Gjelder ved bruk av Tutlio-plattformen.
Merk: Denne Databehandleravtalen (DPA) er en integrert del av tjenesteavtalen, hvis en slik er signert, Tutlio-plattformens Bruksvilkår og Personvernerklæring. Den gjelder for alle privatlærere og organisasjoner som bruker Tutlio-plattformen og behandler elevers personopplysninger.
1. Parter og definisjoner
1.1. Parter og roller
Denne Databehandleravtalen, heretter DPA, inngås mellom MB Tutlio, heretter Tjenesteleverandøren eller Plattformen, som leverer Tutlio-plattformens tjenester, og privatlæreren/organisasjonen, heretter Kunden, som bruker Plattformen til håndtering av elevopplysninger og organisering av timer.
Partene er uttrykkelig enige om at Kunden i henhold til personvernforordningen (GDPR) utelukkende opptrer som behandlingsansvarlig ved behandling av personopplysninger i Plattformen, mens MB Tutlio utelukkende opptrer som databehandler etter GDPR artikkel 28.
1.2. Definisjoner
- GDPR: Personvernforordningen (EU 2016/679).
- Personopplysninger: Enhver opplysning om en fysisk person, elev eller forelder/foresatt, hvis identitet er kjent eller kan fastslås.
- Behandlingsansvarlig: En fysisk eller juridisk person, Kunden, som fastsetter formålene med og midlene for behandlingen.
- Databehandler: En fysisk eller juridisk person, MB Tutlio, som behandler personopplysninger utelukkende på vegne av og etter instruks fra den behandlingsansvarlige.
- Registrert: En fysisk person, elev eller forelder/foresatt, hvis personopplysninger behandles.
- Underdatabehandler: En tredjepart som Tjenesteleverandøren bruker til behandlingsoperasjoner, for eksempel Supabase, Stripe og Perlas Finance.
2. Behandlingens omfang og formål
2.1. Opplysninger som behandles
I Plattformen kan følgende personopplysninger om elever og foreldre/foresatte behandles etter Kundens instruksjoner:
- For- og etternavn.
- E-postadresse.
- Telefonnummer.
- Alder og klasse, valgfritt.
- Invitasjonskoder.
- Timehistorikk, inkludert datoer, tidspunkter, emner og notater.
- Betalingsinformasjon, inkludert beløp, status og betalingsfrister.
- Opplysninger om foreldre/foresatte dersom betaleren ikke er eleven selv: navn og e-post.
2.2. Formål med behandlingen
- Levering av Plattformens tjenester: Planlegging av timer, kalenderhåndtering og sending av påminnelser.
- Betalingsadministrasjon: Behandling av betalinger for timer, generering og sending av fakturaer.
- Kommunikasjon: Sending av automatiske meldinger, inkludert påminnelser, bekreftelser og invitasjoner.
- Regnskap: Håndtering av finansielle oppføringer etter lovkrav.
- Forbedring av Plattformen: Anonym statistikk for å forbedre Plattformens tjenester.
2.3. Behandlingens varighet
- Opplysninger lagres så lenge tjenesteavtalen eller kontobruken mellom Kunden og Plattformen gjelder.
- Finansielle oppføringer, inkludert betalinger og fakturaer, lagres i 10 år etter kravene i regnskapslovgivningen.
- Etter opphør av avtalen eller sletting av konto lagres opplysninger i opptil 30 dager, med mindre Kunden ber om tidligere sletting eller dataeksport.
3. Partenes forpliktelser og ansvar
3.1. Tjenesteleverandørens, databehandlerens, forpliktelser
- Behandle opplysninger bare etter Kundens, den behandlingsansvarliges, instruksjoner og for formålene angitt i denne DPA.
- Implementere egnede tekniske og organisatoriske sikkerhetstiltak, inkludert kryptering, tilgangskontroll og sikkerhetskopier.
