Proton

Соглашение об обработке данных

Последнее изменение: 23 сентября 2024 г.

Настоящее Соглашение об обработке данных ("Соглашение") является частью Контракта на оказание услуг в соответствии с условиями Proton AG ("Основное соглашение") между Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Швейцария, номер идентификации компании CHE-354.686.492 (именуемым "Обработчик") и Компанией, использующей услуги Proton (именуемой "Компания").

Настоящее Соглашение регулирует конкретные требования Законов о защите данных в той мере, в какой использование Услуг Proton подразумевает обработку Персональных данных, подлежащих Законам о защите данных.

Настоящее Соглашение является дополнением к нашей Политике конфиденциальности, которая служит основным источником для нашей практики и мер по защите данных.

Срок действия настоящего Соглашения будет следовать сроку действия Основного соглашения. Термины, не определённые в настоящем документе, будут иметь значения, указанные в Основном соглашении.


УСЛОВИЯ

A) Компания выступает в качестве Контроллера данных ("Контроллер").

B) Компания желает передать в субподряд некоторые Услуги (как определено ниже), которые подразумевают обработку Персональных данных, Обработчику Proton AG ("Обработчик").

C) Стороны стремятся заключить соглашение о обработке данных, которое соответствует требованиям действующей законодательной базы в отношении обработки данных и Регламенту (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой Персональных данных и о свободном перемещении таких данных, а также отмене Директивы 95/46/ЕС (Общий регламент по защите данных) и других применимых законов о защите данных.

D) Стороны желают определить свои права и обязательства.


СОГЛАШЕНО, ЧТО:

1. Определения и толкование

Если иное не предусмотрено, терминология и выражения, используемые в настоящем DPA, будут иметь следующие значения:

1.1) "Соглашение" означает данное Соглашение об обработке данных и все Приложения;

1.2) "Персональные данные Компании" означают любые Персональные данные, относящиеся к Компании или клиентам или сотрудникам Компании, обработанные в связи с Основным соглашением;

1.3) "Заключённый Обработчик" означает субобработчика;

1.4) "Законы о защите данных" означают Законы о защите данных ЕС и, в той мере, в какой это применимо, законы о защите данных или конфиденциальности любой другой страны;

1.5) "ЕЭП" означает Европейскую экономическую зону;

1.6) "Законы о защите данных ЕС" означают Директиву ЕС 95/46/EC, имплементированную в национальное законодательство каждого государства-члена и изменённую, заменённую или приведённую в соответствие с GDPR и законодательствами, обеспечивающими или дополняющими GDPR;

1.7) "GDPR" означает Общий регламент по защите данных ЕС 2016/679;

1.8) "Передача данных" означает:

  • 1.8.1) передача Персональных данных Компании от Контроллера к Обработчику или Заключённому Обработчику; или
  • 1.8.2) последующая передача Персональных данных Компании от Обработчика к Субобработчику или между двумя учреждениями Субобработчика;

1.9) "Услуги" означают безопасные онлайн-услуги, предоставляемые Обработчиком, такие как электронная почта, календарь, хранилище и другие услуги, разработанные Обработчиком. Детали и цены на Услуги можно найти на веб-сайте Обработчика.

1.10) "Субобработчик" означает любое лицо, назначенное Обработчиком или от его имени для обработки Персональных данных от имени Контроллера в связи с настоящим Соглашением.

Термины "Комиссия", "Контроллер", "Субъект данных", "Государство-член", "Персональные данные", "Утечка Персональных данных", "Обработка" и "Контрольный орган" будут иметь такое же значение, как в GDPR или других применимых Законах о защите данных, и их производные термины будут толковаться соответствующим образом.

2. Обработка Персональных данных Компании

Обработчик должен:

2.1) соблюдать все применимые Законы о защите данных при обработке Персональных данных Компании;

2.2) и не обрабатывать Персональные данные Компании иным образом, кроме как по документированным инструкциям Контроллера в разделе 2.

Контроллер даёт указание Обработчику обработать Персональные данные Компании для:

2.3) предоставления Услуг и связанной технической поддержки;

2.4) выполнения юридических обязательств или разрешения споров;

2.5) выполнения любых внутренних задач, направленных на оптимизацию безопасности, конфиденциальности, защищённости и функциональности Услуг;

2.6) выполнения внутренней отчётности, финансовой отчётности и других аналогичных внутренних задач.

3. Персонал Обработчика

Обработчик должен предпринять разумные меры для обеспечения надёжности любого сотрудника, агента или подрядчика любого Заключённого Обработчика, который может иметь доступ к Персональным данным Компании, обеспечивая в каждом случае, что доступ строго ограничен только теми лицами, которым необходимо знание/доступ к соответствующим Персональным данным Компании, настолько, насколько это необходимо для целей Основного соглашения и/или для соблюдения Законов о защите данных и другого соответствующего законодательства в контексте обязанностей этого лица перед Заключённым Обработчиком, обеспечивая, чтобы все такие лица были предметом обязательств по конфиденциальности или профессиональных или законодательных обязательств о конфиденциальности.

4. Безопасность

В соответствии со статьёй 32 (1) GDPR Обработчик должен внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, принимая во внимание состояние технического прогресса, стоимость внедрения, а также характер, объём, контекст и цели обработки. Эти меры должны быть направлены на защиту прав и свобод физических лиц, учитывая риски различной вероятности и серьёзности, включая риск утечки Персональных данных.

Обработчик также должен оценивать риски, связанные с деятельностью по обработке, и применять меры, которые соответствуют требованиям, изложенным в статье 32 (1) GDPR, обеспечивая безопасность Персональных данных Компании в любое время.

5. Субобработка

В соответствии с настоящим Соглашением Компания предоставляет Обработчику общее разрешение на привлечение Субобработчиков и раскрытие или передачу Персональных данных Компании. Компания признаёт и утверждает список Субобработчиков, изложенный в Политике конфиденциальности Обработчика, понимая, что этот список может регулярно обновляться Обработчиком, в этом случае Компания будет уведомлена Обработчиком в соответствии с процедурой уведомления Политики конфиденциальности. Кроме того, Компания уполномочивает Обработчика раскрывать и передавать Персональные данные любой компании в её корпоративной группе.

Обработчик обеспечивает, чтобы Субобработчики были подвержены соглашению с Обработчиком, не менее строгому и защитному, чем настоящее Соглашение, в отношении защиты Персональных данных Компании в той мере, в какой это применимо к характеру услуг, предоставленных Субобработчиком.

6. Права субъектов данных

Учитывая характер обработки, Обработчик должен разумно помочь Компании в выполнении её обязательств по реагированию на запросы о реализации прав субъектов данных в соответствии с Законами о защите данных.

Обработчик должен:

6.1) незамедлительно уведомить Компанию, если она получает запрос от Субъекта данных в соответствии с любым Законом о защите данных в отношении Персональных данных Компании; и

6.2) обеспечивать, чтобы она не отвечала на этот запрос, кроме как по документированным инструкциям Контроллера или как требуется применимыми законами, к которым подвержен Обработчик, в этом случае Обработчик, в той мере, в какой это предусмотрено применимыми законами, должен уведомить Контроллера о таком юридическом требовании до того, как Заключённый Обработчик ответит на запрос.

7. Утечка Персональных данных

Обработчик должен управлять любой Утечкой Персональных данных в соответствии с применимыми Законами о защите данных и внутренними процедурами Обработки Персональных данных. В случае Утечки Персональных данных, затрагивающей Персональные данные Компании, Обработчик должен незамедлительно уведомить Компанию, предоставив достаточную информацию, чтобы Компания могла выполнить свои обязательства по Законам о защите данных, включая информирование Субъектов данных по мере необходимости. В таких случаях Обработчик должен предоставить Компании достаточную информацию, чтобы Компания могла выполнить любые обязательства по уведомлению или информированию Субъектов данных о Утечке персональных данных в соответствии с Законами о защите данных.

Обработчик должен сотрудничать с Компанией и предпринимать разумные коммерческие шаги, указанные Компанией, чтобы помочь в расследовании, смягчении и восстановлении каждой такой Утечки Персональных данных.

Каждая сторона несёт расходы на расследование, восстановление, смягчение и другие связанные с ними расходы в той мере, в какой Утечка данных вызвана такой стороной.

Каждая сторона несёт расходы по любым штрафам, пеням, компенсациям или другим связанным суммам, наложенным уполномоченным регулирующим органом, государственным органом или судом компетентной юрисдикции, в той мере, в какой это связано с нарушением этой Стороной своих обязательств по настоящему Соглашению.

8. Оценка риска в области защиты данных и предварительные консультации

Обработчик окажет разумную помощь Компании в любых оценках воздействия на защиту данных и предварительных консультациях с Контрольными органами или другими компетентными органами по защите данных, которые Контроллер разумно считает необходимыми в соответствии со статьёй 35 или 36 GDPR или эквивалентными положениями любых других Законодательств о защите данных, в каждом случае исключительно в отношении Обработки Персональных данных Компании и с учетом характера Обработки и доступной информации для Заключенных Обработчиков.

9. Удаление или возврат Персональных данных Компании

В случае прекращения любых Услуг, связанных с Обработкой Персональных данных Компании, Обработчик должен удалить все Персональные данные Компании в той мере, в какой это разрешено применимыми законами и в соответствии с Условиями и Политикой конфиденциальности Обработчика. Если Компания требует копию своих данных, она должна запросить её до удаления своего аккаунта; запросы, сделанные после удаления аккаунта, больше не могут быть рассмотрены.

10. Права аудита

С учётом данного раздела 10, Обработчик должен по запросу предоставлять Компании всю необходимую информацию для демонстрации соблюдения настоящего Соглашения и должен обеспечивать и содействовать аудитам, включая проверки, со стороны Компании или аудитора, уполномоченного Компанией, в отношении Обработки Персональных данных Компании Заключенными Обработчиками. Компания не должна осуществлять свои права на аудит более одного раза в календарный год, за исключением случаев Утечки Персональных данных или указания регулирующего органа. Компания должна уведомить Обработчика как минимум за шестьдесят (60) дней до намерения провести аудит Обработчика в соответствии с настоящим Соглашением. Аудит должен проводиться в рабочие часы Обработчика, не должен нарушать работу Обработчика и должен обеспечивать защиту Персональных данных Компании, Обработчика и других Субъектов данных. Обработчик и Компания должны заранее согласовать дату, объёмы, продолжительность, а также меры безопасности и контроля конфиденциальности, применимые к аудиту. Компания признаёт, что Подписание соглашения о неразглашении может быть требуемо Контроллером до начала аудита.

Права Компании на получение информации и аудит возникают только в соответствии с разделом 10 в той мере, в какой Соглашение не предоставляет им такие права на получение информации и аудит, соответствующие требованиям Законов о защите данных.

11. Передача данных

На сколько это возможно, Обработчик должен осуществлять передачу или разрешать передачу данных только в страны внутри Швейцарии, ЕС и/или страны, подпадающие под решение о достаточности, как предусмотрено в ст. 45 GDPR и ст. 16 Швейцарского FADP. Если Персональные данные, обработанные в соответствии с настоящим Соглашением, передаются из Швейцарии или любой страны внутри ЕС или любой страны, подпадающей под решение о достаточности, в страну за пределами этого объёма, Стороны должны обеспечить, чтобы Персональные данные были adequately защищены. Для достижения этой цели Стороны должны, если не согласовано иное, полагаться на стандартизированные контрактные условия, утверждённые Швейцарией и/или ЕС и/или Великобританией, актуальные на момент передачи Персональных данных или другие механизмы передачи, предусмотренные Законами о защите данных. Обработчик будет уполномочен выполнять такие передачи Субобработчикам при условии, что будут внедрены адекватные меры предосторожности с учётом характера передачи.

12. Общие условия

Соблюдение применимых законов. Обработчик будет обрабатывать Персональные данные Компании в соответствии с настоящим Соглашением и законами о защите данных, применимыми к его роли по этому Соглашению. Обработчик не несёт ответственности за соблюдение Законов о защите данных, применимых исключительно к Компании в силу её бизнеса или отрасли.

Конфиденциальность. Каждая сторона должна хранить в тайне любую информацию, полученную о другой стороне и ее деятельности в связи с настоящим Соглашением («Конфиденциальная информация»), и не должна использовать или разглашать эту Конфиденциальную информацию без предварительного письменного согласия другой стороны, за исключением случаев, когда:

(a) раскрытие требуется по закону;

(b) соответствующая информация уже находится в публичном доступе по вине сторон.

Уведомления. Все уведомления и сообщения по настоящему Соглашению должны быть в письменной форме и направляться по электронной почте. Контроллер будет уведомлен по электронному письму, отправленному на адрес, связанный с его использованием Услуг в соответствии с Основным Соглашением. Обработчик будет уведомлен по электронному письму, отправленному на адрес: legal@proton.me.

Применимое право и юрисдикция. Настоящее Соглашение регулируется швейцарским законодательством, без учёта выбора или конфликтов норм права любой юрисдикции, и споры, действия, требования или причины действия, возникающие из или в связи с настоящим Соглашением, формой заказа, любым документом, включённым по ссылке, технологиями Proton или Услугами подлежат исключительной юрисдикции Женевы, Швейцария.


В случае расхождений между английской версией этих Условий и любой переведенной версией преимущественную силу имеет английская версия.