Umowa Powierzenia Przetwarzania Danych (DPA)

Umowa Powierzenia Przetwarzania Danych (DPA). Obowiązuje od: 25 marca 2026. Podmiot prawny: MB Tutlio. Kontakt: info@tutlio.lt

Korzystając z platformy Tutlio i wprowadzając dane uczniów, potwierdzasz, że przeczytałeś(-aś) i akceptujesz niniejszą Umowę Powierzenia Przetwarzania Danych (DPA).

✓ Akceptuję warunki DPA

Dokument utworzony: 2026-03-25

Podmiot prawny: MB Tutlio

Wersja: 1.0

Uwaga: Niniejsza Umowa Powierzenia Przetwarzania Danych (DPA) stanowi integralną część Regulaminu Platformy Tutlio

10. ROZWIĄZANIE UMOWY I ZWROT DANYCH

• Zwrot danych: Usługodawca przekazuje wszystkie dane Klienta w formacie JSON lub CSV w ciągu 30 dni
• Usunięcie danych: Usługodawca bezpiecznie usuwa wszystkie dane Klienta i uczniów w ciągu 30 dni

10.1. Zwrot lub usunięcie danych

Po rozwiązaniu umowy między Klientem a Usługodawcą, Klient może wybrać:

• Wymogi prawne (np. przepisy księgowe – 10 lat dla zapisów płatności)
• Roszczenia prawne (rozwiązywanie sporów)
• Konieczność techniczna (np. kopie zapasowe, które są automatycznie usuwane w ciągu 30 dni)

10.2. Wyjątki

Usługodawca może przechowywać określone dane dłużej, jeśli wymagają tego:

• Usługodawca ponosi odpowiedzialność za naruszenie technicznych i organizacyjnych środków bezpieczeństwa, naruszenie bezpieczeństwa danych
• Klient ponosi odpowiedzialność za przetwarzanie danych bez podstawy prawnej, niewystarczające powiadomienie podmiotów danych
• Wzajemna odpowiedzialność: Jeśli podmiot danych wniesie roszczenie z tytułu naruszenia RODO, strony współpracują i ponoszą odpowiedzialność proporcjonalnie

11. ODPOWIEDZIALNOŚĆ I ODSZKODOWANIE

Każda ze stron ponosi odpowiedzialność za niespełnienie swoich zobowiązań wynikających z niniejszej DPA:

Ograniczenie odpowiedzialności jest określone w Regulaminie Platformy i obowiązującym prawie.

Kontakty MB Tutlio w sprawach RODO:

E-mail: info@tutlio.lt

Uwaga: Obecnie MB Tutlio nie posiada wyznaczonego Inspektora Ochrony Danych (IOD), ponieważ nie podlega takiemu obowiązkowi

W ciągu 5 dni roboczych

Czas odpowiedzi:

"RODO / Ochrona danych"

Temat: "RODO / Ochrona danych"

12. KONTAKTY I INSPEKTOR OCHRONY DANYCH

• Regulamin Tutlio
• Polityka Prywatności Tutlio
• Umowy organizacyjne (jeśli dotyczy)

13. ZAŁĄCZNIKI I INFORMACJE DODATKOWE

Niniejsza DPA stanowi integralną część następujących dokumentów:

• Obowiązywanie: Niniejsza DPA wchodzi w życie od 2026-03-25 i obowiązuje przez cały okres trwania umowy
• Zmiany: Usługodawca może zaktualizować niniejszą DPA, powiadamiając Klienta e-mailem nie później niż 30 dni wcześniej
• Prawo właściwe: Niniejsza DPA podlega prawu Republiki Litewskiej i RODO
• Spory: Spory rozstrzygane są w drodze negocjacji; w przypadku braku porozumienia – w sądach Republiki Litewskiej

14. POSTANOWIENIA KOŃCOWE

1. STRONY I DEFINICJE

• MB Tutlio (dalej – Usługodawca, Platforma), świadczący usługi platformy Tutlio, oraz
• Korepetytor/Organizacja (dalej – Klient), korzystający z Platformy do zarządzania danymi uczniów i lekcji

1.1. Strony

Niniejsza Umowa Powierzenia Przetwarzania Danych (dalej – DPA) została zawarta pomiędzy:

• RODO – Ogólne rozporządzenie o ochronie danych (UE 2016/679)
• Dane osobowe – wszelkie informacje dotyczące osoby fizycznej (ucznia, rodzica/opiekuna), której tożsamość można ustalić
• Administrator danych – osoba fizyczna lub prawna, która określa cele i sposoby przetwarzania danych
• Podmiot przetwarzający – osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora danych
• Podmiot danych – osoba fizyczna (uczeń, rodzic/opiekun), której dane osobowe są przetwarzane
• Podwykonawca – strona trzecia wykorzystywana przez Usługodawcę do operacji przetwarzania danych (np. Supabase)

1.2. Definicje

2. ZAKRES I CELE PRZETWARZANIA DANYCH

• Imię i nazwisko
• Adres e-mail
• Numer telefonu
• Wiek i klasa (opcjonalnie)
• Kody zaproszeń
• Historia lekcji (daty, godziny, tematy, notatki)
• Informacje o płatnościach (kwota, status, terminy płatności)
• Dane rodzica/opiekuna (jeśli płatnikiem nie jest uczeń): imię, e-mail

