Proton

Personuppgiftsbiträdesavtal

Senast ändrad: 10 februari 2026

Detta personuppgiftsbiträdesavtal ("Avtalet") utgör en del av tjänsteavtalet enligt Proton AG:s användarvillkor ("Huvudavtalet") mellan Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, organisationsnummer CHE-354.686.492 (nedan kallad "Personuppgiftsbiträdet") och företaget som använder Protons tjänster (nedan kallat "Företaget", vilket ska förstås som varje företag eller organisation som använder Tjänsterna, oavsett juridisk form).

Detta avtal reglerar de specifika kraven enligt dataskyddslagstiftningen i den utsträckning som Företagets användning av Protons tjänster innebär behandling av personuppgifter som omfattas av dataskyddslagstiftningen.

Detta avtal kompletterar vår Integritetspolicy, som fungerar som den primära referensen för våra rutiner och åtgärder för dataskydd.

Avtalets löptid ska följa löptiden för Huvudavtalet. Termer som inte definieras häri ska ha den betydelse som anges i Huvudavtalet.


MED BEAKTANDE AV ATT

A) Företaget agerar som personuppgiftsansvarig ("Personuppgiftsansvarig").

B) Företaget önskar lägga ut vissa Tjänster (såsom definieras nedan), vilka innebär behandling av personuppgifter, på underleverantad till Proton AG, som agerar som personuppgiftsbiträde ("Personuppgiftsbiträdet").

C) Parterna eftersträvar att implementera ett personuppgiftsbiträdesavtal som uppfyller kraven i det aktuella rättsliga ramverket avseende databehandling samt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt andra tillämpliga dataskyddslagar.

D) Parterna önskar fastställa sina rättigheter och skyldigheter.


FÖLJANDE HAR AVTALATS:

1. Definitioner och tolkning

Om inte annat definieras häri ska termer och uttryck med inledande versal som används i denna DPA ha följande betydelse:

1.1) "Avtal" avser detta personuppgiftsbiträdesavtal och alla bilagor;

1.2) "Företagets personuppgifter" avser alla personuppgifter som rör Företaget eller Företagets kunder eller anställda och som behandlas i samband med Huvudavtalet;

1.3) "Anlitat personuppgiftsbiträde" avser ett Underbiträde;

1.4) "Dataskyddslagstiftning" avser EU:s dataskyddslagstiftning och, i tillämplig utsträckning, dataskydds- eller integritetslagar i andra länder;

1.5) "EES" avser Europeiska ekonomiska samarbetsområdet;

1.6) "EU:s dataskyddslagstiftning" avser EU-direktiv 95/46/EG, såsom det införlivats i varje medlemsstats nationella lagstiftning och såsom det från tid till annan ändrats, ersatts eller trängts undan, inklusive genom GDPR och lagar som genomför eller kompletterar GDPR;

1.7) "GDPR" avser EU:s allmänna dataskyddsförordning 2016/679;

1.8) "Dataöverföring" avser:

  • 1.8.1) en överföring av Bolagets personuppgifter från Personuppgiftsansvarig till Biträdet eller ett Anlitat biträde; eller
  • 1.8.2) en vidareöverföring av Bolagets personuppgifter från Biträdet till ett Underbiträde, eller mellan två inrättningar hos ett Underbiträde;

1.9) "Tjänster" avser säkra online-tjänster som tillhandahålls av Personuppgiftsbiträdet, såsom e-post, kalender, drive och andra tjänster som utvecklas av Personuppgiftsbiträdet. Detaljer och priser för Tjänsterna finns på Personuppgiftsbiträdets webbplats.

1.10) "Underbiträde" avser varje person som utsetts av eller för Personuppgiftsbiträdets räkning för att behandla personuppgifter på den Personuppgiftsansvariges vägnar i samband med Avtalet.

Termerna "Kommissionen", "Personuppgiftsansvarig", "Registrerad", "Medlemsstat", "Personuppgifter", "Personuppgiftsincident", "Behandling" och "Tillsynsmyndighet" ska ha samma betydelse som i GDPR eller annan tillämplig dataskyddslagstiftning, och närliggande termer ska tolkas i enlighet därmed.

