

Izmantojot Tutlio platformu un ievadot skolēnu datus, jūs apstiprināt, ka esat izlasījis(-usi) un piekrītat šim Datu apstrādes līgumam (DPA).

✓ Es piekrītu DPA noteikumiem

Dokuments izveidots: 2026-03-25

Juridiskā persona: MB Tutlio

Versija: 1.0

Piezīme: Šis Datu apstrādes līgums (DPA) ir neatņemama Tutlio platformas Lietošanas noteikumu sastāvdaļa

10. LĪGUMA IZBEIGŠANA UN DATU ATGRIEŠANA

• Datu atgriešana: Pakalpojumu sniedzējs nodod visus Klienta datus JSON vai CSV formātā 30 dienu laikā
• Datu dzēšana: Pakalpojumu sniedzējs droši dzēš visus Klienta un skolēnu datus 30 dienu laikā

10.1. Datu atgriešana vai dzēšana

Pēc līguma izbeigšanas starp Klientu un Pakalpojumu sniedzēju, Klients var izvēlēties:

• Juridiskie pienākumi (piem., grāmatvedības likumi – 10 gadi maksājumu ierakstiem)
• Tiesiskie prasījumi (strīdu risināšana)
• Tehniska nepieciešamība (piem., rezerves kopijas, kas tiek automātiski dzēstas 30 dienu laikā)

10.2. Izņēmumi

Pakalpojumu sniedzējs var saglabāt noteiktus datus ilgāk, ja to pieprasa:

• Pakalpojumu sniedzējs ir atbildīgs par tehnisko un organizatorisko drošības pasākumu pārkāpumiem, datu drošības pārkāpumiem
• Klients ir atbildīgs par datu apstrādi bez juridiska pamata, nepietiekamu datu subjektu informēšanu
• Savstarpējā atbildība: Ja datu subjekts iesniedz prasījumu par VDAR pārkāpumu, puses sadarbojas un ir atbildīgas proporcionāli

11. ATBILDĪBA UN KOMPENSĀCIJA

Katra puse ir atbildīga par savu pienākumu neizpildi saskaņā ar šo DPA:

Atbildības ierobežojums ir noteikts Platformas Lietošanas noteikumos un piemērojamajos tiesību aktos.

MB Tutlio kontakti VDAR jautājumos:

E-pasts: info@tutlio.lt

Piezīme: Pašlaik MB Tutlio nav iecelts Datu aizsardzības speciālists (DAS), jo tas nav likumā noteikts pienākums

5 darba dienu laikā

Atbildes laiks:

"VDAR / Datu aizsardzība"

Temats: "VDAR / Datu aizsardzība"

12. KONTAKTI UN DATU AIZSARDZĪBAS SPECIĀLISTS

• Tutlio Lietošanas noteikumi
• Tutlio Privātuma politika
• Organizāciju līgumi (ja piemērojami)

13. PIELIKUMI UN PAPILDU INFORMĀCIJA

Šis DPA ir neatņemama šādu dokumentu sastāvdaļa:

• Spēkā stāšanās: Šis DPA stājas spēkā no 2026-03-25 un ir spēkā visu līguma darbības laiku
• Grozījumi: Pakalpojumu sniedzējs var atjaunināt šo DPA, informējot Klientu e-pastā ne vēlāk kā 30 dienas iepriekš
• Piemērojamie tiesību akti: Šo DPA regulē Lietuvas Republikas tiesību akti un VDAR
• Strīdi: Strīdus risina sarunu ceļā; nevieno­šanās gadījumā – Lietuvas Republikas tiesās

14. NOBEIGUMA NOTEIKUMI

1. PUSES UN DEFINĪCIJAS

• MB Tutlio (turpmāk – Pakalpojumu sniedzējs, Platforma), kas sniedz Tutlio platformas pakalpojumus, un
• Pasniedzējs/Organizācija (turpmāk – Klients), kas izmanto Platformu skolēnu datu pārvaldībai un nodarbību organizēšanai