2.1. Przetwarzane dane

Na Platformie mogą być przetwarzane następujące dane osobowe uczniów i rodziców/opiekunów:

• Świadczenie usług platformy: Planowanie lekcji, zarządzanie kalendarzem, wysyłanie przypomnień
• Administracja płatności: Przetwarzanie płatności za lekcje, wysyłanie faktur
• Komunikacja: Wysyłanie automatycznych powiadomień (przypomnienia, potwierdzenia, zaproszenia)
• Księgowość: Zarządzanie dokumentacją finansową zgodnie z wymogami prawnymi
• Ulepszanie platformy: Anonimowe statystyki do ulepszania usług platformy

2.2. Cele przetwarzania danych

Dane są przetwarzane w następujących celach:

• Tak długo, jak obowiązuje umowa między Klientem a Platformą
• Dokumentacja finansowa (płatności, faktury) – 10 lat zgodnie z wymogami przepisów księgowych
• Po rozwiązaniu umowy: do 30 dni, chyba że Klient zażąda wcześniejszego usunięcia lub zwrotu danych

2.3. Okres przetwarzania danych

Dane są przechowywane:

3. OBOWIĄZKI I ODPOWIEDZIALNOŚĆ STRON

• Przetwarzać dane wyłącznie zgodnie z instrukcjami Klienta i w celach określonych w niniejszej DPA
• Wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa:

Szyfrowanie danych (podczas przesyłania i przechowywania)

Kontrola dostępu (uwierzytelnianie, autoryzacja, polityki RLS)

Regularne kopie zapasowe i plany odzyskiwania

Audyt bezpieczeństwa i monitoring

Szkolenie pracowników w zakresie ochrony danych

• Zgłaszać naruszenia bezpieczeństwa danych w ciągu 72 godzin od wykrycia Klientowi i DPA (jeśli wymagane)
• Pomagać w realizacji praw podmiotów danych:

Prawo dostępu – zapewnienie możliwości eksportu danych

Prawo do usunięcia – usunięcie danych w ciągu 30 dni

Prawo do sprostowania – umożliwienie korekty danych przez Platformę

Prawo do przenoszenia danych – eksport danych w formacie JSON/CSV

• Korzystać wyłącznie z zatwierdzonych podwykonawców (patrz sekcja 4) i informować Klienta o wszelkich zmianach
• Zwrócić lub usunąć dane po rozwiązaniu umowy zgodnie z wyborem Klienta
• Umożliwić audyt – udostępnić informacje i dokumenty wymagane do weryfikacji zgodności z RODO
• Nie przekazywać danych poza UE/EOG bez odpowiednich zabezpieczeń (np. standardowe klauzule umowne)

3.1. Obowiązki Usługodawcy

Usługodawca zobowiązuje się do:

• Posiadać podstawę prawną do przetwarzania wszystkich danych wprowadzonych do Platformy (zgoda, umowa, uzasadniony interes)
• Informować podmioty danych (uczniów, rodziców) o:

Jakie dane są przetwarzane

Dlaczego są przetwarzane (cele)

Że dane będą przetwarzane na platformie Tutlio

Link do Polityki Prywatności Tutlio: tutlio.lt/privacy-policy

Ich prawa (dostęp, usunięcie, sprostowanie itp.)

• Uzyskać odpowiednią zgodę: Jeśli podmiot danych jest osobą nieletnią (poniżej 16 lat), uzyskać zgodę rodzica/opiekuna
• Zapewnić dokładność danych: Wprowadzać do Platformy wyłącznie prawidłowe i aktualne dane
• Wprowadzać tylko niezbędne dane: Przestrzegać zasady minimalizacji danych
• Reagować na żądania podmiotów danych: Korzystając z funkcji Platformy lub kontaktując się z Usługodawcą w celu uzyskania pomocy
• Zgłaszać incydenty bezpieczeństwa: Niezwłocznie informować Usługodawcę o zaobserwowanych naruszeniach bezpieczeństwa danych
• Korzystać z Platformy odpowiedzialnie: Nie udostępniać dostępu osobom trzecim, chronić dane logowania

3.2. Obowiązki Klienta

Klient zobowiązuje się do:

Zgodność z RODO:

Lokalizacja danych:

Polityka prywatności:

Resend (Zernonia, Inc.)

Zgodność z RODO: Zgodny z RODO

Lokalizacja danych: USA (AWS)

Usługa: Dostarczanie e-maili (przypomnienia, zaproszenia, powiadomienia)

Usługa:

Stripe, Inc.

Zgodność z RODO: Zgodny z RODO, certyfikat PCI DSS Level 1

Lokalizacja danych: USA, UE (ze standardowymi klauzulami umownymi)

Usługa: Przetwarzanie płatności, zarządzanie subskrypcjami

Supabase Inc.

