Privatumo politika

1. Bendrosios nuostatos ir duomenų valdytojas

Ši privatumo politika (toliau - „Politika“) aprašo, kaip KETis (toliau — „mes“, „Bendrovė“, „Platforma“) renka, naudoja, saugo, perduoda ir tvarko Jūsų asmens duomenis, kai naudojatės mūsų svetaine ketis.lt, mobiliąja programėle (PWA) ir susijusiomis paslaugomis.

Duomenų valdytojas: KETis. Tikslūs juridinio asmens duomenys (pavadinimas, kodas, buveinė, PVM mokėtojo kodas) skelbiami /kontaktai puslapyje ir mokėjimo dokumentuose.

Kontaktas duomenų apsaugos klausimais: info@ketis.lt (laiške nurodykite „Asmens duomenys“). Į užklausas atsakome ne vėliau kaip per 30 kalendorinių dienų pagal BDAR 12 str.

Asmens duomenis tvarkome vadovaudamiesi 2016 m. Bendruoju duomenų apsaugos reglamentu (ES) 2016/679 (toliau — BDAR arba GDPR), Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymu (ADTAĮ) ir kitais taikytinais teisės aktais.

2. Sąvokos

• Asmens duomenys — bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė nustatyta arba gali būti nustatyta (BDAR 4 str. 1 d.).
• Tvarkymas — bet koks veiksmas, atliekamas su asmens duomenimis (rinkimas, saugojimas, naudojimas, perdavimas ir kt.).
• Naudotojas — fizinis asmuo, naudojantis Platformą.
• Duomenų subjektas — fizinis asmuo, kurio duomenis tvarkome (paprastai — Naudotojas).
• Duomenų tvarkytojas — trečioji šalis, kuri tvarko duomenis Bendrovės vardu (pvz., debesų tiekėjas, AI modelio tiekėjas).
• Profiliavimas — automatizuotas asmens duomenų tvarkymas, naudojamas tam tikriems asmens aspektams įvertinti (BDAR 4 str. 4 d.) — pvz., mūsų FSRS adaptyvus mokymosi algoritmas.

3. Kokius asmens duomenis renkame

3.1 Paskyros duomenys (pateikiate Jūs)

• El. pašto adresas (būtinas).
• Vardas (neprivaloma).
• Slaptažodžio maišos kodas (saugomas užšifruotas — bcrypt; mes nematome teksto).
• Telefono numeris (neprivaloma — kontaktui dėl mokyklos paskyros, B2B paslaugų).
• Profilio nuostatos (kalba, tema, pranešimų pasirinkimai).

3.2 Mokymosi duomenys (renkami automatiškai naudojantis)

• Atsakytų klausimų istorija ir teisingumo statistika.
• Pilnų testų rezultatai, laikas, klaidos.
• Mokymosi pažangos rodikliai (pasiruošimo lygis, FSRS atkartojimo intervalai).
• Naudojimosi laikai ir dažnis (kelias dienas naudojate Platformą).
• AI pokalbių su KETis AI mokytoju turinys (Jūsų klausimai ir AI atsakymai).

3.3 Mokėjimo duomenys

• Mokėjimo suma, valiuta, plano tipas, mokėjimo data.
• Mokėjimo paslaugų tiekėjo (Stripe / Paysera ir pan.) sukurtas operacijos identifikatorius.
• Sąskaitos faktūros duomenys (verslo klientams — įmonės pavadinimas, kodas, PVM kodas).
• Mes nesaugome ir nematome banko kortelės numerio, CVV ar kitos jautrios mokėjimo informacijos. Šiuos duomenis tvarko sertifikuotas (PCI-DSS) mokėjimų procesorius.

3.4 Techniniai duomenys (renkami automatiškai)

• IP adresas (anonimizuojamas / sutrumpinamas analizės tikslais).
• Naršyklės tipas, versija, kalba.
• Operacinė sistema, įrenginio tipas (telefonas / planšetė / kompiuteris).
• Apsilankymo laikas, peržiūrėti puslapiai, sesijos trukmė.
• Užklausos URL ir rezultatas (klaidų logai diagnostikai).