1.1. Puses

Šis Datu apstrādes līgums (turpmāk – DPA) ir noslēgts starp:

• VDAR – Vispārīgā datu aizsardzības regula (ES 2016/679)
• Personas dati – jebkura informācija, kas attiecas uz fizisku personu (skolēnu, vecāku/aizbildni), kuras identitāti var noteikt
• Datu pārzinis – fiziska vai juridiska persona, kas nosaka datu apstrādes mērķus un līdzekļus
• Datu apstrādātājs – fiziska vai juridiska persona, kas apstrādā personas datus datu pārziņa vārdā
• Datu subjekts – fiziska persona (skolēns, vecāks/aizbildnis), kuras personas dati tiek apstrādāti
• Apakšapstrādātājs – trešā puse, ko Pakalpojumu sniedzējs izmanto datu apstrādes operācijām (piem., Supabase)

1.2. Definīcijas

2. DATU APSTRĀDES APJOMS UN MĒRĶI

• Vārds un uzvārds
• E-pasta adrese
• Tālruņa numurs
• Vecums un klase (neobligāti)
• Uzaicinājuma kodi
• Nodarbību vēsture (datumi, laiki, tēmas, piezīmes)
• Maksājumu informācija (summa, statuss, maksājumu termiņi)
• Vecāka/aizbildņa dati (ja maksātājs nav skolēns): vārds, e-pasts

2.1. Apstrādājamie dati

Platformā var tikt apstrādāti šādi skolēnu un vecāku/aizbildņu personas dati:

• Platformas pakalpojumu nodrošināšana: Nodarbību plānošana, kalendāra pārvaldīšana, atgādinājumu sūtīšana
• Maksājumu administrēšana: Nodarbību maksājumu apstrāde, rēķinu sūtīšana
• Komunikācija: Automātisku paziņojumu sūtīšana (atgādinājumi, apstiprinājumi, uzaicinājumi)
• Grāmatvedība: Finanšu dokumentu pārvaldīšana saskaņā ar juridiskajām prasībām
• Platformas uzlabošana: Anonīma statistika platformas pakalpojumu uzlabošanai

2.2. Datu apstrādes mērķi

Dati tiek apstrādāti šādiem mērķiem:

• Kamēr ir spēkā līgums starp Klientu un Platformu
• Finanšu dokumenti (maksājumi, rēķini) – 10 gadi saskaņā ar grāmatvedības likumu prasībām
• Pēc līguma izbeigšanas: līdz 30 dienām, ja vien Klients nepieprasa agrāku dzēšanu vai datu atgriešanu

2.3. Datu apstrādes ilgums

Dati tiek glabāti:

3. PUŠU PIENĀKUMI UN ATBILDĪBA

• Apstrādāt datus tikai saskaņā ar Klienta norādījumiem un šajā DPA noteiktajiem mērķiem
• Ieviest atbilstošus tehniskos un organizatoriskos drošības pasākumus:

Datu šifrēšana (pārsūtīšanā un glabāšanā)

Piekļuves kontrole (autentifikācija, autorizācija, RLS politikas)

Regulāras rezerves kopijas un atkopšanas plāni

Drošības audits un uzraudzība

Darbinieku apmācība datu aizsardzībā

• Ziņot par datu drošības pārkāpumiem 72 stundu laikā pēc atklāšanas Klientam un DPA (ja nepieciešams)
• Palīdzēt īstenot datu subjektu tiesības:

Tiesības piekļūt datiem – nodrošināt datu eksporta iespēju

Tiesības uz dzēšanu – dzēst datus 30 dienu laikā

Tiesības uz labošanu – nodrošināt datu labošanu caur Platformu

Tiesības uz datu pārnesamību – eksportēt datus JSON/CSV formātā

• Izmantot tikai apstiprinātos apakšapstrādātājus (skatīt 4. sadaļu) un informēt Klientu par jebkurām izmaiņām
• Atgriezt vai dzēst datus pēc līguma izbeigšanas saskaņā ar Klienta izvēli
• Ļaut veikt auditu – sniegt informāciju un dokumentus, kas nepieciešami VDAR atbilstības pārbaudei
• Nenodot datus ārpus ES/EEZ bez atbilstošiem aizsardzības pasākumiem (piem., standarta līguma klauzulām)

