Avtal om behandling av personuppgifter (DPA)

Personuppgiftsbiträdesavtal (DPA). Gäller från: 25 mars 2026. Juridisk person: MB Tutlio. Kontakt: info@tutlio.lt.

Genom att använda Tutlio-plattformen och ange elevdata bekräftar du att du har läst och godkänner detta Personuppgiftsbiträdesavtal (DPA), Integritetspolicy och Användarvillkor.

✓ Jag godkänner DPA-villkoren

Dokument skapat: 2026-03-25

Juridisk person: MB Tutlio

Version: 1.0

Obs: Detta Personuppgiftsbiträdesavtal (DPA) är en integrerad del av Tutlio-plattformens Användarvillkor och Integritetspolicy. Det gäller alla lärare och organisationer som använder Tutlio-plattformen och behandlar elevers personuppgifter.

10. AVTALETS UPPHÖRANDE OCH DATAÅTERLÄMNING

• Dataåterlämning: Tjänsteleverantören levererar all klientdata i JSON- eller CSV-format inom 30 dagar
• Dataradering: Tjänsteleverantören raderar säkert all klient- och elevdata inom 30 dagar

10.1. Dataåterlämning eller radering

Vid upphörande av avtalet mellan klienten och tjänsteleverantören kan klienten välja:

• Lagkrav (t.ex. bokföringslagar – 10 år för betalningsposter)
• Rättsliga anspråk (tvistlösning)
• Teknisk nödvändighet (t.ex. säkerhetskopior, som automatiskt raderas inom 30 dagar)

10.2. Undantag

Tjänsteleverantören kan behålla viss data längre om det krävs av:

• Tjänsteleverantören ansvarar för brott mot tekniska och organisatoriska säkerhetsåtgärder, datasäkerhetsincidenter på grund av eget vållande
• Klienten ansvarar för behandling av data utan rättslig grund, otillräcklig information till registrerade, inmatning av obefogade eller felaktiga uppgifter
• Ömsesidigt ansvar: Om en registrerad lämnar in klagomål för GDPR-överträdelse samarbetar parterna och ansvarar enligt sina respektive ansvarsområden

11. ANSVAR OCH ERSÄTTNING

Varje part ansvarar för bristande efterlevnad av sina skyldigheter enligt detta DPA:

Ansvarsbegränsningen fastställs i Plattformens Användarvillkor och tillämplig lag.

MB Tutlios kontaktuppgifter för GDPR-frågor:

E-post: info@tutlio.lt

Obs: MB Tutlio har för närvarande inget utsett dataskyddsombud (DPO) eftersom det inte faller under kraven i GDPR Art. 37. Alla GDPR-frågor hanteras via den allmänna kontakten.

Inom 5 arbetsdagar

Svarstid:

"GDPR / Dataskydd"

Ämne: "GDPR / Dataskydd"

12. KONTAKTER OCH DATASKYDDSOMBUD

• Tutlio Användarvillkor
• Tutlio Integritetspolicy
• Organisationsavtal (om tillämpligt)

13. BILAGOR OCH YTTERLIGARE INFORMATION

Detta DPA är en integrerad del av följande dokument:

• Giltighet: Detta DPA träder i kraft från 2026-03-25 och gäller under hela avtalstiden mellan klienten och tjänsteleverantören
• Ändringar: Tjänsteleverantören kan uppdatera detta DPA genom att meddela klienten via e-post senast 30 dagar innan ändringarna träder i kraft
• Tillämplig lag: Detta DPA regleras av Republiken Litauens lag och GDPR
• Tvister: Tvister löses genom förhandling; vid utebliven överenskommelse – i Republiken Litauens domstolar

14. SLUTBESTÄMMELSER

1. PARTER OCH DEFINITIONER

• MB Tutlio (nedan – Tjänsteleverantören, Plattformen), som tillhandahåller Tutlio-plattformens tjänster, och
• Lärare/Organisation (nedan – Klienten), som använder Plattformen för hantering av elevdata och lektionsorganisation.

1.1. Parter

Detta Personuppgiftsbiträdesavtal (nedan – DPA) ingås mellan:

• GDPR – Allmänna dataskyddsförordningen (EU 2016/679)
• Personuppgifter – all information som rör en fysisk person (elev, förälder/vårdnadshavare) vars identitet är känd eller kan fastställas
• Personuppgiftsansvarig – en fysisk eller juridisk person som bestämmer ändamålen och medlen för behandling av uppgifter
• Personuppgiftsbiträde – en fysisk eller juridisk person som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige
• Registrerad – en fysisk person (elev, förälder/vårdnadshavare) vars personuppgifter behandlas
• Underbiträde – en tredje part som används av tjänsteleverantören för databehandlingsoperationer (t.ex. Supabase, Stripe)

