Proton

Databehandleravtale

Sist endret: 10. februar 2026

Denne databehandleravtalen («Avtalen») utgjør en del av tjenestekontrakten under Proton AGs vilkår og betingelser («Hovedavtalen») mellom Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Sveits, organisasjonsnummer CHE-354.686.492 (heretter kalt «Databehandleren») og selskapet som bruker Protons tjenester (heretter kalt «Selskapet», som skal forstås som enhver virksomhet eller organisasjon som bruker tjenestene, uavhengig av selskapsform).

Denne Avtalen regulerer de spesifikke kravene i personvernlovgivningen i den grad Selskapets bruk av Proton-tjenester innebærer behandling av personopplysninger som er underlagt personvernlovgivning.

Denne Avtalen er et tillegg til vår Personvernerklæring, som fungerer som den primære referansen for våre praksiser og tiltak for personvern.

Varigheten av denne Avtalen skal følge varigheten av Hovedavtalen. Begreper som ikke er definert her, skal ha betydningen som fastsatt i Hovedavtalen.


BAKGRUNN

A) Selskapet fungerer som en behandlingsansvarlig («Behandlingsansvarlig»).

B) Selskapet ønsker å sette ut visse Tjenester (som definert nedenfor), som innebærer behandling av personopplysninger, til Proton AG, som fungerer som en databehandler («Databehandler»).

C) Partene søker å implementere en databehandleravtale som samsvarer med kravene i det gjeldende juridiske rammeverket knyttet til databehandling og med Forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike data, og om oppheving av direktiv 95/46/EF (Personvernforordningen) og andre gjeldende personvernlover.

D) Partene ønsker å fastsette sine rettigheter og plikter.


DET ER ENIGHET OM FØLGENDE:

1. Definisjoner og tolkning

Med mindre annet er definert her, skal begreper og uttrykk med stor forbokstav som brukes i denne DPA-en, ha følgende betydning:

1.1) «Avtale» betyr denne databehandleravtalen og alle vedlegg;

1.2) «Selskapets personopplysninger» betyr alle personopplysninger relatert til Selskapet eller Selskapets kunder eller ansatte som behandles i forbindelse med Hovedavtalen;

1.3) «Engasjert databehandler» betyr en underdatabehandler;

1.4) «Personvernlovgivning» betyr EUs personvernlovgivning og, i den grad det er aktuelt, lover om databeskyttelse eller personvern i ethvert annet land;

1.5) «EØS» betyr Det europeiske økonomiske samarbeidsområde;

1.6) «EUs personvernlovgivning» betyr EU-direktiv 95/46/EF, som gjennomført i nasjonal lovgivning i hver medlemsstat og som endret, erstattet eller etterfulgt fra tid til annen, inkludert av GDPR og lover som implementerer eller supplerer GDPR;

1.7) «GDPR» betyr EUs personvernforordning 2016/679;

1.8) «Dataoverføring» betyr:

  • 1.8.1) en overføring av Selskapets personopplysninger fra Behandlingsansvarlig til Databehandleren eller en Engasjert databehandler; eller
  • 1.8.2) en videreføring av Selskapets personopplysninger fra Databehandleren til en underdatabehandler, eller mellom to etableringer av en underdatabehandler;

1.9) «Tjenester» betyr påloggede sikre tjenester levert av Databehandleren, slik som e-post, kalender, stasjon og andre tjenester utviklet av Databehandleren. Detaljer og priser for Tjenestene finner du på Databehandlerens nettsted.

1.10) «Underdatabehandler» betyr enhver person utpekt av eller på vegne av Databehandleren til å behandle personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Avtalen.

Begrepene «Kommisjonen», «Behandlingsansvarlig», «Den registrerte», «Medlemsstat», «Personopplysninger», «Brudd på personopplysningssikkerheten», «Behandling» og «Tilsynsmyndighet» skal ha samme betydning som i GDPR eller annen gjeldende personvernlovgivning, og deres beslektede begreper skal tolkes deretter.

2. Behandling av Selskapets personopplysninger

Databehandleren skal:

2.1) overholde all gjeldende personvernlovgivning ved behandling av Selskapets personopplysninger;

2.2) og ikke behandle Selskapets personopplysninger på annen måte enn etter Behandlingsansvarliges dokumenterte instrukser i punkt 2.

Behandlingsansvarlig instruerer Databehandleren om å behandle Selskapets personopplysninger for å:

2.3) levere Tjenestene og relatert teknisk støtte;

2.4) oppfylle juridiske forpliktelser eller løse tvister;

2.5) utføre interne oppgaver rettet mot å optimalisere sikkerheten, personvernet, konfidensialiteten og funksjonaliteten til Tjenestene;

2.6) utføre intern rapportering, finansiell rapportering og andre lignende interne oppgaver.

3. Databehandlerens personell

Databehandleren skal ta rimelige skritt for å sikre påliteligheten til enhver ansatt, agent eller leverandør hos enhver Engasjert databehandler som kan ha tilgang til Selskapets personopplysninger, og sikre i hvert tilfelle at tilgang er strengt begrenset til de personene som har behov for å vite / få tilgang til de relevante personopplysningene til Selskapet, slik det er strengt nødvendig for formålene i Hovedavtalen, og/eller for å overholde personvernlovgivning og annen relevant lovgivning i sammenheng med den enkeltes plikter overfor den Engasjerte databehandleren, og sikre at alle slike personer er underlagt taushetsplikt eller profesjonelle eller lovpålagte forpliktelser om konfidensialitet.

4. Sikkerhet

I samsvar med artikkel 32 (1) i GDPR, skal Databehandleren iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, og ta hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenheng. Disse tiltakene skal være utformet for å beskytte fysiske personers rettigheter og friheter, med tanke på risikoene for varierende sannsynlighet og alvorlighetsgrad, inkludert risikoen for brudd på personopplysningssikkerheten.

Databehandleren skal også vurdere risikoene knyttet til behandlingsaktiviteter og bruke tiltak som er i samsvar med kravene fastsatt i artikkel 32 (1) i GDPR, og sikre sikkerheten til Selskapets personopplysninger til enhver tid.

5. Underdatabehandling

Underlagt denne Avtalen, gir Selskapet generell fullmakt til Databehandleren til å engasjere underdatabehandlere og utlevere eller overføre Selskapets personopplysninger til dem. Selskapet erkjenner og godkjenner listen over underdatabehandlere som er beskrevet i Databehandlerens Personvernerklæring, og forstår at denne listen kan bli oppdatert av Databehandleren regelmessig, og i så fall skal selskapet informeres av Databehandleren i henhold til varslingsprosessen i Personvernerklæringen. Videre gir Selskapet Databehandleren fullmakt til å utlevere og overføre personopplysninger til ethvert selskap innenfor sin selskapsgruppe.

Databehandleren sikrer at underdatabehandlere er underlagt en avtale med Databehandleren som ikke er mindre restriktiv og beskyttende enn den nåværende Avtalen med hensyn til beskyttelse av Selskapets personopplysninger i den grad det er relevant for arten av tjenestene som leveres av underdatabehandleren.

6. De registrertes rettigheter

Når det tas hensyn til behandlingens art, skal Databehandleren bistå Selskapet i rimelig grad med å oppfylle Selskapets forpliktelser til å svare på forespørsler om å utøve de registrertes rettigheter under personvernlovgivningen.

Databehandleren skal:

6.1) umiddelbart varsle Selskapet dersom den mottar en forespørsel fra en registrert i henhold til noen personvernlovgivning vedrørende Selskapets personopplysninger; og

6.2) sikre at den ikke svarer på forespørselen unntatt på dokumenterte instrukser fra Behandlingsansvarlig eller som påkrevd av gjeldende lover som Databehandleren er underlagt; i så fall skal Databehandleren, i den grad det er tillatt i henhold til gjeldende lover, informere Behandlingsansvarlig om dette juridiske kravet før den Engasjerte databehandleren svarer på forespørselen.

7. Brudd på personopplysningssikkerheten

Databehandleren skal administrere ethvert brudd på personopplysningssikkerheten i samsvar med gjeldende personvernlovgivning og sine interne prosedyrer for brudd på personopplysningssikkerheten. Ved en hendelse som innebærer brudd på personopplysningssikkerheten som påvirker selskapets personopplysninger, skal Databehandleren varsle Selskapet uten opphold, og gi tilstrekkelig informasjon for å gjøre Selskapet i stand til å oppfylle sine forpliktelser i henhold til personvernlovgivningen, inkludert å informere de registrerte etter behov. I slike tilfeller skal Databehandleren gi Selskapet tilstrekkelig informasjon til at Selskapet kan oppfylle eventuelle forpliktelser om å rapportere eller informere de registrerte om bruddet på personopplysningssikkerheten i henhold til personvernlovgivningen.

Databehandleren skal samarbeide med Selskapet og ta rimelige kommersielle skritt som anvist av Selskapet for å bistå i undersøkelsen, begrensningen og utbedringen av hvert slikt brudd på personopplysningssikkerheten.

Hver part skal bære kostnadene ved undersøkelsen, utbedringen, begrensningen og andre relaterte kostnader i den grad et databrudds er forårsaket av denne parten.

Hver part skal bære kostnadene for eventuelle bøter, straffer, erstatninger eller andre relaterte beløp ilagt av et autorisert reguleringsorgan, offentlig etat eller domstol med kompetent jurisdiksjon i den grad det oppstår fra denne partens brudd på sine forpliktelser under denne Avtalen.

8. Personvernkonsekvensvurdering og forhåndsdrøfting

Databehandleren skal gi rimelig bistand til Selskapet med eventuelle personvernkonsekvensvurderinger og forhåndsdrøftinger med tilsynsmyndigheter eller andre kompetente personvernmyndigheter, som Behandlingsansvarlig rimelig anser for å være påkrevd i henhold til artikkel 35 eller 36 i GDPR eller tilsvarende bestemmelser i annen personvernlovgivning, i hvert tilfelle utelukkende i forbindelse med behandling av Selskapets personopplysninger av, og med hensyn til behandlingens art og informasjonen som er tilgjengelig for, de Engasjerte databehandlerne.

9. Sletting eller tilbakelevering av Selskapets personopplysninger

Ved opphør av enhver Tjeneste som involverer behandling av Selskapets personopplysninger, skal Databehandleren slette alle Selskapets personopplysninger i den grad det er tillatt i henhold til gjeldende lover og i samsvar med Databehandlerens vilkår og betingelser og Personvernerklæring. Dersom Selskapet krever en kopi av sine data, må de be om det før sletting av kontoen deres; forespørsler fremsatt etter at kontoen er slettet kan ikke lenger tas til følge.

10. Revisjonsrettigheter

Underlagt dette punkt 10, skal Databehandleren gjøre tilgjengelig for Selskapet på forespørsel all informasjon som er nødvendig for å demonstrere samsvar med denne Avtalen, og skal tillate og bidra til revisjoner, inkludert inspeksjoner, av Selskapet eller en revisor gitt mandat av Selskapet i forbindelse med behandlingen av Selskapets personopplysninger av de Engasjerte databehandlerne. Selskapet skal ikke utøve sine revisjonsrettigheter mer enn én gang per kalenderår, unntatt etter et brudd på personopplysningssikkerheten eller en instruks fra en reguleringsmyndighet. Selskapet skal gi Databehandleren minst seksti (60) dagers skriftlig varsel om sin hensikt om å revidere Databehandleren i henhold til denne Avtalen. Revisjon skal gjennomføres i Databehandlerens åpningstider, skal ikke forstyrre Databehandlerens drift og skal sikre beskyttelsen av Selskapets, Databehandlerens og andre registrertes personopplysninger. Databehandleren og Selskapet skal på forhånd bli enige om dato, omfang, varighet og sikkerhets- og konfidensialitetskontroller som gjelder for revisjonen. Selskapet erkjenner at undertegning av en taushetserklæring kan bli påkrevd av Behandlingsansvarlig før gjennomføring av revisjonen.

Informasjons- og revisjonsrettigheter for Selskapet oppstår bare under punkt 10 i den grad Avtalen ikke på annen måte gir dem informasjons- og revisjonsrettigheter som oppfyller de relevante kravene i personvernlovgivningen.

11. Dataoverføring

Så langt det er mulig, skal Databehandleren kun overføre eller autorisere overføring av data til land i Sveits, EU og/eller land som er underlagt en beslutning om tilstrekkelig beskyttelsesnivå, som fastsatt i art. 45 i GDPR og art. 16 i sveitsisk FADP. Hvis personopplysninger som behandles under denne Avtalen overføres fra Sveits eller et land i EU eller et land som er underlagt en beslutning om tilstrekkelig beskyttelsesnivå til et land utenfor dette området, skal Partene sikre at personopplysningene er tilstrekkelig beskyttet. For å oppnå dette skal Partene, med mindre annet er avtalt, basere seg på Sveits- og/eller EU- og/eller Storbritannia-godkjente og til enhver tid gjeldende standard kontraktsklausuler for overføring av personopplysninger eller andre overføringsmekanismer som fastsatt i personvernlovgivningen. Databehandleren skal være autorisert til å utføre slike overføringer til underdatabehandlere forutsatt at tilstrekkelige sikkerhetstiltak er implementert med hensyn til overføringens art.

12. Generelle vilkår

Overholdelse av gjeldende lover. Databehandleren vil behandle Selskapets personopplysninger i samsvar med denne Avtalen og personvernlovgivning som gjelder for dens rolle under denne Avtalen. Databehandleren er verken ansvarlig eller erstatningspliktig for å overholde personvernlovgivning som utelukkende gjelder for Selskapet i kraft av dets virksomhet eller bransje.

Konfidensialitet. Hver part må holde all informasjon den mottar om den andre parten og dens virksomhet i forbindelse med denne Avtalen («Konfidensiell informasjon») konfidensiell og må ikke bruke eller utlevere denne konfidensielle informasjonen uten skriftlig forhåndssamtykke fra den andre parten, unntatt i den grad:

(a) utlevering er påkrevd ved lov;

(b) den relevante informasjonen allerede er i offentlig domene uten at det skyldes Partene.

Varsler. Alle varsler og kommunikasjoner gitt under denne Avtalen må være skriftlige og vil bli sendt via e-post. Behandlingsansvarlig skal varsles via e-post sendt til adressen knyttet til dens bruk av Tjenestene under Hovedavtalen. Databehandleren skal varsles via e-post sendt til adressen: legal@proton.me.

Lovvalg og verneting. Denne Avtalen skal reguleres av sveitsisk lov, uten hensyn til lovvalg eller lovkonfliktbestemmelser i noen jurisdiksjon som tilsier noe annet, og tvister, søksmål, krav eller årsaker til søksmål som oppstår av eller i forbindelse med denne Avtalen, et bestillingsskjema, ethvert dokument innlemmet ved referanse, Proton-teknologi eller Tjenestene skal være underlagt den eksklusive jurisdiksjonen i Genève, Sveits.


I tilfelle uoverensstemmelse mellom den engelske versjonen av disse vilkårene og en oversatt versjon, skal den engelske versjonen ha forrang.