2. Behandling av Bolagets personuppgifter

Biträdet ska:

2.1) följa all tillämplig dataskyddslagstiftning vid behandlingen av Företagets personuppgifter;

2.2) och inte behandla Företagets personuppgifter annat än enligt den Personuppgiftsansvariges dokumenterade instruktioner i avsnitt 2.

Personuppgiftsansvarig instruerar Biträdet att behandla Bolagets personuppgifter för att:

2.3) tillhandahålla Tjänsterna och tillhörande teknisk support;

2.4) uppfylla rättsliga skyldigheter eller lösa tvister;

2.5) utföra interna uppgifter som syftar till att optimera Tjänsternas säkerhet, integritet, konfidentialitet och funktioner;

2.6) utföra intern rapportering, finansiell rapportering och andra liknande interna uppgifter.

3. Biträdets personal

Personuppgiftsbiträdet ska vidta rimliga åtgärder för att säkerställa tillförlitligheten hos varje anställd, agent eller uppdragstagare hos ett anlitat personuppgiftsbiträde som kan ha åtkomst till Företagets personuppgifter, och i varje enskilt fall säkerställa att åtkomsten är strikt begränsad till de personer som behöver känna till / få åtkomst till de relevanta personuppgifterna för Företaget, i den mån det är strikt nödvändigt för Huvudavtalets syften och/eller för att följa dataskyddslagstiftningen och annan relevant lagstiftning inom ramen för den personens uppgifter för det anlitade personuppgiftsbiträdet, samt säkerställa att alla sådana personer omfattas av sekretessåtaganden eller yrkesmässiga eller lagstadgade sekretesskyldigheter.

4. Säkerhet

I enlighet med artikel 32.1 i GDPR ska Personuppgiftsbiträdet genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, kostnaderna för genomförandet samt behandlingens art, omfattning, sammanhang och syften. Dessa åtgärder ska vara utformade för att skydda fysiska personers rättigheter och friheter, med beaktande av risker med varierande sannolikhet och allvarlighetsgrad, inklusive risken för en personuppgiftsincident.

Personuppgiftsbiträdet ska också bedöma riskerna i samband med behandlingsaktiviteter och tillämpa åtgärder som är förenliga med kraven i artikel 32.1 i GDPR, så att säkerheten för Företagets personuppgifter alltid säkerställs.

5. Anlitande av underbiträden

Med förbehåll för detta avtal ger Företaget Personuppgiftsbiträdet ett allmänt tillstånd att anlita Underbiträden och lämna ut eller överföra Företagets personuppgifter till dem. Företaget bekräftar och godkänner listan över Underbiträden som anges i Personuppgiftsbiträdets Integritetspolicy, med förståelsen att denna lista regelbundet kan uppdateras av Personuppgiftsbiträdet, i vilket fall företaget ska informeras av Personuppgiftsbiträdet enligt aviseringsprocessen i Integritetspolicyn. Dessutom ger Företaget Personuppgiftsbiträdet tillstånd att lämna ut och överföra personuppgifter till alla företag inom dess företagsgrupp.

Personuppgiftsbiträdet säkerställer att Underbiträden omfattas av ett avtal med Personuppgiftsbiträdet som inte är mindre restriktivt och skyddande än detta avtal med avseende på skyddet av Företagets personuppgifter i den utsträckning som är tillämplig på arten av de tjänster som Underbiträdet tillhandahåller.

6. Registrerades rättigheter

Med beaktande av behandlingens art ska Personuppgiftsbiträdet i rimlig utsträckning bistå Företaget med att uppfylla Företagets skyldigheter att besvara begäranden om att utöva registrerades rättigheter enligt dataskyddslagstiftningen.

