Gäller vid användning av Tutlio-plattformen.
Anmärkning: Detta personuppgiftsbiträdesavtal (DPA) är en integrerad del av tjänsteavtalet, om ett sådant har undertecknats, Tutlio-plattformens Användarvillkor och Integritetspolicy. Det gäller alla handledare och organisationer som använder Tutlio-plattformen och behandlar elevers personuppgifter.
1. Parter och definitioner
1.1. Parter och roller
Detta personuppgiftsbiträdesavtal, nedan DPA, ingås mellan MB Tutlio, nedan Tjänsteleverantören eller Plattformen, som tillhandahåller Tutlio-plattformens tjänster, och handledaren/organisationen, nedan Kunden, som använder Plattformen för hantering av elevuppgifter och organisering av lektioner.
Parterna är uttryckligen överens om att Kunden enligt den allmänna dataskyddsförordningen (GDPR) agerar uteslutande som personuppgiftsansvarig vid behandling av personuppgifter i Plattformen, medan MB Tutlio uteslutande agerar som personuppgiftsbiträde enligt GDPR artikel 28.
1.2. Definitioner
- GDPR: Den allmänna dataskyddsförordningen (EU 2016/679).
- Personuppgifter: All information om en fysisk person, elev eller förälder/vårdnadshavare, vars identitet är känd eller kan fastställas.
- Personuppgiftsansvarig: En fysisk eller juridisk person, Kunden, som bestämmer ändamål och medel för behandlingen.
- Personuppgiftsbiträde: En fysisk eller juridisk person, MB Tutlio, som behandlar personuppgifter uteslutande för och enligt instruktioner från den personuppgiftsansvariga.
- Registrerad: En fysisk person, elev eller förälder/vårdnadshavare, vars personuppgifter behandlas.
- Underbiträde: Tredje part som Tjänsteleverantören använder för behandlingsoperationer, till exempel Supabase, Stripe och Perlas Finance.
2. Behandlingens omfattning och ändamål
2.1. Uppgifter som behandlas
På Plattformen kan följande personuppgifter om elever och föräldrar/vårdnadshavare behandlas enligt Kundens instruktioner:
- För- och efternamn.
- E-postadress.
- Telefonnummer.
- Ålder och klass, valfritt.
- Inbjudningskoder.
- Lektionshistorik, inklusive datum, tider, ämnen och anteckningar.
- Betalningsinformation, inklusive belopp, status och betalningsfrister.
- Uppgifter om föräldrar/vårdnadshavare om betalaren inte är eleven själv: namn och e-postadress.
2.2. Ändamål med behandlingen
- Tillhandahållande av Plattformens tjänster: Lektionsplanering, kalenderhantering och utskick av påminnelser.
- Betalningsadministration: Hantering av lektionsbetalningar, generering och utskick av fakturor.
- Kommunikation: Utskick av automatiska meddelanden, inklusive påminnelser, bekräftelser och inbjudningar.
- Bokföring: Hantering av finansiella register enligt lagkrav.
- Förbättring av Plattformen: Anonym statistik för att förbättra Plattformens tjänster.
2.3. Behandlingens varaktighet
- Uppgifter lagras så länge tjänsteavtalet eller kontoanvändningen mellan Kunden och Plattformen gäller.
- Finansiella register, inklusive betalningar och fakturor, lagras i 10 år enligt bokföringslagstiftningens krav.
- Efter uppsägning av avtalet eller radering av konto lagras uppgifter i upp till 30 dagar, om inte Kunden begär tidigare radering eller dataexport.
3. Parternas åtaganden och ansvar
3.1. Tjänsteleverantörens, personuppgiftsbiträdets, åtaganden
- Behandla uppgifter endast enligt Kundens, den personuppgiftsansvarigas, instruktioner och för de ändamål som anges i detta DPA.
