Proton

Databehandlingsavtal

Senast ändrad: 23 september 2024

Detta databehandlingsavtal (”Avtalet”) utgör en del av tjänsteavtalet enligt Proton AG:s användarvillkor (”Huvudavtalet”) mellan Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, organisationsnummer CHE-354.686.492 (benämnt ”Personuppgiftsbiträdet”) och det Företag som använder Protons tjänster (benämnt ”Företaget”).”

Detta avtal reglerar de specifika kraven i dataskyddslagstiftningen i den utsträckning som Företagets användning av Protons tjänster innebär behandling av personuppgifter som omfattas av dataskyddslagstiftningen.

Detta avtal kompletterar vår Integritetspolicy, som fungerar som den primära referensen för våra dataskyddsmetoder och -åtgärder.

Löptiden för detta avtal ska följa löptiden för Huvudavtalet. Termer som inte definieras häri ska ha den betydelse som anges i Huvudavtalet.


MOTIVERING

A) Företaget agerar som personuppgiftsansvarig (”Personuppgiftsansvarig”).

B) Företaget önskar lägga ut vissa Tjänster (enligt definitionen nedan), vilka innebär behandling av personuppgifter, på Proton AG, som agerar som ett personuppgiftsbiträde (”Personuppgiftsbiträdet”).

C) Parterna strävar efter att implementera ett databehandlingsavtal som uppfyller kraven i det nuvarande rättsliga ramverket för databehandling och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmänna dataskyddsförordningen) och annan tillämplig dataskyddslagstiftning.

D) Parterna önskar fastställa sina rättigheter och skyldigheter.


FÖLJANDE HAR AVTALATS:

1. Definitioner och tolkning

Om inte annat definieras häri ska termer och uttryck med stor begynnelsebokstav som används i detta databehandlingsavtal ha följande betydelse:

1.1) ”Avtalet” avser detta databehandlingsavtal och alla bilagor;

1.2) ”Företagets personuppgifter” avser alla personuppgifter relaterade till Företaget eller Företagets kunder eller anställda som behandlas i samband med Huvudavtalet;

1.3) ”Anlitat personuppgiftsbiträde” avser ett underbiträde;

1.4) ”Dataskyddslagar” avser EU:s dataskyddslagar och, i tillämpliga fall, dataskydds- eller integritetslagar i något annat land;

1.5) ”EES” avser Europeiska ekonomiska samarbetsområdet;

1.6) ”EU:s dataskyddslagar” avser EU-direktiv 95/46/EG, såsom införlivat i varje medlemsstats nationella lagstiftning och som ändrat, ersatt eller upphävt från tid till annan, inklusive av GDPR och lagar som implementerar eller kompletterar GDPR;

1.7) ”GDPR” avser EU:s allmänna dataskyddsförordning 2016/679;

1.8) ”Dataöverföring avser:

  • 1.8.1) en överföring av Företagets personuppgifter från den Personuppgiftsansvarige till Personuppgiftsbiträdet eller ett Anlitat personuppgiftsbiträde; eller
  • 1.8.2) en vidare överföring av Företagets personuppgifter från Personuppgiftsbiträdet till ett Underbiträde, eller mellan två verksamhetsställen hos ett Underbiträde;

1.9) ”Tjänster” avser säkra onlinetjänster som tillhandahålls av Personuppgiftsbiträdet, såsom e-post, kalender, drive och andra tjänster som utvecklats av Personuppgiftsbiträdet. Detaljer och priser för Tjänsterna finns på Personuppgiftsbiträdets webbplats.

1.10) ”Underbiträde” avser varje person som utsetts av eller på uppdrag av Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning i samband med Avtalet.

Termerna ”Kommissionen”, ”Personuppgiftsansvarig”, ”Registrerad”, ”Medlemsstat”, ”Personuppgifter”, ”Personuppgiftsincident”, Behandling” och ”Tillsynsmyndighet” ska ha samma betydelse som i GDPR eller annan tillämplig dataskyddslagstiftning, och deras besläktade termer ska tolkas i enlighet därmed.

2. Behandling av Företagets personuppgifter

Personuppgiftsbiträdet ska:

2.1) följa alla tillämpliga dataskyddslagar vid Behandlingen av Företagets personuppgifter;

2.2) och inte behandla Företagets personuppgifter på annat sätt än enligt den Personuppgiftsansvariges dokumenterade instruktioner i avsnitt 2.

Personuppgiftsansvarig instruerar Personuppgiftsbiträdet att behandla Företagets personuppgifter för att:

2.3) tillhandahålla Tjänsterna och relaterad teknisk support;

2.4) uppfylla rättsliga skyldigheter eller lösa tvister;

2.5) utföra interna uppgifter som syftar till att optimera säkerheten, integriteten, konfidentialiteten och funktionerna i Tjänsterna;

2.6) utföra intern rapportering, finansiell rapportering och andra liknande interna uppgifter.

3. Personuppgiftsbiträdets personal

Personuppgiftsbiträdet ska vidta rimliga åtgärder för att säkerställa tillförlitligheten hos varje anställd, ombud eller entreprenör hos ett Anlitat personuppgiftsbiträde som kan få åtkomst till Företagets personuppgifter, och i varje enskilt fall säkerställa att åtkomsten är strikt begränsad till de personer som behöver känna till/ha åtkomst till de relevanta personuppgifterna från Företaget, i den mån det är absolut nödvändigt för Huvudavtalets syften och/eller för att följa dataskyddslagar och annan relevant lagstiftning inom ramen för den enskildes skyldigheter gentemot det Anlitade personuppgiftsbiträdet, och säkerställa att alla sådana personer är bundna av sekretessåtaganden eller yrkesmässiga eller lagstadgade tystnadsplikter.

4. Säkerhet

I enlighet med artikel 32 (1) i GDPR ska Personuppgiftsbiträdet genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken, med beaktande av den senaste tekniken, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och syften. Dessa åtgärder ska vara utformade för att skydda fysiska personers rättigheter och friheter, med beaktande av riskerna med varierande sannolikhet och allvarlighetsgrad, inklusive risken för en personuppgiftsincident.

Personuppgiftsbiträdet ska också bedöma riskerna i samband med behandlingsaktiviteter och tillämpa åtgärder som är förenliga med kraven i artikel 32 (1) i GDPR, för att säkerställa säkerheten för Företagets personuppgifter vid alla tidpunkter.

5. Anlitande av underbiträden

I enlighet med detta Avtal ger Företaget Personuppgiftsbiträdet ett allmänt godkännande att anlita Underbiträden och att lämna ut eller överföra Företagets personuppgifter till dem. Företaget bekräftar och godkänner listan över Underbiträden som beskrivs i Personuppgiftsbiträdets Integritetspolicy, med förståelse för att denna lista kan uppdateras av Personuppgiftsbiträdet regelbundet, i vilket fall Företaget ska informeras av Personuppgiftsbiträdet i enlighet med notifieringsprocessen i Integritetspolicyn. Vidare godkänner Företaget att Personuppgiftsbiträdet får lämna ut och överföra Personuppgifter till alla företag inom sin företagsgrupp.

Personuppgiftsbiträdet säkerställer att Underbiträden är bundna av ett avtal med Personuppgiftsbiträdet som inte är mindre restriktivt och skyddande än detta Avtal med avseende på skyddet av Företagets personuppgifter i den utsträckning som är tillämplig på arten av de tjänster som tillhandahålls av Underbiträdet.

6. Den registrerades rättigheter

Med hänsyn till behandlingens art ska Personuppgiftsbiträdet i skälig utsträckning hjälpa Företaget att fullgöra Företagets skyldigheter att svara på förfrågningar om att utöva den registrerades rättigheter enligt dataskyddslagarna.

Personuppgiftsbiträdet ska:

6.1) omedelbart meddela Företaget om det mottar en begäran från en registrerad enligt någon dataskyddslag avseende Företagets personuppgifter; och

6.2) säkerställa att det inte svarar på denna begäran förutom enligt dokumenterade instruktioner från den Personuppgiftsansvarige eller enligt vad som krävs enligt tillämpliga lagar som Personuppgiftsbiträdet omfattas av, i vilket fall Personuppgiftsbiträdet, i den utsträckning det är tillåtet enligt tillämpliga lagar, ska informera den Personuppgiftsansvarige om detta rättsliga krav innan det Anlitade personuppgiftsbiträdet svarar på begäran.

7. Personuppgiftsincident

Personuppgiftsbiträdet ska hantera varje Personuppgiftsincident i enlighet med tillämpliga dataskyddslagar och sina interna rutiner för Personuppgiftsincidenter. I händelse av en Personuppgiftsincident som påverkar företagets Personuppgifter, ska Personuppgiftsbiträdet utan dröjsmål meddela Företaget och tillhandahålla tillräcklig information för att Företaget ska kunna fullgöra sina skyldigheter enligt dataskyddslagarna, inklusive att vid behov informera de registrerade. I sådana fall ska Personuppgiftsbiträdet förse Företaget med tillräcklig information för att Företaget ska kunna uppfylla sina skyldigheter att rapportera eller informera de registrerade om personuppgiftsincidenten enligt dataskyddslagarna.

Personuppgiftsbiträdet ska samarbeta med Företaget och vidta de rimliga kommersiella åtgärder som Företaget anvisar för att bistå i utredning, begränsning och åtgärdande av varje sådan Personuppgiftsincident.

Varje part ska bära kostnaderna för utredning, sanering, begränsning och andra relaterade kostnader i den utsträckning en dataintrång orsakas av den parten.

Varje part ska bära kostnaderna för eventuella böter, sanktionsavgifter, skadestånd eller andra relaterade belopp som åläggs av ett behörigt tillsynsorgan, en statlig myndighet eller en domstol med behörig jurisdiktion i den utsträckning de uppstår till följd av den partens brott mot sina skyldigheter enligt detta avtal.

8. Konsekvensbedömning avseende dataskydd och förhandssamråd

Personuppgiftsbiträdet ska ge Företaget rimlig hjälp med eventuella konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter eller andra behöriga dataskyddsmyndigheter, som den Personuppgiftsansvarige skäligen anser vara nödvändiga enligt artikel 35 eller 36 i GDPR eller motsvarande bestämmelser i någon annan dataskyddslag, i varje enskilt fall endast i förhållande till Behandling av Företagets personuppgifter av, och med beaktande av behandlingens art och den information som är tillgänglig för, de Anlitade personuppgiftsbiträdena.

9. Radering eller återlämnande av Företagets personuppgifter

Vid upphörande av någon Tjänst som involverar Behandling av Företagets personuppgifter ska Personuppgiftsbiträdet radera alla Företagets personuppgifter i den utsträckning som tillämpliga lagar tillåter och i enlighet med Personuppgiftsbiträdets Användarvillkor och Integritetspolicy. Om Företaget behöver en kopia av sina uppgifter måste de begära det innan deras konto raderas. Begäranden som görs efter att kontot har raderats kan inte längre beaktas.

10. Revisionsrättigheter

Med förbehåll för detta avsnitt 10 ska Personuppgiftsbiträdet på begäran göra all information tillgänglig för Företaget som är nödvändig för att visa efterlevnad av detta Avtal, och ska tillåta och bidra till revisioner, inklusive inspektioner, av Företaget eller en revisor som Företaget anlitar i samband med Behandlingen av Företagets personuppgifter av de Anlitade personuppgiftsbiträdena. Företaget får inte utöva sina revisionsrättigheter mer än en gång per kalenderår, förutom efter en personuppgiftsincident eller på instruktion från en tillsynsmyndighet. Företaget ska ge Personuppgiftsbiträdet minst sextio (60) dagars skriftligt varsel om sin avsikt att granska Personuppgiftsbiträdet i enlighet med detta Avtal. Revisionen ska genomföras under Personuppgiftsbiträdets kontorstid, får inte störa Personuppgiftsbiträdets verksamhet och ska säkerställa skyddet av Företagets, Personuppgiftsbiträdets och andra registrerades Personuppgifter. Personuppgiftsbiträdet och Företaget ska i förväg komma överens om datum, omfattning, varaktighet och de säkerhets- och sekretesskontroller som är tillämpliga för revisionen. Företaget bekräftar att den Personuppgiftsansvarige kan kräva att ett sekretessavtal undertecknas innan revisionen genomförs.

Företagets informations- och revisionsrättigheter uppstår endast enligt avsnitt 10 i den utsträckning Avtalet inte på annat sätt ger dem informations- och revisionsrättigheter som uppfyller de relevanta kraven i dataskyddslagstiftningen.

11. Dataöverföring

I möjligaste mån ska Personuppgiftsbiträdet endast överföra eller godkänna överföring av data till länder inom Schweiz, EU och/eller länder som omfattas av ett beslut om adekvat skyddsnivå, enligt art. 45 i GDPR och art. 16 i schweiziska FADP. Om Personuppgifter som behandlas enligt detta Avtal överförs från Schweiz eller något land inom EU eller något land som omfattas av ett beslut om adekvat skyddsnivå till ett land utanför detta tillämpningsområde, ska Parterna säkerställa att Personuppgifterna är tillräckligt skyddade. För att uppnå detta ska parterna, om inte annat avtalats, förlita sig på Schweiz-, EU- och/eller brittiskt godkända och vid den tidpunkten gällande standardavtalsklausuler för överföring av personuppgifter eller andra överföringsmekanismer som föreskrivs i dataskyddslagstiftningen. Personuppgiftsbiträdet ska ha rätt att utföra sådana överföringar till Underbiträden under förutsättning att lämpliga skyddsåtgärder genomförs med hänsyn till överföringens art.

12. Allmänna villkor

Efterlevnad av tillämpliga lagar. Personuppgiftsbiträdet kommer att behandla Företagets personuppgifter i enlighet med detta Avtal och de dataskyddslagar som är tillämpliga på dess roll enligt detta Avtal. Personuppgiftsbiträdet är inte ansvarigt eller skadeståndsskyldigt för att följa dataskyddslagar som är tillämpliga enbart på Företaget på grund av dess verksamhet eller bransch.

Sekretess. Varje part måste hålla all information den tar emot om den andra parten och dess verksamhet i samband med detta avtal (”Konfidentiell information”) hemlig och får inte använda eller avslöja den Konfidentiella informationen utan föregående skriftligt medgivande från den andra parten, förutom i den utsträckning som:

(a) utlämnande krävs enligt lag;

(b) den relevanta informationen redan är allmänt känd utan Parternas förvållan.

Meddelanden. Alla meddelanden och kommunikationer som ges enligt detta Avtal måste vara skriftliga och skickas via e-post. Den Personuppgiftsansvarige ska meddelas via e-post som skickas till den adress som är kopplad till dess användning av Tjänsterna enligt Huvudavtalet. Personuppgiftsbiträdet ska meddelas via e-post som skickas till adressen: legal@proton.me.

Tillämplig lag och jurisdiktion. Detta Avtal ska regleras av schweizisk lag, utan hänsyn till lagvalsregler eller lagkonflikter i någon jurisdiktion, och tvister, åtgärder, anspråk eller rättsliga grunder som uppstår ur eller i samband med detta Avtal, ett beställningsformulär, något dokument som införlivats genom hänvisning, Protons teknik, eller Tjänsterna ska vara föremål för den exklusiva jurisdiktionen i Genève, Schweiz.


I händelse av avvikelse mellan den engelska versionen av dessa Villkor och någon översatt version, ska den engelska versionen ha företräde.