Gäller vid användning av Tutlio-plattformen.
1. Allmänna bestämmelser
Denna Integritetspolicy, nedan kallad Policyn, beskriver hur MB „Tutlio“ (företagskod 307617263), som driver Tutlio-plattformen, nedan kallad Tjänsteleverantören eller vi, samlar in, använder och skyddar personuppgifter. Vi agerar i enlighet med Republiken Litauens lagstiftning: den allmänna dataskyddsförordningen (GDPR, EU 2016/679), Republiken Litauens lag om rättsligt skydd för personuppgifter, lagar om elektroniska tjänster och elektronisk kommunikation samt andra tillämpliga rättsakter.
2. Personuppgiftsansvarig och personuppgiftsbiträde (roller)
Vid tillhandahållande av B2B-molntjänster är dataskyddsrollerna strikt åtskilda enligt GDPR. Handledaren/organisationen, Plattformens kund, agerar uteslutande som personuppgiftsansvarig för alla personuppgifter om elever och deras föräldrar/vårdnadshavare som förs in i Plattformen. MB „Tutlio“ agerar uteslutande som personuppgiftsbiträde enligt GDPR artikel 28 för elevers personuppgifter och behandlar dem endast enligt kundens instruktioner. MB „Tutlio“ agerar som personuppgiftsansvarig endast för registrerings- och faktureringsuppgifter för handledare/organisationer, alltså sina direkta B2B-kunder.
2.1. Handledaren/organisationen ansvarar som personuppgiftsansvarig för
- Rättslig grund: Att ha rättslig grund för behandling av alla elevers personuppgifter som förs in i Plattformen, såsom samtycke, avtal eller berättigat intresse.
- Information: Att informera elever och deras föräldrar/vårdnadshavare om behandling av uppgifter i Plattformen och tillhandahålla en länk till denna Integritetspolicy.
- Uppgifternas riktighet: Att säkerställa att uppgifter som matas in i Plattformen är korrekta, aktuella och begränsade till vad som är nödvändigt, enligt principen om uppgiftsminimering.
- Registrerades rättigheter: Att besvara elevers förfrågningar om deras uppgifter, inklusive åtkomst, radering, rättelse och dataportabilitet, självständigt med hjälp av Plattformens funktioner.
2.2. MB „Tutlio“ behandlar som personuppgiftsbiträde elevers uppgifter för följande ändamål
- Tillhandahållande av Plattformen: Säkerställa Plattformens infrastruktur, teknisk support och molntjänster enligt B2B-avtalet.
- Säkerhet: Teknisk datasäkerhet och införande av säkerhetsåtgärder, inklusive kryptering och säkerhetskopior.
- Automatiska processer: Skicka automatiska meddelanden, såsom påminnelser om lektioner och betalningar, strikt enligt handledarens/organisationens inställningar.
- Betalningshantering: Tekniskt stöd för betalningsprocesser när MB Tutlio agerar som auktoriserad handelsrepresentant.
3. Vilka uppgifter vi samlar in
- Registrerings- och kontouppgifter för kunder: e-postadress, för- och efternamn, telefonnummer och lösenord, som lagras krypterat, det vill säga som hash.
- Betalningsuppgifter: betalningshistorik och betalningsstatus för sessioner. Kort- eller bankuppgifter behandlas endast via licensierade partner, Stripe eller UAB „Perlas Finance“. MB „Tutlio“ ser eller lagrar inte fullständiga kortuppgifter eller inloggningsuppgifter till bank.
- Prenumerationsuppgifter: prenumerationsplan, giltighetsdatum och användning av provperiod.
- Lektions- och schema uppgifter: lektionstider, ämnen, anteckningar, avbokningar och utskick av påminnelser.
- Elevuppgifter som handledaren för in: elevers namn, e-postadresser, telefonnummer och uppgifter om betalaren, föräldrar eller vårdnadshavare.
- Tekniska uppgifter: IP-adress, webbläsartyp och inloggningstider för berättigade intressen, såsom systemsäkerhet och förebyggande av missbruk.
4. Användning av Google API-data (Google API Limited Use Policy)
För att möjliggöra bekväm schemaläggning låter Plattformen användare koppla sitt konto till Google Calendar genom OAuth-autentisering. Vi begär endast åtkomst till dina Google Calendar-händelser, med läs- och skrivrättigheter, för att kunna synkronisera lektioner som planeras i Plattformen med din personliga kalender.
Dina Google-kalenderuppgifter används uteslutande för att säkerställa tvåvägssynkronisering av kalendern. Vi överför, säljer eller delar inte dina Google-användaruppgifter med någon tredje part, inklusive annonsnätverk eller andra kommersiella partner.
Tutlios användning och överföring till annan applikation av information som mottagits från Google API följer strikt Google API Services User Data Policy, inklusive kraven för begränsad användning (Limited Use).
5. Ändamål och rättslig grund (GDPR artikel 6)
Vi behandlar uppgifter för att fullgöra avtal, såsom administration av konton, lektioner och betalningar, för berättigade intressen, såsom plattformssäkerhet och avräkningar, med ditt samtycke där lag kräver det, och för att följa rättsliga skyldigheter, såsom bokföring. Vi använder e-post för information om betalningar och avbokningar. Avbokningsreglerna beskrivs i Plattformens Användarvillkor.
6. Lagring och säkerhet
Vi lagrar uppgifter endast så länge det behövs för att fullgöra avtalet och följa lagkrav, till exempel bokföringskrav. Vi använder lämpliga tekniska och organisatoriska åtgärder, inklusive kryptering under överföring och i vila, åtkomstkontroll och automatiska säkerhetskopior, för att skydda uppgifter mot obehörig åtkomst, förlust eller missbruk.
6.1. Underbiträden
MB „Tutlio“ anlitar noggrant utvalda underbiträden som uppfyller GDPR-krav för att tillhandahålla moln- och betalningsinfrastruktur:
- Supabase Inc.: Databashosting och hantering, med uppgifter lagrade i EU-regionen på AWS-servrar.
- Stripe, Inc.: Betalningshantering och prenumerationshantering på internationella marknader.
- UAB „Perlas Finance“: Betalningsinsamling via open banking på den lokala marknaden.
- Resend (Zernonia, Inc.): Tjänst för transaktionella e-postmeddelanden, inklusive påminnelser, inbjudningar och meddelanden.
Alla underbiträden åtar sig att behandla personuppgifter endast enligt våra instruktioner och med de strängaste säkerhetsstandarderna, inklusive SCC-avtalsvillkor vid överföring av uppgifter utanför EU.
7. Dina rättigheter (GDPR)
För att utöva dataskyddsrättigheter, kontakta oss via e-post: info@tutlio.lt.
Viktiga förtydliganden:
- Om du är elev eller elevens förälder/vårdnadshavare: För uppgifter som din handledare eller skola har fört in i Plattformen ska du först kontakta dem direkt. De är din personuppgiftsansvariga. Vi hjälper den personuppgiftsansvariga tekniskt att genomföra dina rättigheter, men huvudansvaret ligger hos din handledare/organisation.
- Om du är handledare/organisation: Du kan självständigt hantera, korrigera, radera eller exportera elevuppgifter via Plattformens inställningar. Vid tekniskt behov hjälper vi dig att genomföra registrerades rättigheter.
7.1. Meddelande om personuppgiftsincidenter
Om en personuppgiftsincident inträffar informerar vi den personuppgiftsansvariga, handledaren/organisationen, senast inom 72 timmar från det att incidenten blev känd. Den personuppgiftsansvariga ansvarar för vidare information till registrerade eller tillsynsmyndigheter, inklusive Valstybinė duomenų apsaugos inspekcija (VDAI), enligt GDPR.
8. Cookies och analys
Vi använder endast nödvändiga tekniska cookies som krävs för användarinloggning, sessionshantering och säker drift av Plattformen. Inom Plattformen använder vi inte marknadsföringscookies från tredje part utan separat samtycke.
9. Ändringar
Denna Policy kan uppdateras när tjänsterna förbättras. Befintliga kunder informeras om väsentliga ändringar via e-post eller meddelande i Plattformen. Genom att fortsätta använda tjänsterna efter att ändringarna publicerats godkänner du den uppdaterade Integritetspolicyn. För B2B-kunder gäller dessutom personuppgiftsbiträdesavtalet (DPA).