Piemēro, izmantojot Tutlio platformu.
Piezīme: Šis Datu apstrādes līgums (DPA) ir neatņemama Pakalpojumu sniegšanas līguma, ja tāds ir parakstīts, Tutlio Platformas lietošanas noteikumu un Privātuma politikas daļa. Tas attiecas uz visiem Pasniedzējiem un Organizācijām, kas izmanto Tutlio platformu un apstrādā skolēnu personas datus.
1. Puses un definīcijas
1.1. Puses un lomas
Šis Datu apstrādes līgums (turpmāk - DPA) ir noslēgts starp MB Tutlio (turpmāk - Pakalpojumu sniedzējs vai Platforma), kas sniedz Tutlio platformas pakalpojumus, un Pasniedzēju/Organizāciju (turpmāk - Klients), kas izmanto Platformu skolēnu datu pārvaldībai un nodarbību organizēšanai. Puses skaidri vienojas, ka saskaņā ar Vispārīgo datu aizsardzības regulu (VDAR), apstrādājot personas datus Platformā, Klients darbojas tikai kā Datu pārzinis, bet MB Tutlio darbojas tikai kā Datu apstrādātājs saskaņā ar VDAR 28. pantu.
1.2. Definīcijas
VDAR nozīmē Vispārīgo datu aizsardzības regulu (ES 2016/679). Personas dati ir jebkura informācija par fizisku personu, proti, skolēnu, vecāku vai aizbildni, kuras identitāte ir zināma vai var tikt noteikta. Datu pārzinis ir fiziska vai juridiska persona, proti, Klients, kas nosaka datu apstrādes mērķus un līdzekļus. Datu apstrādātājs ir fiziska vai juridiska persona, proti, MB Tutlio, kas apstrādā personas datus tikai datu pārziņa vārdā un pēc tā norādījumiem. Datu subjekts ir fiziska persona, proti, skolēns, vecāks vai aizbildnis, kuras personas dati tiek apstrādāti. Apakšapstrādātājs ir trešā persona, ko Pakalpojumu sniedzējs izmanto datu apstrādes darbībām, piemēram, Supabase, Stripe vai Perlas Finance.
2. Datu apstrādes apjoms un mērķi
2.1. Apstrādājamie dati
Platformā pēc Klienta norādījumiem var tikt apstrādāti šādi skolēnu un vecāku/aizbildņu personas dati: vārds un uzvārds; e-pasta adrese; tālruņa numurs; vecums un klase, pēc izvēles; ielūguma kodi; nodarbību vēsture, tostarp datumi, laiki, tēmas un piezīmes; maksājumu informācija, tostarp summa, statuss un maksājumu termiņi; vecāku/aizbildņu dati, ja maksātājs nav pats skolēns: vārds un e-pasts.
2.2. Datu apstrādes mērķi
Dati tiek apstrādāti šādiem mērķiem: Platformas pakalpojumu sniegšana, tostarp nodarbību plānošana, kalendāra pārvaldība un atgādinājumu sūtīšana; maksājumu administrēšana, tostarp maksājumu par nodarbībām apstrāde, rēķinu ģenerēšana un nosūtīšana; komunikācija, tostarp automātisko paziņojumu sūtīšana; grāmatvedība, tostarp finanšu ierakstu uzturēšana atbilstoši tiesību aktu prasībām; Platformas uzlabošana, izmantojot anonīmu statistiku platformas pakalpojumu pilnveidošanai.
2.3. Datu apstrādes ilgums
Dati tiek glabāti tik ilgi, kamēr ir spēkā pakalpojumu sniegšanas līgums vai konta izmantošana starp Klientu un Platformu; finanšu ieraksti, tostarp maksājumi un rēķini, tiek glabāti 10 gadus saskaņā ar grāmatvedības likumu prasībām; pēc līguma izbeigšanas vai konta dzēšanas dati tiek glabāti līdz 30 dienām, ja vien Klients nepieprasa agrāku dzēšanu vai datu eksportu.
3. Pušu pienākumi un atbildība
3.1. Pakalpojumu sniedzēja kā Datu apstrādātāja pienākumi
Pakalpojumu sniedzējs apņemas: apstrādāt datus tikai pēc Klienta norādījumiem; ieviest atbilstošus tehniskos un organizatoriskos drošības pasākumus; paziņot Klientam par datu drošības pārkāpumiem 72 stundu laikā no uzzināšanas brīža; palīdzēt Klientam īstenot datu subjektu tiesības; izmantot tikai apstiprinātus apakšapstrādātājus; pēc līguma beigām pēc Klienta izvēles atgriezt vai dzēst datus; atļaut auditu; nenodot datus ārpus ES/EEZ bez atbilstošiem aizsardzības pasākumiem.
3.2. Klienta kā Datu pārziņa pienākumi
Klients apņemas: nodrošināt tiesisko pamatu visu Platformā ievadīto datu apstrādei; informēt datu subjektus; saņemt atbilstošas piekrišanas; nodrošināt datu precizitāti un ievērot datu minimizācijas principu; patstāvīgi atbildēt uz datu subjektu pieprasījumiem; izmantot Platformu atbildīgi, nenodot piekļuvi trešajām personām un aizsargāt pieslēgšanās datus.
4. Apakšapstrādātāji
4.1. Apstiprinātie apakšapstrādātāji
Klients piešķir Pakalpojumu sniedzējam vispārēju atļauju izmantot šādus apakšapstrādātājus: Supabase Inc. datubāzes mitināšanai un pārvaldībai, ES AWS eu-central-1, atbilst VDAR, ISO 27001; Stripe, Inc. maksājumu apstrādei, ASV/ES, izmantojot SCC, PCI DSS Level 1; UAB Perlas Finance atvērtās bankas un maksājumu apstrādes pakalpojumiem, Lietuva, Lietuvas Bankas licencēta maksājumu iestāde; Resend (Zernonia, Inc.) e-pasta sūtīšanai, ASV AWS, izmantojot SCC.
4.2. Apakšapstrādātāju maiņa
Ja Pakalpojumu sniedzējs plāno pievienot jaunu apakšapstrādātāju vai mainīt esošo, tas informēs Klientu pa e-pastu ne vēlāk kā 30 dienas pirms izmaiņām. Klientam ir tiesības iebilst pret jaunu apakšapstrādātāju, ja tam ir pamatoti ar datu aizsardzību saistīti iemesli; šādā gadījumā Klientam ir tiesības izbeigt pakalpojumu sniegšanas līgumu.
5. Datu subjektu tiesības
5.1. Tiesību īstenošana
Datu subjektiem, proti, skolēniem un vecākiem, saskaņā ar VDAR ir šādas tiesības: piekļuves tiesības, tiesības labot, tiesības dzēst jeb tiesības tikt aizmirstam, tiesības ierobežot apstrādi, tiesības uz datu pārnesamību, tiesības iebilst un tiesības iesniegt sūdzību Valsts datu aizsardzības inspekcijai (VDAI).
5.2. Atbildes termiņi un procedūras
Datu subjektu pieprasījumus vispirms apstrādā Klients kā Datu pārzinis. Ja Klientam nepieciešama tehniska palīdzība datu iegūšanai vai dzēšanai, tas var vērsties pie Pakalpojumu sniedzēja pa e-pastu info@tutlio.lt. Pakalpojumu sniedzējs uz šādiem pieprasījumiem atbild ne vēlāk kā 30 dienu laikā.
6. Datu drošības pasākumi
6.1. Tehniskie pasākumi
Šifrēšana: TLS 1.3 pārsūtīšanai, AES-256 miera stāvoklī glabāšanai. Autentifikācija: droša paroļu glabāšana, izmantojot bcrypt hash. Piekļuves kontrole: nodalīta piekļuve datiem, izmantojot Row-Level Security - RLS. Rezerves kopijas: automātiskas ikdienas rezerves kopijas, kas tiek glabātas 30 dienas. Monitorings: drošības notikumu un serveru metriku uzraudzība.
6.2. Organizatoriskie pasākumi
Darbinieku apmācība un konfidencialitātes saistības, visiem darbiniekiem parakstot NDA. Piekļuves ierobežošana: tikai pilnvarotiem darbiniekiem ir tehniska piekļuve infrastruktūrai. Incidentu pārvaldība: dokumentētas procedūras drošības pārkāpumu apstrādei.
7. Datu drošības pārkāpumi
Ja notiek datu drošības pārkāpums, Pakalpojumu sniedzējs nekavējoties, ne vēlāk kā 72 stundu laikā, paziņo Klientam pa e-pastu, apraksta pārkāpuma raksturu, norāda veiktos pasākumus un sniedz ieteikumus. Klients kā Datu pārzinis ir atbildīgs par turpmāku datu subjektu vai VDAI informēšanu saskaņā ar VDAR prasībām.
8. Starptautiska datu nodošana
Galvenie personas dati tiek glabāti Eiropas Savienībā (AWS eu-central-1). Izmantojot ASV reģistrētus apakšapstrādātājus, piemēram, Stripe un Resend, datu nodošana tiek veikta, pamatojoties uz Eiropas Komisijas apstiprinātajām Standarta līguma klauzulām (SCC), nodrošinot ES prasīto aizsardzības līmeni.
9. Audits un atbilstības pārbaude
Klientam ir tiesības pieprasīt informāciju par Pakalpojumu sniedzēja piemērotajiem VDAR atbilstības pasākumiem. Pakalpojumu sniedzējs apņemas iesniegt apliecinošus dokumentus. Fiziski infrastruktūras auditi var tikt veikti tikai pēc iepriekšējas saskaņošanas, sedzot Pakalpojumu sniedzēja audita atbalsta izmaksas un nepārkāpjot citu klientu konfidencialitāti.
10. Līguma izbeigšana un datu atgriešana
Izbeidzot pakalpojumu sniegšanas līgumu vai Klientam dzēšot kontu, Pakalpojumu sniedzējs atgriež datus, ļaujot tos eksportēt JSON vai CSV formātā. Pēc 30 dienu pārejas perioda beigām visi Klienta personas dati tiek neatgriezeniski dzēsti no sistēmām un rezerves kopijām, izņemot datus, kurus jāglabā saskaņā ar likumu, piemēram, finanšu operācijas grāmatvedības vajadzībām.
11. Atbildība un kompensācijas
Katra puse atbild par zaudējumiem, kas radušies tās pašas šī DPA un VDAR pārkāpuma dēļ. Pakalpojumu sniedzēja kā Datu apstrādātāja maksimālā finansiālā atbildība par šī DPA pārkāpumiem ir ierobežota ar summām un nosacījumiem, kas noteikti galvenajā Pakalpojumu sniegšanas līgumā vai Platformas lietošanas noteikumos, sadaļā par atbildības ierobežojumu / Liability Cap.
12. Kontakti
MB Tutlio kontakti VDAR un privātuma jautājumos: E-pasts: info@tutlio.lt; Temats: BDAR / Datu aizsardzība; Atbildes laiks: 5 darba dienu laikā.
13. Nobeiguma noteikumi
Šis DPA stājas spēkā, kad Klients piekrīt Platformas Noteikumiem vai paraksta Pakalpojumu sniegšanas līgumu, un ir spēkā visu pakalpojumu sniegšanas periodu. Pakalpojumu sniedzējs var atjaunināt šo DPA, informējot Klientu pa e-pastu ne vēlāk kā 30 dienas pirms izmaiņu stāšanās spēkā. Šim līgumam piemēro Lietuvas Republikas tiesības un ES VDAR prasības.