Duomenų tvarkymo sutartis (DPA)

MB Tutlio

Naudodamiesi Tutlio platforma ir įvesdami mokinių duomenis, Jūs patvirtinate, kad perskaitėte ir sutinkate su šia Duomenų tvarkymo sutartimi (DPA), Privatumo politika ir Vidaus taisyklėmis.

✓ Sutinku su DPA sąlygomis

Dokumentas sukurtas: 2026-03-25

Juridinis subjektas: MB Tutlio

Versija: 1.0

Pastaba: Ši Duomenų tvarkymo sutartis (DPA) yra neatsiejama Tutlio Platformos Vidaus taisyklių ir Privatumo politikos dalis. Ji taikoma visiems Korepetitoriams ir Organizacijoms, kurios naudoja Tutlio platformą ir tvarko mokinių asmens duomenis.

10. SUTARTIES PASIBAIGIMAS IR DUOMENŲ GRĄŽINIMAS

• Duomenų grąžinimas: Paslaugų teikėjas per 30 dienų pateikia visus Kliento duomenis JSON arba CSV formatu
• Duomenų ištrynimas: Paslaugų teikėjas per 30 dienų saugiai ištrina visus Kliento ir mokinių duomenis

10.1. Duomenų grąžinimas ar ištrynimas

Pasibaigus sutarčiai tarp Kliento ir Paslaugų teikėjo, Klientas gali pasirinkti:

• Teisės aktai (pvz., apskaitos įstatymai – 10 metų mokėjimų įrašams)
• Teisinės pretenzijos (ginčų sprendimas)
• Techninis poreikis (pvz., backup'ai, kurie automatiškai ištrinami per 30 dienų)

10.2. Išimtys

Paslaugų teikėjas gali saugoti tam tikrus duomenis ilgiau, jei to reikalauja:

• Paslaugų teikėjas atsako už techninių ir organizacinių saugumo priemonių pažeidimus, duomenų saugumo incidentus dėl savo kaltės
• Klientas atsako už duomenų tvarkymą be teisinio pagrindo, netinkamą informavimą duomenų subjektų, nepagrįstų ar neteisingų duomenų įvedimą
• Abipusė atsakomybė: Jei duomenų subjektas pateikia ieškinį dėl BDAR pažeidimo, šalys bendradarbiauja ir atsako pagal savo atsakomybės sritis

11. ATSAKOMYBĖ IR KOMPENSACIJOS

Kiekviena šalis atsako už savo įsipareigojimų pagal šią DPA nevykdymą:

Atsakomybės ribojimas nustatytas Platformos Vidaus taisyklėse ir taikytinoje teisėje.

MB Tutlio kontaktai BDAR klausimais:

El. paštas: info@tutlio.lt

Pastaba: Šiuo metu MB Tutlio neturi paskirto Duomenų apsaugos pareigūno (DPO), nes nepatenka į BDAR 37 str. reikalavimus. Visi BDAR klausimai sprendžiami per bendrąjį kontaktą.

Per 5 darbo dienas

Atsakymo laikas:

"BDAR / Duomenų apsauga"

Tema: "BDAR / Duomenų apsauga"

12. KONTAKTAI IR DUOMENŲ APSAUGOS PAREIGŪNAS

• Tutlio Vidaus taisyklės
• Tutlio Privatumo politika
• Organizacijų sutartys (jei taikoma)

13. PRIEDAI IR PAPILDOMA INFORMACIJA

Ši DPA yra neatsiejama šių dokumentų dalis:

• Galiojimas: Ši DPA įsigalioja nuo 2026-03-25 ir galioja visą sutarties tarp Kliento ir Paslaugų teikėjo laikotarpį
• Pakeitimai: Paslaugų teikėjas gali atnaujinti šią DPA informuodamas Klientą el. paštu ne vėliau kaip 30 dienų iki pakeitimų įsigaliojimo
• Taikoma teisė: Šiai DPA taikoma Lietuvos Respublikos teisė ir BDAR
• Ginčai: Ginčai sprendžiami derybomis; nepavykus susitarti – Lietuvos Respublikos teismuose

14. GALUTINĖS NUOSTATOS

1. ŠALYS IR APIBRĖŽIMAI

• MB Tutlio (toliau – Paslaugų teikėjas, Platforma), teikiančios Tutlio platformos paslaugas, ir
• Korepetitoriaus/Organizacijos (toliau – Klientas), naudojančio Platformą mokinių duomenų valdymui ir pamokų organizavimui.

1.1. Šalys

Ši Duomenų tvarkymo sutartis (toliau – DPA) sudaryta tarp:

• BDAR – Bendrasis duomenų apsaugos reglamentas (ES 2016/679)
• Asmens duomenys – bet kuri informacija apie fizinį asmenį (mokinį, tėvą/globėją), kurio tapatybė yra žinoma arba gali būti nustatyta
• Duomenų valdytojas – fizinis ar juridinis asmuo, kuris nustato duomenų tvarkymo tikslus ir būdus
• Duomenų tvarkytojas – fizinis ar juridinis asmuo, kuris tvarko asmens duomenis duomenų valdytojo vardu
• Duomenų subjektas – fizinis asmuo (mokinys, tėvas/globėjas), kurio asmens duomenys yra tvarkomi
• Subtvarkytojas – trečioji šalis, kurią Paslaugų teikėjas naudoja duomenų tvarkymo operacijoms (pvz., Supabase, Stripe)

1.2. Apibrėžimai

2. DUOMENŲ TVARKYMO APIMTIS IR TIKSLAI

• Vardas ir pavardė
• El. pašto adresas
• Telefono numeris
• Amžius ir klasė (pasirinktinai)
• Pakvietimo kodai
• Pamokų istorija (datos, laikai, temos, pastabos)
• Mokėjimų informacija (suma, būsena, mokėjimo terminai)
• Tėvų/globėjų duomenys (jei mokėtojas nėra pats mokinys): vardas, el. paštas

2.1. Tvarkomi duomenys

Platformoje gali būti tvarkomi šie mokinių ir tėvų/globėjų asmens duomenys:

• Platformos paslaugų teikimas: Pamokų planavimas, kalendoriaus valdymas, priminimų siuntimas
• Mokėjimų administravimas: Mokėjimų už pamokas apdorojimas, sąskaitų siuntimas
• Komunikacija: Automatinių pranešimų siuntimas (priminimai, patvirtinimai, pakvietimai)
• Apskaita: Finansinių įrašų tvarkymas pagal teisės aktų reikalavimus
• Platformos tobulinimas: Anoniminė statistika platformos paslaugų gerinimui

2.2. Duomenų tvarkymo tikslai

Duomenys tvarkomi šiais tikslais:

• Tol, kol galioja sutartis tarp Kliento ir Platformos
• Finansiniai įrašai (mokėjimai, sąskaitos) – 10 metų pagal apskaitos įstatymų reikalavimus
• Po sutarties nutraukimo: iki 30 dienų, nebent Klientas paprašo ankstesnio ištrynimo ar duomenų grąžinimo

2.3. Duomenų tvarkymo trukmė

Duomenys saugomi:

3. ŠALIŲ ĮSIPAREIGOJIMAI IR ATSAKOMYBĖS

• Tvarkyti duomenis tik pagal Kliento nurodymus ir šioje DPA nurodytais tikslais
• Įgyvendinti tinkamas technines ir organizacines saugumo priemones:

Duomenų šifravimas (transportavimo ir saugojimo metu)

Prieigos kontrolė (autentifikacija, autorizacija, RLS policies)

Reguliarūs backup'ai ir atkūrimo planai

Saugumo auditas ir monitoringas

Darbuotojų mokymai dėl duomenų apsaugos

• Pranešti apie duomenų saugumo pažeidimus per 72 valandas nuo sužinojimo Klientui ir VDAI (jei reikia)
• Padėti įgyvendinti duomenų subjektų teises:

Prieigos teisė – suteikti galimybę eksportuoti duomenis

Ištrinimo teisė – ištrinti duomenis per 30 dienų

Taisymo teisė – leisti koreguoti duomenis per Platformą

Perkėliamumo teisė – eksportuoti duomenis JSON/CSV formatu

• Naudoti tik patvirtintus subtvarkytojus (žr. 4 skyrių) ir informuoti Klientą apie pasikeitimus
• Grąžinti arba ištrinti duomenis pasibaigus sutarčiai pagal Kliento pasirinkimą
• Leisti audituoti – suteikti informaciją ir dokumentus, reikalingus BDAR atitikties patikrinimui
• Neperduoti duomenų už ES/EEE ribų be tinkamų apsaugos priemonių (pvz., standartinės sutarties sąlygos)

3.1. Paslaugų teikėjo įsipareigojimai

Paslaugų teikėjas įsipareigoja:

• Turėti teisinį pagrindą visų į Platformą įvedamų duomenų tvarkymui (sutikimas, sutartis, teisėtas interesas pagal BDAR 6 str.)
• Informuoti duomenų subjektus (mokinius, tėvus) apie:

Kokius duomenis tvarko

Kodėl tvarko (tikslai)

Kad duomenys bus tvarkomi Tutlio platformoje

Tutlio Privatumo politikos nuorodą: tutlio.lt/privacy-policy

Jų teises (prieiga, ištrinimas, taisymas, etc.)

• Gauti tinkamus sutikimus: Jei duomenų subjektas yra nepilnametis (iki 16 metų), gauti tėvų/globėjų sutikimą
• Užtikrinti duomenų tikslumą: Į Platformą vesti tik teisingus ir aktualius duomenis
• Vesti tik būtinus duomenis: Laikytis duomenų minimizavimo principo
• Atsakyti į duomenų subjektų užklausas: Naudojantis Platformos funkcijomis arba kreipiantis į Paslaugų teikėją pagalbos
• Pranešti apie saugumo incidentus: Nedelsiant informuoti Paslaugų teikėją apie bet kokius pastebėtus duomenų saugumo pažeidimus
• Naudoti Platformą atsakingai: Neperduoti prieigos tretiesiems asmenims, saugoti prisijungimo duomenis

3.2. Kliento įsipareigojimai

Klientas įsipareigoja:

BDAR atitiktis:

Duomenų vieta:

Privatumo politika:

Resend (Zernonia, Inc.)

BDAR atitiktis: BDAR atitinka

Duomenų vieta: JAV (AWS)

Paslauga: El. laiškų siuntimas (priminimai, pakvietimai, pranešimai)

Paslauga:

Stripe, Inc.

BDAR atitiktis: BDAR atitinka, PCI DSS Level 1 sertifikuotas

Duomenų vieta: JAV, ES (su standartinėmis sutarties sąlygomis)

Paslauga: Mokėjimų apdorojimas, prenumeratų valdymas

Supabase Inc.

BDAR atitiktis: BDAR atitinka, ISO 27001 sertifikuotas

Duomenų vieta: Europos Sąjunga (AWS eu-central-1)

Paslauga: Duomenų bazės talpinimas ir valdymas

4. SUBTVARKYTOJAI

4.1. Patvirtinti subtvarkytojai

Paslaugų teikėjas naudoja šiuos subtvarkytojus duomenų tvarkymo operacijoms:

4.2. Subtvarkytojų keitimas

Jei Paslaugų teikėjas planuoja pridėti naują subtvarkytoją arba pakeisti esamą, jis informuos Klientą el. paštu ne vėliau kaip 30 dienų iki pakeitimo. Klientas turi teisę nesutikti su nauju subtvarkytoju, tokiu atveju jis gali nutraukti sutartį be papildomų mokesčių.

5. DUOMENŲ SUBJEKTŲ TEISĖS

• Prieigos teisė (15 str.): Gauti kopiją savo duomenų
• Taisymo teisė (16 str.): Ištaisyti neteisingus duomenis
• Ištrinimo teisė (17 str.): "Būti pamirštam" (su išimtimis, pvz., apskaitos įstatymai)
• Apribojimo teisė (18 str.): Apriboti tam tikrų duomenų tvarkymą
• Perkėliamumo teisė (20 str.): Gauti duomenis struktūrizuotu, mašininio skaitymo formatu
• Nesutikimo teisė (21 str.): Nesutikti su duomenų tvarkymu, grindžiamu teisėtais interesais
• Teisė skųstis (77 str.): Pateikti skundą Valstybinei duomenų apsaugos inspekcijai (VDAI)

5.1. Teisių įgyvendinimas

Duomenų subjektai (mokiniai, tėvai) turi šias teises pagal BDAR:

• Tiesiogiai Klientui (korepetitoriui/organizacijai)
• Per Platformos nustatymus (jei mokinys turi paskyrą)
• El. paštu Paslaugų teikėjui: info@tutlio.lt

5.2. Atsakymo terminai ir procedūros

Duomenų subjektų užklausas galima pateikti:

Atsakymo terminas: Ne vėliau kaip per 30 dienų nuo užklausos gavimo (gali būti pratęstas iki 60 dienų sudėtingais atvejais, informuojant duomenų subjektą).

6. DUOMENŲ SAUGUMO PRIEMONĖS

• Šifravimas: TLS 1.3 transportavimui, AES-256 saugojimui
• Autentifikacija: Saugus slaptažodžių saugojimas (bcrypt), MFA galimybė
• Prieigos kontrolė: Row-Level Security (RLS) policies duomenų bazėje
• Backup'ai: Automatiniai kasdieniniai backup'ai su 30 dienų saugojimu
• Monitoringas: Saugumo įvykių stebėjimas ir pranešimai
• Atnaujinimai: Reguliarūs sistemos ir priklausomybių atnaujinimai

6.1. Techninės priemonės

• Darbuotojų mokymai: BDAR ir duomenų apsaugos mokymai
• Konfidencialumo įsipareigojimai: Visi darbuotojai pasirašo konfidencialumo susitarimus
• Prieigos ribojimas: Tik įgalioti darbuotojai turi prieigą prie duomenų
• Incidentų valdymas: Dokumentuotos procedūros duomenų saugumo pažeidimų tvarkymui
• Auditai: Reguliarūs vidiniai saugumo auditai

6.2. Organizacinės priemonės

7. DUOMENŲ SAUGUMO PAŽEIDIMAI

• Nedelsiant (per 72 val.) praneša Klientui el. paštu
• Aprašo pažeidimą: Kokio pobūdžio, kokie duomenys paveikti, kiek duomenų subjektų
• Nurodo imtas priemones: Kaip pažeidimas buvo sustabdytas, kokios priemonės imtos atkurti duomenis
• Rekomenduoja veiksmus: Ką Klientas turėtų pranešti duomenų subjektams
• Jei pažeidimas kelia didelę riziką duomenų subjektų teisėms, Paslaugų teikėjas praneša VDAI ir padeda Klientui pranešti paveiktiems duomenų subjektams

7.1. Pranešimo procedūra

Jei įvyksta duomenų saugumo pažeidimas, Paslaugų teikėjas:

7.2. Kliento atsakomybė

Klientas įsipareigoja nedelsiant pranešti Paslaugų teikėjui apie bet kokius pastebėtus saugumo incidentus, susijusius su jo paskyra ar duomenimis Platformoje.

• Atitinka BDAR reikalavimus
• Naudoja Standartines sutarties sąlygas (Standard Contractual Clauses – SCC), patvirtintas Europos Komisijos
• Turi tinkamas technines ir organizacines saugumo priemones

8. TARPTAUTINIS DUOMENŲ PERDAVIMAS

Pagrindiniai duomenys saugomi Europos Sąjungoje (Supabase AWS eu-central-1 regionas). Kai kurie subtvarkytojai (Stripe, Resend) gali saugoti duomenis JAV, tačiau jie:

Paslaugų teikėjas neperduos duomenų į trečias šalis už ES/EEE ribų be tinkamų apsaugos priemonių ir Kliento informavimo.

• Pateikti dokumentus, patvirtinančius saugumo priemonių įgyvendinimą
• Pateikti subtvarkytojų sąrašą ir jų BDAR atitiktį
• Leisti atlikti auditą (pagrįstu prašymu ir iš anksto suderinus)
• Bendradarbiauti su priežiūros institucijomis (VDAI)

9. AUDITAS IR ATITIKTIES PATIKRINIMAS

Klientas turi teisę prašyti informacijos apie Paslaugų teikėjo BDAR atitiktį. Paslaugų teikėjas įsipareigoja: