Obowiązuje podczas korzystania z platformy Tutlio.
Uwaga: Niniejsza Umowa powierzenia przetwarzania danych (DPA) stanowi integralną część Umowy o świadczenie usług, jeżeli została podpisana, Regulaminu Platformy Tutlio oraz Polityki prywatności. Ma zastosowanie do wszystkich Korepetytorów i Organizacji, które korzystają z platformy Tutlio i przetwarzają dane osobowe uczniów.
1. Strony i definicje
1.1. Strony i role
Niniejsza Umowa powierzenia przetwarzania danych (dalej: DPA) zostaje zawarta pomiędzy MB Tutlio (dalej: Usługodawca lub Platforma), świadczącą usługi platformy Tutlio, oraz Korepetytorem/Organizacją (dalej: Klient), korzystającym z Platformy do zarządzania danymi uczniów i organizacji lekcji. Strony wyraźnie uzgadniają, że zgodnie z Ogólnym rozporządzeniem o ochronie danych (RODO), przy przetwarzaniu danych osobowych w Platformie Klient działa wyłącznie jako Administrator danych, a MB Tutlio działa wyłącznie jako Podmiot przetwarzający zgodnie z art. 28 RODO.
1.2. Definicje
RODO oznacza Ogólne rozporządzenie o ochronie danych (UE 2016/679). Dane osobowe oznaczają wszelkie informacje o osobie fizycznej, czyli uczniu, rodzicu lub opiekunie, której tożsamość jest znana lub możliwa do ustalenia. Administrator danych oznacza osobę fizyczną lub prawną, czyli Klienta, która określa cele i sposoby przetwarzania danych. Podmiot przetwarzający oznacza osobę fizyczną lub prawną, czyli MB Tutlio, która przetwarza dane osobowe wyłącznie w imieniu i na polecenie Administratora danych. Osoba, której dane dotyczą oznacza osobę fizyczną, czyli ucznia, rodzica lub opiekuna, której dane osobowe są przetwarzane. Dalszy podmiot przetwarzający oznacza stronę trzecią wykorzystywaną przez Usługodawcę do operacji przetwarzania danych, na przykład Supabase, Stripe lub Perlas Finance.
2. Zakres i cele przetwarzania danych
2.1. Przetwarzane dane
W Platformie, na polecenie Klienta, mogą być przetwarzane następujące dane osobowe uczniów oraz rodziców/opiekunów: imię i nazwisko; adres e-mail; numer telefonu; wiek i klasa, opcjonalnie; kody zaproszeń; historia lekcji, w tym daty, godziny, tematy i notatki; informacje o płatnościach, w tym kwota, status i terminy płatności; dane rodziców/opiekunów, jeżeli płatnikiem nie jest sam uczeń: imię i e-mail.
2.2. Cele przetwarzania danych
Dane są przetwarzane w następujących celach: świadczenie usług Platformy, w tym planowanie lekcji, zarządzanie kalendarzem i wysyłka przypomnień; administrowanie płatnościami, w tym obsługa płatności za lekcje oraz generowanie i wysyłanie faktur; komunikacja, w tym wysyłanie automatycznych powiadomień; księgowość, w tym prowadzenie dokumentacji finansowej zgodnie z wymogami prawa; ulepszanie Platformy, z wykorzystaniem anonimowych statystyk do poprawy usług platformy.
2.3. Czas trwania przetwarzania danych
Dane są przechowywane tak długo, jak obowiązuje umowa o świadczenie usług lub korzystanie z konta między Klientem a Platformą; dokumentacja finansowa, w tym płatności i faktury, jest przechowywana przez 10 lat zgodnie z wymogami przepisów księgowych; po rozwiązaniu umowy lub usunięciu konta dane są przechowywane do 30 dni, chyba że Klient zażąda wcześniejszego usunięcia lub eksportu danych.
3. Zobowiązania i odpowiedzialność stron
3.1. Zobowiązania Usługodawcy jako Podmiotu przetwarzającego
Usługodawca zobowiązuje się: przetwarzać dane wyłącznie zgodnie z poleceniami Klienta; wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa; powiadomić Klienta o naruszeniach bezpieczeństwa danych w ciągu 72 godzin od uzyskania informacji; pomagać Klientowi w realizacji praw osób, których dane dotyczą; korzystać wyłącznie z zatwierdzonych dalszych podmiotów przetwarzających; zwrócić lub usunąć dane po zakończeniu umowy zgodnie z wyborem Klienta; umożliwić audyt; nie przekazywać danych poza UE/EOG bez odpowiednich zabezpieczeń.
3.2. Zobowiązania Klienta jako Administratora danych
Klient zobowiązuje się: posiadać podstawę prawną przetwarzania wszystkich danych wprowadzanych do Platformy; informować osoby, których dane dotyczą; uzyskiwać odpowiednie zgody; zapewniać dokładność danych i przestrzegać zasady minimalizacji danych; samodzielnie odpowiadać na zapytania osób, których dane dotyczą; korzystać z Platformy odpowiedzialnie, nie przekazywać dostępu osobom trzecim i chronić dane logowania.
4. Dalsze podmioty przetwarzające
4.1. Zatwierdzone dalsze podmioty przetwarzające
Klient udziela Usługodawcy ogólnego upoważnienia do korzystania z następujących dalszych podmiotów przetwarzających: Supabase Inc. do hostingu i zarządzania bazą danych, UE AWS eu-central-1, zgodność z RODO, ISO 27001; Stripe, Inc. do obsługi płatności, USA/UE z zastosowaniem SCC, PCI DSS Level 1; UAB Perlas Finance do usług otwartej bankowości i obsługi płatności, Litwa, instytucja płatnicza licencjonowana przez Bank Litwy; Resend (Zernonia, Inc.) do wysyłki e-maili, USA AWS z zastosowaniem SCC.
4.2. Zmiana dalszych podmiotów przetwarzających
Jeżeli Usługodawca planuje dodać nowy dalszy podmiot przetwarzający albo zmienić istniejący, poinformuje Klienta e-mailem nie później niż 30 dni przed zmianą. Klient ma prawo sprzeciwić się nowemu dalszemu podmiotowi przetwarzającemu, jeżeli istnieją uzasadnione przyczyny związane z ochroną danych; w takim przypadku Klient ma prawo rozwiązać umowę o świadczenie usług.
5. Prawa osób, których dane dotyczą
5.1. Realizacja praw
Osoby, których dane dotyczą, czyli uczniowie i rodzice, mają następujące prawa zgodnie z RODO: prawo dostępu, prawo sprostowania, prawo usunięcia, czyli bycia zapomnianym, prawo ograniczenia, prawo przenoszenia danych, prawo sprzeciwu oraz prawo wniesienia skargi do Państwowej Inspekcji Ochrony Danych (VDAI).
5.2. Terminy odpowiedzi i procedury
Zapytania osób, których dane dotyczą, powinien w pierwszej kolejności obsługiwać Klient jako Administrator danych. Jeżeli Klient potrzebuje technicznej pomocy przy pobraniu lub usunięciu danych, może skontaktować się z Usługodawcą e-mailem na adres info@tutlio.lt. Usługodawca odpowiada na takie zapytania nie później niż w ciągu 30 dni.
6. Środki bezpieczeństwa danych
6.1. Środki techniczne
Szyfrowanie: TLS 1.3 dla transmisji, AES-256 w spoczynku dla przechowywania. Uwierzytelnianie: bezpieczne przechowywanie haseł jako hash bcrypt. Kontrola dostępu: odseparowany dostęp do danych (Row-Level Security - RLS). Kopie zapasowe: automatyczne codzienne kopie zapasowe przechowywane przez 30 dni. Monitoring: monitorowanie zdarzeń bezpieczeństwa i metryk serwerów.
6.2. Środki organizacyjne
Szkolenia pracowników i zobowiązania do poufności, przy czym wszyscy pracownicy podpisują NDA. Ograniczenie dostępu: tylko upoważnieni pracownicy mają techniczny dostęp do infrastruktury. Zarządzanie incydentami: udokumentowane procedury obsługi naruszeń bezpieczeństwa.
7. Naruszenia bezpieczeństwa danych
Jeżeli dojdzie do naruszenia bezpieczeństwa danych, Usługodawca niezwłocznie, nie później niż w ciągu 72 godzin, powiadamia Klienta e-mailem, opisuje charakter naruszenia, wskazuje podjęte środki i przedstawia zalecenia. Klient jako Administrator danych odpowiada za dalsze informowanie osób, których dane dotyczą, lub VDAI zgodnie z wymogami RODO.
8. Międzynarodowe przekazywanie danych
Główne dane osobowe są przechowywane w Unii Europejskiej (AWS eu-central-1). Przy korzystaniu z dalszych podmiotów przetwarzających zarejestrowanych w USA, na przykład Stripe i Resend, przekazywanie danych odbywa się na podstawie zatwierdzonych przez Komisję Europejską standardowych klauzul umownych (SCC), zapewniających poziom ochrony wymagany przez UE.
9. Audyt i weryfikacja zgodności
Klient ma prawo żądać informacji o środkach zgodności z RODO stosowanych przez Usługodawcę. Usługodawca zobowiązuje się przedstawić dokumenty potwierdzające. Fizyczne audyty infrastruktury mogą być przeprowadzane wyłącznie po wcześniejszym uzgodnieniu, przy pokryciu kosztów wsparcia audytu przez Usługodawcę i bez naruszania poufności innych klientów.
10. Zakończenie umowy i zwrot danych
Po rozwiązaniu umowy o świadczenie usług lub usunięciu konta przez Klienta Usługodawca zwraca dane, umożliwiając eksport w formacie JSON lub CSV. Po upływie 30-dniowego okresu przejściowego wszystkie dane osobowe Klienta są nieodwracalnie usuwane z systemów i kopii zapasowych, z wyjątkiem danych, których przechowywania wymaga prawo, na przykład operacji finansowych do celów księgowych.
11. Odpowiedzialność i odszkodowania
Każda ze stron odpowiada za szkodę powstałą wskutek własnego naruszenia niniejszej DPA i RODO. Maksymalna odpowiedzialność finansowa Usługodawcy jako Podmiotu przetwarzającego za naruszenia niniejszej DPA jest ograniczona do kwot i warunków określonych w głównej Umowie o świadczenie usług albo w Regulaminie Platformy, w części dotyczącej ograniczenia odpowiedzialności / Liability Cap.
12. Kontakt
Kontakt z MB Tutlio w sprawach RODO i prywatności: E-mail: info@tutlio.lt; Temat: BDAR / Ochrona danych; Czas odpowiedzi: w ciągu 5 dni roboczych.
13. Postanowienia końcowe
Niniejsza DPA wchodzi w życie z chwilą zaakceptowania przez Klienta Regulaminu Platformy albo podpisania Umowy o świadczenie usług i obowiązuje przez cały okres świadczenia usług. Usługodawca może zaktualizować niniejszą DPA, informując Klienta e-mailem nie później niż 30 dni przed wejściem zmian w życie. Do niniejszej umowy stosuje się prawo Republiki Litewskiej oraz wymogi unijnego RODO.