1.2. Definitioner

2. OMFATTNING OCH ÄNDAMÅL FÖR DATABEHANDLING

• För- och efternamn
• E-postadress
• Telefonnummer
• Ålder och klass (valfritt)
• Inbjudningskoder
• Lektionshistorik (datum, tider, ämnen, anteckningar)
• Betalningsinformation (belopp, status, betalningsdeadlines)
• Förälder-/vårdnadshavardata (om betalaren inte är eleven): namn, e-post

2.1. Data som behandlas

Följande personuppgifter om elever och föräldrar/vårdnadshavare kan behandlas på Plattformen:

• Leverans av plattformstjänster: Schemaläggning av lektioner, kalenderhantering, påminnelser
• Betalningsadministration: Hantering av lektionsbetalningar, fakturering
• Kommunikation: Automatiska meddelanden (påminnelser, bekräftelser, inbjudningar)
• Bokföring: Hantering av ekonomiska uppgifter enligt lagkrav
• Plattformsförbättring: Anonym statistik för att förbättra plattformens tjänster

2.2. Ändamål för databehandling

Data behandlas för följande ändamål:

• Så länge avtalet mellan klienten och plattformen gäller
• Ekonomiska uppgifter (betalningar, fakturor) – 10 år enligt bokföringslagstiftning
• Efter avtalsupphörande: upp till 30 dagar, såvida inte klienten begär tidigare radering eller dataåterlämning

2.3. Lagringstid för data

Data lagras:

3. PARTERNAS SKYLDIGHETER OCH ANSVAR

• Behandla data enbart enligt klientens instruktioner och för de ändamål som anges i detta DPA
• Implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder:

Datakryptering (under överföring och i vila)

Åtkomstkontroll (autentisering, auktorisering, RLS-policyer)

Regelbundna säkerhetskopior och återställningsplaner

Säkerhetsgranskning och övervakning

Utbildning av anställda om dataskydd

• Rapportera datasäkerhetsincidenter inom 72 timmar efter upptäckt till klienten och DPA (om det krävs)
• Bistå vid genomförande av registrerades rättigheter:

Rätt till tillgång – tillhandahålla möjlighet att exportera data

Rätt till radering – radera data inom 30 dagar

Rätt till rättelse – möjliggöra datakorrektion via Plattformen

Rätt till dataportabilitet – exportera data i JSON/CSV-format

• Använda enbart godkända underbiträden (se avsnitt 4) och informera klienten om eventuella ändringar
• Återlämna eller radera data vid avtalsupphörande enligt klientens val
• Tillåta granskning – tillhandahålla information och dokument som krävs för GDPR-efterlevnadskontroll
• Inte överföra data utanför EU/EES utan lämpliga skyddsåtgärder (t.ex. standardavtalsklausuler)

3.1. Tjänsteleverantörens skyldigheter

Tjänsteleverantören åtar sig att:

• Ha en rättslig grund för behandling av alla uppgifter som registreras i Plattformen (samtycke, avtal, berättigat intresse enligt GDPR Art. 6)
• Informera registrerade (elever, föräldrar) om:

Vilka uppgifter som behandlas

Varför de behandlas (ändamål)

Att uppgifter behandlas på Tutlio-plattformen

Tutlio Integritetspolicy-länk: tutlio.lt/privacy-policy

Deras rättigheter (tillgång, radering, rättelse, etc.)

• Inhämta lämpligt samtycke: Om den registrerade är minderårig (under 16 år), inhämta förälders/vårdnadshavares samtycke
• Säkerställa datakvalitet: Registrera enbart korrekta och aktuella uppgifter i Plattformen
• Registrera enbart nödvändiga uppgifter: Efterleva principen om uppgiftsminimering
• Svara på registrerades begäranden: Genom Plattformens funktioner eller genom att kontakta tjänsteleverantören för hjälp
• Rapportera säkerhetsincidenter: Omedelbart informera tjänsteleverantören om observerade datasäkerhetsincidenter
• Använda Plattformen ansvarsfullt: Inte dela åtkomst med tredje part, skydda inloggningsuppgifter

3.2. Klientens skyldigheter

Klienten åtar sig att:

GDPR-efterlevnad:

Dataplats:

Integritetspolicy:

Resend (Zernonia, Inc.)

GDPR-efterlevnad: GDPR-kompatibel

Dataplats: USA (AWS)

Tjänst: E-postleverans (påminnelser, inbjudningar, notifikationer)

Tjänst:

Stripe, Inc.

GDPR-efterlevnad: GDPR-kompatibel, PCI DSS Nivå 1-certifierad

Dataplats: USA, EU (med standardavtalsklausuler)

Tjänst: Betalningshantering, prenumerationshantering

Supabase Inc.

GDPR-efterlevnad: GDPR-kompatibel, ISO 27001-certifierad

Dataplats: Europeiska unionen (AWS eu-central-1)

Tjänst: Databashosting och -hantering

4. UNDERBITRÄDEN

4.1. Godkända underbiträden

Tjänsteleverantören använder följande underbiträden för databehandling:

4.2. Ändringar av underbiträden

Om tjänsteleverantören planerar att lägga till ett nytt underbiträde eller ersätta ett befintligt, informeras klienten via e-post senast 30 dagar före ändringen. Klienten har rätt att invända mot det nya underbiträdet, i vilket fall de kan säga upp avtalet utan extra avgifter.

5. REGISTRERADES RÄTTIGHETER

• Rätt till tillgång (Art. 15): Erhålla en kopia av sina uppgifter
• Rätt till rättelse (Art. 16): Korrigera felaktiga uppgifter
• Rätt till radering (Art. 17): "Rätten att bli glömd" (med undantag, t.ex. bokföringslagstiftning)
• Rätt till begränsning (Art. 18): Begränsa behandlingen av vissa uppgifter
• Rätt till dataportabilitet (Art. 20): Erhålla uppgifter i ett strukturerat, maskinläsbart format
• Rätt att göra invändning (Art. 21): Invända mot databehandling baserad på berättigade intressen
• Rätt att klaga (Art. 77): Lämna in klagomål till Statens dataskyddsinspektion (VDAI)

5.1. Utövande av rättigheter

Registrerade (elever, föräldrar) har följande rättigheter enligt GDPR:

• Direkt till klienten (lärare/organisation)
• Via Plattformens inställningar (om eleven har ett konto)
• Via e-post till tjänsteleverantören: info@tutlio.lt

5.2. Svarstider och förfaranden

Begäranden från registrerade kan lämnas in:

Svarstid: Senast 30 dagar från mottagande av begäran (kan förlängas till 60 dagar i komplexa fall, med meddelande till den registrerade).

6. DATASÄKERHETSÅTGÄRDER

• Kryptering: TLS 1.3 under överföring, AES-256 i vila
• Autentisering: Säker lösenordslagring (bcrypt), MFA-kapacitet
• Åtkomstkontroll: Row-Level Security (RLS)-policyer i databasen
• Säkerhetskopior: Automatiska dagliga säkerhetskopior med 30 dagars lagring
• Övervakning: Spårning och notifiering av säkerhetshändelser
• Uppdateringar: Regelbundna system- och beroendeuppdateringar

6.1. Tekniska åtgärder

• Personalutbildning: GDPR- och dataskyddsutbildning
• Sekretessåtaganden: Alla anställda undertecknar sekretessavtal
• Åtkomstbegränsning: Endast behörig personal har tillgång till data
• Incidenthantering: Dokumenterade rutiner för hantering av datasäkerhetsincidenter
• Granskningar: Regelbundna interna säkerhetsgranskningar

6.2. Organisatoriska åtgärder

7. DATASÄKERHETSINCIDENTER

• Omedelbart (inom 72 timmar) meddelar klienten via e-post
• Beskriver incidenten: Incidentens art, vilka uppgifter som påverkats, hur många registrerade
• Anger vidtagna åtgärder: Hur incidenten begränsades, vilka åtgärder som vidtogs för att återställa data
• Rekommenderar åtgärder: Vad klienten bör informera registrerade om
• Om incidenten utgör en hög risk för registrerades rättigheter meddelar tjänsteleverantören DPA och bistår klienten med att informera berörda registrerade

7.1. Meddelandeförfarande

Vid en datasäkerhetsincident gör tjänsteleverantören följande:

7.2. Klientens ansvar

Klienten åtar sig att omedelbart rapportera till tjänsteleverantören alla observerade säkerhetsincidenter relaterade till deras konto eller data på Plattformen.

• Efterleva GDPR-krav
• Använda Standardavtalsklausuler (SCC) godkända av Europeiska kommissionen
• Ha lämpliga tekniska och organisatoriska säkerhetsåtgärder

8. INTERNATIONELLA DATAÖVERFÖRINGAR

Primärdata lagras i Europeiska unionen (Supabase AWS eu-central-1-region). Vissa underbiträden (Stripe, Resend) kan lagra data i USA, men de:

Tjänsteleverantören överför inte data till tredjeländer utanför EU/EES utan lämpliga skyddsåtgärder och information till klienten.

• Tillhandahålla dokument som bekräftar genomförandet av säkerhetsåtgärder
• Tillhandahålla en lista över underbiträden och deras GDPR-efterlevnad
• Tillåta granskningar (vid rimlig begäran och överenskommelse i förväg)
• Samarbeta med tillsynsmyndigheter (VDAI)

9. GRANSKNING OCH EFTERLEVNADSKONTROLL

Klienten har rätt att begära information om tjänsteleverantörens GDPR-efterlevnad. Tjänsteleverantören åtar sig att: