Proton

Tietojenkäsittelysopimus

Viimeksi muokattu: 10. helmikuuta 2026

Tämä tietojenkäsittelysopimus (”Sopimus”) on osa Proton AG:n käyttöehtojen mukaista palvelusopimusta (”Pääsopimus”), jonka osapuolina ovat Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Sveitsi, y-tunnus CHE-354.686.492 (jäljempänä ”Käsittelijä”) ja Protonin palveluja käyttävä yritys (jäljempänä ”Yritys”, jolla tarkoitetaan mitä tahansa Palveluja käyttävää liiketoimintaa tai organisaatiota sen oikeudellisesta muodosta riippumatta).

Tämä Sopimus säätelee tietosuojalakien erityisvaatimuksia siltä osin kuin Yrityksen Proton-palvelujen käyttöön liittyy tietosuojalakien alaisten henkilötietojen käsittelyä.

Tämä Sopimus täydentää tietosuojakäytäntöämme, joka toimii ensisijaisena viitteenä tietosuojakäytännöillemme ja -toimenpiteillemme.

Tämän Sopimuksen voimassaoloaika noudattaa Pääsopimuksen voimassaoloaikaa. Termeillä, joita ei ole määritelty tässä asiakirjassa, on Pääsopimuksessa määritelty merkitys.


TAUSTA

A) Yritys toimii rekisterinpitäjänä (”Rekisterinpitäjä”).

B) Yritys haluaa alihankkia tiettyjä Palveluja (kuten määritelty jäljempänä), joihin liittyy henkilötietojen käsittelyä, Proton AG:lta, joka toimii henkilötietojen käsittelijänä (”Käsittelijä”).

C) Osapuolet pyrkivät panemaan täytäntöön tietojenkäsittelysopimuksen, joka noudattaa nykyisen tietojenkäsittelyä koskevan lainsäädäntökehyksen vaatimuksia sekä Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, annettu 27. huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), ja muita sovellettavia tietosuojalakeja.

D) Osapuolet haluavat määritellä oikeutensa ja velvollisuutensa.


ON SOVITTU SEURAAVAA:

1. Määritelmät ja tulkinta

Ellei tässä asiakirjassa toisin määritellä, tässä DPA:ssa käytetyillä isolla alkukirjaimella kirjoitetuilla termeillä ja ilmaisuilla on seuraava merkitys:

1.1) ”Sopimus” tarkoittaa tätä tietojenkäsittelysopimusta ja kaikkia sen liitteitä;

1.2) ”Yrityksen henkilötiedot” tarkoittaa kaikkia Yritykseen tai Yrityksen asiakkaisiin tai työntekijöihin liittyviä henkilötietoja, joita käsitellään Pääsopimuksen yhteydessä;

1.3) ”Sopimuskäsittelijä” tarkoittaa alikäsittelijää;

1.4) ”Tietosuojalait” tarkoittaa EU:n tietosuojalakeja ja soveltuvin osin minkä tahansa muun maan tietosuoja- tai yksityisyyslakeja;

1.5) ”ETA” tarkoittaa Euroopan talousaluetta;

1.6) ”EU:n tietosuojalait” tarkoittaa EU-direktiiviä 95/46/EY, sellaisena kuin se on saatetettu osaksi kunkin jäsenvaltion kansallista lainsäädäntöä ja sellaisena kuin se on ajoittain muutettuna, korvattuna tai kumottuna, mukaan lukien GDPR ja lait, joilla GDPR pannaan täytäntöön tai joilla sitä täydennetään;

1.7) ”GDPR” tarkoittaa EU:n yleistä tietosuoja-asetusta 2016/679;

1.8) ”Tiedonsiirto tarkoittaa:

  • 1.8.1) Yrityksen henkilötietojen siirtoa Rekisterinpitäjältä Käsittelijälle tai Sopimuskäsittelijälle; tai
  • 1.8.2) Yrityksen henkilötietojen jatkosiirtoa Käsittelijältä alikäsittelijälle tai kahden alikäsittelijän toimipaikan välillä;

1.9) ”Palvelut” tarkoittaa Käsittelijän tarjoamia suojattuja verkkopalveluja, kuten sähköposti, kalenteri, levy ja muut Käsittelijän kehittämät palvelut. Palvelujen tiedot ja hinnoittelu löytyvät Käsittelijän verkkosivustolta.

1.10) ”Alikäsittelijä” tarkoittaa ketä tahansa Käsittelijän nimittämää tai tämän puolesta toimivaa henkilöä, joka käsittelee henkilötietoja Rekisterinpitäjän puolesta Sopimuksen yhteydessä.

Termeillä ”Komissio”, ”Rekisterinpitäjä”, ”Rekisteröity”, ”Jäsenvaltio”, ”Henkilötieto”, ”Henkilötietojen tietoturvaloukkaus”, Käsittely” ja ”Valvontaviranomainen” on sama merkitys kuin GDPR:ssä tai muussa sovellettavassa tietosuojalaissa, ja niiden johdannaistermit tulkitaan vastaavasti.

2. Yrityksen henkilötietojen käsittely

Käsittelijän tulee:

2.1) noudattaa kaikkia sovellettavia tietosuojalakeja Yrityksen henkilötietojen käsittelyssä;

2.2) olla käsittelemättä Yrityksen henkilötietoja muutoin kuin Rekisterinpitäjän kohdassa 2 dokumentoitujen ohjeiden mukaisesti.

Rekisterinpitäjä ohjeistaa Käsittelijää käsittelemään Yrityksen henkilötietoja:

2.3) Palvelujen ja niihin liittyvän teknisen tuen tarjoamiseksi;

2.4) lakisääteisten velvoitteiden täyttämiseksi tai riitojen ratkaisemiseksi;

2.5) Palvelujen turvallisuuden, yksityisyyden, luottamuksellisuuden ja toiminnallisuuksien optimointiin tähtäävien sisäisten tehtävien suorittamiseksi;

2.6) sisäisen raportoinnin, taloudellisen raportoinnin ja muiden vastaavien sisäisten tehtävien suorittamiseksi.

3. Käsittelijän henkilöstö

Käsittelijän on ryhdyttävä kohtuullisiin toimenpiteisiin varmistaakseen kaikkien Sopimuskäsittelijän työntekijöiden, asiamiesten tai urakoitsijoiden luotettavuuden, joilla voi olla pääsy Yrityksen henkilötietoihin. Käsittelijän on varmistettava kussakin tapauksessa, että pääsy on rajoitettu tiukasti niihin henkilöihin, joiden on tarpeen tietää / päästä käsiksi kyseisiin Yrityksen henkilötietoihin Pääsopimuksen tarkoitusten kannalta välttämättömissä rajoissa ja/tai tietosuojalakien ja muun asiaankuuluvan lainsäädännön noudattamiseksi kyseisen henkilön Sopimuskäsittelijälle suorittamien tehtävien yhteydessä. Lisäksi on varmistettava, että kaikkia tällaisia henkilöitä sitovat salassapitositoumukset tai ammatilliset tai lakisääteiset salassapitovelvollisuudet.

4. Suojaus

GDPR:n 32 artiklan 1 kohdan mukaisesti Käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason, ottaen huomioon uusin tekniikka, toteutuskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Nämä toimenpiteet on suunniteltava suojaamaan luonnollisten henkilöiden oikeuksia ja vapauksia, ottaen huomioon todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, mukaan lukien henkilötietojen tietoturvaloukkauksen riski.

Käsittelijän on myös arvioitava käsittelytoimiin liittyvät riskit ja sovellettava toimenpiteitä, jotka ovat yhdenmukaisia GDPR:n 32 artiklan 1 kohdassa asetettujen vaatimusten kanssa, varmistaen Yrityksen henkilötietojen turvallisuuden kaikkina aikoina.

5. Alikäsittely

Tämän Sopimuksen ehtojen mukaisesti Yritys antaa Käsittelijälle yleisen luvan käyttää alikäsittelijöitä ja luovuttaa tai siirtää Yrityksen henkilötietoja heille. Yritys hyväksyy Käsittelijän tietosuojakäytännössä esitetyn alikäsittelijöiden luettelon ja ymmärtää, että Käsittelijä voi päivittää tätä luetteloa säännöllisesti, jolloin Käsittelijä ilmoittaa asiasta Yritykselle tietosuojakäytännön ilmoitusmenettelyn mukaisesti. Lisäksi Yritys valtuuttaa Käsittelijän luovuttamaan ja siirtämään henkilötietoja mille tahansa sen konserniin kuuluvalle yhtiölle.

Käsittelijä varmistaa, että alikäsittelijöitä sitoo Käsittelijän kanssa tehty sopimus, joka on Yrityksen henkilötietojen suojan osalta vähintään yhtä rajoittava ja suojaava kuin tämä Sopimus, siltä osin kuin se soveltuu alikäsittelijän tarjoamien palvelujen luonteeseen.

6. Rekisteröidyn oikeudet

Ottaen huomioon käsittelyn luonteen, Käsittelijän on kohtuullisessa määrin avustettava Yritystä täyttämään Yrityksen velvollisuudet vastata pyyntöihin, jotka koskevat rekisteröidyn tietosuojalakien mukaisten oikeuksien käyttämistä.

Käsittelijän tulee:

6.1) ilmoittaa viipymättä Yritykselle, jos se vastaanottaa rekisteröidyltä pyynnön minkä tahansa tietosuojalain nojalla koskien Yrityksen henkilötietoja; ja

6.2) varmistaa, ettei se vastaa kyseiseen pyyntöön muutoin kuin Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti tai Käsittelijään sovellettavien lakien niin vaatiessa, jolloin Käsittelijän on sovellettavien lakien sallimissa rajoissa ilmoitettava Rekisterinpitäjälle kyseisestä lakisääteisestä vaatimuksesta ennen kuin Sopimuskäsittelijä vastaa pyyntöön.

7. Henkilötietojen tietoturvaloukkaus

Käsittelijän on hallinnoitava kaikkia henkilötietojen tietoturvaloukkauksia sovellettavien tietosuojalakien ja sisäisten tietoturvaloukkauksia koskevien menettelyjensä mukaisesti. Mikäli tapahtuu Yrityksen henkilötietoihin vaikuttava tietoturvaloukkaus, Käsittelijän on ilmoitettava siitä Yritykselle viipymättä ja toimitettava riittävät tiedot, jotta Yritys voi täyttää tietosuojalakien mukaiset velvoitteensa, mukaan lukien rekisteröidyille tiedottaminen tarvittaessa. Tällaisissa tapauksissa Käsittelijän on toimitettava Yritykselle riittävät tiedot, jotta Yritys voi täyttää mahdolliset velvollisuutensa raportoida tai ilmoittaa rekisteröidyille henkilötietojen tietoturvaloukkauksesta tietosuojalakien mukaisesti.

Käsittelijän on tehtävä yhteistyötä Yrityksen kanssa ja ryhdyttävä Yrityksen ohjeistamiin kohtuullisiin kaupallisiin toimenpiteisiin avustaakseen kunkin tällaisen henkilötietojen tietoturvaloukkauksen tutkinnassa, lieventämisessä ja korjaamisessa.

Kumpikin osapuoli vastaa tutkinta-, korjaus-, lieventämis- ja muista asiaan liittyvistä kustannuksista siltä osin kuin tietoturvaloukkaus on kyseisen osapuolen aiheuttama.

Kumpikin osapuoli vastaa valtuutetun sääntelyelimen, viranomaisen tai toimivaltaisen tuomioistuimen määräämistä sakoista, rangaistusmaksuista, vahingonkorvauksista tai muista vastaavista maksuista siltä osin kuin ne johtuvat kyseisen osapuolen tämän Sopimuksen mukaisten velvoitteiden rikkomisesta.

8. Tietosuojan vaikutustenarviointi ja ennakkokuuleminen

Käsittelijän on annettava Yritykselle kohtuullista apua tietosuojan vaikutustenarvioinneissa ja ennakkokuulemisissa valvontaviranomaisten tai muiden toimivaltaisten tietosuojaviranomaisten kanssa, joita Rekisterinpitäjä pitää kohtuullisesti GDPR:n 35 tai 36 artiklan tai muun tietosuojalain vastaavien säännösten edellyttäminä. Tämä koskee kussakin tapauksessa ainoastaan Sopimuskäsittelijöiden suorittamaa Yrityksen henkilötietojen käsittelyä, ottaen huomioon käsittelyn luonteen ja Sopimuskäsittelijöiden saatavilla olevat tiedot.

9. Yrityksen henkilötietojen poistaminen tai palauttaminen

Mikäli jokin Yrityksen henkilötietojen käsittelyä sisältävä Palvelu päättyy, Käsittelijän on poistettava kaikki Yrityksen henkilötiedot sovellettavien lakien sallimissa rajoissa sekä Käsittelijän käyttöehtojen ja tietosuojakäytännön mukaisesti. Jos Yritys tarvitsee kopion tiedoistaan, sen on pyydettävä sitä ennen tilinsä poistamista; tilin poistamisen jälkeen tehtyjä pyyntöjä ei voida enää ottaa huomioon.

10. Auditointioikeudet

Tämän kohdan 10 ehtojen mukaisesti Käsittelijä asettaa pyynnöstä Yrityksen saataville kaikki tiedot, jotka ovat tarpeen tämän Sopimuksen noudattamisen osoittamiseksi, sekä sallii auditoinnit, mukaan lukien tarkastukset, joita Yritys tai Yrityksen valtuuttama auditoija suorittaa liittyen Sopimuskäsittelijöiden suorittamaan Yrityksen henkilötietojen käsittelyyn, ja osallistuu niihin. Yritys ei saa käyttää auditointioikeuksiaan useammin kuin kerran kalenterivuodessa, paitsi henkilötietojen tietoturvaloukkauksen tai sääntelyviranomaisen määräyksen jälkeen. Yrityksen on ilmoitettava Käsittelijälle kirjallisesti vähintään kuusikymmentä (60) päivää etukäteen aikomuksestaan auditoida Käsittelijä tämän Sopimuksen mukaisesti. Auditointi on suoritettava Käsittelijän aukioloaikoina, se ei saa häiritä Käsittelijän toimintaa ja sen on varmistettava Yrityksen, Käsittelijän ja muiden rekisteröityjen henkilötietojen suoja. Käsittelijä ja Yritys sopivat yhdessä etukäteen auditoinnin ajankohdasta, laajuudesta, kestosta sekä siihen sovellettavista turvallisuus- ja luottamuksellisuuskontrolleista. Yritys hyväksyy, että Rekisterinpitäjä voi edellyttää salassapitosopimuksen allekirjoittamista ennen auditoinnin suorittamista.

Yrityksen tiedonsaanti- ja auditointioikeudet syntyvät kohdan 10 nojalla vain siltä osin kuin Sopimus ei muutoin anna sille tietosuojalain asiaankuuluvat vaatimukset täyttäviä tiedonsaanti- ja auditointioikeuksia.

11. Tiedonsiirto

Käsittelijä siirtää tai valtuuttaa tietojen siirron mahdollisuuksien mukaan vain Sveitsissä tai EU:ssa sijaitseviin maihin ja/tai maihin, joita koskee riittävyyspäätös, kuten säädetään GDPR:n 45 artiklassa ja Sveitsin tietosuojalain 16 artiklassa. Jos tämän Sopimuksen nojalla käsiteltäviä henkilötietoja siirretään Sveitsistä, mistä tahansa EU-maasta tai riittävyyspäätöksen kohteena olevasta maasta tämän alueen ulkopuoliseen maahan, Osapuolten on varmistettava, että henkilötiedot on suojattu riittävästi. Tämän saavuttamiseksi Osapuolet tukeutuvat, ellei toisin sovita, Sveitsin ja/tai EU:n ja/tai Yhdistyneen kuningaskunnan hyväksymiin ja kulloinkin voimassa oleviin vakiolausekkeisiin henkilötietojen siirtoa varten tai muihin tietosuojalakien mukaisiin siirtomekanismeihin. Käsittelijällä on valtuudet suorittaa tällaisia siirtoja alikäsittelijöille edellyttäen, että siirron luonteen edellyttämät riittävät suojatoimet on toteutettu.

12. Yleiset ehdot

Sovellettavien lakien noudattaminen. Käsittelijä käsittelee Yrityksen henkilötietoja tämän Sopimuksen ja sen tämän Sopimuksen mukaiseen rooliin sovellettavien tietosuojalakien mukaisesti. Käsittelijä ei ole vastuussa eikä korvausvelvollinen sellaisten tietosuojalakien noudattamisesta, joita sovelletaan ainoastaan Yritykseen sen liiketoiminnan tai toimialan perusteella.

Luottamuksellisuus. Kummankin osapuolen on pidettävä kaikki toisesta osapuolesta ja sen liiketoiminnasta tämän Sopimuksen yhteydessä saamansa tiedot (”Luottamukselliset tiedot”) salassa, eikä se saa käyttää tai paljastaa näitä Luottamuksellisia tietoja ilman toisen osapuolen etukäteistä kirjallista suostumusta, paitsi siltä osin kuin:

(a) laki vaatii tietojen paljastamista;

(b) kyseiset tiedot ovat jo julkisesti saatavilla ilman Osapuolten syytä.

Ilmoitukset. Kaikki tämän Sopimuksen nojalla annettavat ilmoitukset ja viestit on tehtävä kirjallisesti ja lähetettävä sähköpostitse. Rekisterinpitäjälle ilmoitetaan sähköpostitse osoitteeseen, joka liittyy sen Pääsopimuksen mukaiseen Palvelujen käyttöön. Käsittelijälle ilmoitetaan sähköpostitse osoitteeseen: legal@proton.me.

Sovellettava laki ja oikeuspaikka. Tähän Sopimukseen sovelletaan Sveitsin lakia ottamatta huomioon lainvalinta- tai lainristiriitasäännöksiä. Tästä Sopimuksesta, tilauslomakkeesta, viittauksella sisällytetystä asiakirjasta, Protonin teknologiasta tai Palveluista johtuvat tai niihin liittyvät riidat, kanteet, vaateet tai kanneperusteet kuuluvat Geneven (Sveitsi) yksinomaisen tuomiovallan piiriin.


Jos näiden Käyttöehtojen englanninkielisen version ja käännetyn version välillä on ristiriitaisuuksia, englanninkielinen versio on ensisijainen.