Proton

Acord privind prelucrarea datelor

Ultima modificare: 23 septembrie 2024

Acest Acord de Prelucrare a Datelor („Acordul”) face parte din Contractul pentru Servicii în conformitate cu Termenii și Condițiile Proton AG („Acordul Principal”) între Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Elveția, număr de identificare a companiei CHE-354.686.492 (denumit în continuare „Persoana Împuternicită de Operator”) și Compania care utilizează serviciile Proton (denumită în continuare „Compania”).”

Prezentul Acord reglementează cerințele specifice ale Legilor privind Protecția Datelor în măsura în care utilizarea de către Companie a Serviciilor Proton implică prelucrarea Datelor cu Caracter Personal care fac obiectul Legilor privind Protecția Datelor.

Prezentul Acord este complementar Politicii noastre de Confidențialitate, care servește drept referință principală pentru practicile și măsurile noastre de protecție a datelor.

Durata prezentului Acord va urma durata Acordului Principal. Termenii care nu sunt definiți în prezentul document vor avea semnificația stabilită în Acordul Principal.


AVÂND ÎN VEDERE CĂ

A) Compania acționează în calitate de Operator de Date („Operatorul”).

B) Compania dorește să subcontracteze anumite Servicii (așa cum sunt definite mai jos), care implică prelucrarea Datelor cu Caracter Personal, către Proton AG, acționând în calitate de Persoană Împuternicită de Operator („Persoana Împuternicită de Operator”).

C) Părțile urmăresc să implementeze un acord de prelucrare a datelor care respectă cerințele cadrului juridic actual în ceea ce privește prelucrarea datelor și Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și a altor legi aplicabile privind protecția datelor.

D) Părțile doresc să își stabilească drepturile și obligațiile.


SE CONVINE DUPĂ CUM URMEAZĂ:

1. Definiții și interpretare

Cu excepția cazului în care se definește altfel în prezentul document, termenii și expresiile scrise cu majuscule utilizate în acest Acord de Prelucrare a Datelor vor avea următoarea semnificație:

1.1) „Acord” înseamnă prezentul Acord de Prelucrare a Datelor și toate Anexele;

1.2) „Datele cu Caracter Personal ale Companiei” înseamnă orice Date cu Caracter Personal referitoare la Companie sau la clienții sau angajații Companiei Prelucrate în legătură cu Acordul Principal;

1.3) „Persoană Împuternicită Contractată” înseamnă un Sub-împuternicit;

1.4) „Legile privind Protecția Datelor” înseamnă Legile UE privind Protecția Datelor și, în măsura în care sunt aplicabile, legile privind protecția datelor sau confidențialitatea din orice altă țară;

1.5) „SEE” înseamnă Spațiul Economic European;

1.6) „Legile UE privind Protecția Datelor” înseamnă Directiva UE 95/46/CE, transpusă în legislația națională a fiecărui stat membru și modificată, înlocuită sau abrogată periodic, inclusiv prin GDPR și legile de punere în aplicare sau de completare a GDPR;

1.7) „GDPR” înseamnă Regulamentul general al UE privind protecția datelor 2016/679;

1.8) „Transfer de Date înseamnă:

  • 1.8.1) un transfer de Date cu Caracter Personal ale Companiei de la Operator către Persoana Împuternicită de Operator sau o Persoană Împuternicită Contractată; sau
  • 1.8.2) un transfer ulterior al Datelor cu Caracter Personal ale Companiei de la Persoana Împuternicită de Operator către un Sub-împuternicit, atau între două sedii ale unui Sub-împuternicit;

1.9) „Servicii” înseamnă servicii online securizate furnizate de Persoana Împuternicită de Operator, cum ar fi e-mail, calendar, drive și alte servicii dezvoltate de Persoana Împuternicită de Operator. Detaliile și prețurile Serviciilor pot fi găsite pe site-ul web al Persoanei Împuternicite de Operator.

1.10) „Sub-împuternicit” înseamnă orice persoană numită de către sau în numele Persoanei Împuternicite de Operator pentru a prelucra Date cu Caracter Personal în numele Operatorului în legătură cu Acordul.

Termenii „Comisie”, „Operator”, „Persoană Vizată”, „Stat Membru”, „Date cu Caracter Personal”, „Încălcare a Securității Datelor cu Caracter Personal”, Prelucrare” și „Autoritate de Supraveghere” vor avea aceeași semnificație ca în GDPR sau în altă lege aplicabilă privind protecția datelor, iar termenii lor înrudiți vor fi interpretați în consecință.

2. Prelucrarea Datelor cu Caracter Personal ale Companiei

Persoana Împuternicită de Operator va:

2.1) respecta toate Legile aplicabile privind Protecția Datelor în Prelucrarea Datelor cu Caracter Personal ale Companiei;

2.2) și nu va prelucra Datele cu Caracter Personal ale Companiei în alt mod decât pe baza instrucțiunilor documentate ale Operatorului din secțiunea 2.

Operatorul instruiește Persoana Împuternicită de Operator să prelucreze Datele cu Caracter Personal ale Companiei pentru:

2.3) furnizarea Serviciilor și a asistenței tehnice aferente;

2.4) îndeplinirea obligațiilor legale sau soluționarea litigiilor;

2.5) exercitarea oricărei sarcini interne care vizează optimizarea securității, caracterului privat, confidențialității și funcționalităților Serviciilor;

2.6) exercitarea raportării interne, a raportării financiare și a altor sarcini interne similare.

3. Personalul Persoanei Împuternicite de Operator

Persoana Împuternicită de Operator va lua măsuri rezonabile pentru a asigura fiabilitatea oricărui angajat, agent sau contractor al oricărei Persoane Împuternicite Contractate care poate avea acces la Datele cu Caracter Personal ale Companiei, asigurându-se în fiecare caz că accesul este strict limitat la acele persoane care trebuie să cunoască/acceseze Datele cu Caracter Personal relevante, strict necesar în scopul Acordului Principal și/sau pentru a se conforma Legilor privind Protecția Datelor și altor legislații relevante în contextul atribuțiilor acelei persoane față de Persoana Împuternicită Contractată, asigurându-se că toate aceste persoane sunt supuse unor angajamente de confidențialitate sau unor obligații profesionale sau statutare de confidențialitate.

4. Securitate

În conformitate cu articolul 32 alineatul (1) din GDPR, Persoana Împuternicită de Operator va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând seama de stadiul actual al tehnologiei, costurile de implementare și natura, domeniul de aplicare, contextul și scopurile prelucrării. Aceste măsuri vor fi concepute pentru a proteja drepturile și libertățile persoanelor fizice, luând în considerare riscurile cu probabilitate și gravitate variabile, inclusiv riscul unei Încălcări a Securității Datelor cu Caracter Personal.

Persoana Împuternicită de Operator va evalua, de asemenea, riscurile asociate activităților de prelucrare și va aplica măsuri care sunt în concordanță cu cerințele stabilite în Articolul 32 (1) din GDPR, asigurând securitatea Datelor cu Caracter Personal ale Companiei în permanență.

5. Sub-prelucrare

Sub rezerva prezentului Acord, Compania acordă autorizație generală Persoanei Împuternicite de Operator pentru a angaja Sub-împuterniciți și pentru a le divulga sau transfera Date cu Caracter Personal ale Companiei. Compania recunoaște și aprobă lista de Sub-împuterniciți prezentată în Politica de Confidențialitate a Persoanei Împuternicite de Operator, înțelegând că această listă poate fi actualizată periodic de către Persoana Împuternicită de Operator, caz în care compania va fi informată de către Persoana Împuternicită de Operator conform procesului de notificare din Politica de Confidențialitate. Mai mult, Compania autorizează Persoana Împuternicită de Operator să divulge și să transfere Date cu Caracter Personal către orice companie din grupul său corporativ.

Persoana Împuternicită de Operator se asigură că Sub-împuterniciții sunt supuși unui acord cu Persoana Împuternicită de Operator nu mai puțin restrictiv și protector decât prezentul Acord în ceea ce privește protecția Datelor cu Caracter Personal ale Companiei, în măsura aplicabilă naturii serviciilor furnizate de Sub-împuternicit.

6. Drepturile Persoanei Vizate

Ținând seama de natura prelucrării, Persoana Împuternicită de Operator va asista în mod rezonabil Compania în îndeplinirea obligațiilor Companiei de a răspunde solicitărilor de exercitare a drepturilor Persoanelor Vizate în temeiul Legilor privind Protecția Datelor.

Persoana Împuternicită de Operator va:

6.1) va notifica prompt Compania dacă primește o solicitare de la o Persoană Vizată în temeiul oricărei Legi privind Protecția Datelor cu privire la Datele cu Caracter Personal ale Companiei; și

6.2) se va asigura că nu răspunde la acea solicitare decât în baza instrucțiunilor documentate ale Operatorului sau așa cum este cerut de Legile Aplicabile cărora le este supusă Persoana Împuternicită de Operator, caz în care Persoana Împuternicită de Operator va informa Operatorul, în măsura permisă de Legile Aplicabile, cu privire la acea cerință legală înainte ca Persoana Împuternicită Contractată să răspundă solicitării.

7. Încălcare a Securității Datelor cu Caracter Personal

Persoana Împuternicită de Operator va gestiona orice Încălcare a Securității Datelor cu Caracter Personal în conformitate cu Legile aplicabile privind Protecția Datelor și cu procedurile sale interne privind Încălcarea Securității Datelor cu Caracter Personal. În cazul unei Încălcări a Securității Datelor cu Caracter Personal care afectează Datele cu Caracter Personal ale companiei, Persoana Împuternicită de Operator va notifica Compania fără întârziere, furnizând informații suficiente pentru a permite Companiei să își îndeplinească obligațiile în temeiul Legilor privind Protecția Datelor, inclusiv informarea Persoanelor Vizate, după caz. În astfel de cazuri, Persoana Împuternicită de Operator va furniza Companiei informații suficiente pentru a permite Companiei să îndeplinească orice obligație de a raporta sau de a informa Persoanele Vizate despre Încălcarea Securității Datelor cu Caracter Personal în temeiul Legilor privind Protecția Datelor.

Persoana Împuternicită de Operator va coopera cu Compania și va lua măsurile comerciale rezonabile indicate de Companie pentru a asista la investigarea, atenuarea și remedierea fiecărei astfel de Încălcări a Securității Datelor cu Caracter Personal.

Fiecare parte va suporta costurile investigației, remedierii, atenuării și alte costuri aferente în măsura în care o Încălcare a Securității Datelor este cauzată de respectiva parte.

Fiecare parte va suporta costurile oricăror amenzi, penalități, daune sau alte sume aferente impuse de un organism de reglementare autorizat, o agenție guvernamentală sau o instanță de jurisdicție competentă, în măsura în care acestea decurg din încălcarea de către respectiva parte a obligațiilor sale în temeiul prezentului Acord.

8. Evaluarea impactului asupra protecției datelor și consultarea prealabilă

Persoana Împuternicită de Operator va oferi asistență rezonabilă Companiei pentru orice evaluări ale impactului asupra protecției datelor și consultări prealabile cu Autoritățile de Supraveghere sau cu alte autorități competente în domeniul confidențialității datelor, pe care Operatorul le consideră în mod rezonabil necesare în temeiul articolului 35 sau 36 din GDPR sau al dispozițiilor echivalente ale oricărei alte Legi privind Protecția Datelor, în fiecare caz exclusiv în legătură cu Prelucrarea Datelor cu Caracter Personal ale Companiei de către Persoanele Împuternicite Contractate și ținând cont de natura Prelucrării și de informațiile disponibile acestora.

9. Ștergerea sau returnarea Datelor cu Caracter Personal ale Companiei

În cazul încetării oricărui Serviciu care implică Prelucrarea Datelor cu Caracter Personal ale Companiei, Persoana Împuternicită de Operator va șterge toate Datele cu Caracter Personal ale Companiei în măsura permisă de legile aplicabile și în conformitate cu Termenii și Condițiile și Politica de Confidențialitate ale Persoanei Împuternicite de Operator. În cazul în care Compania solicită o copie a datelor sale, trebuie să o solicite înainte de ștergerea contului său; cererile făcute după ștergerea contului nu mai pot fi luate în considerare.

10. Drepturi de audit

Sub rezerva acestei secțiuni 10, Persoana Împuternicită de Operator va pune la dispoziția Companiei, la cerere, toate informațiile necesare pentru a demonstra conformitatea cu prezentul Acord și va permite și va contribui la audituri, inclusiv inspecții, efectuate de Companie or un auditor mandatat de Companie în legătură cu Prelucrarea Datelor cu Caracter Personal ale Companiei de către Persoanele Împuternicite Contractate. Compania nu își va exercita drepturile de audit mai mult de o dată pe an calendaristic, cu excepția cazului în care survine o Încălcare a Securității Datelor cu Caracter Personal sau o instrucțiune din partea unei autorități de reglementare. Compania va notifica în scris Persoana Împuternicită de Operator cu cel puțin șaizeci (60) de zile înainte de intenția sa de a audita Persoana Împuternicită de Operator în conformitate cu prezentul Acord. Auditul se va desfășura în timpul orelor de program ale Persoanei Împuternicite de Operator, nu va perturba operațiunile Persoanei Împuternicite de Operator și va asigura protecția Datelor cu Caracter Personal ale Companiei, ale Persoanei Împuternicite de Operator și ale altor Persoane Vizate. Persoana Împuternicită de Operator și Compania vor conveni de comun acord, în prealabil, asupra datei, domeniului de aplicare, duratei și controalelor de securitate și confidențialitate aplicabile auditului. Compania recunoaște că semnarea unui acord de nedivulgare poate fi solicitată de către Operator înainte de efectuarea auditului.

Drepturile de informare și de audit ale Companiei apar în temeiul secțiunii 10 numai în măsura în care Acordul nu le conferă în alt mod drepturi de informare și de audit care să îndeplinească cerințele relevante ale Legii privind Protecția Datelor.

11. Transfer de Date

În măsura posibilului, Persoana Împuternicită de Operator va transfera sau va autoriza transferul de Date numai către țări din Elveția, UE și/sau țări care fac obiectul unei decizii privind caracterul adecvat al nivelului de protecție, conform prevederilor art. 45 GDPR și art. 16 LPDP elvețian. Dacă Datele cu Caracter Personal prelucrate în temeiul prezentului Acord sunt transferate din Elveția sau din orice țară din UE sau din orice țară care face obiectul unei decizii privind caracterul adecvat al nivelului de protecție către o țară din afara acestui domeniu de aplicare, Părțile se vor asigura că Datele cu Caracter Personal sunt protejate în mod adecvat. Pentru a realiza acest lucru, Părțile se vor baza, dacă nu se convine altfel, pe clauzele contractuale standard aprobate de Elveția și/sau UE și/sau Regatul Unit și actuale la momentul respectiv pentru transferul de Date cu Caracter Personal sau pe alte mecanisme de transfer prevăzute de Legile privind Protecția Datelor. Persoana Împuternicită de Operator va fi autorizată să efectueze astfel de transferuri către Sub-împuterniciți, cu condiția ca garanțiile adecvate să fie implementate în ceea ce privește natura transferului.

12. Termeni Generali

Conformitatea cu legile aplicabile. Persoana Împuternicită de Operator va prelucra Datele cu Caracter Personal ale Companiei în conformitate cu prezentul Acord și cu Legile privind Protecția Datelor aplicabile rolului său în temeiul prezentului Acord. Persoana Împuternicită de Operator nu este responsabilă și nici răspunzătoare pentru respectarea Legilor privind Protecția Datelor aplicabile exclusiv Companiei în virtutea activității sau industriei sale.

Confidențialitate. Fiecare parte trebuie să păstreze confidențialitatea oricărei informații pe care o primește despre cealaltă parte și afacerea sa în legătură cu prezentul Acord („Informații Confidențiale”) și nu trebuie să utilizeze sau să divulge acele Informații Confidențiale fără consimțământul prealabil scris al celeilalte părți, cu excepția măsurii în care:

(a) divulgarea este cerută de lege;

(b) informațiile relevante sunt deja în domeniul public fără nicio vină a Părților.

Notificări. Toate notificările și comunicările efectuate în temeiul prezentului Acord trebuie să fie în scris și vor fi trimise prin e-mail. Operatorul va fi notificat prin e-mail trimis la adresa asociată cu utilizarea de către acesta a Serviciilor în cadrul Acordului Principal. Persoana Împuternicită de Operator va fi notificată prin e-mail trimis la adresa: legal@proton.me.

Legea aplicabilă și jurisdicția. Prezentul Acord este guvernat de legislația elvețiană, fără a ține seama de dispozițiile privind alegerea legii sau conflictele de legi ale oricărei jurisdicții contrare, iar litigiile, acțiunile, pretențiile sau cauzele acțiunilor care decurg din sau în legătură cu prezentul Acord, un formular de comandă, orice document încorporat prin referință, tehnologia Proton sau Serviciile vor fi supuse jurisdicției exclusive a Genevei, Elveția.


În cazul unei discrepanțe între versiunea în limba engleză a acestor Termeni și orice versiune tradusă, versiunea în limba engleză va prevala.