Proton

Acord privind prelucrarea datelor

Ultima modificare: 10 februarie 2026

Prezentul Acord de prelucrare a datelor ("Acord") face parte din Contractul de servicii în temeiul Condițiilor Proton AG ("Acordul principal") dintre Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Elveția, număr de identificare al companiei CHE-354.686.492 (denumită "Persoana împuternicită de operator") și compania care utilizează serviciile Proton (denumită "Compania", care trebuie înțeleasă ca orice afacere sau organizație care utilizează Serviciile, indiferent de forma sa juridică).

Prezentul Acord reglementează cerințele specifice ale legislației privind protecția datelor în măsura în care utilizarea de către Companie a Serviciilor Proton implică prelucrarea Datelor cu caracter personal care intră sub incidența legislației privind protecția datelor.

Prezentul Acord este complementar politicii noastre de confidențialitate, care servește drept referință principală pentru practicile și măsurile noastre de protecție a datelor.

Durata prezentului Acord va urma durata Acordului principal. Termenii care nu sunt definiți în prezentul document vor avea înțelesul prevăzut în Acordul principal.


ÎNTRUCÂT

A) Compania acționează în calitate de operator de date ("Operator").

B) Compania dorește să subcontracteze anumite Servicii (astfel cum sunt definite mai jos), care implică prelucrarea Datelor cu caracter personal, către Proton AG, care acționează în calitate de persoană împuternicită de operator ("Persoana împuternicită de operator").

C) Părțile urmăresc să implementeze un acord de prelucrare a datelor care să respecte cerințele cadrului juridic actual în legătură cu prelucrarea datelor și cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea Datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și alte legi aplicabile privind protecția datelor.

D) Părțile doresc să își stabilească drepturile și obligațiile.


SE CONVINE DUPĂ CUM URMEAZĂ:

1. Definiții și interpretare

Cu excepția cazului în care se definește altfel în prezentul document, termenii și expresiile scrise cu majusculă utilizați în acest DPA vor avea următorul înțeles:

1.1) "Acord" înseamnă prezentul Acord de prelucrare a datelor și toate anexele;

1.2) "Date cu caracter personal ale Companiei" înseamnă orice Date cu caracter personal legate de Companie sau de clienții ori angajații Companiei, prelucrate în legătură cu Acordul principal;

1.3) "Persoană împuternicită contractată" înseamnă o Persoană subîmputernicită;

1.4) "Legislația privind protecția datelor" înseamnă legislația UE privind protecția datelor și, în măsura în care este aplicabilă, legile privind protecția datelor sau confidențialitatea din orice altă țară;

1.5) "SEE" înseamnă Spațiul Economic European;

1.6) "Legislația UE privind protecția datelor" înseamnă Directiva UE 95/46/CE, astfel cum a fost transpusă în legislația internă a fiecărui stat membru și astfel cum a fost modificată, înlocuită sau substituită periodic, inclusiv prin GDPR și prin legile care pun în aplicare sau completează GDPR;

1.7) "GDPR" înseamnă Regulamentul general al UE privind protecția datelor 2016/679;

1.8) "Transfer de date" înseamnă:

  • 1.8.1) un transfer de Date cu caracter personal ale Companiei de la Operator la Persoana împuternicită sau la o Persoană împuternicită contractată; sau
  • 1.8.2) un transfer ulterior de Date cu caracter personal ale Companiei de la Persoana împuternicită la un Sub-împuternicit sau între două unități ale unui Sub-împuternicit;

1.9) "Servicii" înseamnă servicii securizate conectat furnizate de Persoana împuternicită de operator, cum ar fi e-mail, calendar, unitate și alte servicii dezvoltate de Persoana împuternicită de operator. Detaliile și prețurile Serviciilor pot fi găsite pe site-ul web al Persoanei împuternicite de operator.

1.10) "Persoană subîmputernicită" înseamnă orice persoană desemnată de sau în numele Persoanei împuternicite de operator pentru a prelucra Date cu caracter personal în numele Operatorului în legătură cu Acordul.

Termenii "Comisie", "Operator", "Persoană vizată", "Stat membru", "Date cu caracter personal", "Încălcarea securității Datelor cu caracter personal", "Prelucrare" și "Autoritate de supraveghere" vor avea același înțeles ca în GDPR sau în altă legislație aplicabilă privind protecția datelor, iar termenii lor înrudiți vor fi interpretați în mod corespunzător.

2. Prelucrarea Datelor cu caracter personal ale Companiei

Persoana împuternicită:

2.1) să respecte toată legislația aplicabilă privind protecția datelor în cadrul Prelucrării Datelor cu caracter personal ale Companiei;

2.2) și să nu prelucreze Datele cu caracter personal ale Companiei altfel decât pe baza instrucțiunilor documentate ale Operatorului din secțiunea 2.

Operatorul instruiește Persoana împuternicită să prelucreze Datele cu caracter personal ale Companiei pentru:

2.3) să furnizeze Serviciile și asistența tehnică aferentă;

2.4) să îndeplinească obligațiile legale sau să soluționeze litigiile;

2.5) să desfășoare orice sarcină internă menită să optimizeze securitatea, confidențialitatea, caracterul confidențial și funcționalitățile Serviciilor;

2.6) să efectueze raportări interne, raportări financiare și alte sarcini interne similare.

3. Personalul Persoanei împuternicite

Persoana împuternicită de operator va lua măsuri rezonabile pentru a asigura fiabilitatea oricărui angajat, agent sau contractant al oricărei Persoane împuternicite contractate care poate avea acces la Datele cu caracter personal ale Companiei, asigurând în fiecare caz că accesul este strict limitat la acele persoane care trebuie să cunoască / să acceseze Datele cu caracter personal relevante ale Companiei, în măsura strict necesară pentru scopurile Acordului principal și/sau pentru a respecta legislația privind protecția datelor și alte legi relevante în contextul atribuțiilor acelei persoane față de Persoana împuternicită contractată, asigurând că toate aceste persoane sunt supuse unor angajamente de confidențialitate sau unor obligații profesionale ori legale de confidențialitate.

4. Securitate

În conformitate cu articolul 32 alineatul (1) din GDPR, Persoana împuternicită de operator va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, ținând seama de stadiul actual al tehnologiei, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării. Aceste măsuri vor fi concepute pentru a proteja drepturile și libertățile persoanelor fizice, luând în considerare riscurile de probabilitate și gravitate variabile, inclusiv riscul unei Încălcări a securității Datelor cu caracter personal.

Persoana împuternicită de operator va evalua, de asemenea, riscurile asociate activităților de prelucrare și va aplica măsuri conforme cu cerințele prevăzute la articolul 32 alineatul (1) din GDPR, asigurând în permanență securitatea Datelor cu caracter personal ale Companiei.

5. Sub-prelucrare

Sub rezerva prezentului Acord, Compania acordă o autorizație generală Persoanei împuternicite de operator pentru a angaja Persoane subîmputernicite și pentru a le divulga sau transfera Datele cu caracter personal ale Companiei. Compania recunoaște și aprobă lista Persoanelor subîmputernicite prezentată în politica de confidențialitate a Persoanei împuternicite de operator, înțelegând că această listă poate fi actualizată în mod regulat de către Persoana împuternicită de operator, caz în care Compania va fi informată de către Persoana împuternicită de operator în conformitate cu procesul de notificare din politica de confidențialitate. În plus, Compania autorizează Persoana împuternicită de operator să divulge și să transfere Date cu caracter personal oricărei companii din cadrul grupului său corporativ.

Persoana împuternicită de operator se asigură că Persoanele subîmputernicite fac obiectul unui acord cu Persoana împuternicită de operator care nu este mai puțin restrictiv și protector decât prezentul Acord în ceea ce privește protecția Datelor cu caracter personal ale Companiei, în măsura aplicabilă naturii serviciilor furnizate de Persoana subîmputernicită.

6. Drepturile persoanei vizate

Ținând seama de natura prelucrării, Persoana împuternicită de operator va asista în mod rezonabil Compania în îndeplinirea obligațiilor Companiei de a răspunde solicitărilor de exercitare a drepturilor Persoanei vizate în temeiul legislației privind protecția datelor.

Persoana împuternicită:

6.1) să notifice prompt Compania dacă primește o solicitare din partea unei Persoane vizate în temeiul oricărei legislații privind protecția datelor cu privire la Datele cu caracter personal ale Companiei; și

6.2) să se asigure că nu răspunde la această solicitare decât pe baza instrucțiunilor documentate ale Operatorului sau în măsura în care acest lucru este impus de Legile aplicabile cărora li se supune Persoana împuternicită de operator, caz în care Persoana împuternicită de operator va informa Operatorul cu privire la această cerință legală înainte ca Persoana împuternicită contractată să răspundă solicitării, în măsura permisă de Legile aplicabile.

7. Încălcarea securității datelor cu caracter personal

Persoana împuternicită de operator va gestiona orice Încălcare a securității Datelor cu caracter personal în conformitate cu legislația aplicabilă privind protecția datelor și cu procedurile sale interne referitoare la Încălcarea securității Datelor cu caracter personal. În cazul unei Încălcări a securității Datelor cu caracter personal care afectează Datele cu caracter personal ale Companiei, Persoana împuternicită de operator va notifica Compania fără întârziere, furnizând informații suficiente pentru a permite Companiei să își îndeplinească obligațiile în temeiul legislației privind protecția datelor, inclusiv informarea Persoanelor vizate, după caz. În astfel de cazuri, Persoana împuternicită de operator va furniza Companiei informații suficiente pentru a permite Companiei să îndeplinească orice obligații de raportare sau de informare a Persoanelor vizate cu privire la Încălcarea securității Datelor cu caracter personal în temeiul legislației privind protecția datelor.

Persoana împuternicită de operator va coopera cu Compania și va lua măsuri comerciale rezonabile, conform instrucțiunilor Companiei, pentru a sprijini investigarea, atenuarea și remedierea fiecărei astfel de Încălcări a securității Datelor cu caracter personal.

Fiecare parte va suporta costurile investigării, remedierii, atenuării și alte costuri aferente, în măsura în care o încălcare a securității datelor este cauzată de partea respectivă.

Fiecare parte va suporta costurile oricăror amenzi, penalități, despăgubiri sau alte sume aferente impuse de un organism de reglementare autorizat, de o agenție guvernamentală sau de o instanță competentă, în măsura în care acestea rezultă din încălcarea de către partea respectivă a obligațiilor sale în temeiul prezentului Acord.

8. Evaluarea impactului asupra protecției datelor și consultarea prealabilă

Persoana împuternicită de operator va oferi Companiei asistență rezonabilă în legătură cu orice evaluări de impact asupra protecției datelor și consultări prealabile cu Autoritățile de supraveghere sau cu alte autorități competente în materie de confidențialitate a datelor, pe care Operatorul le consideră în mod rezonabil necesare în temeiul articolului 35 sau 36 din GDPR ori al unor dispoziții echivalente din orice altă legislație privind protecția datelor, în fiecare caz exclusiv în legătură cu Prelucrarea Datelor cu caracter personal ale Companiei de către Persoanele împuternicite contractate și ținând seama de natura Prelucrării și de informațiile disponibile pentru acestea.

9. Ștergerea sau returnarea Datelor cu caracter personal ale Companiei

În cazul încetării oricărui Serviciu care implică Prelucrarea Datelor cu caracter personal ale Companiei, Persoana împuternicită de operator va șterge toate Datele cu caracter personal ale Companiei în măsura permisă de legile aplicabile și în conformitate cu Condițiile și politica de confidențialitate ale Persoanei împuternicite de operator. În cazul în care Compania solicită o copie a datelor sale, aceasta trebuie să o solicite înainte de ștergerea contului său; solicitările făcute după ștergerea contului nu mai pot fi luate în considerare.

10. Drepturi de audit

Sub rezerva prezentei secțiuni 10, Persoana împuternicită de operator va pune la dispoziția Companiei, la cerere, toate informațiile necesare pentru a demonstra conformitatea cu prezentul Acord și va permite și va contribui la audituri, inclusiv inspecții, efectuate de Companie sau de un auditor mandatat de Companie în legătură cu Prelucrarea Datelor cu caracter personal ale Companiei de către Persoanele împuternicite contractate. Compania nu își va exercita drepturile de audit mai mult de o dată pe an calendaristic, cu excepția cazului în care survine o Încălcare a securității Datelor cu caracter personal sau o instrucțiune din partea unei autorități de reglementare. Compania va transmite Persoanei împuternicite de operator o notificare prealabilă scrisă de cel puțin șaizeci (60) de zile cu privire la intenția sa de a audita Persoana împuternicită de operator în temeiul prezentului Acord. Auditul se va desfășura în timpul programului de lucru al Persoanei împuternicite de operator, nu va perturba operațiunile Persoanei împuternicite de operator și va asigura protecția Datelor cu caracter personal ale Companiei, ale Persoanei împuternicite de operator și ale altor Persoane vizate. Persoana împuternicită de operator și Compania vor conveni de comun acord, în prealabil, asupra datei, domeniului de aplicare, duratei și controalelor de securitate și confidențialitate aplicabile auditului. Compania recunoaște că semnarea unui acord de confidențialitate poate fi solicitată de Operator înainte de efectuarea auditului.

Drepturile Companiei la informații și audit apar numai în temeiul secțiunii 10 în măsura în care Acordul nu îi conferă altfel drepturi la informații și audit care îndeplinesc cerințele relevante ale legislației privind protecția datelor.

11. Transferul datelor

În măsura posibilului, Persoana împuternicită de operator va transfera sau va autoriza transferul Datelor numai către țări din Elveția, UE și/sau țări care fac obiectul unei decizii de adecvare, astfel cum se prevede la art. 45 GDPR și art. 16 FADP elvețian. Dacă Datele cu caracter personal prelucrate în temeiul prezentului Acord sunt transferate din Elveția sau din orice țară din UE sau din orice țară care face obiectul unei decizii de adecvare către o țară din afara acestui cadru, Părțile se vor asigura că Datele cu caracter personal sunt protejate în mod adecvat. Pentru a realiza acest lucru, Părțile se vor baza, cu excepția cazului în care se convine altfel, pe clauze contractuale standard aprobate de Elveția și/sau UE și/sau Regatul Unit, în vigoare la momentul respectiv, pentru transferul Datelor cu caracter personal sau pe alte mecanisme de transfer prevăzute de legislația privind protecția datelor. Persoana împuternicită de operator va fi autorizată să efectueze astfel de transferuri către Persoane subîmputernicite, cu condiția implementării unor garanții adecvate în ceea ce privește natura transferului.

12. Termeni generali

Conformitatea cu Legile aplicabile. Persoana împuternicită de operator va prelucra Datele cu caracter personal ale Companiei în conformitate cu prezentul Acord și cu legislația privind protecția datelor aplicabilă rolului său în temeiul prezentului Acord. Persoana împuternicită de operator nu este responsabilă și nici răspunzătoare pentru respectarea legislației privind protecția datelor aplicabile exclusiv Companiei în virtutea activității sau industriei sale.

Confidențialitate. Fiecare parte trebuie să păstreze confidențială orice informație pe care o primește despre cealaltă parte și despre activitatea acesteia în legătură cu prezentul Acord („Informații confidențiale”) și nu trebuie să utilizeze sau să divulge acele Informații confidențiale fără consimțământul prealabil scris al celeilalte părți, cu excepția măsurii în care:

(a) divulgarea este impusă de lege;

(b) informațiile relevante se află deja în domeniul public fără vina Părților.

Notificări. Toate notificările și comunicările transmise în temeiul prezentului Acord trebuie să fie în scris și vor fi trimise prin e-mail. Operatorul va fi notificat prin e-mail trimis la adresa aferentă utilizării de către acesta a Serviciilor în temeiul Acordului principal. Persoana împuternicită de operator va fi notificată prin e-mail trimis la adresa: legal@proton.me.

Legea aplicabilă și jurisdicția. Prezentul Acord va fi reglementat de legislația elvețiană, fără a ține seama de alegerea legii sau de dispozițiile privind conflictul de legi din orice jurisdicție care prevăd contrariul, iar litigiile, acțiunile, pretențiile sau cauzele de acțiune care decurg din sau în legătură cu prezentul Acord, un formular de comandă, orice document încorporat prin referință, tehnologia Proton sau Serviciile vor fi supuse jurisdicției exclusive a Geneva, Elveția.


În cazul unei discrepanțe între versiunea în limba engleză a acestor Termeni și orice versiune tradusă, versiunea în limba engleză va prevala.