Zgodność z RODO: Zgodny z RODO, certyfikat ISO 27001

Lokalizacja danych: Unia Europejska (AWS eu-central-1)

Usługa: Hosting i zarządzanie bazą danych

4. PODWYKONAWCY

4.1. Zatwierdzeni podwykonawcy

Usługodawca korzysta z następujących podwykonawców do operacji przetwarzania danych:

4.2. Zmiany podwykonawców

Jeśli Usługodawca planuje dodać nowego podwykonawcę lub zastąpić istniejącego, poinformuje Klienta e-mailem z 30-dniowym wyprzedzeniem

5. PRAWA PODMIOTÓW DANYCH

• Prawo dostępu (art. 15): Uzyskanie kopii swoich danych
• Prawo do sprostowania (art. 16): Poprawienie niedokładnych danych
• Prawo do usunięcia (art. 17): „Prawo do bycia zapomnianym" (z wyjątkami, np. przepisy księgowe)
• Prawo do ograniczenia przetwarzania (art. 18): Ograniczenie przetwarzania określonych danych
• Prawo do przenoszenia danych (art. 20): Otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie
• Prawo do sprzeciwu (art. 21): Sprzeciw wobec przetwarzania danych na podstawie uzasadnionego interesu
• Prawo do złożenia skargi (art. 77): Złożenie skargi do Państwowego Inspektoratu Ochrony Danych (VDAI)

5.1. Realizacja praw

Podmioty danych (uczniowie, rodzice) mają następujące prawa wynikające z RODO:

• Bezpośrednio do Klienta (korepetytora/organizacji)
• Poprzez ustawienia Platformy (jeśli uczeń ma konto)
• E-mailem do Usługodawcy: info@tutlio.lt

5.2. Terminy odpowiedzi i procedury

Żądania podmiotów danych można składać:

Termin odpowiedzi: Nie później niż 30 dni od otrzymania żądania (może być przedłużony do 60 dni w złożonych przypadkach)

6. ŚRODKI BEZPIECZEŃSTWA DANYCH

• Szyfrowanie: TLS 1.3 podczas przesyłania, AES-256 podczas przechowywania
• Uwierzytelnianie: Bezpieczne przechowywanie haseł (bcrypt), możliwość MFA
• Kontrola dostępu: Polityki Row-Level Security (RLS) w bazie danych
• Kopie zapasowe: Automatyczne codzienne kopie zapasowe z 30-dniowym przechowywaniem
• Monitoring: Śledzenie i powiadomienia o zdarzeniach bezpieczeństwa
• Aktualizacje: Regularne aktualizacje systemu i zależności

6.1. Środki techniczne

• Szkolenie pracowników: Szkolenia z RODO i ochrony danych
• Obowiązek poufności: Wszyscy pracownicy podpisują umowy o poufności
• Ograniczenie dostępu: Tylko upoważnieni pracownicy mają dostęp do danych
• Zarządzanie incydentami: Udokumentowane procedury postępowania z naruszeniami bezpieczeństwa danych
• Audyty: Regularne wewnętrzne audyty bezpieczeństwa

6.2. Środki organizacyjne

7. NARUSZENIA BEZPIECZEŃSTWA DANYCH

• Niezwłocznie (w ciągu 72 godzin) powiadamia Klienta e-mailem
• Opisuje naruszenie: Charakter naruszenia, jakie dane zostały dotknięte, ilu podmiotów danych dotyczy
• Podaje podjęte środki: Jak naruszenie zostało ograniczone, jakie środki podjęto w celu przywrócenia danych
• Zaleca działania: O czym Klient powinien powiadomić podmioty danych
• Jeśli naruszenie stwarza wysokie ryzyko dla praw podmiotów danych, Usługodawca powiadamia organ ochrony danych i pomaga

7.1. Procedura powiadomienia

W przypadku naruszenia bezpieczeństwa danych Usługodawca:

7.2. Odpowiedzialność Klienta

Klient zobowiązuje się niezwłocznie zgłosić Usługodawcy wszelkie zaobserwowane incydenty bezpieczeństwa związane z jego kontem

• Przestrzegać wymagań RODO
• Stosować Standardowe Klauzule Umowne (SKU) zatwierdzone przez Komisję Europejską
• Posiadać odpowiednie techniczne i organizacyjne środki bezpieczeństwa

8. MIĘDZYNARODOWE TRANSFERY DANYCH

Główne dane są przechowywane w Unii Europejskiej (Supabase AWS eu-central-1). Niektórzy podwykonawcy (Stripe, Resend) przetwarzają dane w USA z odpowiednimi zabezpieczeniami.

Usługodawca nie będzie przekazywać danych do krajów trzecich poza UE/EOG bez odpowiednich zabezpieczeń i informowania Klienta

• Dostarczyć dokumenty potwierdzające wdrożenie środków bezpieczeństwa
• Dostarczyć listę podwykonawców i ich zgodność z RODO
• Umożliwić audyty (na uzasadnione żądanie i po wcześniejszym uzgodnieniu)
• Współpracować z organami nadzorczymi (VDAI)

9. AUDYT I WERYFIKACJA ZGODNOŚCI

Klient ma prawo żądać informacji o zgodności Usługodawcy z RODO. Usługodawca zobowiązuje się: