Proton

Databehandleravtale

Sist endret: 10. februar 2026

Denne databehandleravtalen ("Avtalen") utgjør en del av Tjenestekontrakten under Proton AGs vilkår og betingelser («Hovedavtalen») mellom Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Sveits, organisasjonsnummer CHE-354.686.492 (omtalt som «Databehandleren») og selskapet som bruker Protons tjenester (omtalt som «Selskapet», som skal forstås som enhver virksomhet eller organisasjon som bruker Tjenestene, uavhengig av juridisk form).

Denne avtalen regulerer de spesifikke kravene i personvernlovgivningen i den grad selskapets bruk av Proton-tjenester innebærer behandling av personopplysninger som er underlagt personvernlovgivningen.

Denne avtalen utfyller vår Personvernerklæring, som fungerer som den primære referansen for vår praksis og våre tiltak for databeskyttelse.

Varigheten av denne avtalen skal følge varigheten av Hovedavtalen. Begreper som ikke er definert her, skal ha den betydningen som er angitt i Hovedavtalen.


ETTERSOM

A) Selskapet opptrer som behandlingsansvarlig («Behandlingsansvarlig»).

B) Selskapet ønsker å sette bort visse Tjenester (som definert nedenfor), som innebærer behandling av personopplysninger, til Proton AG, som opptrer som databehandler («Databehandler»).

C) Partene søker å gjennomføre en databehandleravtale som oppfyller kravene i gjeldende rettslig rammeverk knyttet til databehandling og forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og om oppheving av direktiv 95/46/EF (personvernforordningen), samt andre gjeldende personvernlover.

D) Partene ønsker å fastsette sine rettigheter og forpliktelser.


DET ER AVTALT FØLGENDE:

1. Definisjoner og tolkning

Med mindre noe annet er definert her, skal begreper og uttrykk med stor forbokstav som brukes i denne DPA-en, ha følgende betydning:

1.1) «Avtalen» betyr denne databehandleravtalen og alle vedlegg;

1.2) «Selskapets personopplysninger» betyr alle personopplysninger knyttet til selskapet eller selskapets kunder eller ansatte som behandles i forbindelse med Hovedavtalen;

1.3) «Tilknyttet databehandler» betyr en underdatabehandler;

1.4) «Personvernlovgivning» betyr EUs personvernlovgivning og, i den grad det er relevant, databeskyttelses- eller personvernlover i ethvert annet land;

1.5) «EØS» betyr Det europeiske økonomiske samarbeidsområdet;

1.6) «EUs personvernlovgivning» betyr EUs direktiv 95/46/EF, slik det er gjennomført i nasjonal lovgivning i hver medlemsstat og slik det fra tid til annen er endret, erstattet eller avløst, inkludert av GDPR og lover som gjennomfører eller utfyller GDPR;

1.7) «GDPR» betyr EUs personvernforordning 2016/679;

1.8) «Dataoverføring» betyr:

  • 1.8.1) en overføring av Selskapets personopplysninger fra Behandlingsansvarlig til Databehandleren eller en Engasjert databehandler; eller
  • 1.8.2) en videreføring av Selskapets personopplysninger fra Databehandleren til en underdatabehandler, eller mellom to etableringer av en underdatabehandler;

1.9) «Tjenester» betyr sikre påloggede tjenester levert av Databehandleren, som e-post, kalender, stasjon og andre tjenester som utvikles av Databehandleren. Detaljer og priser for Tjenestene finnes på Databehandlerens nettsted.

1.10) «Underdatabehandler» betyr enhver person som er utnevnt av eller på vegne av Databehandleren til å behandle personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Avtalen.

Begrepene «Kommisjonen», «Behandlingsansvarlig», «Registrert», «Medlemsstat», «Personopplysninger», «Brudd på personopplysningssikkerheten», «Behandling» og «Tilsynsmyndighet» skal ha samme betydning som i GDPR eller annen gjeldende personvernlovgivning, og beslektede begreper skal tolkes tilsvarende.

2. Behandling av Selskapets personopplysninger

Databehandleren skal:

2.1) overholde all gjeldende personvernlovgivning ved behandlingen av selskapets personopplysninger;

2.2) og ikke behandle selskapets personopplysninger på annen måte enn etter Behandlingsansvarliges dokumenterte instrukser i seksjon 2.

Behandlingsansvarlig instruerer Databehandleren om å behandle Selskapets personopplysninger for å:

2.3) levere Tjenestene og tilknyttet teknisk støtte;

2.4) oppfylle juridiske forpliktelser eller løse tvister;

2.5) utføre interne oppgaver med formål å optimalisere sikkerheten, personvernet, konfidensialiteten og funksjonaliteten til Tjenestene;

2.6) utføre intern rapportering, finansiell rapportering og andre lignende interne oppgaver.

3. Databehandlerens personell

Databehandleren skal treffe rimelige tiltak for å sikre påliteligheten til enhver ansatt, agent eller kontraktør hos enhver Tilknyttet databehandler som kan ha tilgang til selskapets personopplysninger, og i hvert tilfelle sikre at tilgangen er strengt begrenset til de personene som trenger å kjenne til / ha tilgang til de relevante personopplysningene til selskapet, slik det er strengt nødvendig for formålene med Hovedavtalen, og/eller for å overholde personvernlovgivningen og annen relevant lovgivning innenfor rammen av vedkommendes oppgaver for den Tilknyttede databehandleren, og sikre at alle slike personer er underlagt konfidensialitetsforpliktelser eller profesjonelle eller lovpålagte taushetsplikter.

4. Sikkerhet

I samsvar med artikkel 32 (1) i GDPR skal Databehandleren iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som passer til risikoen, tatt i betraktning det tekniske nivået, kostnadene ved gjennomføring og behandlingens art, omfang, kontekst og formål. Disse tiltakene skal være utformet for å beskytte fysiske personers rettigheter og friheter, med hensyn til risikoer med varierende sannsynlighet og alvorlighetsgrad, inkludert risikoen for et brudd på personopplysningssikkerheten.

Databehandleren skal også vurdere risikoene knyttet til behandlingsaktiviteter og bruke tiltak som er i samsvar med kravene fastsatt i artikkel 32 (1) i GDPR, og sikre sikkerheten til selskapets personopplysninger til enhver tid.

5. Underdatabehandling

Med forbehold om denne avtalen gir selskapet en generell fullmakt til Databehandleren til å engasjere underdatabehandlere og utlevere eller overføre selskapets personopplysninger til dem. Selskapet erkjenner og godkjenner listen over underdatabehandlere som er beskrevet i Databehandlerens Personvernerklæring, med forståelse av at denne listen kan bli oppdatert regelmessig av Databehandleren, og at selskapet i så fall skal bli informert av Databehandleren i henhold til varselprosessen i Personvernerklæringen. Videre gir selskapet Databehandleren tillatelse til å utlevere og overføre personopplysninger til ethvert selskap innenfor konserngruppen sin.

Databehandleren sikrer at underdatabehandlere er underlagt en avtale med Databehandleren som ikke er mindre restriktiv og beskyttende enn denne avtalen med hensyn til beskyttelsen av selskapets personopplysninger, i den grad det er relevant for arten av tjenestene som leveres av underdatabehandleren.

6. De registrertes rettigheter

Med hensyn til behandlingens art skal Databehandleren på rimelig måte bistå selskapet med å oppfylle selskapets forpliktelser til å svare på forespørsler om å utøve den registrertes rettigheter etter personvernlovgivningen.

