Proton

Databehandlingsaftale

Senest ændret: 10. februar 2026

Denne databehandleraftale ("Aftale") udgør en del af Kontrakten om tjenester i henhold til Proton AG’s vilkår og betingelser ("Hovedaftalen") mellem Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, virksomhedsidentifikationsnummer CHE-354.686.492 (benævnt "Databehandleren") og virksomheden, der bruger Protons tjenester (benævnt "Virksomheden", hvilket skal forstås som enhver virksomhed eller organisation, der bruger Tjenesterne, uanset dens juridiske form).

Denne Aftale regulerer de specifikke krav i databeskyttelseslovgivningen i det omfang, at Virksomhedens brug af Protons Tjenester indebærer behandling af Personoplysninger, der er omfattet af databeskyttelseslovgivningen.

Denne Aftale supplerer vores Privatlivspolitik, som fungerer som den primære reference for vores praksisser og foranstaltninger vedrørende databeskyttelse.

Denne Aftales løbetid skal følge løbetiden for Hovedaftalen. Begreber, der ikke er defineret heri, skal have den betydning, der er fastsat i Hovedaftalen.


EFTERSOM

A) Virksomheden fungerer som dataansvarlig ("Dataansvarlig").

B) Virksomheden ønsker at overlade visse Tjenester (som defineret nedenfor), der indebærer behandling af Personoplysninger, til Proton AG, der handler som databehandler ("Databehandler").

C) Parterne søger at gennemføre en databehandleraftale, der overholder kravene i de gældende retlige rammer i forbindelse med databehandling samt Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af Personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) samt andre gældende databeskyttelseslove.

D) Parterne ønsker at fastlægge deres rettigheder og forpligtelser.


DET AFTALES FØLGENDE:

1. Definitioner og fortolkning

Medmindre andet er defineret heri, skal begreber og udtryk med stort begyndelsesbogstav, der anvendes i denne DPA, have følgende betydning:

1.1) "Aftale" betyder denne databehandleraftale og alle bilag;

1.2) "Virksomhedens personoplysninger" betyder enhver Personoplysning vedrørende Virksomheden eller Virksomhedens kunder eller medarbejdere, som Behandles i forbindelse med Hovedaftalen;

1.3) "Tilknyttet databehandler" betyder en underdatabehandler;

1.4) "Databeskyttelseslovgivning" betyder EU's databeskyttelseslove og, i det omfang de finder anvendelse, databeskyttelses- eller privatlivslovgivningen i ethvert andet land;

1.5) "EØS" betyder Det Europæiske Økonomiske Samarbejdsområde;

1.6) "EU's databeskyttelseslove" betyder EU-direktiv 95/46/EF, som gennemført i den nationale lovgivning i hver medlemsstat og som ændret, erstattet eller afløst fra tid til anden, herunder ved GDPR og love, der implementerer eller supplerer GDPR;

1.7) "GDPR" betyder EU's generelle forordning om databeskyttelse 2016/679;

1.8) "Dataoverførsel" betyder:

  • 1.8.1) en overførsel af Virksomhedens Personoplysninger fra Den Dataansvarlige til Databehandleren eller en Kontraheret Databehandler; eller
  • 1.8.2) en videreoverførsel af Virksomhedens Personoplysninger fra Databehandleren til en underdatabehandler eller mellem to af en underdatabehandlers etableringer;

1.9) "Tjenester" betyder online sikre tjenester leveret af Databehandleren, såsom e-mail, kalender, drev og andre tjenester som udviklet af Databehandleren. Detaljer og priser for Tjenesterne kan findes på Databehandlerens websted.

1.10) "Underdatabehandler" betyder enhver person, der er udpeget af eller på vegne af Databehandleren til at behandle Personoplysninger på vegne af Dataansvarlig i forbindelse med Aftalen.

Begreberne "Kommissionen", "Dataansvarlig", "Registreret", "Medlemsstat", "Personoplysninger", "Brud på persondatasikkerheden", "Behandling" og "Tilsynsmyndighed" skal have samme betydning som i GDPR eller anden gældende databeskyttelseslovgivning, og beslægtede begreber skal fortolkes i overensstemmelse hermed.

2. Behandling af Virksomhedens Personoplysninger

Databehandleren skal:

2.1) overholde al gældende databeskyttelseslovgivning ved Behandlingen af Virksomhedens personoplysninger;

2.2) og ikke behandle Virksomhedens personoplysninger på anden måde end efter Dataansvarligs dokumenterede instrukser i afsnit 2.

Den Dataansvarlige instruerer Databehandleren om at behandle Virksomhedens Personoplysninger for at:

2.3) levere Tjenesterne og relateret teknisk support;

2.4) opfylde retlige forpligtelser eller løse tvister;

2.5) udføre enhver intern opgave med henblik på at optimere sikkerheden, privatliv, fortrolighed og funktionaliteterne i Tjenesterne;

2.6) udføre intern rapportering, finansiel rapportering og andre lignende interne opgaver.

3. Databehandlerens personale

Databehandleren skal træffe rimelige foranstaltninger for at sikre pålideligheden af enhver medarbejder, agent eller kontrahent hos enhver Tilknyttet databehandler, som måtte få adgang til Virksomhedens personoplysninger, idet det i hvert tilfælde sikres, at adgangen er strengt begrænset til de personer, der har behov for at kende / få adgang til de relevante Virksomhedens personoplysninger, i det strengt nødvendige omfang til formålene i Hovedaftalen og/eller for at overholde databeskyttelseslovgivningen og anden relevant lovgivning i forbindelse med den pågældende persons pligter over for den Tilknyttede databehandler, og idet det sikres, at alle sådanne personer er underlagt fortrolighedserklæringer eller professionelle eller lovbestemte forpligtelser til fortrolighed.

4. Sikkerhed

I overensstemmelse med artikel 32, stk. 1, i GDPR skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der står i forhold til risikoen, under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering samt behandlingens art, omfang, kontekst og formål. Disse foranstaltninger skal være udformet til at beskytte fysiske personers rettigheder og frihedsrettigheder under hensyntagen til risici med varierende sandsynlighed og alvor, herunder risikoen for et Brud på persondatasikkerheden.

Databehandleren skal også vurdere de risici, der er forbundet med behandlingsaktiviteter, og anvend foranstaltninger, der er i overensstemmelse med kravene i artikel 32, stk. 1, i GDPR, og sikre sikkerheden for Virksomhedens personoplysninger til enhver tid.

5. Underdatabehandling

I henhold til denne Aftale giver Virksomheden generel tilladelse til, at Databehandleren engagerer Underdatabehandlere og videregiver eller overfører Virksomhedens personoplysninger til dem. Virksomheden anerkender og godkender listen over Underdatabehandlere, som er beskrevet i Databehandlerens Privatlivspolitik, med forståelse for, at denne liste regelmæssigt kan blive opdateret af Databehandleren; i så fald skal virksomheden informeres af Databehandleren i henhold til notifikationsprocessen i Privatlivspolitikken. Endvidere bemyndiger Virksomheden Databehandleren til at videregive og overføre Personoplysninger til enhver virksomhed inden for dens koncerngruppe.

Databehandleren sikrer, at Underdatabehandlere er underlagt en aftale med Databehandleren, som ikke er mindre restriktiv og beskyttende end denne Aftale med hensyn til beskyttelsen af Virksomhedens personoplysninger i det omfang, det er relevant for arten af de tjenester, der leveres af Underdatabehandleren.

6. Den registreredes rettigheder

Under hensyntagen til behandlingens art skal Databehandleren i rimeligt omfang bistå Virksomheden med opfyldelsen af Virksomhedens forpligtelser til at besvare anmodninger om udøvelse af registreredes rettigheder i henhold til databeskyttelseslovgivningen.

Databehandleren skal:

6.1) straks underrette Virksomheden, hvis den modtager en anmodning fra en Registreret i henhold til enhver databeskyttelseslovgivning vedrørende Virksomhedens personoplysninger; og

6.2) sikre, at den ikke besvarer den pågældende anmodning, undtagen efter Dataansvarligs dokumenterede instrukser eller som krævet ved gældende lovgivning, som Databehandleren er underlagt, i hvilket tilfælde Databehandleren i det omfang, det er tilladt i henhold til gældende lovgivning, skal informere Dataansvarlig om det pågældende retlige krav, før den Tilknyttede databehandler besvarer anmodningen.

7. Brud på persondatasikkerheden

Databehandleren skal administrer ethvert Brud på persondatasikkerheden i overensstemmelse med gældende databeskyttelseslovgivning og dens interne procedurer for Brud på persondatasikkerheden. I tilfælde af et Brud på persondatasikkerheden, der påvirker virksomhedens personoplysninger, skal Databehandleren underrette Virksomheden uden unødig forsinkelse og give tilstrækkelige oplysninger til at aktivér Virksomheden til at opfylde sine forpligtelser i henhold til databeskyttelseslovgivningen, herunder at informere Registrerede efter behov. I sådanne tilfælde skal Databehandleren give Virksomheden tilstrækkelige oplysninger til, at Virksomheden kan opfylde eventuelle forpligtelser til at rapportere eller informere Registrerede om Brud på persondatasikkerheden i henhold til databeskyttelseslovgivningen.

Databehandleren skal samarbejde med Virksomheden og tage rimelige kommercielle skridt som anvist af Virksomheden for at bistå i undersøgelsen, afhjælpningen og begrænsningen af hvert sådant Brud på persondatasikkerheden.

Hver part skal bære omkostningerne til undersøgelsen, afhjælpningen, begrænsningen og andre relaterede omkostninger i det omfang, et databrud er forårsaget af den pågældende part.

Hver part skal bære omkostningerne ved eventuelle bøder, sanktioner, skadeserstatninger eller andre relaterede beløb, der pålægges af et bemyndiget tilsynsorgan, en offentlig myndighed eller en domstol med kompetent jurisdiktion, i det omfang de opstår som følge af den pågældende parts misligholdelse af sine forpligtelser i henhold til denne Aftale.

8. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Databehandleren skal yde rimelig bistand til Virksomheden i forbindelse med eventuelle konsekvensanalyser vedrørende databeskyttelse og forudgående høringer med Tilsynsmyndigheder eller andre kompetente databeskyttelsesmyndigheder, som den Dataansvarlige med rimelighed anser for at være påkrævet i henhold til artikel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver anden databeskyttelseslovgivning, i hvert tilfælde udelukkende i relation til Behandling af Virksomhedens personoplysninger udført af de Tilknyttede databehandlere og under hensyntagen til Behandlingens art og de oplysninger, der er tilgængelige for de Tilknyttede databehandlere.

9. Sletning eller returnering af Virksomhedens Personoplysninger

Ved ophør af enhver Tjeneste, der involverer Behandling af Virksomhedens personoplysninger, skal Databehandleren slet alle Virksomhedens personoplysninger i det omfang, det er tilladt i henhold til gældende lovgivning og i overensstemmelse med Databehandlerens vilkår og betingelser og Privatlivspolitik. Hvis Virksomheden kræver en kopi af sine data, skal den anmode om dette før sletningen af sin konto; anmodninger fremsat efter, at kontoen er blevet slettet, kan ikke længere behandles.

10. Revisionsrettigheder

I henhold til dette afsnit 10 skal Databehandleren efter anmodning stille alle oplysninger til rådighed for Virksomheden, som er nødvendige for at påvise overholdelse af denne Aftale, og skal tillade og bidrage til revisioner, herunder inspektioner, udført af Virksomheden eller en revisor med mandat fra Virksomheden i relation til de Tilknyttede databehandleres Behandling af Virksomhedens personoplysninger. Virksomheden må ikke udøve sine revisionsrettigheder mere end én gang pr. kalenderår, undtagen efter et Brud på persondatasikkerheden eller en instruks fra en tilsynsmyndighed. Virksomheden skal give Databehandleren mindst tres (60) dages forudgående skriftligt varsel om sin hensigt om at revidere Databehandleren i henhold til denne Aftale. Revisionen skal udføres i Databehandlerens åbningstid, må ikke forstyrre Databehandlerens drift og skal sikre beskyttelsen af Virksomhedens, Databehandlerens og andre Registreredes Personoplysninger. Databehandleren og Virksomheden skal på forhånd gensidigt aftale datoen, omfanget, varigheden samt de sikkerheds- og fortrolighedskontroller, der gælder for revisionen. Virksomheden anerkender, at den Dataansvarlige kan kræve underskrivelse af en fortrolighedsaftale før gennemførelsen af revisionen.

Virksomhedens rettigheder til oplysninger og revision opstår kun i henhold til afsnit 10 i det omfang, at Aftalen ikke på anden vis giver den rettigheder til oplysninger og revision, der opfylder de relevante krav i databeskyttelseslovgivningen.

11. Dataoverførsel

I det omfang det er muligt, må Databehandleren kun overføre eller godkende overførsel af Data til lande inden for Schweiz, EU og/eller lande omfattet af en afgørelse om tilstrækkelighed, som fastsat i art. 45 GDPR og art. 16 schweiziske FADP. Hvis Personoplysninger behandlet i henhold til denne Aftale overføres fra Schweiz eller et land inden for EU eller et land omfattet af en afgørelse om tilstrækkelighed til et land uden for dette område, skal Parterne sikre, at Personoplysningerne er tilstrækkeligt beskyttet. For at opnå dette skal Parterne, medmindre andet aftales, basere sig på af Schweiz og/eller EU og/eller Storbritannien godkendte og på det pågældende tidspunkt gældende standardkontraktbestemmelser for overførsel af Personoplysninger eller andre overførselsmekanismer som fastsat i databeskyttelseslovgivningen. Databehandleren skal være bemyndiget til at udføre sådanne overførsler til Underdatabehandlere, forudsat at der implementeres passende garantier med hensyn til overførslens art.

12. Generelle vilkår

Overholdelse af gældende lovgivning. Databehandleren vil behandle Virksomhedens personoplysninger i overensstemmelse med denne Aftale og den databeskyttelseslovgivning, der finder anvendelse på dens rolle i henhold til denne Aftale. Databehandleren er ikke ansvarlig eller erstatningsansvarlig for overholdelse af databeskyttelseslovgivning, der udelukkende gælder for Virksomheden i kraft af dens virksomhed eller branche.

Fortrolighed. Hver part skal holde enhver information, som den modtager om den anden part og dennes virksomhed i forbindelse med denne Aftale ("Fortrolige oplysninger"), fortrolig og må ikke bruge eller videregive sådanne Fortrolige oplysninger uden den anden parts forudgående skriftlige samtykke, undtagen i det omfang at:

(a) videregivelse er påkrævet ved lov;

(b) de relevante oplysninger allerede er offentligt tilgængelige uden Parternes skyld.

Meddelelser. Alle meddelelser og al kommunikation, der gives i henhold til denne Aftale, skal være skriftlige og vil blive sendt via e-mail. Den Dataansvarlige skal underrettes via e-mail sendt til den adresse, der er knyttet til dens brug af Tjenesterne i henhold til Hovedaftalen. Databehandleren skal underrettes via e-mail sendt til adressen: legal@proton.me.

Gældende lov og værneting. Denne Aftale er underlagt schweizisk lov uden hensyntagen til regler om lovvalg eller lovkonflikter i nogen jurisdiktion i modstrid hermed, og tvister, søgsmål, krav eller søgsmålsgrunde, der udspringer af eller i forbindelse med denne Aftale, en bestillingsformular, ethvert dokument inkorporeret ved henvisning, Proton-teknologi eller Tjenesterne, skal være underlagt den eksklusive jurisdiktion i Genève, Schweiz.


I tilfælde af uoverensstemmelse mellem den engelske version af disse Betingelser og en oversat version, skal den engelske version have forrang.