Proton

Perjanjian Pemrosesan Data

Terakhir diubah: 10 Februari 2026

Perjanjian Pemrosesan Data ini ("Perjanjian") merupakan bagian dari Kontrak Layanan berdasarkan Syarat dan Ketentuan Proton AG (“Perjanjian Induk”) antara Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Swiss, Nomor identifikasi perusahaan CHE-354.686.492 (disebut sebagai "Pemroses") dan Perusahaan yang menggunakan layanan Proton (disebut sebagai "Perusahaan”, yang dipahami sebagai bisnis atau organisasi apa pun yang menggunakan Layanan, tanpa memandang bentuk hukumnya).

Perjanjian ini mengatur persyaratan khusus Undang-Undang Perlindungan Data sejauh bahwa penggunaan Layanan Proton oleh Perusahaan melibatkan pemrosesan Data Pribadi yang tunduk pada Undang-Undang Perlindungan Data.

Perjanjian ini bersifat melengkapi Kebijakan Privasi kami, yang berfungsi sebagai referensi utama untuk praktik dan tindakan perlindungan data kami.

Jangka waktu Perjanjian ini wajib mengikuti jangka waktu Perjanjian Induk. Istilah yang tidak didefinisikan di sini akan memiliki arti sebagaimana diatur dalam Perjanjian Induk.


BAHWA

A) Perusahaan bertindak sebagai Pengendali Data ("Pengendali").

B) Perusahaan berkeinginan untuk mensubkontrakkan Layanan tertentu (sebagaimana didefinisikan di bawah ini), yang melibatkan pemrosesan Data Pribadi, kepada Proton AG, yang bertindak sebagai Pemroses Data ("Pemroses").

C) Para Pihak berupaya menerapkan perjanjian pemrosesan data yang mematuhi persyaratan kerangka hukum saat ini sehubungan dengan pemrosesan data dan Regulasi (UE) 2016/679 dari Parlemen Eropa dan Dewan tanggal 27 April 2016 tentang perlindungan orang perseorangan sehubungan dengan pemrosesan Data Pribadi dan tentang pergerakan bebas data tersebut, serta mencabut Petunjuk 95/46/EC (Regulasi Umum Perlindungan Data) dan undang-undang perlindungan data lainnya yang berlaku.

D) Para Pihak ingin menetapkan hak dan kewajiban mereka.


MAKA DENGAN INI DISEPAKATI SEBAGAI BERIKUT:

1. Definisi dan Interpretasi

Kecuali ditentukan lain di sini, istilah dan ungkapan dengan huruf kapital yang digunakan dalam DPA ini memiliki arti sebagai berikut:

1.1) "Perjanjian" berarti Perjanjian Pemrosesan Data ini dan seluruh Lampiran;

1.2) "Data Pribadi Perusahaan" berarti Data Pribadi apa pun yang terkait dengan Perusahaan atau pelanggan atau karyawan Perusahaan yang Diproses sehubungan dengan Perjanjian Induk;

1.3) "Pemroses Kontrak" berarti Subpemroses;

1.4) "Undang-Undang Perlindungan Data" berarti Undang-Undang Perlindungan Data UE dan, sejauh dapat diterapkan, undang-undang perlindungan data atau privasi dari negara lain mana pun;

1.5) "EEA" berarti Area Ekonomi Eropa;

1.6) "Undang-Undang Perlindungan Data UE" berarti Petunjuk UE 95/46/EC, sebagaimana ditransfer ke dalam undang-undang domestik masing-masing Negara Anggota dan sebagaimana diubah, diganti, atau digantikan dari waktu ke waktu, termasuk oleh GDPR dan undang-undang yang menerapkan atau melengkapi GDPR;

1.7) "GDPR" berarti Regulasi Umum Perlindungan Data UE 2016/679;

1.8) "Transfer Data" berarti:

  • 1.8.1) transfer Data Pribadi Perusahaan dari Pengendali ke Pemroses atau Pemroses Kontrak; atau
  • 1.8.2) transfer lanjutan Data Pribadi Perusahaan dari Pemroses ke Subpemroses, atau antara dua unit usaha Subpemroses;

1.9) "Layanan" berarti layanan daring aman yang disediakan oleh Pemroses, seperti email, kalender, drive, dan layanan lainnya sebagaimana dikembangkan oleh Pemroses. Rincian dan harga Layanan dapat ditemukan di situs web Pemroses.

1.10) "Subpemroses" berarti setiap orang yang ditunjuk oleh atau atas nama Pemroses untuk memproses Data Pribadi atas nama Pengendali sehubungan dengan Perjanjian.

