Voimassa 14.1.2022 alkaen uusille rekisteröityneille käyttäjille ja 1.2.2022 alkaen vanhoille yksityisasiakkaille.
1.1. Nämä Tietosuojaehdot ("Tietosuojaehdot") koskevat Flatco -nimisen (Codetag Oy y-tunnus 2468043-4, "Toimittaja") tuotteen kiinteistöjen, IOT-laitteiden, vuokrahuoneistojen ja vuokrasuhteiden elinkaaren aikaisten tai niihin liittyvien palvelujen ("Palvelu") toimitusta ja käyttöä.
1.2. Mikäli sopimuksen ehtojen ja tämän liitteen ehtojen välillä on ristiriitaisuuksia, saa tämä liite etusijan. Nämä ehdot tulevat sovellettavaksi ja osaksi osapuolten välisen sopimuksen ehtoja, mikäli Codetag toimii rekisterinpitäjänä olevan asiakkaan henkilötietojen käsittelijänä (siten kuin asia on EU:n yleisessä tietosuoja-asetuksessa määritelty).
2.1. Tässä liitteessä käytetyt käsitteet saavat sen merkityssisällön, joka niille on annettu (i) Flatcon Yleisissä Käyttö- ja Sopimusehdoissa, (ii) Euroopan Unionin asetuksessa 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja (iii) direktiivin 95/46/EY kumoamisesta (jäljempänä "tietosuoja-asetus"). Tällaisia käsitteitä ovat erityisesti termit rekisterinpitäjä, henkilötietojen käsittelijä, henkilötieto, rekisteröity, käsittely ja henkilötietojen tietoturvaloukkaus.
3.1. Tällä Tietosuojaehdolla osapuolet sopivat siitä, että Codetag henkilötietojen käsittelijänä ("Henkilötietojen käsittelijä") käsittelee sopimuksen voimassaoloaikana henkilötietoja asiakkaan, rekisterinpitäjän, lukuun.
3.2. Asiakas toimii rekisterinpitäjänä suhteessa tämän sopimusliitteen perusteella käsiteltäviin henkilötietoihin ja asiakas vastaa siitä, että se täyttää kaikki ne velvollisuudet, joita lainsäädäntö edellyttää rekisterinpitäjältä (mm. tietosuojaselosteiden laatiminen ja saatavilla pitäminen, riittävien ja lainmukaisten henkilötietojen käsittelyperusteiden varmistaminen, mukaan lukien suostumusten hankkiminen, mikäli käsittely suostumusta edellyttää). Koska asiakas kontrolloi sitä, mitä tietoja tallennetaan Toimittajan palveluihin, vastaa asiakas yksin siitä, että sillä on oikeus tallentaa henkilötietoja Toimittajan palveluihin.
3.3. Henkilötietojen käsittelijä käsittelee henkilötietoja kaupallisessa sopimuksessa tarkemmin määriteltyjen tuotteiden ja palveluiden tarjoamiseksi ja toimittamiseksi, rekisterinpitäjän mahdollisesti kulloinkin antamien tarkentavien ohjeiden mukaisesti.
3.4. Henkilötietojen käsittelijällä ei ole oikeutta käsitellä asiakkaan henkilötietoja mihinkään muuhun tarkoitukseen tai kenenkään muun hyväksi. Henkilötietojen käsittelijällä on oikeus siirtää henkilötietoja EU:n tai ETA:n ulkopuolisiin maihin, edellyttäen että siirto tapahtuu tietosuoja-asetuksessa määriteltyä riittäviä suojamekanismeja käyttäen.
3.5. Henkilötietojen käsittelijän on ilmoitettava rekisterinpitäjälle, jos tämä katsoo, että rekisterinpitäjän antamat käsittelyä koskevat kirjalliset ohjeistukset rikkovat tietosuoja-asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä. Tämän liitteen ehtojen lisäksi kumpikin osapuoli sitoutuu noudattamaan sovellettavia kansallisia tietosuojalakeja ja tietosuoja-asetuksen säännöksiä toimintaansa soveltuvin osin.
3.6. Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä "KÄSITTELYÄ KOSKEVAT VAATIMUKSET" kappaleessa.
4.1. Henkilötietojen käsittelijällä on oikeus käyttää käsittelyssä toisen henkilötietojen käsittelijän palveluja. Asiakkaalla on oikeus pyytää tietoa henkilötietojen käsittelijän käyttämistä alihankkijoista ja alihankkijoihin tiedossa olevista muutoksista. Mikäli rekisterinpitäjä vastustaa henkilötietojen käsittelijän aikomaa alihankkijamuutosta eikä henkilötietojen käsittelijä kohtuudella kykene käyttämään vaihtoehtoista alihankkijaa tai menettelyä kyseisessä käsittelytoimessa, ei henkilötietojen käsittelijä ole vastuussa rekisterinpitäjälle tästä aiheutuvista sopimusvelvoitteiden rikkomuksista tai laiminlyönneistä. Tällaisessa tilanteessa henkilötietojen käsittelijä on oikeutettu kirjallisesti irtisanomaan palvelusopimuksen päättymään 1 kuukauden irtisanomisaikaa noudattaen.
4.2. Käyttäessään toisen henkilötietojen käsittelijän palveluja, henkilötietojen käsittelijän tulee sopia palveluntarjoajan kanssa, että käsittely tapahtuu noudattaen samantasoisia tietosuojavelvoitteita, kuin mitä tässä liitteessä on kuvattuna. Henkilötietojen käsittelijä vastaa siitä, että sen käyttämän toisen henkilötietojen käsittelijän palvelut toteutetaan tämän liitteen vaatimusten mukaisina.
4.3. Selvyyden vuoksi todettakoon, että Asiakas voi Palvelussa aktivoida ja käyttää ominaisuuksia, joiden yhteydessä tietoja siirretään kolmannelle osapuolelle, kuten maksu-, vuokralaskutus-, tai allekirjoituspalveluiden tarjoajalle, joka Käsittelee Asiakkaan Henkilötietoja Asiakkaan lukuun. Tällöin kolmatta osapuolta ei pidetä Palveluntarjoajan Alihankkijana. Asiakas on vastuussa näiden kolmansien osapuolien käsittelytoimien dokumentoinnista omissa selosteissaan.
5.1. Kaikkia henkilötietoja, joita henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun, pidetään rekisterinpitäjän luottamuksellisina tietoina ja henkilötietojen käsittelijä sitoutuu pitämään tiedot salassa ja olemaan luovuttamatta tai paljastamatta niitä kenellekään kolmannelle osapuolelle tai käyttämättä tietoja muuhun kuin sovittuun tarkoitukseen. Henkilötietojen käsittelijä sitoutuu myös olemaan luovuttamatta ja paljastamatta henkilötietoja omassa organisaatiossaan muille kuin sellaisille työntekijöilleen tai muille henkilöille (ml. mahdolliset alihankkijat), joiden on tarpeen tuntea kyseinen tieto sovittua tarkoitusta varten, ja jotka ovat palvelu- tai muiden sopimustensa perusteella taikka lakisääteisesti velvollisia pitämään tiedon luottamuksellisena. Salassapitovelvoitteet pysyvät voimassa sopimuksen päättymisestä huolimatta.
6.1. Henkilötietojen käsittelijän tulee huolehtia, että se toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla pyritään estämään henkilötietojen käsittelijän hallussa olevien rekisterinpitäjän henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Epäselvyyksien välttämiseksi todetaan, että henkilötietojen käsittelijä ei kuitenkaan vastaa sellaisten tietojärjestelmien tai palveluiden teknisestä tietoturvasta, jotka ovat rekisterinpitäjän omaisuutta tai joiden aineettomat oikeudet kuuluvat rekisterinpitäjälle tai jollekin kolmannelle osapuolelle, ellei näin ole nimenomaisesti sovittu. Mikäli henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää tällaisten järjestelmien tai palveluiden teknisen tai organisatorisen tietoturvan parantamisessa, kehittämisessä tai ylläpitämisessä, sopivat osapuolet erikseen tällaisesta työstä ja sen kustannuksista ja työn muista ehdoista.
6.2. Tietoturvaa koskevat toimenpiteet tulee suunnitella huomioiden uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, kuten (i) henkilötietojen pseudonymisointi ja salaus; (ii) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; (iii) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; (iv)menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
7.1. Henkilötietojen käsittelijän on ilmoitettava tietoonsa tulleesta käsittelyssä tapahtuneesta henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä, jotta rekisterinpitäjä voi täyttää tietosuoja-asetuksessa määritellyt ilmoitusvelvoitteet asetetussa määräajassa. Tietoturvaloukkauksesta tulee antaa riittävät tiedot ja henkilötietojen käsittelijän tulee muutoinkin avustaa rekisterinpitäjää, jotta rekisterinpitäjä voi täyttää tälle tietosuoja-asetuksessa asetetut velvoitteet. Henkilötietojen käsittelijän tulee myös ryhtyä tarpeellisiin jatkotoimenpiteisiin, joilla henkilötietojen tietoturvaloukkauksen haittavaikutuksia voidaan lieventää tai tulevia loukkauksia estää.
8.1. Mikäli henkilötietojen käsittelijä tulee tietoiseksi siitä, että suunniteltu käsittely aiheuttaisi korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee sen ilmoittaa tästä rekisterinpitäjälle ja avustaa tätä tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisessa.
9.1. Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee kohtuudella ja ilman aiheetonta viivästystä auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat tietosuoja-asetuksessa säädettyjen rekisteröidyn oikeuksien käyttämistä. Tällaisia oikeuksia voivat olla muun muassa, sellaisina kuin ne on tietosuoja-asetuksessa määritelty, rekisteröidyn oikeus saada pääsy tietoon, oikeus saada tieto korjatuksi, oikeus kieltää käsittely, oikeus tietojen poistamiseen (ns. "oikeus tulla unohdetuksi"), oikeus käsittelyn rajoittamiseen ja oikeus saada tiedot siirretyksi järjestelmästä toiseen. Mikäli tällaisia vaatimuksia esitetään suoraan henkilötietojen käsittelijälle, sen tulee viipymättä ilmoittaa niistä rekisterinpitäjälle.
10.1. Henkilötietojen käsittelijän tulee saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja henkilötietojen käsittelijä sallii ja kohtuudella avustaa rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset henkilötietojen käsittelijän tiloihin, järjestelmiin, prosesseihin ja dokumentaatioon, sekä osallistuu itse niihin, mikäli rekisterinpitäjä katsoo tarpeelliseksi sellaisen toteuttamisen. Auditoinnit pyritään suorittamaan normaalin työajan puitteissa siten, että niistä aiheutuisi mahdollisimman vähän haittaa henkilötietojen käsittelijän liiketoiminnalle. Kumpikin osapuoli vastaa omista auditoinnin suorittamiseen liittyvistä kustannuksistaan. Rekisterinpitäjän tulee ilmoittaa henkilötietojen käsittelijälle vähintään 20 päivää etukäteen auditoinnin toteuttamisesta.
11.1. Mikäli henkilötietojen käsittelijä joutuu avustamaan rekisterinpitäjää tietosuoja-asetuksen tietoturvaloukkauksia, rekisteröityjen oikeuksien toteuttamista ja tietosuojavaikutusten arviointia koskevien säännösten täyttämisessä, on henkilötietojen käsittelijä oikeutettu laskuttamaan kohtuulliset toteutuneet työtunnit tavanomaisen tuntihinnan mukaisesti. Lisätyötunneista laskuttaminen edellyttää kuitenkin sitä, että rekisterinpitäjä on etukäteen hyväksynyt avustamisvelvoitteiden täyttämiseen liittyvän ajankäytön. Henkilötietojen käsittelijä ei ole vastuussa rekisterinpitäjälle mistään sopimusrikkomusten aiheuttamista välillisistä, epäsuorista vahingoista tai kolmansien esittämistä vaatimuksista. Henkilötietojen käsittelijän sopimusrikkomuksia koskeva vahingonkorvausvastuu rajoittuu yhteenlaskettuna enimmäismääränä määrällisesti summaan, joka vastaa rekisterinpitäjän maksaman sopimusrikkomusta edeltävän kahden (2) kuukauden palvelumaksun arvonlisäverotonta hintaa.
12.1. Nämä Tietosuojaehdot tulee voimaan, kun Käyttäjä on hyväksynyt ne Asiakkaan puolesta kirjautuessaan Palveluun ja pysyy voimassa niin kauan, kunnes osapuolten välinen kaupallinen sopimus päättyy tai irtisanotaan.
12.2. Kohtuullisen ajan kuluessa sopimuksen päättymisestä henkilötietojen käsittelijä, rekisterinpitäjän valinnan mukaan, joko poistaa, anonymisoida tai palauttaa kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset sekä poistaa käyttäjätunnuksensa rekisterinpitäjän tietojärjestelmiin, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.
12.3. Ellei rekisterinpitäjä ole ilmoittanut 12 kuukauden kuluessa sopimuksen päättymisestä poistamisesta tai palauttamisesta, poistaa henkilötietojen käsittelijä henkilötiedot ja sitä koskevat jäljennökset, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. Siinä tapauksessa henkilötietojen käsittelijällä on oikeus säilyttää henkilötiedot lain vaatimusten mukaisesti, jatkamatta muutoin henkilötietojen käsittelyä ja noudattaen edelleen tässä liitteessä kuvattuja salassapitovelvoitteita. Rekisterinpitäjän tulee ennen tietojen poistamista varmuuskopioida tai tallentaa henkilötietojen käsittelijän hallussa olevat henkilötiedot, mikäli se edelleen niitä tarvitsee.
13.1. Toimittaja käsittelee asiakkaan ja käyttäjien syöttämiä, tallentamia tai lähettämiä henkilötietoja sopimuksen ja näiden tietosuojaehtojen mukaisesti palvelujen ja sovelluksen sekä niiden käyttöä koskevan tuen tarjoamiseksi.
13.2. Asiakkaan ja käyttäjien syöttämät, tallentamat tai luomat henkilötiedot saattavat koskea muun muassa seuraavia henkilötietoryhmiä: henkilön nimi, henkilötunnus, osoitetiedot, puhelinnumero, sähköpostiosoite, vuokrasopimus, vuokrasuhdetta koskeva viestintä ja muu data.
13.3. Henkilötiedot koskevat pääasiassa sellaisia rekisteröityjä, jotka ovat Codetagin palvelun vuokranantaja-asiakkaan tietoja taikka tämän vuokralaisten tietoja.