3.5 Slapukai ir panašios technologijos

Detaliau — žr. 11 sk. „Slapukai“.

3.6 B2B (mokyklos paskyros) duomenys

• Vairavimo mokyklos duomenys (pavadinimas, kodas, miestas, kontaktai).
• Atsakingo asmens vardas, pareigos, el. paštas, telefonas.
• Pakviestų mokinių sąrašas (vardas, el. paštas - pakvietimui).

4. Duomenų rinkimo šaltiniai

• Tiesiogiai iš Jūsų - registracijos, profilio nuostatų, mokėjimo, kontaktinės formos pildymo metu.
• Automatiškai - Jums naudojantis Platforma (mokymosi duomenys, techniniai duomenys, slapukai).
• Iš trečiųjų šalių - iš mokėjimo paslaugų teikėjo (operacijos statusas), iš mokyklos paskyros (jei buvote pakviesti).

5. Tvarkymo tikslai ir teisinis pagrindas

Pagal BDAR 6 str., kiekvienas asmens duomenų tvarkymo veiksmas turi turėti aiškų teisinį pagrindą. Žemiau - mūsų tvarkymo tikslai ir jų teisiniai pagrindai:

5.1 Sutarties vykdymas (BDAR 6 str. 1 d. b p.)

• Paskyros sukūrimas, autentifikacija, prisijungimas.
• Mokamų planų aktyvavimas, mokėjimų apdorojimas, sąskaitų faktūrų išrašymas.
• AI mokytojo, adaptyvaus kartojimo (FSRS), bandomųjų egzaminų ir kitų paslaugų teikimas.
• Komunikacija dėl paslaugos (transakciniai laiškai - patvirtinimai, slaptažodžio atstatymas).

5.2 Teisėtas interesas (BDAR 6 str. 1 d. f p.)

• Paslaugos saugumas, sukčiavimo prevencija, neautorizuotos prieigos užkardymas.
• Paslaugos kokybės gerinimas (anoniminė statistinė analizė, A/B testai).
• Klausimų bazės kokybės gerinimas (naudotojų klaidų suvestinės, neaiškūs klausimai).
• Civilinių pretenzijų gynimas teisme.
• Vidinių verslo procesų administravimas (apskaita, ataskaitos).

5.3 Sutikimas (BDAR 6 str. 1 d. a p.)

• Rinkodaros pranešimai (naujienlaiškiai, pranešimai apie naujus produktus, akcijas).
• Neprivalomų slapukų (analitinių, funkcinių) naudojimas.
• 14 metų neturinčių asmenų atveju - tėvų ar globėjų sutikimas.

Sutikimą galite bet kada atšaukti - atšaukimas nepaveikia iki tol vykdyto teisėto tvarkymo (BDAR 7 str.).

5.4 Teisinė prievolė (BDAR 6 str. 1 d. c p.)

• Apskaitos dokumentų saugojimas pagal LR Buhalterinės apskaitos įstatymą.
• Atsakas į teismo, prokuratūros, mokesčių inspekcijos užklausas.
• Atsakas į duomenų subjektų teisių įgyvendinimo prašymus.

6. Asmens duomenų saugojimo terminai

Duomenis saugome ne ilgiau, nei būtina nustatytiems tikslams pasiekti, arba tiek, kiek reikalauja imperatyvūs teisės aktai.

• Paskyros duomenys - kol Paskyra aktyvi. Po Paskyros ištrynimo arba pasirinkto neaktyvumo - 30 dienų atsarginiam grąžinimui, vėliau visiškai pašalinami arba anonimizuojami.
• Mokymosi duomenys - kol Paskyra aktyvi. Po ištrynimo - pašalinami arba agreguotai anonimizuojami statistikai.
• AI pokalbių istorija - 90 dienų aktyvi prieiga; vėliau anonimizuojama (klausimai be tapatybės) modelių kokybei vertinti, jei nedavėte sutikimo dėl naudojimo modelių apmokyti.
• Mokėjimo ir apskaitos dokumentai - 10 metų pagal LR Buhalterinės apskaitos įstatymą.
• Techniniai logai (IP, klaidos) - 12 mėn. saugumo ir diagnostikos tikslais; vėliau ištrinami arba anonimizuojami.
• Rinkodaros duomenys — kol galioja sutikimas; po atšaukimo — nedelsiant pašalinami iš rinkodaros sąrašų (gali likti įraše „atšaukė sutikimą“ 24 mėn., kad pakartotinai nekontaktuotume).
• Neaktyvių paskyrų — 24 mėn. po paskutinio prisijungimo Naudotojas el. paštu informuojamas; jei per 30 dienų neatsako, paskyra anonimizuojama arba pašalinama.

