Proton

Databehandleraftale

Senest ændret: 10. februar 2026

Denne databehandleraftale ("Aftalen") udgør en del af tjenesteydelseskontrakten under Proton AG's vilkår og betingelser ("Hovedaftalen") mellem Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, selskabsregistreringsnummer CHE-354.686.492 (benævnt "Databehandleren") og Virksomheden, der bruger Protons tjenester (benævnt "Virksomheden”, hvilket skal forstås som enhver virksomhed eller organisation, der bruger Tjenesterne, uanset dens juridiske form).

Denne Aftale regulerer de specifikke krav i databeskyttelseslovgivningen i det omfang, Virksomhedens brug af Protons Tjenester indebærer behandling af personoplysninger, der er omfattet af databeskyttelseslovgivningen.

Denne Aftale er et supplement til vores Privatlivspolitik, der tjener som den primære reference for vores praksis og foranstaltninger vedrørende databeskyttelse.

Løbetiden for denne Aftale følger løbetiden for Hovedaftalen. Begreber, der ikke er defineret heri, har den betydning, der er angivet i Hovedaftalen.


IDET

A) Virksomheden fungerer som dataansvarlig ("Den Dataansvarlige").

B) Virksomheden ønsker at overdrage visse Tjenester (som defineret nedenfor), hvilket indebærer behandling af personoplysninger, til Proton AG, der fungerer som databehandler ("Databehandleren").

C) Parterne ønsker at implementere en databehandleraftale, der overholder kravene i de gældende juridiske rammer for databehandling og Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og andre gældende love om databeskyttelse.

D) Parterne ønsker at fastlægge deres rettigheder og forpligtelser.


AFTALES FØLGENDE:

1. Definitioner og fortolkning

Medmindre andet er defineret heri, har begreber og udtryk med stort begyndelsesbogstav, der anvendes i denne DPA, følgende betydning:

1.1) "Aftalen" betyder denne databehandleraftale og alle bilag;

1.2) "Virksomhedens Personoplysninger" betyder alle personoplysninger relateret til Virksomheden eller Virksomhedens kunder eller medarbejdere, der behandles i forbindelse med Hovedaftalen;

1.3) "Kontraheret Databehandler" betyder en underdatabehandler;

1.4) "Databeskyttelseslovgivning" betyder EU's databeskyttelseslovgivning og, i det omfang det er relevant, databeskyttelses- eller privatlivslovgivningen i ethvert andet land;

1.5) "EØS" betyder Det Europæiske Økonomiske Samarbejdsområde;

1.6) "EU's Databeskyttelseslovgivning" betyder EU-direktiv 95/46/EF, som implementeret i national lovgivning i hver medlemsstat og som ændret, erstattet eller afløst fra tid til anden, herunder af GDPR og love, der implementerer eller supplerer GDPR;

1.7) "GDPR" betyder EU's generelle forordning om databeskyttelse 2016/679;

1.8) "Dataoverførsel" betyder:

  • 1.8.1) en overførsel af Virksomhedens Personoplysninger fra Den Dataansvarlige til Databehandleren eller en Kontraheret Databehandler; eller
  • 1.8.2) en videreoverførsel af Virksomhedens Personoplysninger fra Databehandleren til en underdatabehandler eller mellem to af en underdatabehandlers etableringer;

1.9) "Tjenester" betyder sikre onlinetjenester leveret af Databehandleren, såsom e-mail, kalender, drev og andre tjenester udviklet af Databehandleren. Detaljer og priser for Tjenesterne findes på Databehandlerens websted.

1.10) "Underdatabehandler" betyder enhver person, der er udpeget af eller på vegne af Databehandleren til at behandle personoplysninger på vegne af Den Dataansvarlige i forbindelse med Aftalen.

Begreberne "Kommissionen", "Den Dataansvarlige", "Den registrerede", "Medlemsstat", "Personoplysninger", "Brud på persondatasikkerheden", "Behandling" og "Tilsynsmyndighed" har samme betydning som i GDPR eller anden gældende databeskyttelseslovgivning, og afledte begreber skal fortolkes i overensstemmelse hermed.

2. Behandling af Virksomhedens Personoplysninger

Databehandleren skal:

2.1) overholde al gældende databeskyttelseslovgivning i forbindelse med behandling af Virksomhedens Personoplysninger;

2.2) og ikke behandle Virksomhedens Personoplysninger på anden måde end efter Den Dataansvarliges dokumenterede instrukser i afsnit 2.

Den Dataansvarlige instruerer Databehandleren om at behandle Virksomhedens Personoplysninger for at:

2.3) levere Tjenesterne og relateret teknisk support;

2.4) opfylde juridiske forpligtelser eller bilægge tvister;

2.5) udføre enhver intern opgave, der sigter mod at optimere sikkerheden, privatlivet, fortroligheden og funktionaliteterne i Tjenesterne;

2.6) udføre intern rapportering, finansiel rapportering og andre lignende interne opgaver.

3. Databehandlerens personale

Databehandleren skal tage rimelige skridt for at sikre pålideligheden af enhver medarbejder, agent eller leverandør hos enhver Kontraheret Databehandler, der kan få adgang til Virksomhedens Personoplysninger, og i hvert enkelt tilfælde sikre, at adgangen er strengt begrænset til de personer, der har behov for at kende / få adgang til de relevante af Virksomhedens Personoplysninger, som strengt nødvendigt til formålene i Hovedaftalen, og/eller for at overholde databeskyttelseslovgivningen og anden relevant lovgivning i forbindelse med den pågældende persons pligter over for den Kontraherede Databehandler, idet det sikres, at alle sådanne personer er underlagt tavshedspligt eller professionelle eller lovbestemte forpligtelser om fortrolighed.

4. Sikkerhed

I overensstemmelse med artikel 32, stk. 1, i GDPR skal Databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne samt arten, omfanget, sammenhængen og formålene med behandlingen. Disse foranstaltninger skal være udformet til at beskytte fysiske personers rettigheder og frihedsrettigheder under hensyntagen til risiciene af varierende sandsynlighed og alvor, herunder risikoen for brud på persondatasikkerheden.

Databehandleren skal også vurdere risiciene forbundet med behandlingsaktiviteter og anvende foranstaltninger, der er i overensstemmelse med kravene i artikel 32, stk. 1, i GDPR, for at sikre sikkerheden af Virksomhedens Personoplysninger til enhver tid.

5. Underdatabehandling

I henhold til denne Aftale giver Virksomheden Databehandleren generel bemyndigelse til at antage underdatabehandlere og videregive eller overføre Virksomhedens Personoplysninger til dem. Virksomheden anerkender og godkender listen over underdatabehandlere, der er angivet i Databehandlerens Privatlivspolitik, med forståelse for, at denne liste kan blive opdateret af Databehandleren regelmæssigt, i hvilket tilfælde Virksomheden vil blive informeret af Databehandleren i henhold til notifikationsprocessen i Privatlivspolitikken. Desuden bemyndiger Virksomheden Databehandleren til at videregive og overføre personoplysninger til ethvert selskab i sin koncern.

Databehandleren sikrer, at underdatabehandlere er underlagt en aftale med Databehandleren, der ikke er mindre restriktiv og beskyttende end denne Aftale med hensyn til beskyttelse af Virksomhedens Personoplysninger, i det omfang det er relevant for karakteren af de tjenester, der leveres af underdatabehandleren.

6. Den registreredes rettigheder

Under hensyntagen til behandlingens karakter skal Databehandleren i rimeligt omfang bistå Virksomheden med opfyldelsen af Virksomhedens forpligtelser til at besvare anmodninger om udøvelse af den registreredes rettigheder i henhold til databeskyttelseslovgivningen.

Databehandleren skal:

6.1) straks underrette Virksomheden, hvis denne modtager en anmodning fra en registreret i henhold til nogen databeskyttelseslovgivning vedrørende Virksomhedens Personoplysninger; og

6.2) sikre, at denne ikke besvarer anmodningen, medmindre det sker efter dokumenterede instrukser fra Den Dataansvarlige eller som krævet af gældende lovgivning, som Databehandleren er underlagt, i hvilket tilfælde Databehandleren i det omfang, det er tilladt i henhold til gældende lovgivning, skal informere Den Dataansvarlige om dette lovkrav, inden den Kontraherede Databehandler besvarer anmodningen.

7. Brud på persondatasikkerheden

Databehandleren skal administrere ethvert brud på persondatasikkerheden i overensstemmelse med gældende databeskyttelseslovgivning og sine interne procedurer for brud på persondatasikkerheden. I tilfælde af et brud på persondatasikkerheden, der påvirker Virksomhedens Personoplysninger, skal Databehandleren uden ophold underrette Virksomheden og give tilstrækkelige oplysninger til at sætte Virksomheden i stand til at opfylde sine forpligtelser i henhold til databeskyttelseslovgivningen, herunder informere de registrerede, hvis det er nødvendigt. I sådanne tilfælde skal Databehandleren give Virksomheden tilstrækkelige oplysninger til, at Virksomheden kan opfylde eventuelle forpligtelser til at rapportere eller informere de registrerede om bruddet på persondatasikkerheden i henhold til databeskyttelseslovgivningen.

Databehandleren skal samarbejde med Virksomheden og tage rimelige forretningsmæssige skridt efter anvisning fra Virksomheden for at bistå med undersøgelse, begrænsning og afhjælpning af hvert sådant brud på persondatasikkerheden.

Hver part bærer omkostningerne til undersøgelse, afhjælpning, begrænsning og andre relaterede omkostninger i det omfang, et databrud er forårsaget af den pågældende part.

Hver part bærer omkostningerne til eventuelle bøder, straffe, erstatninger eller andre relaterede beløb pålagt af et autoriseret tilsynsorgan, en offentlig myndighed eller en domstol med kompetent jurisdiktion i det omfang, det opstår som følge af den pågældende parts misligholdelse af sine forpligtelser i henhold til denne Aftale.

8. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Databehandleren skal yde rimelig bistand til Virksomheden med eventuelle konsekvensanalyser vedrørende databeskyttelse og forudgående høringer af tilsynsmyndigheder eller andre kompetente myndigheder for privatlivsbeskyttelse, som Den Dataansvarlige med rimelighed anser for at være påkrævet i henhold til artikel 35 eller 36 i GDPR eller tilsvarende bestemmelser i anden databeskyttelseslovgivning, i hvert enkelt tilfælde udelukkende i forhold til de Kontraherede Databehandleres behandling af Virksomhedens Personoplysninger og under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for dem.

9. Sletning eller returnering af Virksomhedens Personoplysninger

I tilfælde af ophør af en Tjeneste, der involverer behandling af Virksomhedens Personoplysninger, skal Databehandleren slette alle Virksomhedens Personoplysninger i det omfang, det er tilladt i henhold til gældende lovgivning, og i overensstemmelse med Databehandlerens vilkår og betingelser og Privatlivspolitik. Hvis Virksomheden ønsker en kopi af sine data, skal den anmode om det inden sletning af sin konto; anmodninger fremsat efter, at kontoen er slettet, kan ikke længere imødekommes.

10. Revisionsrettigheder

Med forbehold for dette punkt 10 skal Databehandleren på anmodning stille alle oplysninger til rådighed for Virksomheden, der er nødvendige for at påvise overholdelse af denne Aftale, og skal give mulighed for og bidrage til revisioner, herunder inspektioner, foretaget af Virksomheden eller en revisor bemyndiget af Virksomheden i forhold til de Kontraherede Databehandleres behandling af Virksomhedens Personoplysninger. Virksomheden må ikke udøve sine revisionsrettigheder mere end én gang pr. kalenderår, undtagen efter et brud på persondatasikkerheden eller en instruks fra en tilsynsmyndighed. Virksomheden skal give Databehandleren mindst tres (60) dages forudgående skriftligt varsel om sin hensigt om at revidere Databehandleren i henhold til denne Aftale. Revision skal udføres i Databehandlerens åbningstid, må ikke forstyrre Databehandlerens drift og skal sikre beskyttelsen af Virksomhedens, Databehandlerens og andre registreredes personoplysninger. Databehandleren og Virksomheden skal på forhånd gensidigt aftale dato, omfang, varighed samt sikkerheds- og fortrolighedskontrol gældende for revisionen. Virksomheden anerkender, at underskrivelse af en fortrolighedsaftale kan være påkrævet af Den Dataansvarlige inden gennemførelsen af revisionen.

Virksomhedens informations- og revisionsrettigheder opstår kun i henhold til punkt 10 i det omfang, Aftalen ikke på anden vis giver dem informations- og revisionsrettigheder, der opfylder de relevante krav i databeskyttelseslovgivningen.

11. Dataoverførsel

I det omfang det er muligt, må Databehandleren kun overføre eller autorisere overførsel af data til lande i Schweiz, EU og/eller lande, der er omfattet af en tilstrækkelighedsafgørelse, jf. art. 45 i GDPR og art. 16 i den schweiziske FADP. Hvis personoplysninger, der behandles i henhold til denne Aftale, overføres fra Schweiz eller et land i EU eller et land, der er omfattet af en tilstrækkelighedsafgørelse, til et land uden for dette område, skal Parterne sikre, at personoplysningerne er tilstrækkeligt beskyttet. For at opnå dette skal Parterne, medmindre andet er aftalt, benytte Schweiz- og/eller EU- og/eller UK-godkendte og på daværende tidspunkt gældende standardkontraktbestemmelser for overførsel af personoplysninger eller andre overførselsmekanismer som fastsat i databeskyttelseslovgivningen. Databehandleren er bemyndiget til at foretage sådanne overførsler til underdatabehandlere, forudsat at der er implementeret tilstrækkelige garantier i forhold til overførslens karakter.

12. Generelle vilkår

Overholdelse af gældende lovgivning. Databehandleren vil behandle Virksomhedens Personoplysninger i overensstemmelse med denne Aftale og databeskyttelseslovgivning, der gælder for dens rolle i henhold til denne Aftale. Databehandleren er hverken ansvarlig eller erstatningspligtig for overholdelse af databeskyttelseslovgivning, der udelukkende gælder for Virksomheden i kraft af dens forretning eller branche.

Fortrolighed. Hver part skal holde enhver information, den modtager om den anden part og dennes forretning i forbindelse med denne Aftale (“Fortrolig Information”), fortrolig og må ikke bruge eller videregive denne Fortrolige Information uden den anden parts forudgående skriftlige samtykke, undtagen i det omfang at:

(a) videregivelse er påkrævet ved lov;

(b) den relevante information allerede er i det offentlige domæne uden Parternes skyld.

Meddelelser. Alle meddelelser og kommunikationer givet i henhold til denne Aftale skal være skriftlige og sendes pr. e-mail. Den Dataansvarlige skal underrettes via e-mail sendt til den adresse, der er relateret til dennes brug af Tjenesterne i henhold til Hovedaftalen. Databehandleren skal underrettes via e-mail sendt til adressen: legal@proton.me.

Lovvalg og værneting. Denne Aftale er underlagt schweizisk ret uden hensyntagen til lovvalgsregler eller kollisionsnormer i nogen jurisdiktion, der måtte fastsætte andet, og tvister, søgsmål, krav eller søgsmålsgrunde, der opstår som følge af eller i forbindelse med denne Aftale, en ordreformular, ethvert dokument inkorporeret ved henvisning, Protons teknologi eller Tjenesterne, skal være underlagt enekompetence ved domstolene i Genève, Schweiz.


I tilfælde af uoverensstemmelse mellem den engelske version af disse Betingelser og en oversat version, skal den engelske version have forrang.