Taikoma naudojantis Tutlio platforma.
Pastaba: Ši Duomenų tvarkymo sutartis (DPA) yra neatsiejama Paslaugų teikimo sutarties (jei tokia pasirašyta), Tutlio Platformos Vidaus taisyklių ir Privatumo politikos dalis. Ji taikoma visiems Korepetitoriams ir Organizacijoms, kurios naudoja Tutlio platformą ir tvarko mokinių asmens duomenis.
1. Šalys ir apibrėžimai
1.1. Šalys ir rolės
Ši Duomenų tvarkymo sutartis (toliau – DPA) sudaryta tarp:
- MB Tutlio (toliau – Paslaugų teikėjas arba Platforma), teikiančios Tutlio platformos paslaugas, ir
- Korepetitoriaus / Organizacijos (toliau – Klientas), naudojančio Platformą mokinių duomenų valdymui ir pamokų organizavimui.
Šalys aiškiai susitaria, kad pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), tvarkant asmens duomenis Platformoje, Klientas veikia išskirtinai kaip Duomenų valdytojas, o MB Tutlio veikia išskirtinai kaip Duomenų tvarkytojas (pagal BDAR 28 str.).
1.2. Apibrėžimai
- BDAR – Bendrasis duomenų apsaugos reglamentas (ES 2016/679).
- Asmens duomenys – bet kuri informacija apie fizinį asmenį (mokinį, tėvą / globėją), kurio tapatybė yra žinoma arba gali būti nustatyta.
- Duomenų valdytojas – fizinis ar juridinis asmuo (Klientas), kuris nustato duomenų tvarkymo tikslus ir būdus.
- Duomenų tvarkytojas – fizinis ar juridinis asmuo (MB Tutlio), kuris tvarko asmens duomenis išskirtinai duomenų valdytojo vardu ir nurodymu.
- Duomenų subjektas – fizinis asmuo (mokinys, tėvas / globėjas), kurio asmens duomenys yra tvarkomi.
- Subtvarkytojas – trečioji šalis, kurią Paslaugų teikėjas naudoja duomenų tvarkymo operacijoms (pvz., Supabase, Stripe, Perlas Finance).
2. Duomenų tvarkymo apimtis ir tikslai
2.1. Tvarkomi duomenys
Platformoje, Kliento nurodymu, gali būti tvarkomi šie mokinių ir tėvų / globėjų asmens duomenys:
- Vardas ir pavardė
- El. pašto adresas
- Telefono numeris
- Amžius ir klasė (pasirinktinai)
- Pakvietimo kodai
- Pamokų istorija (datos, laikai, temos, pastabos)
- Mokėjimų informacija (suma, būsena, mokėjimo terminai)
- Tėvų / globėjų duomenys (jei mokėtojas nėra pats mokinys): vardas, el. paštas
2.2. Duomenų tvarkymo tikslai
Duomenys tvarkomi šiais tikslais:
- Platformos paslaugų teikimas: pamokų planavimas, kalendoriaus valdymas, priminimų siuntimas.
- Mokėjimų administravimas: mokėjimų už pamokas apdorojimas, sąskaitų generavimas ir siuntimas.
- Komunikacija: automatinių pranešimų siuntimas (priminimai, patvirtinimai, pakvietimai).
- Apskaita: finansinių įrašų tvarkymas pagal teisės aktų reikalavimus.
- Platformos tobulinimas: anoniminė statistika platformos paslaugų gerinimui.
2.3. Duomenų tvarkymo trukmė
Duomenys saugomi:
- Tol, kol galioja paslaugų teikimo sutartis arba paskyros naudojimas tarp Kliento ir Platformos.
- Finansiniai įrašai (mokėjimai, sąskaitos) – 10 metų pagal apskaitos įstatymų reikalavimus.
- Po sutarties nutraukimo / paskyros ištrynimo: iki 30 dienų, nebent Klientas paprašo ankstesnio ištrynimo ar duomenų eksportavimo.
3. Šalių įsipareigojimai ir atsakomybės
3.1. Paslaugų teikėjo (Duomenų tvarkytojo) įsipareigojimai
Paslaugų teikėjas įsipareigoja:
- Tvarkyti duomenis tik pagal Kliento (Duomenų valdytojo) nurodymus ir šioje DPA nurodytais tikslais.
- Įgyvendinti tinkamas technines ir organizacines saugumo priemones (šifravimas, prieigos kontrolė, atsarginės kopijos ir kt.).
- Pranešti Klientui apie duomenų saugumo pažeidimus per 72 valandas nuo sužinojimo.
- Padėti Klientui įgyvendinti duomenų subjektų teises (prieigos, ištrinimo, taisymo, perkėliamumo teisės naudojantis Platformos funkcionalumu).
- Naudoti tik patvirtintus subtvarkytojus (žr. 4 skyrių) ir informuoti Klientą apie jų pasikeitimus.
- Grąžinti arba ištrinti duomenis pasibaigus sutarčiai pagal Kliento pasirinkimą.
- Leisti audituoti – pagrįstu prašymu suteikti informaciją, reikalingą BDAR atitikties patikrinimui.
- Neperduoti duomenų už ES / EEE ribų be tinkamų apsaugos priemonių.
3.2. Kliento (Duomenų valdytojo) įsipareigojimai
Klientas įsipareigoja:
- Turėti teisinį pagrindą visų į Platformą įvedamų duomenų tvarkymui (sutikimas, sutartis, teisėtas interesas pagal BDAR 6 str.).
- Informuoti duomenų subjektus (mokinius, tėvus) apie tai, kokie duomenys renkami, kodėl jie renkami ir kad jie bus tvarkomi Tutlio platformoje (pateikiant Tutlio Privatumo politikos nuorodą).
- Gauti tinkamus sutikimus (jei duomenų subjektas yra nepilnametis, gauti tėvų / globėjų sutikimą).
- Užtikrinti duomenų tikslumą ir laikytis duomenų minimizavimo principo (vesti tik pamokoms būtinus duomenis).
- Savarankiškai atsakyti į duomenų subjektų užklausas, prireikus naudojantis Platformos funkcionalumu.
- Naudoti Platformą atsakingai, neperduoti prieigos tretiesiems asmenims, saugoti prisijungimo duomenis.
4. Subtvarkytojai
4.1. Patvirtinti subtvarkytojai
Klientas suteikia bendrą leidimą Paslaugų teikėjui naudoti šiuos subtvarkytojus:
- Supabase Inc. Paslauga: duomenų bazės talpinimas ir valdymas. Duomenų vieta: Europos Sąjunga (AWS eu-central-1 regionas). BDAR atitiktis: BDAR atitinka, ISO 27001 sertifikuotas.
- Stripe, Inc. Paslauga: mokėjimų apdorojimas (tarptautinėms rinkoms). Duomenų vieta: JAV, ES (naudojant Standartines sutarties sąlygas – SCC). BDAR atitiktis: BDAR atitinka, PCI DSS Level 1 sertifikuotas.
- UAB „Perlas Finance“ Paslauga: atvirosios bankininkystės ir mokėjimų apdorojimo paslaugos (vietinei rinkai). Duomenų vieta: Europos Sąjunga (Lietuva). BDAR atitiktis: Lietuvos banko licencijuota mokėjimų įstaiga, BDAR atitinka.
- Resend (Zernonia, Inc.) Paslauga: el. laiškų siuntimas (priminimai, pranešimai). Duomenų vieta: JAV (AWS, naudojant SCC). BDAR atitiktis: BDAR atitinka.
4.2. Subtvarkytojų keitimas
Jei Paslaugų teikėjas planuoja pridėti naują subtvarkytoją arba pakeisti esamą, jis informuos Klientą el. paštu ne vėliau kaip prieš 30 dienų iki pakeitimo. Klientas turi teisę nesutikti su nauju subtvarkytoju (jei tam yra pagrįstų su duomenų apsauga susijusių priežasčių); tokiu atveju Klientas turi teisę nutraukti paslaugų teikimo sutartį.
5. Duomenų subjektų teisės
5.1. Teisių įgyvendinimas
Duomenų subjektai (mokiniai, tėvai) turi šias teises pagal BDAR: prieigos teisę, taisymo teisę, ištrinimo teisę („būti pamirštam“), apribojimo teisę, perkėliamumo teisę, nesutikimo teisę, teisę skųstis Valstybinei duomenų apsaugos inspekcijai (VDAI).
5.2. Atsakymo terminai ir procedūros
Duomenų subjektų užklausas pirmiausia turi apdoroti Klientas (Duomenų valdytojas). Jei Klientui reikalinga techninė pagalba išgaunant ar ištrinant duomenis, jis gali kreiptis į Paslaugų teikėją el. paštu info@tutlio.lt. Paslaugų teikėjas į tokias užklausas atsako ne vėliau kaip per 30 dienų.
6. Duomenų saugumo priemonės
6.1. Techninės priemonės
- Šifravimas: TLS 1.3 transportavimui, AES-256 ramybės būsenoje (saugojimui).
- Autentifikacija: saugus slaptažodžių saugojimas (bcrypt hash).
- Prieigos kontrolė: atribota prieiga prie duomenų (Row-Level Security - RLS).
- Atsarginės kopijos: automatinės kasdieninės atsarginės kopijos (saugomos 30 dienų).
- Monitoringas: saugumo įvykių stebėjimas ir serverių metrikos.
6.2. Organizacinės priemonės
- Darbuotojų mokymai ir konfidencialumo įsipareigojimai (visi darbuotojai pasirašo NDA).
- Prieigos ribojimas: tik įgalioti darbuotojai turi techninę prieigą prie infrastruktūros.
- Incidentų valdymas: dokumentuotos procedūros saugumo pažeidimų tvarkymui.
7. Duomenų saugumo pažeidimai
Jei įvyksta duomenų saugumo pažeidimas, Paslaugų teikėjas nedelsiant (ne vėliau kaip per 72 val.) praneša Klientui el. paštu, aprašo pažeidimo pobūdį, nurodo imtas priemones ir pateikia rekomendacijas. Klientas, kaip Duomenų valdytojas, yra atsakingas už tolesnį duomenų subjektų ar VDAI informavimą pagal BDAR reikalavimus.
8. Tarptautinis duomenų perdavimas
Pagrindiniai asmens duomenys saugomi Europos Sąjungoje (AWS eu-central-1). Naudojant JAV registruotus subtvarkytojus (pvz., Stripe, Resend), duomenų perdavimas vykdomas vadovaujantis Europos Komisijos patvirtintomis Standartinėmis sutarties sąlygomis (SCC), užtikrinant ES reikalaujamą apsaugos lygį.
9. Auditas ir atitikties patikrinimas
Klientas turi teisę prašyti informacijos apie Paslaugų teikėjo taikomas BDAR atitikties priemones. Paslaugų teikėjas įsipareigoja pateikti patvirtinančius dokumentus. Fiziniai infrastruktūros auditai gali būti atliekami tik iš anksto suderinus, padengiant Paslaugų teikėjo audito palaikymo kaštus ir nepažeidžiant kitų klientų konfidencialumo.
10. Sutarties pasibaigimas ir duomenų grąžinimas
Nutraukus paslaugų teikimo sutartį arba Klientui ištrynus paskyrą, Paslaugų teikėjas grąžina (leidžia eksportuoti) duomenis JSON ar CSV formatu. Pasibaigus 30 dienų pereinamajam laikotarpiui, visi Kliento asmens duomenys yra negrįžtamai ištrinami iš sistemų ir atsarginių kopijų, išskyrus tuos duomenis, kuriuos saugoti reikalauja įstatymai (pvz., finansinės operacijos apskaitos tikslais).
11. Atsakomybė ir kompensacijos
Kiekviena šalis atsako už žalą, kilusią dėl jos pačios padaryto šio DPA ir BDAR pažeidimo. Paslaugų teikėjo (Duomenų tvarkytojo) maksimali finansinė atsakomybė už šio DPA pažeidimus yra apribota sumomis ir sąlygomis, nustatytomis pagrindinėje Paslaugų teikimo sutartyje arba Platformos Vidaus taisyklėse (Atsakomybės ribojimas / Liability Cap).
12. Kontaktai
MB Tutlio kontaktai BDAR ir privatumo klausimais:
- El. paštas: info@tutlio.lt
- Tema: „BDAR / Duomenų apsauga“
- Atsakymo laikas: per 5 darbo dienas
13. Galutinės nuostatos
Ši DPA įsigalioja Klientui sutikus su Platformos Taisyklėmis (arba pasirašius Paslaugų teikimo sutartį) ir galioja visą paslaugų teikimo laikotarpį. Paslaugų teikėjas gali atnaujinti šią DPA, informuodamas Klientą el. paštu ne vėliau kaip prieš 30 dienų iki pakeitimų įsigaliojimo. Šiai sutarčiai taikoma Lietuvos Respublikos teisė ir ES BDAR reikalavimai.