7. Duomenų gavėjai ir sub-procesoriai

Asmens duomenis gali tvarkyti tik patikimi sub-procesoriai (duomenų tvarkytojai), su kuriais sudarytos BDAR 28 str. atitinkančios duomenų tvarkymo sutartys. Pagrindinės kategorijos:

• Debesų infrastruktūros tiekėjai — duomenų saugojimas ES teritorijoje (pvz., Hetzner, AWS Frankfurt arba lygiavertis).
• Mokėjimų procesoriai — Stripe, Paysera, Montonio ar kiti sertifikuoti tiekėjai (PCI-DSS).
• El. pašto tiekėjas — transakcinių ir rinkodaros laiškų siuntimui (pvz., Resend, Postmark).
• Klientų aptarnavimo įrankiai — užklausų valdymui (pvz., pagalbos sistema).
• AI modelio tiekėjas — Anthropic (Claude modeliai). Detaliau — 8 sk.
• Analizės įrankiai — anoniminei naudojimo statistikai (pvz., Plausible, anonimizuotas Google Analytics).
• Apskaitos paslaugų tiekėjai — buhalterijai ir mokesčių prievolėms.
• Teisininkai, auditoriai — esant teisinei būtinybei, pagal konfidencialumo sutartis.

Atskirais atvejais asmens duomenys gali būti perduoti valstybės institucijoms (teismui, policijai, mokesčių inspekcijai), kai tai privaloma pagal teisės aktus.

Duomenų pardavimas draudžiamas. Mes neprekiaujame ir nedalijamės Jūsų asmens duomenimis su trečiosiomis šalimis rinkodaros tikslais.

8. AI paslaugos ir duomenų apdorojimas

KETis AI mokytojas naudoja trečiosios šalies dirbtinio intelekto modelius — pirmiausia Anthropic („Claude“ modeliai). Norėdami suteikti AI atsakymus, mes privalome perduoti Jūsų užduotus klausimus ir reikiamą kontekstą AI tiekėjui.

• Kas perduodama: Jūsų užduotas klausimas + reikiamas KET kontekstas (pvz., taisyklės tekstas). Neperduodame: paskyros el. pašto, vardo, mokėjimo duomenų ar kitos identifikuojančios informacijos.
• Kur apdorojama: Anthropic apdoroja užklausas savo serveriuose. Anthropic skelbia, kad „API“ naudotojų duomenys nėra naudojami modelių apmokyti standartiškai. Naujausią Anthropic privatumo politiką galite peržiūrėti anthropic.com/legal/privacy.
• Tarptautinis perdavimas: Anthropic infrastruktūra gali būti JAV. Perdavimas vykdomas pagal BDAR 46 str. tinkamas apsaugos priemones (Standartines sutarčių sąlygas — SCC).
• Saugojimo terminas: AI tiekėjas saugo užklausas pagal savo retencijos politikas (paprastai 30 dienų piktnaudžiavimo prevencijai).
• Jūsų sprendimas: Jei nesutinkate su AI funkcijos naudojimu - galite jo nesinaudoti. Visos kitos Platformos funkcijos veiks.

9. Profiliavimas ir automatinis sprendimų priėmimas

Pagal BDAR 13 str. 2 d. f p. ir 22 str., privalome informuoti apie automatizuotą sprendimų priėmimą ir profiliavimą.

• FSRS adaptyvus algoritmas - analizuojame Jūsų atsakymų istoriją, kad nustatytume, kada parodyti tam tikrą klausimą pakartotinai. Tai yra profiliavimas, tačiau jis neturi teisinių pasekmių ar reikšmingo poveikio Jūsų teisėms (BDAR 22 str. prasme). Tai paslaugos pagrindinė dalis, pagrįsta sutartiniu pagrindu.
• Pasiruošimo prognozė - algoritmas apskaičiuoja, kada esate pasiruošęs egzaminui. Tai informacinė rekomendacija; galutinį sprendimą laikyti egzaminą priimate Jūs.
• Garantijos vertinimas - Jūsų mokymosi duomenys (testų rezultatai, naudojimo dienos) automatiškai analizuojami nustatant atitiktį Garantijos sąlygoms. Galutinį sprendimą dėl pinigų grąžinimo priima KETis darbuotojas, todėl tai nėra grynai automatizuotas sprendimas BDAR 22 str. prasme.

Turite teisę paprašyti žmogaus įsitraukimo į bet kokį automatizuotą sprendimą ir pareikšti savo nuomonę dėl jo (BDAR 22 str. 3 d.).

10. Tarptautinis duomenų perdavimas

Asmens duomenys pirmiausia tvarkomi Europos ekonominės erdvės (EEE) teritorijoje. Kai duomenys perduodami už EEE ribų (pvz., AI tiekėjui), užtikriname BDAR 44–49 str. atitinkančias apsaugos priemones:

• Europos Komisijos sprendimai dėl tinkamumo lygmens (jei taikoma).
• Standartinės sutarčių sąlygos (SCC) - Europos Komisijos patvirtintos pavyzdinės sąlygos.
• Papildomos technines ir organizacines saugos priemonės (šifravimas, pseudonimizavimas).

Detalią informaciją apie konkretų tarptautinį perdavimą galite gauti rašydami info@ketis.lt.

11. Slapukai ir panašios technologijos

Slapukai (cookies) - nedidelės duomenų bylos, įrašomos į Jūsų įrenginį naršant Platformoje. Naudojame šių rūšių slapukus:

11.1 Būtinieji slapukai (negalima atsisakyti)

Reikalingi Platformos veikimui - sesijos identifikatorius, autentifikacija, CSRF apsauga, naudotojo nustatytos kalbos ar temos išsaugojimas. Be jų Platforma negalėtų veikti. Tvarkomi remiantis sutarties vykdymu (BDAR 6 str. 1 d. b p.).

11.2 Funkciniai slapukai

Išsaugo Jūsų pasirinkimus (kalba, tema, šoninio meniu būsena), kad nereikėtų jų nustatyti iš naujo. Tvarkomi remiantis sutikimu (BDAR 6 str. 1 d. a p.).

11.3 Analitiniai slapukai

Padeda suprasti, kaip naudojama Platforma - kuriuose puslapiuose vartotojai užtrunka ilgiausiai, kur kyla sunkumų. Naudojami su privatumą gerbiančiais analizės įrankiais (anonimizuoti IP, jokio cross-site sekimo). Tvarkomi tik gavus sutikimą.

11.4 Reklamos slapukai

KETis šiuo metu nenaudoja trečiųjų šalių reklamos slapukų ir nedalijasi duomenimis su rinkodaros tinklais. Jei tai pasikeis, atnaujinsime šią Politiką ir paprašysime pakartotinio sutikimo.

11.5 Slapukų valdymas

Slapukus galite valdyti per slapukų sutikimo skydelį (rodomas pirmojo apsilankymo metu) arba per naršyklės nustatymus. Atminkite - būtinųjų slapukų išjungimas gali sutrikdyti Platformos veikimą.

12. Rinkodaros komunikacija

• Transakciniai laiškai (paskyros patvirtinimas, mokėjimo kvitai, slaptažodžio atstatymas) siunčiami visada - be jų paslauga negalėtų veikti. Jų atsisakyti negalima nepanaikinus paskyros.
• Rinkodaros laiškai (naujienlaiškiai, pranešimai apie naujus straipsnius, akcijos) siunčiami tik gavus aiškų sutikimą. Sutikimą galite atšaukti bet kuriuo metu paspaudę „Atsisakyti“ nuorodą laiške arba per profilio nustatymus.
• Pakartotinis kontaktas — KETis gali kontaktuoti dėl paslaugų, kuriomis aktyviai naudojotės, pagal teisėtą interesą (pvz., priminti apie nepatvirtintą mokėjimą, baigiantį galioti planą).

13. Jūsų teisės pagal BDAR

Pagal BDAR 15–22 str. turite šias teises:

• Teisė susipažinti (15 str.) — gauti patvirtinimą, ar Jūsų duomenys tvarkomi, ir, jei taip, gauti tų duomenų kopiją bei tvarkymo informaciją.
• Teisė ištaisyti (16 str.) — pataisyti netikslius arba papildyti neišsamius duomenis.
• Teisė ištrinti („teisė būti pamirštam“, 17 str.) - prašyti ištrinti duomenis, jei nebėra tikslo juos tvarkyti, atšaukėte sutikimą ir nėra kito teisinio pagrindo, ar duomenys tvarkomi neteisėtai.
• Teisė apriboti tvarkymą (18 str.) - pareikalauti laikinai sustabdyti duomenų tvarkymą.
• Teisė į perkeliamumą (20 str.) - gauti savo duomenis struktūrizuotu, įprastai naudojamu, kompiuterio skaitomu formatu (JSON, CSV) ir perduoti juos kitam valdytojui.
• Teisė nesutikti (21 str.) - nesutikti su duomenų tvarkymu, pagrįstu teisėtu interesu, įskaitant tiesioginę rinkodarą.
• Teisė atšaukti sutikimą (7 str. 3 d.) - bet kada atšaukti anksčiau duotą sutikimą.
• Teisės dėl automatizuoto sprendimų priėmimo (22 str.) - žr. 9 sk.
• Teisė pateikti skundą priežiūros institucijai - Valstybinei duomenų apsaugos inspekcijai (vdai.lrv.lt) arba kompetentingai institucijai Jūsų gyvenamosios vietos ES valstybėje narėje.

Kaip pasinaudoti teisėmis: rašykite info@ketis.lt, nurodydami Paskyros el. paštą ir konkrečią teisę, kuria norite pasinaudoti. Atsakysime per 30 kalendorinių dienų. Jei užklausa sudėtinga, terminas gali būti pratęstas iki 2 mėn. (apie tai informuosime).

Tapatybės patvirtinimo tikslais galime paprašyti papildomos informacijos. Jei užklausa akivaizdžiai nepagrįsta arba pertekline (pvz., kartojama), galime imti pagrįstą mokestį arba atsisakyti vykdyti (BDAR 12 str. 5 d.).

14. Vaikai (jaunesni nei 14 m.)

Pagal LR Asmens duomenų teisinės apsaugos įstatymo 8 str., informacinės visuomenės paslaugų atveju vaikams nuo 14 metų savarankiškai galima duoti sutikimą tvarkyti asmens duomenis. Jaunesniems nei 14 metų reikalingas tėvų ar globėjų sutikimas.

• Platforma skirta 14 metų ir vyresniems naudotojams.
• Sąmoningai nerenkame vaikų iki 14 m. duomenų be tėvų sutikimo.
• Jei sužinome, kad surinkome duomenis iš jaunesnio nei 14 m. asmens be tinkamo sutikimo, nedelsdami juos pašalinsime.
• Tėvai/globėjai, manantys, kad jų vaikas pateikė duomenis be jų sutikimo, gali kreiptis info@ketis.lt.

15. Mokyklų (B2B) duomenys ir mokinių pakvietimas

Vairavimo mokykloms naudojantis B2B paskyromis taikomi papildomi privatumo aspektai:

• Mokykla, pakviesdama mokinius, atlieka vaidmenį bendrų valdytojų pareigos pagal BDAR 26 str. arba nepriklausomo valdytojo — atskira pakviestų asmenų atžvilgiu.
• Mokyklos paskyros valdytojas privalo informuoti pakviestus mokinius apie KETis privatumo politiką ir, jei reikia, gauti jų sutikimą.
• Mokyklos paskyros administratoriai mato pakviestų mokinių mokymosi pažangą - tai būtina paslaugos veikimui, ir mokinys, priimdamas pakvietimą, su tuo sutinka.
• Mokyklai užbaigus B2B sutartį, jos prieiga prie mokinių duomenų nutraukiama; pačių mokinių paskyros lieka jų asmeninėje žinioje.

