Databehandlingsavtale (DPA)

Databehandlingsavtale (DPA). Gjelder fra: 25. mars 2026. Juridisk enhet: MB Tutlio. Kontakt: info@tutlio.lt.

Ved å bruke Tutlio-plattformen og registrere elevdata bekrefter du at du har lest og godtar denne databehandlingsavtalen (DPA), Personvernerklæringen og Vilkår for bruk.

✓ Jeg godtar DPA-vilkårene

Dokument opprettet: 25.03.2026

Juridisk enhet: MB Tutlio

Versjon: 1.0

Merknad: Denne databehandlingsavtalen (DPA) er en integrert del av Tutlio-plattformens vilkår for bruk og personvernerklæring. Den gjelder for alle tutorer og organisasjoner som bruker Tutlio-plattformen og behandler personopplysninger om elever.

10. OPPHØR AV AVTALE OG TILBAKELEVERING AV DATA

• Tilbakelevering av data: Tjenesteleverandøren leverer alle klientdata i JSON- eller CSV-format innen 30 dager
• Sletting av data: Tjenesteleverandøren sletter alle klient- og elevdata på en sikker måte innen 30 dager

10.1. Tilbakelevering eller sletting av data

Ved opphør av avtalen mellom klienten og tjenesteleverandøren kan klienten velge:

• Lovkrav (f.eks. regnskapslover – 10 år for betalingsposter)
• Rettslige krav (tvisteløsning)
• Teknisk nødvendighet (f.eks. sikkerhetskopier, som automatisk slettes innen 30 dager)

10.2. Unntak

Tjenesteleverandøren kan beholde visse data lenger hvis påkrevd av:

• Tjenesteleverandøren er ansvarlig for brudd på tekniske og organisatoriske sikkerhetstiltak, datasikkerhetshendelser som skyldes egen feil
• Klienten er ansvarlig for behandling av data uten rettslig grunnlag, utilstrekkelig varsling av registrerte, registrering av uberettigede eller uriktige opplysninger
• Gjensidig ansvar: Dersom en registrert fremsetter krav om GDPR-brudd, samarbeider partene og er ansvarlige i henhold til sine respektive ansvarsområder

11. ANSVAR OG ERSTATNING

Hver part er ansvarlig for manglende oppfyllelse av sine forpliktelser i henhold til denne DPA:

Ansvarsbegrensningen er fastsatt i plattformens vilkår for bruk og gjeldende lov.

MB Tutlio kontakter for GDPR-saker:

E-post: info@tutlio.lt

Merknad: MB Tutlio har for tiden ikke en utpekt personvernombud (DPO) da det ikke faller inn under kravene i GDPR art. 37. Alle GDPR-saker håndteres via den generelle kontakten.

Innen 5 virkedager

Responstid:

«GDPR / Personvern»

Emne: «GDPR / Personvern»

12. KONTAKTER OG PERSONVERNOMBUD

• Tutlio vilkår for bruk
• Tutlio personvernerklæring
• Organisasjonsavtaler (hvis aktuelt)

13. VEDLEGG OG TILLEGGSINFORMASJON

Denne DPA er en integrert del av følgende dokumenter:

• Gyldighet: Denne DPA trer i kraft fra 25.03.2026 og er gyldig i hele avtalens varighet mellom klienten og tjenesteleverandøren
• Endringer: Tjenesteleverandøren kan oppdatere denne DPA ved å varsle klienten via e-post senest 30 dager før endringene trer i kraft
• Gjeldende lov: Denne DPA er underlagt lovgivningen i Republikken Litauen og GDPR
• Tvister: Tvister løses gjennom forhandlinger; ved manglende enighet – i domstolene i Republikken Litauen

14. SLUTTBESTEMMELSER

1. PARTER OG DEFINISJONER

• MB Tutlio (heretter – tjenesteleverandøren, plattformen), som leverer Tutlio-plattformtjenester, og
• Tutor/Organisasjon (heretter – klienten), som bruker plattformen til forvaltning av elevdata og organisering av undervisning.

1.1. Parter

Denne databehandlingsavtalen (heretter – DPA) er inngått mellom:

• GDPR – Personvernforordningen (EU 2016/679)
• Personopplysninger – enhver opplysning knyttet til en fysisk person (elev, forelder/foresatt) hvis identitet er kjent eller kan fastslås
• Behandlingsansvarlig – en fysisk eller juridisk person som bestemmer formålet med og midlene for behandling av opplysninger
• Databehandler – en fysisk eller juridisk person som behandler personopplysninger på vegne av den behandlingsansvarlige
• Registrert – en fysisk person (elev, forelder/foresatt) hvis personopplysninger behandles
• Underdatabehandler – en tredjepart brukt av tjenesteleverandøren for databehandlingsoperasjoner (f.eks. Supabase, Stripe)

