Gjelder ved bruk av Tutlio-plattformen.
1. Generelle bestemmelser
Denne Personvernerklæringen, heretter Erklæringen, fastsetter hvordan MB „Tutlio“ (foretakskode 307617263), som driver Tutlio-plattformen, heretter Tjenesteleverandøren eller vi, samler inn, bruker og beskytter personopplysninger. Vi handler i samsvar med Republikken Litauens lovgivning: personvernforordningen (GDPR, EU 2016/679), Republikken Litauens lov om rettslig beskyttelse av personopplysninger, lover om elektroniske tjenester og elektronisk kommunikasjon samt annen gjeldende lovgivning.
2. Behandlingsansvarlig og databehandler (roller)
Ved levering av B2B-skytjenester er databeskyttelsesrollene strengt adskilt etter GDPR. Privatlæreren/organisasjonen, Plattformens kunde, opptrer utelukkende som behandlingsansvarlig for alle personopplysninger om elever og deres foreldre/foresatte som legges inn i Plattformen. MB „Tutlio“ opptrer utelukkende som databehandler etter GDPR artikkel 28 for elevers personopplysninger og behandler dem bare etter Kundens instruksjoner. MB „Tutlio“ opptrer som behandlingsansvarlig bare for registrerings- og betalingsopplysninger for privatlærere/organisasjoner, altså sine direkte B2B-kunder.
2.1. Privatlæreren/organisasjonen er som behandlingsansvarlig ansvarlig for
- Rettslig grunnlag: Å ha rettslig grunnlag for behandling av alle elevers personopplysninger som legges inn i Plattformen, som samtykke, avtale eller berettiget interesse.
- Informasjon: Å informere elever og deres foreldre/foresatte om databehandling i Plattformen og gi lenke til denne Personvernerklæringen.
- Opplysningenes riktighet: Å sikre at opplysninger som legges inn i Plattformen er korrekte, aktuelle og begrenset til det nødvendige, i tråd med dataminimering.
- Registrertes rettigheter: Å svare på elevers forespørsler om opplysningene deres, inkludert innsyn, sletting, retting og dataportabilitet, selvstendig ved bruk av Plattformens funksjoner.
2.2. MB „Tutlio“ behandler som databehandler elevers opplysninger for følgende formål
- Levering av Plattformen: Sikring av Plattformens infrastruktur, teknisk støtte og skytjenester i henhold til B2B-avtalen.
- Sikkerhet: Teknisk datasikkerhet og gjennomføring av sikkerhetstiltak, inkludert kryptering og sikkerhetskopier.
- Automatiske prosesser: Sending av automatiske meldinger, som påminnelser om timer og betalinger, strengt etter privatlærerens/organisasjonens innstillinger.
- Betalingsbehandling: Teknisk støtte til betalingsprosesser når MB Tutlio opptrer som autorisert handelsrepresentant.
3. Hvilke opplysninger vi samler inn
- Registrerings- og kontoopplysninger for kunder: e-postadresse, for- og etternavn, telefonnummer og passord, som lagres kryptert, det vil si i hash-format.
- Betalingsopplysninger: betalingshistorikk og betalingsstatus for økter. Betalingskort- eller bankopplysninger behandles bare via lisensierte partnere, Stripe eller UAB „Perlas Finance“. MB „Tutlio“ ser eller lagrer ikke fullstendige betalingskortopplysninger eller innloggingsopplysninger til bank.
- Abonnementsopplysninger: abonnementsplan, gyldighetsdato og bruk av prøveperiode.
- Time- og timeplanopplysninger: tidspunkt for timer, emner, notater, kanselleringer og sending av påminnelser.
- Elevopplysninger lagt inn av privatlærer: elevers navn, e-postadresser, telefonnumre og opplysninger om betaleren, foreldre eller foresatte.
- Tekniske opplysninger: IP-adresse, nettlesertype og innloggingstidspunkter av hensyn til berettigede interesser, som systemsikkerhet og forebygging av misbruk.
4. Bruk av Google API-data (Google API Limited Use Policy)
For å sikre praktisk timeplanhåndtering lar Plattformen brukere koble kontoen sin til Google Calendar ved bruk av OAuth-autentisering. Vi ber bare om tilgang til dine Google Calendar-hendelser, med lese- og skriverettigheter, slik at vi kan synkronisere timer planlagt i Plattformen med din personlige kalender.