Databehandleren skal:

6.1) uten opphold varsle selskapet hvis den mottar en forespørsel fra en registrert etter personvernlovgivningen med hensyn til selskapets personopplysninger; og

6.2) sikre at den ikke svarer på denne forespørselen, med mindre det skjer etter dokumenterte instrukser fra Behandlingsansvarlig eller som kreves av gjeldende lovgivning som Databehandleren er underlagt, og i så fall skal Databehandleren, i den grad gjeldende lovgivning tillater det, informere Behandlingsansvarlig om dette juridiske kravet før den Tilknyttede databehandleren svarer på forespørselen.

7. Brudd på personopplysningssikkerheten

Databehandleren skal håndtere ethvert brudd på personopplysningssikkerheten i samsvar med gjeldende personvernlovgivning og sine interne prosedyrer for brudd på personopplysningssikkerheten. Ved et brudd på personopplysningssikkerheten som påvirker selskapets personopplysninger, skal Databehandleren varsle selskapet uten opphold og gi tilstrekkelig informasjon til å gjøre det mulig for selskapet å oppfylle sine forpliktelser etter personvernlovgivningen, inkludert å informere registrerte ved behov. I slike tilfeller skal Databehandleren gi selskapet tilstrekkelig informasjon til at selskapet kan oppfylle eventuelle forpliktelser til å rapportere eller informere registrerte om bruddet på personopplysningssikkerheten etter personvernlovgivningen.

Databehandleren skal samarbeide med selskapet og treffe rimelige kommersielle tiltak etter instruks fra selskapet for å bistå i undersøkelsen, begrensningen og utbedringen av hvert slikt brudd på personopplysningssikkerheten.

Hver part skal bære kostnadene ved undersøkelsen, utbedringen, begrensningen og andre tilknyttede kostnader i den grad et databrudd er forårsaket av den parten.

Hver part skal bære kostnadene ved eventuelle bøter, sanksjoner, erstatninger eller andre tilknyttede beløp som ilegges av et autorisert tilsynsorgan, offentlig myndighet eller domstol med kompetent jurisdiksjon, i den grad de oppstår som følge av den partens brudd på sine forpliktelser etter denne avtalen.

8. Personvernkonsekvensvurdering og forhåndsdrøfting

Databehandleren skal gi rimelig bistand til selskapet med eventuelle vurderinger av personvernkonsekvenser og forhåndsdrøftinger med tilsynsmyndigheter eller andre kompetente personvernmyndigheter, som Behandlingsansvarlig med rimelighet anser som påkrevd etter artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i annen personvernlovgivning, i hvert tilfelle utelukkende i forbindelse med behandling av selskapets personopplysninger av de Tilknyttede databehandlerne, og med hensyn til behandlingens art og informasjonen som er tilgjengelig for dem.

9. Sletting eller tilbakelevering av Selskapets personopplysninger

Ved opphør av enhver Tjeneste som innebærer behandling av selskapets personopplysninger, skal Databehandleren slette alle selskapets personopplysninger i den grad gjeldende lovgivning tillater det og i samsvar med Databehandlerens vilkår og betingelser og Personvernerklæring. Hvis selskapet trenger en kopi av dataene sine, må det be om dette før kontoen slettes; forespørsler som gjøres etter at kontoen er slettet, kan ikke lenger behandles.

10. Revisjonsrettigheter

Med forbehold om denne seksjon 10 skal Databehandleren på forespørsel gjøre all informasjon som er nødvendig for å demonstrere overholdelse av denne avtalen, tilgjengelig for selskapet, og skal tillate og bidra til revisjoner, inkludert inspeksjoner, utført av selskapet eller en revisor utpekt av selskapet i forbindelse med de Tilknyttede databehandlernes behandling av selskapets personopplysninger. Selskapet skal ikke utøve sine revisjonsrettigheter mer enn én gang per kalenderår, unntatt etter et brudd på personopplysningssikkerheten eller en instruks fra en tilsynsmyndighet. Selskapet skal gi Databehandleren minst seksti (60) dagers skriftlig forhåndsvarsel om sin hensikt om å revidere Databehandleren i henhold til denne avtalen. Revisjon skal gjennomføres i Databehandlerens åpningstid, skal ikke forstyrre Databehandlerens virksomhet og skal sikre beskyttelsen av selskapets, Databehandlerens og andre registrertes personopplysninger. Databehandleren og selskapet skal på forhånd bli gjensidig enige om dato, omfang, varighet samt sikkerhets- og konfidensialitetskontroller som gjelder for revisjonen. Selskapet erkjenner at det kan være nødvendig at Behandlingsansvarlig undertegner en taushetserklæring før revisjonen gjennomføres.

Selskapets informasjons- og revisjonsrettigheter oppstår bare etter seksjon 10 i den grad avtalen ikke ellers gir dem informasjons- og revisjonsrettigheter som oppfyller de relevante kravene i personvernlovgivningen.

11. Dataoverføring

I den grad det er mulig, skal Databehandleren bare overføre eller gi tillatelse til overføring av data til land innenfor Sveits, EU og/eller land som er omfattet av en adekvansbeslutning, slik det er fastsatt i art. 45 GDPR og art. 16 i sveitsisk FADP. Hvis personopplysninger som behandles etter denne avtalen, overføres fra Sveits eller et land innenfor EU eller et land som er omfattet av en adekvansbeslutning til et land utenfor dette området, skal partene sikre at personopplysningene er tilstrekkelig beskyttet. For å oppnå dette skal partene, med mindre annet er avtalt, basere seg på standard kontraktsklausuler som er godkjent av Sveits og/eller EU og/eller Storbritannia og som til enhver tid gjelder for overføring av personopplysninger, eller andre overføringsmekanismer som er fastsatt i personvernlovgivningen. Databehandleren skal ha tillatelse til å utføre slike overføringer til underdatabehandlere forutsatt at egnede sikkerhetstiltak er gjennomført med hensyn til overføringens art.

12. Generelle vilkår

Overholdelse av gjeldende lovgivning. Databehandleren vil behandle selskapets personopplysninger i samsvar med denne avtalen og personvernlovgivningen som gjelder for dens rolle etter denne avtalen. Databehandleren er ikke ansvarlig eller erstatningsansvarlig for å overholde personvernlovgivning som bare gjelder for selskapet i kraft av virksomheten eller bransjen det opererer i.

Konfidensialitet. Hver part må behandle all informasjon den mottar om den andre parten og dens virksomhet i forbindelse med denne avtalen («Konfidensiell informasjon») konfidensielt og må ikke bruke eller utlevere slik Konfidensiell informasjon uten den andre partens skriftlige forhåndssamtykke, unntatt i den grad at:

(a) utlevering er påkrevd ved lov;

(b) den relevante informasjonen allerede er offentlig tilgjengelig uten at det skyldes partene.

Varsler. Alle varsler og all kommunikasjon gitt etter denne avtalen må være skriftlige og vil bli sendt per e-post. Behandlingsansvarlig skal varsles per e-post sendt til adressen knyttet til bruken av Tjenestene etter Hovedavtalen. Databehandleren skal varsles per e-post sendt til adressen: legal@proton.me.

Gjeldende lov og jurisdiksjon. Denne avtalen skal være underlagt sveitsisk lov, uten hensyn til lovvalgs- eller motstridende rettsregler i noen jurisdiksjon som skulle tilsi noe annet, og tvister, søksmål, krav eller søksmålsgrunner som oppstår som følge av eller i forbindelse med denne avtalen, et bestillingsskjema, ethvert dokument som er innlemmet ved henvisning, Proton-teknologi eller Tjenestene, skal være underlagt den eksklusive jurisdiksjonen til Genève, Sveits.


I tilfelle uoverensstemmelse mellom den engelske versjonen av disse vilkårene og en oversatt versjon, skal den engelske versjonen ha forrang.