- Införa lämpliga tekniska och organisatoriska säkerhetsåtgärder, inklusive kryptering, åtkomstkontroll och säkerhetskopior.
- Meddela Kunden om personuppgiftsincidenter inom 72 timmar från kännedom.
- Hjälpa Kunden att genomföra registrerades rättigheter, inklusive åtkomst, radering, rättelse och dataportabilitet med hjälp av Plattformens funktioner.
- Använda endast godkända underbiträden, se avsnitt 4, och informera Kunden om ändringar.
- Återlämna eller radera uppgifter efter avtalets slut enligt Kundens val.
- Tillåta revision genom att på motiverad begäran lämna information som behövs för kontroll av GDPR-efterlevnad.
- Inte överföra uppgifter utanför EU/EES utan lämpliga skyddsåtgärder.
3.2. Kundens, personuppgiftsansvarigas, åtaganden
- Ha rättslig grund för behandling av alla uppgifter som förs in i Plattformen, såsom samtycke, avtal eller berättigat intresse enligt GDPR artikel 6.
- Informera registrerade, elever och föräldrar, om vilka uppgifter som samlas in, varför de samlas in och att de kommer att behandlas i Tutlio-plattformen, samt tillhandahålla en länk till Tutlios Integritetspolicy.
- Inhämta lämpliga samtycken, och om den registrerade är minderårig, inhämta samtycke från föräldrar/vårdnadshavare.
- Säkerställa uppgifternas riktighet och följa principen om uppgiftsminimering genom att endast föra in uppgifter som behövs för lektioner.
- Självständigt besvara registrerades förfrågningar, vid behov med hjälp av Plattformens funktioner.
- Använda Plattformen ansvarsfullt, inte överlåta åtkomst till tredje part och skydda inloggningsuppgifter.
4. Underbiträden
4.1. Godkända underbiträden
Kunden ger Tjänsteleverantören ett generellt tillstånd att använda följande underbiträden:
- Supabase Inc. Tjänst: databashosting och hantering. Dataplats: Europeiska unionen, AWS eu-central-1-regionen. GDPR-efterlevnad: uppfyller GDPR, ISO 27001-certifierad.
- Stripe, Inc. Tjänst: betalningshantering för internationella marknader. Dataplats: USA, EU, med Standard Contractual Clauses (SCC). GDPR-efterlevnad: uppfyller GDPR, PCI DSS Level 1-certifierad.
- UAB „Perlas Finance“. Tjänst: open banking- och betalningshanteringstjänster för den lokala marknaden. Dataplats: Europeiska unionen, Litauen. GDPR-efterlevnad: betalningsinstitut licensierat av Litauens centralbank, uppfyller GDPR.
- Resend (Zernonia, Inc.). Tjänst: e-postutskick, inklusive påminnelser och meddelanden. Dataplats: USA, AWS, med SCC. GDPR-efterlevnad: uppfyller GDPR.
4.2. Byte av underbiträden
Om Tjänsteleverantören planerar att lägga till ett nytt underbiträde eller byta ut ett befintligt, informerar Tjänsteleverantören Kunden via e-post senast 30 dagar före ändringen. Kunden har rätt att invända mot ett nytt underbiträde om det finns motiverade dataskyddsrelaterade skäl. I sådant fall har Kunden rätt att säga upp tjänsteavtalet.
5. Registrerades rättigheter
5.1. Genomförande av rättigheter
Registrerade, elever och föräldrar, har följande rättigheter enligt GDPR: rätt till åtkomst, rätt till rättelse, rätt till radering, att bli bortglömd, rätt till begränsning, rätt till dataportabilitet, rätt att invända och rätt att klaga till Valstybinė duomenų apsaugos inspekcija (VDAI).
5.2. Svarstider och procedurer
Förfrågningar från registrerade ska i första hand hanteras av Kunden, den personuppgiftsansvariga. Om Kunden behöver teknisk hjälp med att hämta ut eller radera uppgifter kan Kunden kontakta Tjänsteleverantören via e-post på info@tutlio.lt. Tjänsteleverantören svarar på sådana förfrågningar senast inom 30 dagar.
6. Datasäkerhetsåtgärder
6.1. Tekniska åtgärder
- Kryptering: TLS 1.3 vid överföring och AES-256 i vila för lagring.
- Autentisering: Säker lagring av lösenord med bcrypt hash.
- Åtkomstkontroll: Avgränsad åtkomst till uppgifter genom Row-Level Security - RLS.
- Säkerhetskopior: Automatiska dagliga säkerhetskopior som lagras i 30 dagar.
- Övervakning: Övervakning av säkerhetshändelser och servermetrik.
6.2. Organisatoriska åtgärder
- Utbildning av medarbetare och sekretessåtaganden, där alla medarbetare undertecknar NDA.
- Åtkomstbegränsning: endast behöriga medarbetare har teknisk åtkomst till infrastrukturen.
- Incidenthantering: dokumenterade rutiner för hantering av säkerhetsincidenter.
7. Personuppgiftsincidenter
Om en personuppgiftsincident inträffar meddelar Tjänsteleverantören Kunden utan dröjsmål, senast inom 72 timmar, via e-post, beskriver incidentens art, anger vidtagna åtgärder och lämnar rekommendationer. Kunden är som personuppgiftsansvarig ansvarig för vidare information till registrerade eller VDAI enligt GDPR-kraven.
8. Internationell dataöverföring
Huvudsakliga personuppgifter lagras i Europeiska unionen, AWS eu-central-1. Vid användning av USA-registrerade underbiträden, till exempel Stripe och Resend, sker överföring av uppgifter enligt Europeiska kommissionens godkända Standard Contractual Clauses (SCC), vilket säkerställer den skyddsnivå som EU kräver.
9. Revision och efterlevnadskontroll
Kunden har rätt att begära information om de GDPR-efterlevnadsåtgärder som Tjänsteleverantören tillämpar. Tjänsteleverantören åtar sig att lämna styrkande dokument. Fysiska revisioner av infrastrukturen får endast genomföras efter förhandsöverenskommelse, med täckning av Tjänsteleverantörens kostnader för revisionsstöd och utan att bryta andra kunders konfidentialitet.
10. Avtalets upphörande och återlämnande av uppgifter
När tjänsteavtalet upphör eller Kunden raderar sitt konto återlämnar Tjänsteleverantören uppgifterna genom att möjliggöra export i JSON- eller CSV-format. Efter en övergångsperiod om 30 dagar raderas alla Kundens personuppgifter oåterkalleligt från systemen och säkerhetskopiorna, med undantag för uppgifter som enligt lag måste bevaras, till exempel finansiella transaktioner för bokföringsändamål.
11. Ansvar och ersättning
Varje part ansvarar för skada som uppstår till följd av partens egen överträdelse av detta DPA och GDPR. Tjänsteleverantörens, personuppgiftsbiträdets, maximala ekonomiska ansvar för överträdelser av detta DPA begränsas till de belopp och villkor som anges i det huvudsakliga tjänsteavtalet eller Plattformens Användarvillkor, ansvarsbegränsning eller Liability Cap.
12. Kontakt
MB Tutlios kontakt för GDPR- och integritetsfrågor:
- E-post: info@tutlio.lt.
- Ämne: BDAR / Duomenų apsauga.
- Svarstid: inom 5 arbetsdagar.
13. Slutbestämmelser
Detta DPA träder i kraft när Kunden godkänner Plattformens Villkor, eller undertecknar tjänsteavtalet, och gäller under hela tjänsteperioden. Tjänsteleverantören kan uppdatera detta DPA genom att informera Kunden via e-post senast 30 dagar före ändringarnas ikraftträdande. Detta avtal regleras av Republiken Litauens lag och EU:s GDPR-krav.