16. Saugumo priemonės

Taikome tinkamas technines ir organizacines priemones (TOM) duomenims apsaugoti pagal BDAR 32 str.:

• Visų duomenų perdavimas tarp Naudotojo ir serverio šifruotas TLS 1.2+ (HTTPS).
• Slaptažodžiai saugomi vienkrypčio šifravimo formatu (bcrypt arba argon2).
• Mokėjimų duomenys neapdorojami mūsų infrastruktūroje - perduodami tiesiai sertifikuotam procesoriui.
• Reguliarus serverių saugumo atnaujinimas, pažeidžiamumų skenavimas, prieigos auditas.
• Prieiga prie produkcijos duomenų suteikiama tik įgaliotiems darbuotojams pagal „minimalios būtinos prieigos“ principą.
• Atsarginės duomenų kopijos saugomos šifruotai, jų atstatymo bandymai vykdomi reguliariai.
• Vidiniai duomenų apsaugos mokymai ir konfidencialumo įsipareigojimai darbuotojams.
• Naujų funkcijų projektavimas pagal „privatumas pagal nutylėjimą“ (privacy by design) ir „privatumas pagal numatymą“ (privacy by default) principus.

17. Asmens duomenų pažeidimai

Įvykus asmens duomenų saugumo pažeidimui, kuris gali kelti riziką Jūsų teisėms ir laisvėms, įsipareigojame:

• Apie pažeidimą informuoti Valstybinę duomenų apsaugos inspekciją per 72 valandas nuo sužinojimo, kaip numato BDAR 33 str.
• Esant aukštai rizikai, informuoti paveiktus Naudotojus tiesiogiai (BDAR 34 str.).
• Imtis priemonių pažeidimo padariniams sumažinti ir užkirsti kelią pakartotinai.

18. Paskyros ir duomenų ištrynimas

Paskyrą galite ištrinti per Platformos nustatymus arba el. laišku info@ketis.lt. Po prašymo:

• Per 7 darbo dienas blokuojame prieigą prie Paskyros ir nutraukiame paslaugos teikimą.
• Per 30 dienų nuo ištrynimo prašymo asmens duomenys pašalinami arba anonimizuojami, išskyrus tuos, kuriuos privalome saugoti pagal teisinį pagrindą (pvz., apskaitos duomenys — 10 m.).
• Anonimizuoti duomenys (be tapatybės nustatymo galimybės) gali būti saugomi neribotai statistinei analizei.
• AI pokalbių istorija pašalinama iš mūsų sistemos; AI tiekėjas savo pusėje ištrina pagal savo retencijos politiką (paprastai 30 d.).

19. Politikos pakeitimai

Mes pasiliekame teisę keisti šią Politiką, atspindint paslaugų pokyčius ar teisės aktų atnaujinimus. Esminius pakeitimus paskelbsime Platformoje ne vėliau kaip prieš 14 dienų iki įsigaliojimo, taip pat informuosime el. paštu (jei sutikote gauti tokius pranešimus).

Šios Politikos versijos data ir aktualumas nurodyti dokumento viršuje („Atnaujinta“). Senesnės versijos saugomos vidaus archyvuose ir gali būti pateiktos paprašius.

20. Kontaktai ir skundai

Klausimai dėl asmens duomenų ir Politikos: info@ketis.lt

Priežiūros institucija: Valstybinė duomenų apsaugos inspekcija

• L. Sapiegos g. 17, LT-10312 Vilnius
• Tel.: +370 5 271 2804
• El. p.: ada@ada.lt
• Svetainė: vdai.lrv.lt

Prieš pateikdami skundą priežiūros institucijai, kviečiame pirmiausia kreiptis į mus - dažniausiai klausimus pavyks išspręsti operatyviai.