1.2. Definisjoner

2. OMFANG OG FORMÅL MED DATABEHANDLING

• For- og etternavn
• E-postadresse
• Telefonnummer
• Alder og klassetrinn (valgfritt)
• Invitasjonskoder
• Timehistorikk (datoer, tidspunkter, emner, notater)
• Betalingsinformasjon (beløp, status, betalingsfrister)
• Forelder/foresatt-data (hvis betaleren ikke er eleven): navn, e-post

2.1. Data som behandles

Følgende personopplysninger om elever og foreldre/foresatte kan behandles på plattformen:

• Levering av plattformtjenester: Timeplanlegging, kalenderstyring, utsending av påminnelser
• Betalingsadministrasjon: Behandling av timebetalinger, utsending av fakturaer
• Kommunikasjon: Utsending av automatiserte varsler (påminnelser, bekreftelser, invitasjoner)
• Regnskap: Forvaltning av økonomiske poster i samsvar med lovkrav
• Forbedring av plattformen: Anonym statistikk for forbedring av plattformtjenester

2.2. Formål med databehandling

Data behandles for følgende formål:

• Så lenge avtalen mellom klienten og plattformen er i kraft
• Økonomiske poster (betalinger, fakturaer) – 10 år som krevd av regnskapslover
• Etter opphør av avtalen: opptil 30 dager, med mindre klienten ber om tidligere sletting eller tilbakelevering av data

2.3. Varighet for databehandling

Data lagres:

3. PARTENES FORPLIKTELSER OG ANSVAR

• Behandle data kun i henhold til klientens instrukser og for formålene angitt i denne DPA
• Implementere hensiktsmessige tekniske og organisatoriske sikkerhetstiltak:

Datakryptering (under overføring og lagring)

Tilgangskontroll (autentisering, autorisasjon, RLS-regler)

Regelmessige sikkerhetskopier og gjenopprettingsplaner

Sikkerhetsrevisjon og overvåking

Opplæring av ansatte i databeskyttelse

• Melde datasikkerhetshendelser innen 72 timer etter oppdagelse til klienten og DPA (hvis påkrevd)
• Bistå med gjennomføring av registrertes rettigheter:

Rett til innsyn – gi mulighet til å eksportere data

Rett til sletting – slette data innen 30 dager

Rett til retting – tillate datakorrigering gjennom plattformen

Rett til dataportabilitet – eksportere data i JSON/CSV-format

• Bruke kun godkjente underdatabehandlere (se avsnitt 4) og informere klienten om eventuelle endringer
• Tilbakelevere eller slette data ved opphør av avtalen i henhold til klientens valg
• Tillate revisjon – gi informasjon og dokumenter som kreves for GDPR-etterlevelseskontroll
• Ikke overføre data utenfor EU/EØS uten hensiktsmessige garantier (f.eks. standardavtalevilkår)

3.1. Tjenesteleverandørens forpliktelser

Tjenesteleverandøren forplikter seg til å:

• Ha et rettslig grunnlag for behandling av alle data som registreres på plattformen (samtykke, avtale, berettiget interesse i henhold til GDPR art. 6)
• Informere registrerte (elever, foreldre) om:

Hvilke data som behandles

Hvorfor de behandles (formål)

At data vil bli behandlet på Tutlio-plattformen

Lenke til Tutlios personvernerklæring: tutlio.lt/privacy-policy

Deres rettigheter (innsyn, sletting, retting osv.)

• Innhente riktig samtykke: Dersom den registrerte er mindreårig (under 16 år), innhente samtykke fra forelder/foresatt
• Sørge for datanøyaktighet: Kun registrere korrekte og oppdaterte opplysninger på plattformen
• Kun registrere nødvendige data: Overholde prinsippet om dataminimering
• Svare på forespørsler fra registrerte: Ved bruk av plattformfunksjoner eller ved å kontakte tjenesteleverandøren for bistand
• Melde sikkerhetshendelser: Umiddelbart informere tjenesteleverandøren om eventuelle observerte datasikkerhetshendelser
• Bruke plattformen ansvarlig: Ikke dele tilgang med tredjeparter, beskytte innloggingsopplysninger

3.2. Klientens forpliktelser

Klienten forplikter seg til å:

GDPR-etterlevelse:

Dataplassering:

Personvernerklæring:

Resend (Zernonia, Inc.)

GDPR-etterlevelse: GDPR-kompatibel

Dataplassering: USA (AWS)

Tjeneste: E-postlevering (påminnelser, invitasjoner, varsler)

Tjeneste:

Stripe, Inc.

GDPR-etterlevelse: GDPR-kompatibel, PCI DSS Level 1-sertifisert

Dataplassering: USA, EU (med standardavtalevilkår)

Tjeneste: Betalingsbehandling, abonnementsstyring

Supabase Inc.

GDPR-etterlevelse: GDPR-kompatibel, ISO 27001-sertifisert

Dataplassering: Den europeiske union (AWS eu-central-1)

Tjeneste: Databasehosting og -styring

4. UNDERDATABEHANDLERE

4.1. Godkjente underdatabehandlere

Tjenesteleverandøren bruker følgende underdatabehandlere for databehandlingsoperasjoner:

4.2. Endringer av underdatabehandlere

Dersom tjenesteleverandøren planlegger å legge til en ny underdatabehandler eller erstatte en eksisterende, vil den informere klienten via e-post senest 30 dager før endringen. Klienten har rett til å protestere mot den nye underdatabehandleren, i så fall kan de si opp avtalen uten ekstra kostnader.

5. REGISTRERTES RETTIGHETER

• Rett til innsyn (art. 15): Få en kopi av sine opplysninger
• Rett til retting (art. 16): Korrigere uriktige opplysninger
• Rett til sletting (art. 17): «Retten til å bli glemt» (med unntak, f.eks. regnskapslover)
• Rett til begrensning (art. 18): Begrense behandling av visse opplysninger
• Rett til dataportabilitet (art. 20): Motta opplysninger i et strukturert, maskinlesbart format
• Rett til å protestere (art. 21): Protestere mot databehandling basert på berettigede interesser
• Rett til å klage (art. 77): Sende inn en klage til det statlige datatilsynet

5.1. Utøvelse av rettigheter

Registrerte (elever, foreldre) har følgende rettigheter i henhold til GDPR:

• Direkte til klienten (tutor/organisasjon)
• Gjennom plattforminnstillinger (hvis eleven har en konto)
• Via e-post til tjenesteleverandøren: info@tutlio.lt

5.2. Tidsfrister og prosedyrer for svar

Forespørsler fra registrerte kan sendes:

Svarfrist: Senest 30 dager fra mottak av forespørselen (kan forlenges til 60 dager i komplekse tilfeller, med varsel til den registrerte).

6. DATASIKKERHETSTILTAK

• Kryptering: TLS 1.3 under overføring, AES-256 ved lagring
• Autentisering: Sikker passordlagring (bcrypt), MFA-mulighet
• Tilgangskontroll: Row-Level Security (RLS)-regler i databasen
• Sikkerhetskopier: Automatisk daglig sikkerhetskopiering med 30 dagers oppbevaring
• Overvåking: Sporing og varsling av sikkerhetshendelser
• Oppdateringer: Regelmessige system- og avhengighetsoppdateringer

6.1. Tekniske tiltak

• Opplæring av ansatte: GDPR- og personvernopplæring
• Taushetsplikt: Alle ansatte signerer taushetserklæringer
• Tilgangsbegrensning: Kun autoriserte ansatte har tilgang til data
• Hendelseshåndtering: Dokumenterte prosedyrer for håndtering av datasikkerhetshendelser
• Revisjoner: Regelmessige interne sikkerhetsrevisjoner

6.2. Organisatoriske tiltak

7. DATASIKKERHETSHENDELSER

• Umiddelbart (innen 72 timer) varsler klienten via e-post
• Beskriver hendelsen: Hendelsens art, hvilke data som ble berørt, hvor mange registrerte
• Oppgir iverksatte tiltak: Hvordan hendelsen ble begrenset, hvilke tiltak som ble iverksatt for å gjenopprette data
• Anbefaler handlinger: Hva klienten bør varsle registrerte om
• Dersom hendelsen utgjør en høy risiko for registrertes rettigheter, varsler tjenesteleverandøren DPA og bistår klienten med å varsle berørte registrerte

7.1. Varslingsprosedyre

Ved en datasikkerhetshendelse vil tjenesteleverandøren:

7.2. Klientens ansvar

Klienten forplikter seg til umiddelbart å melde til tjenesteleverandøren eventuelle observerte sikkerhetshendelser knyttet til deres konto eller data på plattformen.

• Overholde GDPR-krav
• Bruke standardavtalevilkår (SCC) godkjent av Europakommisjonen
• Ha hensiktsmessige tekniske og organisatoriske sikkerhetstiltak

8. INTERNASJONALE DATAOVERFØRINGER

Primærdata lagres i Den europeiske union (Supabase AWS eu-central-1-regionen). Noen underdatabehandlere (Stripe, Resend) kan lagre data i USA, men de:

Tjenesteleverandøren vil ikke overføre data til tredjeland utenfor EU/EØS uten hensiktsmessige garantier og informasjon til klienten.

• Gi dokumenter som bekrefter implementering av sikkerhetstiltak
• Gi en liste over underdatabehandlere og deres GDPR-etterlevelse
• Tillate revisjoner (etter rimelig forespørsel og forhåndsavtale)
• Samarbeide med tilsynsmyndigheter

9. REVISJON OG ETTERLEVELSESKONTROLL

Klienten har rett til å be om informasjon om tjenesteleverandørens GDPR-etterlevelse. Tjenesteleverandøren forplikter seg til å: