Proton

Acord privind prelucrarea datelor

Ultima modificare: 10 februarie 2026

Prezentul Acord de prelucrare a datelor („Acord”) face parte din Contractul de servicii conform Condițiilor Proton AG („Acordul principal”) încheiat între Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Elveția, număr de identificare a companiei CHE-354.686.492 (denumită „Persoana împuternicită”) și Compania care utilizează serviciile Proton (denumită „Compania”, care trebuie înțeleasă ca orice afacere sau organizație care utilizează Serviciile, indiferent de forma sa juridică).

Prezentul Acord reglementează cerințele specifice ale Legilor privind protecția datelor în măsura în care utilizarea Serviciilor Proton de către Companie implică prelucrarea Datelor cu caracter personal supuse Legilor privind protecția datelor.

Prezentul Acord este complementar Politicii noastre de confidențialitate, care servește drept referință principală pentru practicile și măsurile noastre de protecție a datelor.

Durata prezentului Acord va urma durata Acordului principal. Termenii care nu sunt definiți în prezentul document vor avea înțelesul stabilit în Acordul principal.


ÎNTRUCÂT

A) Compania acționează în calitate de Operator de date („Operator”).

B) Compania dorește să subcontracteze anumite Servicii (astfel cum sunt definite mai jos), care implică prelucrarea Datelor cu caracter personal, către Proton AG, acționând în calitate de Persoană împuternicită de operator („Persoana împuternicită”).

C) Părțile urmăresc să implementeze un acord de prelucrare a datelor care să respecte cerințele cadrului legal actual în ceea ce privește prelucrarea datelor și Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) și alte legi aplicabile privind protecția datelor.

D) Părțile doresc să își stabilească drepturile și obligațiile.


SE CONVINE DUPĂ CUM URMEAZĂ:

1. Definiții și interpretare

Cu excepția cazului în care sunt definiți altfel în prezentul document, termenii și expresiile scrise cu majuscule utilizate în prezentul DPA vor avea următorul înțeles:

1.1) „Acord” înseamnă prezentul Acord de prelucrare a datelor și toate Anexele;

1.2) „Datele cu caracter personal ale Companiei” înseamnă orice Date cu caracter personal referitoare la Companie sau la clienții ori angajații Companiei, prelucrate în legătură cu Acordul principal;

1.3) „Persoană împuternicită contractată” înseamnă o Sub-împuternicită;

1.4) „Legile privind protecția datelor” înseamnă Legile UE privind protecția datelor și, în măsura în care sunt aplicabile, legile privind protecția datelor sau confidențialitatea din orice altă țară;

1.5) „SEE” înseamnă Spațiul Economic European;

1.6) „Legile UE privind protecția datelor” înseamnă Directiva UE 95/46/CE, transpusă în legislația internă a fiecărui stat membru și modificată, înlocuită sau succedată periodic, inclusiv prin GDPR și legile de punere în aplicare sau de completare a GDPR;

1.7) „GDPR” înseamnă Regulamentul general al UE privind protecția datelor 2016/679;

1.8) „Transfer de date înseamnă:

  • 1.8.1) un transfer de Date cu caracter personal ale Companiei de la Operator la Persoana împuternicită sau la o Persoană împuternicită contractată; sau
  • 1.8.2) un transfer ulterior de Date cu caracter personal ale Companiei de la Persoana împuternicită la un Sub-împuternicit sau între două unități ale unui Sub-împuternicit;

1.9) „Servicii” înseamnă servicii securizate conectate furnizate de Persoana împuternicită, cum ar fi e-mail, calendar, unitate și alte servicii dezvoltate de Persoana împuternicită. Detaliile și prețurile Serviciilor pot fi găsite pe site-ul web al Persoanei împuternicite.

1.10) „Sub-împuternicit” înseamnă orice persoană desemnată de sau în numele Persoanei împuternicite să prelucreze Date cu caracter personal în numele Operatorului în legătură cu Acordul.

Termenii „Comisie”, „Operator”, „Persoana vizată”, „Stat membru”, „Date cu caracter personal”, „Încălcarea securității datelor cu caracter personal”, Prelucrare” și „Autoritate de supraveghere” vor avea același înțeles ca în GDPR sau în altă Lege aplicabilă privind protecția datelor, iar termenii lor înrudiți vor fi interpretați în consecință.

2. Prelucrarea Datelor cu caracter personal ale Companiei

Persoana împuternicită:

2.1) să respecte toate Legile aplicabile privind protecția datelor în Prelucrarea Datelor cu caracter personal ale Companiei;

2.2) și să nu prelucreze Datele cu caracter personal ale Companiei altfel decât în baza instrucțiunilor documentate ale Operatorului din secțiunea 2.

Operatorul instruiește Persoana împuternicită să prelucreze Datele cu caracter personal ale Companiei pentru:

2.3) a furniza Serviciile și asistența tehnică aferentă;

2.4) a îndeplini obligațiile legale sau a soluționa litigiile;

2.5) a exercita orice sarcină internă care vizează optimizarea securității, confidențialității, secretului și funcționalităților Serviciilor;

2.6) a exercita raportarea internă, raportarea financiară și alte sarcini interne similare.

3. Personalul Persoanei împuternicite

Persoana împuternicită va lua măsuri rezonabile pentru a asigura fiabilitatea oricărui angajat, agent sau contractant al oricărei Persoane împuternicite contractate care poate avea acces la Datele cu caracter personal ale Companiei, asigurându-se în fiecare caz că accesul este strict limitat la acele persoane care au nevoie să cunoască / să acceseze Datele cu caracter personal relevante ale Companiei, strict necesar pentru scopurile Acordului principal și/sau pentru a respecta Legile privind protecția datelor și alte legislații relevante în contextul sarcinilor persoanei respective față de Persoana împuternicită contractată, asigurându-se că toate aceste persoane fac obiectul unor angajamente de confidențialitate sau al unor obligații profesionale sau legale de confidențialitate.

4. Securitate

În conformitate cu articolul 32 alineatul (1) din GDPR, Persoana împuternicită va pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând seama de stadiul actual al tehnologiei, de costurile de implementare și de natura, domeniul de aplicare, contextul și scopurile prelucrării. Aceste măsuri vor fi concepute pentru a proteja drepturile și libertățile persoanelor fizice, luând în considerare riscurile cu grade diferite de probabilitate și gravitate, inclusiv riscul unei Încălcări a securității datelor cu caracter personal.

De asemenea, Persoana împuternicită va evalua riscurile asociate activităților de prelucrare și va aplica măsuri conforme cu cerințele prevăzute la articolul 32 alineatul (1) din GDPR, asigurând în permanență securitatea Datelor cu caracter personal ale Companiei.

5. Sub-prelucrare

Sub rezerva prezentului Acord, Compania acordă o autorizație generală Persoanei împuternicite de a angaja Sub-împuterniciți și de a le dezvălui sau transfera Datele cu caracter personal ale Companiei. Compania ia la cunoștință și aprobă lista Sub-împuterniciților menționată în Politica de confidențialitate a Persoanei împuternicite, înțelegând că această listă poate fi actualizată periodic de către Persoana împuternicită, caz în care compania va fi informată de către Persoana împuternicită în conformitate cu procesul de notificare din Politica de confidențialitate. În plus, Compania autorizează Persoana împuternicită să dezvăluie și să transfere Date cu caracter personal către orice companie din grupul său corporativ.

Persoana împuternicită se asigură că Sub-împuterniciții fac obiectul unui acord cu Persoana împuternicită nu mai puțin restrictiv și protectiv decât prezentul Acord în ceea ce privește protecția Datelor cu caracter personal ale Companiei, în măsura aplicabilă naturii serviciilor furnizate de Sub-împuternicit.

6. Drepturile persoanei vizate

Ținând seama de natura prelucrării, Persoana împuternicită va acorda asistență rezonabilă Companiei pentru îndeplinirea obligațiilor Companiei de a răspunde cererilor de exercitare a drepturilor Persoanei vizate în temeiul Legilor privind protecția datelor.

Persoana împuternicită:

6.1) să notifice prompt Compania în cazul în care primește o cerere de la o Persoană vizată în temeiul oricărei Legi privind protecția datelor cu privire la Datele cu caracter personal ale Companiei; și

6.2) să se asigure că nu răspunde la solicitarea respectivă decât la instrucțiunile documentate ale Operatorului sau conform cerințelor Legilor aplicabile cărora li se supune Persoana împuternicită, caz în care Persoana împuternicită va informa Operatorul cu privire la această cerință legală, în măsura permisă de Legile aplicabile, înainte ca Persoana împuternicită contractată să răspundă la solicitare.

7. Încălcarea securității datelor cu caracter personal

Persoana împuternicită va gestiona orice Încălcare a securității datelor cu caracter personal în conformitate cu Legile aplicabile privind protecția datelor și cu procedurile sale interne privind Încălcarea securității datelor cu caracter personal. În cazul unei Încălcări a securității datelor cu caracter personal care afectează Datele cu caracter personal ale companiei, Persoana împuternicită va notifica Compania fără întârziere, furnizând informații suficiente pentru a permite Companiei să își îndeplinească obligațiile care îi revin în temeiul Legilor privind protecția datelor, inclusiv informarea Persoanelor vizate, după caz. În astfel de cazuri, Persoana împuternicită va furniza Companiei informații suficiente pentru a permite Companiei să îndeplinească orice obligație de a raporta sau de a informa Persoanele vizate cu privire la Încălcarea securității datelor cu caracter personal în temeiul Legilor privind protecția datelor.

Persoana împuternicită va coopera cu Compania și va lua măsuri comerciale rezonabile, conform instrucțiunilor Companiei, pentru a asista la investigarea, atenuarea și remedierea fiecărei astfel de Încălcări a securității datelor cu caracter personal.

Fiecare parte va suporta costurile de investigare, remediere, atenuare și alte costuri aferente, în măsura în care o Încălcare a securității datelor este cauzată de partea respectivă.

Fiecare parte va suporta costurile oricăror amenzi, penalități, daune sau alte sume aferente impuse de un organism de reglementare autorizat, o agenție guvernamentală sau o instanță competentă, în măsura în care acestea decurg din încălcarea de către partea respectivă a obligațiilor sale în temeiul prezentului Acord.

8. Evaluarea impactului asupra protecției datelor și consultarea prealabilă

Persoana împuternicită va acorda asistență rezonabilă Companiei în ceea ce privește orice evaluare a impactului asupra protecției datelor și consultările prealabile cu Autoritățile de supraveghere sau cu alte autorități competente privind confidențialitatea datelor, pe care Operatorul le consideră în mod rezonabil necesare în temeiul articolului 35 sau 36 din GDPR sau al dispozițiilor echivalente din orice altă Lege privind protecția datelor, în fiecare caz exclusiv în legătură cu Prelucrarea Datelor cu caracter personal ale Companiei de către și ținând seama de natura Prelucrării și de informațiile disponibile Persoanelor împuternicite contractate.

9. Ștergerea sau returnarea Datelor cu caracter personal ale Companiei

În cazul încetării oricărui Serviciu care implică Prelucrarea Datelor cu caracter personal ale Companiei, Persoana împuternicită va șterge toate Datele cu caracter personal ale Companiei în măsura permisă de legile aplicabile și în conformitate cu Condițiile și Politica de confidențialitate ale Persoanei împuternicite. În cazul în care Compania solicită o copie a datelor sale, aceasta trebuie să o ceară înainte de ștergerea contului său; cererile făcute după ce contul a fost șters nu mai pot fi luate în considerare.

10. Drepturi de audit

Sub rezerva prezentei secțiuni 10, Persoana împuternicită va pune la dispoziția Companiei, la cerere, toate informațiile necesare pentru a demonstra conformitatea cu prezentul Acord și va permite și va contribui la audituri, inclusiv inspecții, efectuate de Companie sau de un auditor mandatat de Companie în legătură cu Prelucrarea Datelor cu caracter personal ale Companiei de către Persoanele împuternicite contractate. Compania nu își va exercita drepturile de audit de mai mult de o dată pe an calendaristic, cu excepția cazului în care are loc o Încălcare a securității datelor cu caracter personal sau o instrucțiune din partea unei autorități de reglementare. Compania va notifica în scris Persoana împuternicită cu cel puțin șaizeci (60) de zile înainte cu privire la intenția sa de a audita Persoana împuternicită în temeiul prezentului Acord. Auditul va fi efectuat în timpul orelor de program ale Persoanei împuternicite, nu va perturba operațiunile Persoanei împuternicite și va asigura protecția Datelor cu caracter personal ale Companiei, ale Persoanei împuternicite și ale altor Persoane vizate. Persoana împuternicită și Compania vor conveni de comun acord, în prealabil, asupra datei, domeniului de aplicare, duratei și controalelor de securitate și confidențialitate aplicabile auditului. Compania ia la cunoștință faptul că semnarea unui acord de nedivulgare poate fi solicitată de către Operator înainte de efectuarea auditului.

Informațiile și drepturile de audit ale Companiei apar în temeiul secțiunii 10 numai în măsura în care Acordul nu îi conferă altfel informații și drepturi de audit care să îndeplinească cerințele relevante ale Legii privind protecția datelor.

11. Transferul datelor

În măsura posibilului, Persoana împuternicită va transfera sau va autoriza transferul de Date numai către țări din Elveția, UE și/sau țări care fac obiectul unei decizii privind caracterul adecvat, astfel cum se prevede la art. 45 din GDPR și art. 16 din FADP elvețian. În cazul în care Datele cu caracter personal prelucrate în temeiul prezentului Acord sunt transferate din Elveția sau din orice țară din UE sau din orice țară care face obiectul unei decizii privind caracterul adecvat către o țară din afara acestui domeniu de aplicare, Părțile se vor asigura că Datele cu caracter personal sunt protejate în mod adecvat. Pentru a realiza acest lucru, Părțile se vor baza, dacă nu s-a convenit altfel, pe clauzele contractuale standard aprobate de Elveția și/sau UE și/sau Regatul Unit și valabile la momentul respectiv pentru transferul de Date cu caracter personal sau pe alte mecanisme de transfer prevăzute de Legile privind protecția datelor. Persoana împuternicită va fi autorizată să efectueze astfel de transferuri către Sub-împuterniciți, cu condiția ca garanții adecvate să fie implementate în ceea ce privește natura transferului.

12. Termeni generali

Conformitatea cu legile aplicabile. Persoana împuternicită va prelucra Datele cu caracter personal ale Companiei în conformitate cu prezentul Acord și cu Legile privind protecția datelor aplicabile rolului său în temeiul prezentului Acord. Persoana împuternicită nu este responsabilă și nici răspunzătoare pentru respectarea Legilor privind protecția datelor aplicabile exclusiv Companiei în virtutea activității sau industriei sale.

Confidențialitate. Fiecare parte trebuie să păstreze confidențialitatea oricăror informații pe care le primește despre cealaltă parte și despre activitatea acesteia în legătură cu prezentul Acord („Informații confidențiale”) și nu trebuie să utilizeze sau să dezvăluie respectivele Informații confidențiale fără acordul prealabil scris al celeilalte părți, cu excepția cazului în care:

(a) dezvăluirea este impusă prin lege;

(b) informațiile relevante se află deja în domeniul public fără vreo culpă a Părților.

Notificări. Toate notificările și comunicările efectuate în temeiul prezentului Acord trebuie să fie în scris și vor fi trimise prin e-mail. Operatorul va fi notificat prin e-mail trimis la adresa aferentă utilizării Serviciilor în temeiul Acordului principal. Persoana împuternicită va fi notificată prin e-mail trimis la adresa: legal@proton.me.

Legea aplicabilă și jurisdicția. Prezentul Acord va fi guvernat de legislația elvețiană, fără a ține seama de alegerea legii sau de dispozițiile privind conflictul de legi ale oricărei jurisdicții contrare, iar disputele, acțiunile, revendicările sau cauzele acțiunilor care decurg din sau în legătură cu prezentul Acord, un formular de comandă, orice document încorporat prin referință, tehnologia Proton sau Serviciile vor fi supuse jurisdicției exclusive din Geneva, Elveția.


În cazul unei discrepanțe între versiunea în limba engleză a acestor Termeni și orice versiune tradusă, versiunea în limba engleză va prevala.