Istilah, "Komisi", "Pengendali", "Subjek Data", "Negara Anggota", "Data Pribadi", "Pelanggaran Data Pribadi", "Pemrosesan" dan "Otoritas Pengawas" akan memiliki arti yang sama seperti dalam GDPR atau Undang-Undang Perlindungan Data lain yang berlaku, dan istilah-istilah seasalnya harus ditafsirkan sesuai dengan hal tersebut.

2. Pemrosesan Data Pribadi Perusahaan

Pemroses wajib:

2.1) mematuhi semua Undang-Undang Perlindungan Data yang berlaku dalam Pemrosesan Data Pribadi Perusahaan;

2.2) dan tidak memproses Data Pribadi Perusahaan selain berdasarkan instruksi terdokumentasi Pengendali di bagian 2.

Pengendali menginstruksikan Pemroses untuk memproses Data Pribadi Perusahaan untuk:

2.3) menyediakan Layanan dan dukungan teknis terkait;

2.4) memenuhi kewajiban hukum atau menyelesaikan sengketa;

2.5) menjalankan tugas internal apa pun yang bertujuan untuk mengoptimalkan keamanan, privasi, kerahasiaan, dan fungsionalitas Layanan;

2.6) menjalankan pelaporan internal, pelaporan keuangan, dan tugas internal sejenis lainnya.

3. Personel Pemroses

Pemroses wajib mengambil langkah-langkah wajar untuk memastikan keandalan karyawan, agen, atau kontraktor dari Pemroses Kontrak mana pun yang mungkin memiliki akses ke Data Pribadi Perusahaan, memastikan dalam setiap kasus bahwa akses dibatasi secara ketat hanya untuk individu yang perlu mengetahui / mengakses Data Pribadi Perusahaan yang relevan, sebagaimana sangat diperlukan untuk tujuan Perjanjian Induk, dan/atau untuk mematuhi Undang-Undang Perlindungan Data dan undang-undang relevan lainnya dalam konteks tugas individu tersebut kepada Pemroses Kontrak, memastikan bahwa semua individu tersebut tunduk pada komitmen kerahasiaan atau kewajiban kerahasiaan profesional atau undang-undang.

4. Keamanan

Sesuai dengan Pasal 32 (1) GDPR, Prosesor wajib menerapkan langkah-langkah teknis dan organisasi yang tepat untuk memastikan tingkat keamanan yang sesuai dengan risiko, dengan mempertimbangkan perkembangan terkini, biaya implementasi, serta sifat, cakupan, konteks, dan tujuan pemrosesan. Langkah-langkah ini harus dirancang untuk melindungi hak dan kebebasan orang perseorangan, dengan mempertimbangkan risiko dari berbagai tingkat kemungkinan dan keparahan, termasuk risiko Pembobolan Data Pribadi.

Prosesor juga harus menilai risiko yang terkait dengan aktivitas pemrosesan dan menerapkan langkah-langkah yang konsisten dengan persyaratan yang tercantum dalam Pasal 32 (1) GDPR, guna memastikan keamanan Data Pribadi Perusahaan setiap saat.

5. Subpemrosesan

Tunduk pada Perjanjian ini, Perusahaan memberikan otorisasi umum kepada Prosesor untuk melibatkan Subprosesor dan mengungkapkan atau mentransfer Data Pribadi Perusahaan kepada mereka. Perusahaan mengakui dan menyetujui daftar Subprosesor yang diuraikan dalam Kebijakan Privasi Prosesor, dengan pemahaman bahwa daftar ini dapat diperbarui oleh Prosesor secara berkala, yang dalam hal ini Perusahaan akan diberitahu oleh Prosesor sesuai dengan proses notifikasi Kebijakan Privasi. Lebih lanjut, Perusahaan memberi otorisasi kepada Prosesor untuk mengungkapkan dan mentransfer Data Pribadi kepada perusahaan mana pun dalam grup korporasinya.

Prosesor memastikan bahwa Subprosesor tunduk pada perjanjian dengan Prosesor yang tidak kalah membatasi dan melindungi dibandingkan Perjanjian ini terkait dengan perlindungan Data Pribadi Perusahaan sejauh berlaku untuk sifat layanan yang disediakan oleh Subprosesor tersebut.

6. Hak Subjek Data

Dengan mempertimbangkan sifat pemrosesan, Prosesor harus secara wajar membantu Perusahaan untuk memenuhi kewajiban Perusahaan dalam menanggapi permintaan pelaksanaan hak Subjek Data berdasarkan Undang-Undang Perlindungan Data.

Pemroses wajib:

6.1) segera memberi tahu Perusahaan jika menerima permintaan dari Subjek Data berdasarkan Undang-Undang Perlindungan Data sehubungan dengan Data Pribadi Perusahaan; dan

6.2) memastikan bahwa ia tidak menanggapi permintaan tersebut kecuali atas instruksi terdokumentasi dari Pengendali atau sebagaimana diwajibkan oleh Hukum yang Berlaku di mana Prosesor tunduk, yang dalam hal ini Prosesor harus, sejauh diizinkan oleh Hukum yang Berlaku, memberi tahu Pengendali tentang persyaratan hukum tersebut sebelum Prosesor Terkontrak menanggapi permintaan tersebut.

7. Pelanggaran Data Pribadi

Prosesor wajib mengelola setiap Pembobolan Data Pribadi sesuai dengan Undang-Undang Perlindungan Data yang berlaku dan prosedur Pembobolan Data Pribadi internalnya. Dalam hal terjadi Pembobolan Data Pribadi yang memengaruhi Data Pribadi perusahaan, Prosesor harus memberi tahu Perusahaan tanpa penundaan, memberikan informasi yang memadai untuk memungkinkan Perusahaan memenuhi kewajibannya di bawah Undang-Undang Perlindungan Data, termasuk menginformasikan kepada Subjek Data jika diperlukan. Dalam kasus seperti ini, Prosesor harus memberikan informasi yang memadai kepada Perusahaan untuk memungkinkan Perusahaan memenuhi kewajiban apa pun untuk melaporkan atau memberi tahu Subjek Data mengenai Pembobolan Data Pribadi berdasarkan Undang-Undang Perlindungan Data.

Prosesor wajib bekerja sama dengan Perusahaan dan mengambil langkah-langkah komersial yang wajar sebagaimana diarahkan oleh Perusahaan untuk membantu dalam penyelidikan, mitigasi, dan pemulihan setiap Pembobolan Data Pribadi tersebut.

Masing-masing pihak harus menanggung biaya penyelidikan, pemulihan, mitigasi, dan biaya terkait lainnya sejauh Pembobolan Data disebabkan oleh pihak tersebut.

Masing-masing pihak harus menanggung biaya dari setiap denda, sanksi, ganti rugi, atau jumlah terkait lainnya yang dikenakan oleh badan pengatur yang berwenang, lembaga pemerintah, atau pengadilan dengan yurisdiksi yang kompeten sejauh hal itu timbul dari pelanggaran kewajiban pihak tersebut berdasarkan Perjanjian ini.

8. Penilaian Dampak Perlindungan Data dan Konsultasi Sebelumnya

Prosesor harus memberikan bantuan yang wajar kepada Perusahaan terkait penilaian dampak perlindungan data, dan konsultasi sebelumnya dengan Otoritas Pengawas atau otoritas privasi data kompeten lainnya, yang secara wajar dianggap perlu oleh Pengendali sebagaimana diwajibkan oleh pasal 35 atau 36 GDPR atau ketentuan setara dari Undang-Undang Perlindungan Data lainnya, dalam setiap kasus semata-mata berkaitan dengan Pemrosesan Data Pribadi Perusahaan oleh, dan dengan mempertimbangkan sifat Pemrosesan serta informasi yang tersedia bagi, Prosesor Terkontrak.

9. Penghapusan atau pengembalian Data Pribadi Perusahaan

Dalam hal penghentian Layanan apa pun yang melibatkan Pemrosesan Data Pribadi Perusahaan, Prosesor wajib menghapus semua Data Pribadi Perusahaan sejauh yang diizinkan oleh hukum yang berlaku dan sesuai dengan Syarat dan Ketentuan serta Kebijakan Privasi Prosesor. Jika Perusahaan memerlukan salinan data, permintaan tersebut harus diajukan sebelum penghapusan akun; permintaan yang diajukan setelah akun dihapus tidak dapat lagi dipertimbangkan.

10. Hak audit

Tunduk pada bagian 10 ini, Prosesor harus menyediakan bagi Perusahaan berdasarkan permintaan semua informasi yang diperlukan untuk menunjukkan kepatuhan terhadap Perjanjian ini, serta harus mengizinkan dan berkontribusi pada audit, termasuk inspeksi, oleh Perusahaan atau auditor yang diberi mandat oleh Perusahaan sehubungan dengan Pemrosesan Data Pribadi Perusahaan oleh Prosesor Terkontrak. Perusahaan tidak boleh melaksanakan hak auditnya lebih dari sekali per tahun kalender kecuali setelah terjadinya Pembobolan Data Pribadi atau adanya instruksi dari otoritas pengatur. Perusahaan harus memberikan pemberitahuan tertulis kepada Prosesor setidaknya enam puluh (60) hari sebelumnya mengenai niatnya untuk mengaudit Prosesor berdasarkan Perjanjian ini. Audit harus dilakukan selama jam kerja Prosesor, tidak boleh mengganggu operasional Prosesor, dan harus memastikan perlindungan Data Pribadi milik Perusahaan, Prosesor, dan Subjek Data lainnya. Prosesor dan Perusahaan harus menyepakati bersama terlebih dahulu mengenai tanggal, cakupan, durasi, serta kontrol keamanan dan kerahasiaan yang berlaku untuk audit tersebut. Perusahaan mengakui bahwa penandatanganan perjanjian kerahasiaan dapat diwajibkan oleh Pengendali sebelum pelaksanaan audit.

Hak informasi dan audit Perusahaan hanya timbul berdasarkan bagian 10 sejauh Perjanjian ini tidak memberikan hak informasi dan audit yang memenuhi persyaratan relevan dari Undang-Undang Perlindungan Data.

11. Transfer Data

Sejauh memungkinkan, Prosesor hanya akan mentransfer atau mengizinkan transfer Data ke negara-negara di Swiss, UE dan/atau negara-negara yang tunduk pada keputusan kecukupan, sebagaimana ditentukan dalam pasal 45 GDPR dan pasal 16 FADP Swiss. Jika Data Pribadi yang diproses berdasarkan Perjanjian ini ditransfer dari Swiss atau negara mana pun di UE atau negara mana pun yang tunduk pada keputusan kecukupan ke negara di luar cakupan ini, Para Pihak harus memastikan bahwa Data Pribadi tersebut terlindungi secara memadai. Untuk mencapai hal ini, Para Pihak harus, kecuali disepakati lain, bersandar pada klausul kontraktual standar yang disetujui Swiss dan/atau UE dan/atau Inggris serta yang berlaku saat itu untuk transfer Data Pribadi atau mekanisme transfer lainnya sebagaimana diatur oleh Undang-Undang Perlindungan Data. Prosesor harus diizinkan untuk melakukan transfer tersebut kepada Subprosesor dengan syarat bahwa pengamanan yang memadai telah diterapkan sehubungan dengan sifat transfer tersebut.

12. Ketentuan Umum

Kepatuhan terhadap Hukum yang Berlaku. Prosesor akan memproses Data Pribadi Perusahaan sesuai dengan Perjanjian ini dan Undang-Undang Perlindungan Data yang berlaku untuk perannya berdasarkan Perjanjian ini. Prosesor tidak bertanggung jawab atau berkewajiban untuk mematuhi Undang-Undang Perlindungan Data yang semata-mata berlaku bagi Perusahaan berdasarkan bisnis atau industrinya.

Kerahasiaan. Masing-masing pihak harus menjaga kerahasiaan setiap informasi yang diterimanya tentang pihak lain dan bisnisnya sehubungan dengan Perjanjian ini (“Informasi Rahasia”) dan tidak boleh menggunakan atau mengungkapkan Informasi Rahasia tersebut tanpa persetujuan tertulis sebelumnya dari pihak lain, kecuali sejauh:

(a) pengungkapan diwajibkan oleh hukum;

(b) informasi yang relevan tersebut sudah berada dalam ranah publik bukan karena kesalahan Para Pihak.

Pemberitahuan. Semua pemberitahuan dan komunikasi yang diberikan berdasarkan Perjanjian ini harus tertulis dan akan dikirim melalui email. Pengendali akan diberi tahu melalui email yang dikirim ke alamat yang terkait dengan penggunaan Layanannya berdasarkan Perjanjian Utama. Prosesor akan diberi tahu melalui email yang dikirim ke alamat: legal@proton.me.

Hukum yang Mengatur dan Yurisdiksi. Perjanjian ini akan diatur berdasarkan hukum Swiss, tanpa memperhatikan pilihan atau konflik ketentuan hukum dari yurisdiksi mana pun yang bertentangan, dan sengketa, tindakan, tuntutan, atau penyebab tindakan yang timbul dari atau sehubungan dengan Perjanjian ini, formulir pemesanan, dokumen apa pun yang digabungkan sebagai rujukan, teknologi Proton, atau Layanan tunduk pada yurisdiksi eksklusif Jenewa, Swiss.


Dalam hal terjadi perbedaan antara versi bahasa Inggris dari Ketentuan ini dan versi terjemahan apa pun, versi bahasa Inggris yang akan berlaku.