- Varsle Kunden om brudd på personopplysningssikkerheten innen 72 timer fra kjennskap.
- Hjelpe Kunden med å gjennomføre registrertes rettigheter, inkludert innsyn, sletting, retting og dataportabilitet ved bruk av Plattformens funksjonalitet.
- Bruke bare godkjente underdatabehandlere, se punkt 4, og informere Kunden om endringer.
- Returnere eller slette opplysninger etter avtalens slutt etter Kundens valg.
- Tillate revisjon ved på begrunnet forespørsel å gi informasjon som er nødvendig for kontroll av GDPR-etterlevelse.
- Ikke overføre opplysninger utenfor EU/EØS uten egnede beskyttelsestiltak.
3.2. Kundens, den behandlingsansvarliges, forpliktelser
- Ha rettslig grunnlag for behandling av alle opplysninger som legges inn i Plattformen, som samtykke, avtale eller berettiget interesse etter GDPR artikkel 6.
- Informere registrerte, elever og foreldre, om hvilke opplysninger som samles inn, hvorfor de samles inn og at de behandles i Tutlio-plattformen, samt gi lenke til Tutlios Personvernerklæring.
- Innhente egnede samtykker, og hvis den registrerte er mindreårig, innhente samtykke fra foreldre/foresatte.
- Sikre opplysningenes riktighet og følge prinsippet om dataminimering ved bare å legge inn opplysninger som er nødvendige for timer.
- Selvstendig svare på forespørsler fra registrerte, ved behov ved bruk av Plattformens funksjonalitet.
- Bruke Plattformen ansvarlig, ikke gi tilgang til tredjeparter og beskytte innloggingsopplysninger.
4. Underdatabehandlere
4.1. Godkjente underdatabehandlere
Kunden gir Tjenesteleverandøren en generell tillatelse til å bruke følgende underdatabehandlere:
- Supabase Inc. Tjeneste: databasehosting og administrasjon. Datasted: Den europeiske union, AWS eu-central-1-regionen. GDPR-etterlevelse: overholder GDPR, ISO 27001-sertifisert.
- Stripe, Inc. Tjeneste: betalingsbehandling for internasjonale markeder. Datasted: USA, EU, ved bruk av Standard Contractual Clauses (SCC). GDPR-etterlevelse: overholder GDPR, PCI DSS Level 1-sertifisert.
- UAB „Perlas Finance“. Tjeneste: open banking- og betalingsbehandlingstjenester for det lokale markedet. Datasted: Den europeiske union, Litauen. GDPR-etterlevelse: betalingsinstitusjon lisensiert av Litauens sentralbank, overholder GDPR.
- Resend (Zernonia, Inc.). Tjeneste: sending av e-post, inkludert påminnelser og meldinger. Datasted: USA, AWS, ved bruk av SCC. GDPR-etterlevelse: overholder GDPR.
4.2. Endring av underdatabehandlere
Hvis Tjenesteleverandøren planlegger å legge til en ny underdatabehandler eller bytte ut en eksisterende, informerer Tjenesteleverandøren Kunden via e-post senest 30 dager før endringen. Kunden har rett til å protestere mot en ny underdatabehandler dersom det finnes begrunnede databeskyttelsesrelaterte årsaker. I så fall har Kunden rett til å si opp tjenesteavtalen.
5. Registrertes rettigheter
5.1. Gjennomføring av rettigheter
Registrerte, elever og foreldre, har følgende rettigheter etter GDPR: rett til innsyn, rett til retting, rett til sletting, retten til å bli glemt, rett til begrensning, rett til dataportabilitet, rett til å protestere og rett til å klage til Valstybinė duomenų apsaugos inspekcija (VDAI).
5.2. Svarfrister og prosedyrer
Forespørsler fra registrerte skal først behandles av Kunden, den behandlingsansvarlige. Hvis Kunden trenger teknisk hjelp til å hente ut eller slette opplysninger, kan Kunden kontakte Tjenesteleverandøren via e-post på info@tutlio.lt. Tjenesteleverandøren svarer på slike forespørsler senest innen 30 dager.