3.1. Pakalpojumu sniedzēja pienākumi

Pakalpojumu sniedzējs apņemas:

• Nodrošināt juridisko pamatu visu Platformā ievadīto datu apstrādei (piekrišana, līgums, likumīgā interese)
• Informēt datu subjektus (skolēnus, vecākus) par:

Kādi dati tiek apstrādāti

Kāpēc tie tiek apstrādāti (mērķi)

Ka dati tiks apstrādāti Tutlio platformā

Tutlio Privātuma politikas saite: tutlio.lt/privacy-policy

Viņu tiesībām (piekļuve, dzēšana, labošana u.c.)

• Iegūt atbilstošu piekrišanu: Ja datu subjekts ir nepilngadīgs (jaunāks par 16 gadiem), iegūt vecāka/aizbildņa piekrišanu
• Nodrošināt datu precizitāti: Ievadīt Platformā tikai pareizus un aktuālus datus
• Ievadīt tikai nepieciešamos datus: Ievērot datu minimizācijas principu
• Reaģēt uz datu subjektu pieprasījumiem: Izmantojot Platformas funkcijas vai sazinoties ar Pakalpojumu sniedzēju palīdzībai
• Ziņot par drošības incidentiem: Nekavējoties informēt Pakalpojumu sniedzēju par jebkuriem novērotiem datu drošības pārkāpumiem
• Izmantot Platformu atbildīgi: Nedalīt piekļuvi trešajām personām, aizsargāt pieteikšanās datus

3.2. Klienta pienākumi

Klients apņemas:

VDAR atbilstība:

Datu atrašanās vieta:

Privātuma politika:

Resend (Zernonia, Inc.)

VDAR atbilstība: Atbilst VDAR

Datu atrašanās vieta: ASV (AWS)

Pakalpojums: E-pastu piegāde (atgādinājumi, uzaicinājumi, paziņojumi)

Pakalpojums:

Stripe, Inc.

VDAR atbilstība: Atbilst VDAR, PCI DSS Level 1 sertificēts

Datu atrašanās vieta: ASV, ES (ar standarta līguma klauzulām)

Pakalpojums: Maksājumu apstrāde, abonementu pārvaldīšana

Supabase Inc.

VDAR atbilstība: Atbilst VDAR, ISO 27001 sertificēts

Datu atrašanās vieta: Eiropas Savienība (AWS eu-central-1)

Pakalpojums: Datubāzes mitināšana un pārvaldīšana

4. APAKŠAPSTRĀDĀTĀJI

4.1. Apstiprinātie apakšapstrādātāji

Pakalpojumu sniedzējs izmanto šādus apakšapstrādātājus datu apstrādes operācijām:

4.2. Apakšapstrādātāju izmaiņas

Ja Pakalpojumu sniedzējs plāno pievienot jaunu apakšapstrādātāju vai aizstāt esošu, tas informēs Klientu pa e-pastu 30 dienas iepriekš

5. DATU SUBJEKTU TIESĪBAS

• Tiesības piekļūt datiem (15. pants): Iegūt savu datu kopiju
• Tiesības uz labošanu (16. pants): Labot neprecīzus datus
• Tiesības uz dzēšanu (17. pants): "Tiesības tikt aizmirstam" (ar izņēmumiem, piem., grāmatvedības likumi)
• Tiesības uz apstrādes ierobežošanu (18. pants): Ierobežot noteiktu datu apstrādi
• Tiesības uz datu pārnesamību (20. pants): Saņemt datus strukturētā, mašīnlasāmā formātā
• Tiesības iebilst (21. pants): Iebilst pret datu apstrādi, kas balstīta uz likumīgajām interesēm
• Tiesības iesniegt sūdzību (77. pants): Iesniegt sūdzību Valsts datu aizsardzības inspekcijai (VDAI)

5.1. Tiesību īstenošana

Datu subjektiem (skolēniem, vecākiem) ir šādas tiesības saskaņā ar VDAR:

• Tieši Klientam (pasniedzējam/organizācijai)
• Caur Platformas iestatījumiem (ja skolēnam ir konts)
• Pa e-pastu Pakalpojumu sniedzējam: info@tutlio.lt

5.2. Atbildes termiņi un procedūras

Datu subjektu pieprasījumus var iesniegt:

Atbildes termiņš: Ne vēlāk kā 30 dienas no pieprasījuma saņemšanas (sarežģītos gadījumos var pagarināt līdz 60 dienām)

6. DATU DROŠĪBAS PASĀKUMI

• Šifrēšana: TLS 1.3 pārsūtīšanā, AES-256 glabāšanā
• Autentifikācija: Droša paroļu glabāšana (bcrypt), MFA iespēja
• Piekļuves kontrole: Row-Level Security (RLS) politikas datubāzē
• Rezerves kopijas: Automātiskas ikdienas rezerves kopijas ar 30 dienu saglabāšanu
• Uzraudzība: Drošības notikumu izsekošana un paziņojumi
• Atjauninājumi: Regulāri sistēmas un atkarību atjauninājumi

6.1. Tehniskie pasākumi

• Darbinieku apmācība: VDAR un datu aizsardzības apmācības
• Konfidencialitātes pienākumi: Visi darbinieki paraksta konfidencialitātes līgumus
• Piekļuves ierobežošana: Tikai autorizētiem darbiniekiem ir piekļuve datiem
• Incidentu pārvaldība: Dokumentētas procedūras datu drošības pārkāpumu apstrādei
• Auditi: Regulāri iekšējie drošības auditi

6.2. Organizatoriskie pasākumi

7. DATU DROŠĪBAS PĀRKĀPUMI

• Nekavējoties (72 stundu laikā) paziņo Klientam pa e-pastu
• Apraksta pārkāpumu: Pārkāpuma raksturs, kādi dati tika ietekmēti, cik datu subjektu skarti
• Norāda veiktos pasākumus: Kā pārkāpums tika ierobežots, kādi pasākumi veikti datu atjaunošanai
• Iesaka darbības: Par ko Klientam jāinformē datu subjekti
• Ja pārkāpums rada augstu risku datu subjektu tiesībām, Pakalpojumu sniedzējs paziņo datu aizsardzības iestādei un palīdz

7.1. Paziņošanas procedūra

Datu drošības pārkāpuma gadījumā Pakalpojumu sniedzējs:

7.2. Klienta atbildība

Klients apņemas nekavējoties ziņot Pakalpojumu sniedzējam par jebkuriem novērotiem drošības incidentiem, kas saistīti ar viņa kontu

• Ievērot VDAR prasības
• Izmantot Standarta līguma klauzulas (SCC), ko apstiprinājusi Eiropas Komisija
• Nodrošināt atbilstošus tehniskos un organizatoriskos drošības pasākumus

8. STARPTAUTISKI DATU NODOŠANA

Galvenie dati tiek glabāti Eiropas Savienībā (Supabase AWS eu-central-1). Daži apakšapstrādātāji (Stripe, Resend) apstrādā datus ASV ar atbilstošiem aizsardzības pasākumiem.

Pakalpojumu sniedzējs nenodos datus trešajām valstīm ārpus ES/EEZ bez atbilstošiem aizsardzības pasākumiem un Klienta informēšanas

• Nodrošināt dokumentus, kas apstiprina drošības pasākumu ieviešanu
• Nodrošināt apakšapstrādātāju sarakstu un to VDAR atbilstību
• Ļaut veikt auditus (pēc pamatota pieprasījuma un iepriekšējas vienošanās)
• Sadarboties ar uzraudzības iestādēm (VDAI)

9. AUDITS UN ATBILSTĪBAS PĀRBAUDE

Klientam ir tiesības pieprasīt informāciju par Pakalpojumu sniedzēja VDAR atbilstību. Pakalpojumu sniedzējs apņemas: