Taikoma naudojantis Tutlio platforma.
1. Bendrosios nuostatos
Ši privatumo politika (toliau – Politika) nustato, kaip MB „Tutlio“ (įm. k. 307617263), valdanti platformą Tutlio (toliau – Paslaugų teikėjas, mes), renka, naudoja ir saugo asmens duomenis. Mes veikiame vadovaudamiesi Lietuvos Respublikos teisės aktais: Bendruoju duomenų apsaugos reglamentu (BDAR) (ES 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, elektroninių paslaugų ir elektroninių ryšių įstatymais bei kitais taikomais teisės aktais.
2. Duomenų valdytojas ir Duomenų tvarkytojas (rolės)
Teikiant B2B (verslas verslui) debesijos paslaugas, duomenų apsaugos rolės yra griežtai atskirtos pagal BDAR reikalavimus: Korepetitorius / Organizacija (Platformos klientas) veikia išskirtinai kaip Duomenų valdytojas visų į Platformą įvedamų mokinių (ir jų tėvų / globėjų) asmens duomenų atžvilgiu. MB „Tutlio“ veikia išskirtinai kaip Duomenų tvarkytojas (BDAR 28 str. prasme) mokinių asmens duomenų atžvilgiu, tvarkantis juos tik pagal Kliento nurodymus. MB „Tutlio“ veikia kaip Duomenų valdytojas tik pačių Korepetitorių / Organizacijų (savo tiesioginių B2B klientų) registracijos ir atsiskaitymo duomenų atžvilgiu.
2.1. Korepetitorius / Organizacija, kaip Duomenų valdytojas, atsako už:
- Teisinį pagrindą: turėti teisinį pagrindą visų į Platformą įvedamų mokinių asmens duomenų tvarkymui (sutikimas, sutartis, teisėtas interesas).
- Informavimą: informuoti mokinius ir jų tėvus / globėjus apie duomenų tvarkymą Platformoje ir pateikti šios Privatumo politikos nuorodą.
- Duomenų tikslumą: užtikrinti, kad į Platformą įvedami duomenys yra teisingi, aktualūs ir apsiriboja tik tuo, kas būtina (duomenų minimizavimas).
- Duomenų subjektų teises: atsakyti į mokinių užklausas dėl jų duomenų (prieiga, ištrinimas, taisymas, perkėlimas), savarankiškai naudojantis Platformos funkcijomis.
2.2. MB „Tutlio“, kaip Duomenų tvarkytojas, tvarko mokinių duomenis šiais tikslais:
- Platformos teikimas: Platformos infrastruktūros veikimo užtikrinimas, techninis palaikymas, debesijos paslaugų teikimas pagal B2B sutartį.
- Saugumas: techninis duomenų saugumas, saugumo priemonių įgyvendinimas (šifravimas, atsarginės kopijos).
- Automatiniai procesai: automatinių pranešimų siuntimas (priminimai apie pamokas, mokėjimus) griežtai pagal Korepetitoriaus / Organizacijos nustatymus.
- Mokėjimų apdorojimas: techninis mokėjimų procesų palaikymas, veikiant kaip įgaliotam prekybos atstovui.
3. Kokius duomenis renkame
- Registracijos ir paskyros duomenys (Klientų): el. paštas, vardas ir pavardė, telefono numeris, slaptažodis (saugomas užšifruotas, t. y. hash formatu).
- Mokėjimų duomenys: mokėjimo istorija, sesijų apmokėjimo būsena. Mokėjimų kortelių ar bankiniai duomenys tvarkomi tik per licencijuotus partnerius („Stripe“ arba UAB „Perlas Finance“). MB „Tutlio“ nemato ir nesaugo pilnų mokėjimo kortelių ar banko prisijungimo duomenų.
- Prenumeratos duomenys: prenumeratos planas, galiojimo data, trial naudojimas.
- Pamokų ir tvarkaraščio duomenys: pamokų laikai, temos, pastabos, atšaukimai, priminimų siuntimas.
- Mokinių duomenys (kuriuos įveda Korepetitorius): mokinių vardai, el. paštai, telefonai, mokėtojo (tėvų / globėjų) duomenys.
- Techniniai duomenys: IP adresas, naršyklės tipas, prisijungimų laikai – siekiant teisėtų interesų (sistemos saugumas, piktnaudžiavimų prevencija).
4. Google API duomenų naudojimas (Google API Limited Use Policy)
Siekiant užtikrinti patogų tvarkaraščių valdymą, Platforma leidžia vartotojams susieti savo paskyrą su „Google Calendar“ (naudojant OAuth autentifikaciją). Mes prašome prieigos tik prie Jūsų „Google Calendar“ renginių (skaitymo ir rašymo teisės), kad galėtume sinchronizuoti Platformoje suplanuotas pamokas su Jūsų asmeniniu kalendoriumi.
Jūsų „Google“ kalendoriaus duomenys yra naudojami išimtinai tik dvipusei kalendorių sinchronizacijai užtikrinti. Mes neperduodame, neparduodame ir nesidaliname Jūsų „Google“ vartotojo duomenimis su jokiomis trečiosiomis šalimis (įskaitant reklamos tinklus ar kitus komercinius partnerius).
„Tutlio“ naudojimasis iš „Google“ API gauta informacija ir jos perdavimas bet kokiai kitai programai griežtai atitinka Google API Services User Data Policy, įskaitant riboto naudojimo (Limited Use) reikalavimus.
5. Tikslai ir teisinis pagrindas (BDAR 6 str.)
Duomenis tvarkome siekdami: sutarties vykdymo (paskyros, pamokų, mokėjimų administravimas), teisėtų interesų (platformos saugumas, atsiskaitymai), Jūsų sutikimo (kur reikalauja įstatymai), teisės aktų įgyvendinimo (apskaita). Mokėjimų ir atšaukimų informavimui naudojame el. paštą; atšaukimų taisyklės aprašytos Platformos Vidaus taisyklėse.
6. Duomenų saugojimas ir saugumas
Duomenis saugome tik tiek laiko, kiek reikia sutarties vykdymui ir teisės aktų (pvz., buhalterinės apskaitos) laikymui. Naudojame atitinkamas technines ir organizacines priemones (duomenų šifravimas judant ir ramybės būsenoje, prieigos kontrolė, automatinės atsarginės kopijos), kad duomenys būtų apsaugoti nuo neteisėtos prieigos, praradimo ar piktnaudžiavimo.
6.1. Subtvarkytojai
MB „Tutlio“ pasitelkia kruopščiai atrinktus ir BDAR reikalavimus atitinkančius subtvarkytojus debesijos ir mokėjimų infrastruktūrai užtikrinti:
- Supabase Inc.: duomenų bazės talpinimas ir valdymas (duomenys saugomi ES regione, AWS serveriuose).
- Stripe, Inc.: mokėjimų apdorojimas ir prenumeratų valdymas tarptautinėse rinkose.
- UAB „Perlas Finance“: atvirosios bankininkystės mokėjimų surinkimo paslaugos vietinėje rinkoje.
- Resend (Zernonia, Inc.): transakcinių el. laiškų siuntimo paslauga (priminimai, pakvietimai, pranešimai).
Visi subtvarkytojai įsipareigoja tvarkyti asmens duomenis tik pagal mūsų nurodymus, taikydami griežčiausius saugumo standartus (įskaitant SCC sutarties sąlygas perduodant duomenis už ES ribų).
7. Jūsų teisės (BDAR)
Dėl duomenų teisių įgyvendinimo kreipkitės el. paštu: info@tutlio.lt.
Svarbūs patikslinimai:
- Jei esate mokinys (arba mokinio tėvas / globėjas): dėl duomenų, kuriuos į Platformą įvedė Jūsų korepetitorius ar mokykla, pirmiausia kreipkitės tiesiogiai į juos. Jie yra Jūsų Duomenų valdytojas. Mes padėsime Duomenų valdytojui įgyvendinti Jūsų teises techniškai, tačiau pagrindinis atsakingas asmuo yra Jūsų korepetitorius / organizacija.
- Jei esate korepetitorius / organizacija: Jūs galite savarankiškai valdyti, koreguoti, ištrinti ar eksportuoti mokinių duomenis per Platformos nustatymus. Esant techniniam poreikiui, mes padėsime Jums įgyvendinti duomenų subjektų teises.
7.1. Duomenų saugumo pažeidimų pranešimas
Jei įvyktų duomenų saugumo pažeidimas, mes informuosime Duomenų valdytoją (Korepetitorių / Organizaciją) ne vėliau kaip per 72 valandas nuo pažeidimo paaiškėjimo. Duomenų valdytojas yra atsakingas už tolesnį duomenų subjektų ar priežiūros institucijų (VDAI) informavimą, kaip to reikalauja BDAR.
8. Slapukai ir analitika
Naudojame tik būtinus (techninius) slapukus, kurie reikalingi vartotojų prisijungimui (sesijos palaikymui) ir saugiam platformos veikimui. Platformos viduje nenaudojame trečiųjų šalių rinkodaros slapukų be atskiro sutikimo.
9. Pakeitimai
Ši Politika gali būti atnaujinama, tobulinant paslaugas. Apie reikšmingus pakeitimus esamus klientus informuosime el. paštu arba pranešimu platformos viduje. Toliau naudodamiesi paslaugomis po pakeitimų publikavimo, Jūs sutinkate su atnaujinta Privatumo politika. B2B klientams papildomai taikoma Duomenų tvarkymo sutartis (DPA).