Dine Google-kalenderopplysninger brukes utelukkende til å sikre toveis kalendersynkronisering. Vi overfører, selger eller deler ikke dine Google-brukeropplysninger med noen tredjeparter, inkludert annonsenettverk eller andre kommersielle partnere.
Tutlios bruk og overføring til enhver annen applikasjon av informasjon mottatt fra Google API overholder strengt Google API Services User Data Policy, inkludert kravene til begrenset bruk (Limited Use).
5. Formål og rettslig grunnlag (GDPR artikkel 6)
Vi behandler opplysninger for å oppfylle avtalen, som administrasjon av kontoer, timer og betalinger, for berettigede interesser, som plattformsikkerhet og oppgjør, med ditt samtykke der loven krever det, og for å oppfylle rettslige forpliktelser, som regnskap. Vi bruker e-post til informasjon om betalinger og kanselleringer. Kanselleringsreglene er beskrevet i Plattformens Bruksvilkår.
6. Lagring og sikkerhet
Vi lagrer opplysninger bare så lenge det er nødvendig for å oppfylle avtalen og overholde lovkrav, for eksempel regnskapskrav. Vi bruker egnede tekniske og organisatoriske tiltak, inkludert kryptering under overføring og i ro, tilgangskontroll og automatiske sikkerhetskopier, for å beskytte opplysninger mot uautorisert tilgang, tap eller misbruk.
6.1. Underdatabehandlere
MB „Tutlio“ bruker nøye utvalgte underdatabehandlere som oppfyller GDPR-krav for å sikre sky- og betalingsinfrastruktur:
- Supabase Inc.: Databasehosting og administrasjon, med opplysninger lagret i EU-regionen på AWS-servere.
- Stripe, Inc.: Betalingsbehandling og abonnementsadministrasjon i internasjonale markeder.
- UAB „Perlas Finance“: Tjenester for innkreving av betalinger via open banking i det lokale markedet.
- Resend (Zernonia, Inc.): Tjeneste for transaksjonelle e-poster, inkludert påminnelser, invitasjoner og meldinger.
Alle underdatabehandlere forplikter seg til å behandle personopplysninger bare etter våre instruksjoner og med de strengeste sikkerhetsstandardene, inkludert SCC-avtalevilkår ved overføring av opplysninger utenfor EU.
7. Dine rettigheter (GDPR)
Kontakt oss på e-post for å utøve personvernrettigheter: info@tutlio.lt.
Viktige presiseringer:
- Hvis du er elev eller elevens forelder/foresatt: For opplysninger som privatlæreren din eller skolen din har lagt inn i Plattformen, må du først kontakte dem direkte. De er din behandlingsansvarlige. Vi hjelper den behandlingsansvarlige teknisk med å gjennomføre rettighetene dine, men hovedansvaret ligger hos privatlæreren/organisasjonen din.
- Hvis du er privatlærer/organisasjon: Du kan selv administrere, korrigere, slette eller eksportere elevopplysninger via Plattformens innstillinger. Ved teknisk behov hjelper vi deg med å gjennomføre registrertes rettigheter.
7.1. Varsel om brudd på personopplysningssikkerheten
Hvis det skjer et brudd på personopplysningssikkerheten, informerer vi den behandlingsansvarlige, privatlæreren/organisasjonen, senest innen 72 timer fra bruddet ble kjent. Den behandlingsansvarlige er ansvarlig for videre varsling av registrerte eller tilsynsmyndigheter, inkludert Valstybinė duomenų apsaugos inspekcija (VDAI), slik GDPR krever.
8. Informasjonskapsler og analyse
Vi bruker bare nødvendige tekniske informasjonskapsler som kreves for brukerinnlogging, opprettholdelse av økt og sikker drift av Plattformen. Inne i Plattformen bruker vi ikke markedsføringsinformasjonskapsler fra tredjeparter uten særskilt samtykke.
9. Endringer
Denne Erklæringen kan oppdateres når tjenestene forbedres. Eksisterende kunder informeres om vesentlige endringer via e-post eller melding inne i Plattformen. Ved fortsatt bruk av tjenestene etter publisering av endringene godtar du den oppdaterte Personvernerklæringen. For B2B-kunder gjelder i tillegg Databehandleravtalen (DPA).