6. Datasikkerhetstiltak
6.1. Tekniske tiltak
- Kryptering: TLS 1.3 for transport og AES-256 i ro for lagring.
- Autentisering: Sikker lagring av passord med bcrypt hash.
- Tilgangskontroll: Avgrenset tilgang til opplysninger gjennom Row-Level Security - RLS.
- Sikkerhetskopier: Automatiske daglige sikkerhetskopier som lagres i 30 dager.
- Overvåking: Overvåking av sikkerhetshendelser og servermetrikk.
6.2. Organisatoriske tiltak
- Opplæring av ansatte og konfidensialitetsforpliktelser, der alle ansatte signerer NDA.
- Tilgangsbegrensning: bare autoriserte ansatte har teknisk tilgang til infrastrukturen.
- Hendelseshåndtering: dokumenterte prosedyrer for håndtering av sikkerhetsbrudd.
7. Brudd på personopplysningssikkerheten
Hvis det skjer et brudd på personopplysningssikkerheten, varsler Tjenesteleverandøren Kunden uten ugrunnet opphold, senest innen 72 timer, via e-post, beskriver bruddets art, angir tiltak som er iverksatt og gir anbefalinger. Kunden er som behandlingsansvarlig ansvarlig for videre varsling av registrerte eller VDAI i henhold til GDPR-kravene.
8. Internasjonal dataoverføring
De viktigste personopplysningene lagres i Den europeiske union, AWS eu-central-1. Ved bruk av USA-registrerte underdatabehandlere, for eksempel Stripe og Resend, skjer dataoverføring i henhold til Europakommisjonens godkjente Standard Contractual Clauses (SCC), som sikrer beskyttelsesnivået EU krever.
9. Revisjon og etterlevelseskontroll
Kunden har rett til å be om informasjon om GDPR-etterlevelsestiltakene Tjenesteleverandøren bruker. Tjenesteleverandøren forplikter seg til å gi bekreftende dokumentasjon. Fysiske revisjoner av infrastrukturen kan bare gjennomføres etter forhåndsavtale, med dekning av Tjenesteleverandørens kostnader for revisjonsstøtte og uten å krenke andre kunders konfidensialitet.
10. Avtalens opphør og retur av opplysninger
Ved opphør av tjenesteavtalen eller når Kunden sletter kontoen, returnerer Tjenesteleverandøren opplysningene ved å muliggjøre eksport i JSON- eller CSV-format. Etter en overgangsperiode på 30 dager slettes alle Kundens personopplysninger ugjenkallelig fra systemer og sikkerhetskopier, med unntak av opplysninger som loven krever lagret, for eksempel finansielle transaksjoner for regnskapsformål.
11. Ansvar og erstatning
Hver part er ansvarlig for skade som oppstår som følge av partens egen overtredelse av denne DPA og GDPR. Tjenesteleverandørens, databehandlerens, maksimale økonomiske ansvar for brudd på denne DPA er begrenset til beløpene og vilkårene fastsatt i den hovedsakelige tjenesteavtalen eller Plattformens Bruksvilkår, ansvarsbegrensning eller Liability Cap.
12. Kontakt
MB Tutlios kontakt for GDPR- og personvernspørsmål:
- E-post: info@tutlio.lt.
- Emne: BDAR / Duomenų apsauga.
- Svartid: innen 5 arbeidsdager.
13. Avsluttende bestemmelser
Denne DPA trer i kraft når Kunden godtar Plattformens Vilkår, eller signerer tjenesteavtalen, og gjelder i hele tjenesteperioden. Tjenesteleverandøren kan oppdatere denne DPA ved å informere Kunden via e-post senest 30 dager før endringene trer i kraft. Denne avtalen er underlagt Republikken Litauens rett og EUs GDPR-krav.