Biträdet ska:

6.1) utan dröjsmål underrätta Företaget om det mottar en begäran från en registrerad enligt dataskyddslagstiftningen avseende Företagets personuppgifter; och

6.2) säkerställa att det inte besvarar den begäran annat än enligt den Personuppgiftsansvariges dokumenterade instruktioner eller såsom krävs enligt tillämpliga lagar som Personuppgiftsbiträdet omfattas av, i vilket fall Personuppgiftsbiträdet, i den utsträckning det är tillåtet enligt tillämpliga lagar, ska informera den Personuppgiftsansvarige om detta rättsliga krav innan det anlitade personuppgiftsbiträdet besvarar begäran.

7. Personuppgiftsincident

Personuppgiftsbiträdet ska hantera varje personuppgiftsincident i enlighet med tillämplig dataskyddslagstiftning och sina interna rutiner för personuppgiftsincidenter. Om en personuppgiftsincident som påverkar företagets personuppgifter inträffar, ska Personuppgiftsbiträdet utan dröjsmål underrätta Företaget och tillhandahålla tillräcklig information för att aktivera Företagets möjlighet att uppfylla sina skyldigheter enligt dataskyddslagstiftningen, inklusive att vid behov informera registrerade. I sådana fall ska Personuppgiftsbiträdet ge Företaget tillräcklig information så att Företaget kan uppfylla eventuella skyldigheter att rapportera eller informera registrerade om personuppgiftsincidenten enligt dataskyddslagstiftningen.

Personuppgiftsbiträdet ska samarbeta med Företaget och vidta rimliga kommersiella åtgärder enligt Företagets anvisningar för att bistå i utredningen, begränsningen och avhjälpandet av varje sådan personuppgiftsincident.

Vardera parten ska bära kostnaderna för utredning, avhjälpande, begränsning och andra relaterade kostnader i den utsträckning som ett dataintrång orsakas av den parten.

Vardera parten ska bära kostnaderna för eventuella böter, sanktioner, skadestånd eller andra relaterade belopp som åläggs av ett behörigt tillsynsorgan, en statlig myndighet eller en domstol med behörig jurisdiktion i den utsträckning de uppkommer till följd av den partens åsidosättande av sina skyldigheter enligt detta avtal.

8. Konsekvensbedömning avseende dataskydd och förhandssamråd

Personuppgiftsbiträdet ska ge Företaget rimligt bistånd med eventuella konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter eller andra behöriga myndigheter för dataintegritet, som den Personuppgiftsansvarige rimligen anser krävs enligt artikel 35 eller 36 i GDPR eller motsvarande bestämmelser i annan dataskyddslagstiftning, i varje fall endast i relation till behandling av Företagets personuppgifter av de anlitade personuppgiftsbiträdena, och med beaktande av behandlingens art och den information som finns tillgänglig för de anlitade personuppgiftsbiträdena.

9. Radering eller återlämnande av Bolagets personuppgifter

Om någon Tjänst som innefattar behandling av Företagets personuppgifter upphör, ska Personuppgiftsbiträdet ta bort alla Företagets personuppgifter i den utsträckning som tillåts enligt tillämpliga lagar och i enlighet med Personuppgiftsbiträdets användarvillkor och Integritetspolicy. Om Företaget behöver en kopia av sina uppgifter måste det begära detta innan dess konto tas bort; begäranden som görs efter att kontot har tagits bort kan inte längre beaktas.

10. Revisionsrättigheter

Med förbehåll för detta avsnitt 10 ska Personuppgiftsbiträdet på begäran göra all information som är nödvändig för att visa efterlevnad av detta avtal tillgänglig för Företaget, och ska tillåta och bidra till revisioner, inklusive inspektioner, av Företaget eller en revisor utsedd av Företaget i relation till de anlitade personuppgiftsbiträdenas behandling av Företagets personuppgifter. Företaget får inte utöva sina revisionsrättigheter mer än en gång per kalenderår, förutom efter en personuppgiftsincident eller efter instruktion från en tillsynsmyndighet. Företaget ska ge Personuppgiftsbiträdet minst sextio (60) dagars skriftligt förhandsmeddelande om sin avsikt att revidera Personuppgiftsbiträdet enligt detta avtal. Revision ska genomföras under Personuppgiftsbiträdets ordinarie arbetstid, får inte störa Personuppgiftsbiträdets verksamhet och ska säkerställa skyddet av Företagets, Personuppgiftsbiträdets och andra registrerades personuppgifter. Personuppgiftsbiträdet och Företaget ska i förväg gemensamt komma överens om datum, omfattning, varaktighet samt de säkerhets- och sekretesskontroller som ska gälla för revisionen. Företaget bekräftar att undertecknande av ett sekretessavtal kan krävas av den Personuppgiftsansvarige före genomförandet av revisionen.

Företagets informations- och revisionsrättigheter uppstår endast enligt avsnitt 10 i den utsträckning som avtalet inte på annat sätt ger dem informations- och revisionsrättigheter som uppfyller de relevanta kraven i dataskyddslagstiftningen.

11. Dataöverföring

I den mån det är möjligt ska Personuppgiftsbiträdet endast överföra eller tillåta överföring av uppgifter till länder inom Schweiz, EU och/eller länder som omfattas av ett beslut om adekvat skyddsnivå, såsom föreskrivs i art. 45 GDPR och art. 16 i den schweiziska FADP. Om personuppgifter som behandlas enligt detta avtal överförs från Schweiz eller något land inom EU eller något land som omfattas av ett beslut om adekvat skyddsnivå till ett land utanför detta område, ska Parterna säkerställa att personuppgifterna är tillräckligt skyddade. För att uppnå detta ska Parterna, om inte annat avtalas, förlita sig på standardavtalsklausuler för överföring av personuppgifter som har godkänts av Schweiz och/eller EU och/eller Storbritannien och som gäller vid den aktuella tidpunkten, eller andra överföringsmekanismer såsom föreskrivs i dataskyddslagstiftningen. Personuppgiftsbiträdet ska ha rätt att genomföra sådana överföringar till Underbiträden, förutsatt att lämpliga skyddsåtgärder genomförs med hänsyn till överföringens art.

12. Allmänna villkor

Efterlevnad av tillämpliga lagar. Personuppgiftsbiträdet kommer att behandla Företagets personuppgifter i enlighet med detta avtal och den dataskyddslagstiftning som är tillämplig på dess roll enligt detta avtal. Personuppgiftsbiträdet är inte ansvarigt eller skyldigt att följa dataskyddslagstiftning som enbart är tillämplig på Företaget på grund av dess verksamhet eller bransch.

Sekretess. Vardera parten måste hålla all information som den får om den andra parten och dess verksamhet i anslutning till detta avtal ("Konfidentiell information") konfidentiell och får inte använda eller lämna ut sådan Konfidentiell information utan den andra partens skriftliga förhandsgodkännande, utom i den utsträckning som:

(a) utlämnande krävs enligt lag;

(b) den relevanta informationen redan finns i det offentliga området utan att det beror på Parterna.

Meddelanden. Alla meddelanden och all kommunikation enligt detta avtal måste vara skriftliga och kommer att skickas med e-post. Den Personuppgiftsansvarige ska underrättas via e-post som skickas till den adress som är kopplad till dess användning av Tjänsterna enligt Huvudavtalet. Personuppgiftsbiträdet ska underrättas via e-post som skickas till adressen: legal@proton.me.

Tillämplig lag och jurisdiktion. Detta avtal ska regleras av schweizisk lag, utan hänsyn till lagvals- eller lagkonfliktsbestämmelser i någon jurisdiktion som föreskriver motsatsen, och tvister, talan, anspråk eller grunder för talan som uppstår ur eller i anslutning till detta avtal, ett beställningsformulär, något dokument som införlivats genom hänvisning, Proton-teknik eller Tjänsterna ska vara föremål för exklusiv jurisdiktion i Genève, Schweiz.


I händelse av avvikelse mellan den engelska versionen av dessa Villkor och någon översatt version, ska den engelska versionen ha företräde.