Proton

Gegevensverwerkingsovereenkomst

Laatst gewijzigd: 23 september 2024

Deze gegevensverwerkingsovereenkomst ("Overeenkomst") maakt deel uit van het Dienstverleningscontract onder de Algemene voorwaarden van Proton AG (de "Hoofdovereenkomst") tussen Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Zwitserland, KvK-nummer CHE-354.686.492 (hierna de "Verwerker") en het Bedrijf dat gebruikmaakt van de diensten van Proton (hierna het "Bedrijf").

Deze Overeenkomst regelt de specifieke vereisten van de gegevensbeschermingswetten voor zover het gebruik van de diensten van Proton door de Onderneming inhoudt dat persoonlijke gegevens worden verwerkt die onder de gegevensbeschermingswetten vallen.

Deze Overeenkomst is aanvullend op ons Privacybeleid, dat dient als de primaire referentie voor onze gegevensbeschermingspraktijken en -maatregelen.

De looptijd van deze Overeenkomst volgt de looptijd van de Hoofdovereenkomst. Termen die niet hier gedefinieerd zijn hebben de betekenis zoals uiteengezet in de Hoofdovereenkomst.


OVERWEGENDE

A) Het Bedrijf handelt als verwerkingsverantwoordelijke (de "Controller").

B) Het Bedrijf wenst bepaalde Diensten (zoals hieronder gedefinieerd), die de verwerking van Persoonsgegevens met zich meebrengen, uit te besteden aan Proton AG, handelend als verwerker (de "Processor").

C) De Partijen willen een overeenkomst voor gegevensverwerking implementeren die voldoet aan de vereisten van het huidige juridische kader met betrekking tot gegevensverwerking en aan de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonlijke gegevens en de vrije beweging van dergelijke gegevens, en het intrekken van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming) en andere toepasselijke gegevensbeschermingswetten.

D) De Partijen wensen hun rechten en verplichtingen vast te leggen.


HET VOLGENDE WORDT OVEREENGEKOMEN:

1. Definities en Interpretatie

Tenzij anders gedefinieerd, hebben termen en uitdrukkingen die zijn gebruikt in deze DPA de volgende betekenis:

1.1) "Overeenkomst" betekent deze gegevensverwerkingsovereenkomst en alle bijlagen;

1.2) "Persoonsgegevens van het Bedrijf" betekent alle Persoonsgegevens met betrekking tot het Bedrijf of de klanten of werknemers van het Bedrijf die worden verwerkt in verband met de Hoofdovereenkomst;

1.3) "Ingeschakelde verwerker" betekent een subverwerker;

1.4) "Wetten inzake gegevensbescherming" betekent de EU-wetten inzake gegevensbescherming en, voor zover van toepassing, de wetten inzake gegevensbescherming of privacy van elk ander land;

1.5) "EER" betekent de Europese Economische Ruimte;

1.6) "EU-wetten inzake gegevensbescherming" betekent Richtlijn 95/46/EG van de EU, omgezet in nationale wetgeving van elke lidstaat en, van tijd tot tijd gewijzigd, vervangen of buiten werking gesteld, inclusief door de AVG en wetten die de AVG implementeren of aanvullen;

1.7) "AVG" betekent de EU Algemene verordening gegevensbescherming 2016/679;

1.8) "Gegevensoverdracht" betekent:

  • 1.8.1) een overdracht van Persoonlijke Gegevens van de Onderneming van de Beheerder naar de Verwerker of een Onderhoudsverwerker; of
  • 1.8.2) een doorlopende overdracht van de Persoonlijke Gegevens van de Onderneming van de Verwerker naar een Subverwerker, of tussen twee vestigingen van een Subverwerker;

1.9) "Diensten" betekent online beveiligde diensten die door de Verwerker worden geleverd, zoals e-mail, agenda, Drive en andere door de Verwerker ontwikkelde diensten. De details en prijzen van de Diensten zijn te vinden op de website van de Verwerker.

1.10) "Subverwerker" betekent elke persoon die door of namens de Verwerker is aangesteld om namens de Verwerkingsverantwoordelijke Persoonsgegevens te verwerken in verband met de Overeenkomst.

De termen "Commissie", "Controller", "Betrokkene", "Lidstaat", "Persoonsgegevens", "Inbreuk op persoonsgegevens", "Verwerking" en "Toezichthoudende autoriteit" hebben dezelfde betekenis als in de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, en de verwante termen dienen dienovereenkomstig te worden geïnterpreteerd.

2. Verwerking van Persoonlijke Gegevens van de Onderneming

De Verwerker zal:

2.1) voldoen aan alle toepasselijke gegevensbeschermingswetten bij de verwerking van Persoonlijke Gegevens van de Onderneming;

2.2) en geen andere Persoonlijke Gegevens van de Onderneming verwerken dan op de gedocumenteerde instructies van de Beheerder in sectie 2.

De Beheerder instrueert de Verwerker om de Persoonlijke Gegevens van de Onderneming te verwerken om:

2.3) de Diensten en bijbehorende technische ondersteuning te bieden;

2.4) juridische verplichtingen na te komen of geschillen op te lossen;

2.5) elke interne taak uit te voeren die gericht is op het optimaliseren van de beveiliging, privacy, vertrouwelijkheid en functionaliteiten van de Diensten;

2.6) interne rapportages, financiële rapportages en andere soortgelijke interne taken uit te voeren.

3. Personeel van de Verwerker

De Verwerker zal redelijke stappen ondernemen om de betrouwbaarheid van elke medewerker, vertegenwoordiger of aannemer van een Onderhoudsverwerker te waarborgen die toegang kan hebben tot de Persoonlijke Gegevens van de Onderneming, waarbij in elk geval ervoor wordt gezorgd dat toegang strikt beperkt is tot die personen die kennis moeten nemen van de relevante Persoonlijke Gegevens van de Onderneming, voor zover strikt noodzakelijk voor de doeleinden van de Hoofdovereenkomst, en/of om te voldoen aan de Gegevensbeschermingswetten en andere relevante wetgeving in de context van de taken van die persoon ten opzichte van de Onderhoudsverwerker, waarbij wordt gewaarborgd dat al deze personen onderhevig zijn aan vertrouwelijkheidsverplichtingen of wettelijke of statutaire verplichtingen tot vertrouwelijkheid.

4. Beveiliging

Overeenkomend met artikel 32 (1) van de AVG, zal de Verwerker passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te waarborgen dat passend is voor het risico, rekening houdend met de stand van de techniek, de implementatiekosten, en de aard, omvang, context en doeleinden van de verwerking. Deze maatregelen moeten worden ontworpen om de rechten en vrijheden van natuurlijke personen te beschermen, rekening houdend met de risico's van variërende waarschijnlijkheid en ernst, inclusief het risico van een Schending van Persoonlijke Gegevens.

De Verwerker zal ook de risico's verbonden aan verwerkingsactiviteiten beoordelen en maatregelen toepassen die consistent zijn met de vereisten zoals uiteengezet in artikel 32 (1) AVG, om de veiligheid van de Persoonlijke Gegevens van de Onderneming te allen tijde te waarborgen.

5. Subverwerking

Onder voorbehoud van deze Overeenkomst, verleent de Onderneming algemene toestemming aan de Verwerker om Subverwerkers in te schakelen en Persoonlijke Gegevens van de Onderneming aan hen bekend te maken of over te dragen. De Onderneming erkent en keurt de lijst van Subverwerkers goed die in het Privacybeleid van de Verwerker is uiteengezet, met het begrip dat deze lijst regelmatig kan worden bijgewerkt door de Verwerker, in welk geval de onderneming door de Verwerker zal worden geïnformeerd volgens het notificatieproces van het Privacybeleid. Bovendien machtigt de Onderneming de Verwerker om Persoonlijke Gegevens bekend te maken en over te dragen aan elke onderneming binnen zijn concern.

De Verwerker zorgt ervoor dat Subverwerkers onderhevig zijn aan een overeenkomst met de Verwerker die niet minder restrictief en beschermend is dan deze Overeenkomst met betrekking tot de bescherming van Persoonlijke Gegevens van de Onderneming voor zover van toepassing op de aard van de diensten die door de Subverwerker worden verleend.

6. Rechten van de Betrokkene

Rekening houdend met de aard van de verwerking, zal de Verwerker redelijke hulp bieden aan de Onderneming bij de nakoming van de verplichtingen van de Onderneming om te reageren op verzoeken om de rechten van de Betrokkene uit te oefenen op grond van de Gegevensbeschermingswetten.

De Verwerker zal:

6.1) de Onderneming onmiddellijk op de hoogte stellen indien deze een verzoek van een Betrokkene ontvangt op grond van enige Gegevensbeschermingswet met betrekking tot Persoonlijke Gegevens van de Onderneming; en

6.2) ervoor zorgen dat hij op dat verzoek niet reageert, behalve op de gedocumenteerde instructies van de Beheerder of zoals vereist door de Toepasselijke Wetten waaraan de Verwerker is onderworpen, in welk geval de Verwerker, voor zover toegestaan door de Toepasselijke Wetten, de Beheerder op de hoogte zal stellen van die wettelijke vereiste voordat de Onderhoudsverwerker op het verzoek ingaat.

7. Schending van Persoonlijke Gegevens

De Verwerker zal elke Schending van Persoonlijke Gegevens beheren in overeenstemming met de toepasselijke Gegevensbeschermingswetten en zijn interne procedures voor Schendingen van Persoonlijke Gegevens. In het geval van een Schending van Persoonlijke Gegevens die de Persoonlijke Gegevens van de Onderneming aangaat, zal de Verwerker de Onderneming zonder uitstel informeren en voldoende informatie verstrekken om de Onderneming in staat te stellen zijn verplichtingen onder de Gegevensbeschermingswetten te vervullen, inclusief het informeren van de Betrokkenen indien nodig. In dergelijke gevallen zal de Verwerker de Onderneming voldoende informatie verstrekken zodat de Onderneming aan zijn verplichtingen kan voldoen om Schendingen van Persoonlijke Gegevens onder de Gegevensbeschermingswetten te rapporteren of de Betrokkenen daarvan te informeren.

De Verwerker zal samenwerken met de Onderneming en redelijke commerciële stappen ondernemen zoals gewenst door de Onderneming om onderzoek, mitigatie en herstel van elke dergelijke Schending van Persoonlijke Gegevens te helpen.

Elke partij zal de kosten dragen van onderzoek, herstel, mitigatie, en andere aanverwante kosten voor zover een datalek door die partij is veroorzaakt.

Elke partij zal de kosten dragen van eventuele boetes, straffen, schadevergoeding of andere aanverwante bedragen opgelegd door een bevoegde toezichthoudende autoriteit, overheidsinstantie of rechtbank van bevoegde rechtsmacht voor zover deze het gevolg zijn van de schending van de verplichtingen van deze partij onder deze Overeenkomst.

8. Gegevensbeschermingseffectbeoordeling en Voorafgaande Raadpleging

De Verwerker zal redelijke hulp bieden aan de Onderneming bij eventuele gegevensbeschermingseffectbeoordelingen, en voorafgaande raadplegingen met Toezichthoudende Autoriteiten of andere bevoegde gegevensprivacy-autoriteiten, welke de Beheerder naar redelijkheid vereist vanwege artikel 35 of 36 van de AVG of equivalente bepalingen van enige andere Gegevensbeschermingswet, in elk geval uitsluitend in relatie tot de Verwerking van Persoonlijke Gegevens van de Onderneming door, en rekening houdend met de aard van de Verwerking en informatie die beschikbaar is voor de Onderhoudsverwerkers.

9. Verwijdering of teruggave van Persoonlijke Gegevens van de Onderneming

In het geval van beëindiging van enige Dienst die de Verwerking van Persoonlijke Gegevens van de Onderneming inhoudt, zal de Verwerker alle Persoonlijke Gegevens van de Onderneming verwijderen voor zover toegestaan door de toepasselijke wetgeving en in overeenstemming met de Algemene Voorwaarden en het Privacybeleid van de Verwerker. Indien de Onderneming een kopie van diens gegevens verlangt, moet deze deze aanvragen vóór de verwijdering van het account; aanvragen die na de verwijdering van het account worden gedaan, kunnen niet meer in behandeling worden genomen.

10. Auditrechten

Onder voorbehoud van deze sectie 10, zal de Verwerker op verzoek van de Onderneming alle informatie beschikbaar stellen die nodig is om de naleving van deze Overeenkomst aan te tonen, en zal hij meewerken en bijdragen aan audits, inclusief inspecties, door de Onderneming of een door de Onderneming aangewezen auditor met betrekking tot de Verwerking van de Persoonlijke Gegevens van de Onderneming door de Onderhoudsverwerkers. De Onderneming zal zijn auditrechten niet meer dan eenmaal per kalenderjaar uitoefenen, behalve na een Schending van Persoonlijke Gegevens of een instructie van een regelgevende autoriteit. De Onderneming zal de Verwerker ten minste zestig (60) dagen van tevoren schriftelijk op de hoogte stellen van zijn voornemen om de Verwerker in overeenstemming met deze Overeenkomst te auditen. De audit zal plaatsvinden tijdens de kantooruren van de Verwerker, zal de werkzaamheden van de Verwerker niet verstoren en zal de bescherming van de Persoonlijke Gegevens van de Onderneming, de Verwerker en andere Betrokkenen waarborgen. De Verwerker en de Onderneming zullen van tevoren onderling akkoord gaan over de datum, reikwijdte, duur en beveiligings- en vertrouwelijkheidscontroles die van toepassing zijn op de audit. De Onderneming erkent dat de ondertekening van een geheimhoudingsverklaring vereist kan zijn van de Beheerder voordat de audit wordt uitgevoerd.

Informatie en auditrechten van de Onderneming ontstaan alleen onder sectie 10 voor zover de Overeenkomst hen niet anders informatie- en auditrechten biedt die voldoen aan de relevante vereisten van de Gegevensbeschermingswetgeving.

11. Gegevensoverdracht

Voor zover mogelijk zal de Verwerker alleen gegevens overdragen of de overdracht van gegevens aan landen binnen Zwitserland, de EU en/of landen onderworpen aan een adequaatheidsbesluit, zoals voorzien in art. 45 AVG en art. 16 Zwitserse FADP. Indien Persoonlijke Gegevens die op grond van deze Overeenkomst worden verwerkt, worden overgedragen van Zwitserland of enig EU-land of enig land dat aan een adequaatheidsbesluit is onderworpen naar een land buiten deze scope, zullen de Partijen ervoor zorgen dat de Persoonlijke Gegevens adequaat worden beschermd. Om dit te bereiken, zullen de Partijen, tenzij anders overeengekomen, steunen op de door Zwitserland en/of de EU en/of het VK goedgekeurde en actuele standaard contractuele clausules voor de overdracht van Persoonlijke Gegevens of andere overdrachtmechanismen zoals voorzien door de Gegevensbeschermingswetten. De Verwerker zal gemachtigd zijn om dergelijke overdrachten aan Subverwerkers uit te voeren, mits er adequate waarborgen worden geïmplementeerd met betrekking tot de aard van de overdracht.

12. Algemene Voorwaarden

Naleving van toepasselijke wetgeving. De Processor verwerkt Company Personal Data in overeenstemming met deze Agreement en de voor zijn rol onder deze Agreement toepasselijke Data Protection Laws. De Verwerker is niet verantwoordelijk of aansprakelijk voor het voldoen aan de Gegevensbeschermingswetten die uitsluitend op de Onderneming van toepassing zijn vanwege zijn bedrijf of branche.

Vertrouwelijkheid. Elke partij moet alle informatie die zij ontvangt over de andere partij en diens activiteiten in verband met deze Overeenkomst (“Vertrouwelijke informatie”) vertrouwelijk houden en mag die Vertrouwelijke informatie niet gebruiken of openbaar maken zonder voorafgaande schriftelijke toestemming van de andere partij, behalve voor zover:

(a) bekendmaking vereist is op grond van de wet;

(b) de relevante informatie al openbaar is door geen fout van de Partijen.

Kennisgevingen. Alle kennisgevingen en communicatie onder deze Agreement moeten schriftelijk zijn en worden verzonden per e-mail. De Beheerder wordt per e-mail op de hoogte gesteld via het adres dat verband houdt met het gebruik van de Diensten onder de Hoofdovereenkomst. Kennisgevingen aan de Verwerker dienen per e-mail te worden verzonden naar het volgende adres: legal@proton.me.

Toepasselijk recht en jurisdictie. Deze Overeenkomst valt onder het Zwitserse recht, zonder rekening te houden met de keuze- of conflictenrechtbepalingen van enige andere jurisdictie, en geschillen, acties, claims of rechtsvorderingen die voortvloeien uit of verband houden met deze Overeenkomst, een bestelbon, een enig document dat bij verwijzing is opgenomen, Proton-technologie of de Diensten zijn onderworpen aan de exclusieve jurisdictie van Genève, Zwitserland.


In geval van discrepantie tussen de Engelse versie van deze Voorwaarden en een vertaalde versie, prevaleert de Engelse versie.