Proton

Databehandlingsavtal

Senast ändrad: 10 februari 2026

Detta personuppgiftsbiträdesavtal ("Avtalet") utgör en del av avtalet om tjänster enligt Proton AG:s användarvillkor ("Huvudavtalet") mellan Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, organisationsnummer CHE-354.686.492 (kallat "Biträdet") och Bolaget som använder Protons tjänster (kallat "Bolaget", vilket ska förstås som varje verksamhet eller organisation som använder Tjänsterna, oavsett juridisk form).

Detta Avtal reglerar de specifika kraven i dataskyddslagstiftning i den utsträckning Bolagets användning av Proton Tjänster innebär behandling av personuppgifter som omfattas av dataskyddslagstiftning.

Detta Avtal kompletterar vår Integritetspolicy, som tjänar som den primära referensen för våra rutiner och åtgärder för dataskydd.

Löptiden för detta Avtal ska följa löptiden för Huvudavtalet. Villkor som inte definieras häri ska ha den betydelse som anges i Huvudavtalet.


BAKGRUND

A) Bolaget agerar som personuppgiftsansvarig ("Personuppgiftsansvarig").

B) Bolaget önskar lägga ut vissa Tjänster (enligt definitionen nedan), vilka innebär behandling av personuppgifter, på entreprenad till Proton AG, som agerar som personuppgiftsbiträde ("Biträdet").

C) Parterna strävar efter att implementera ett personuppgiftsbiträdesavtal som uppfyller kraven i det nuvarande regelverket avseende databehandling och förordning (EU) 2016/679 från Europaparlamentet och rådet av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmänna dataskyddsförordningen) och andra tillämpliga dataskyddslagar.

D) Parterna önskar fastställa sina rättigheter och skyldigheter.


HAR FÖLJANDE ÖVERENSKOMMITS:

1. Definitioner och tolkning

Om inte annat definieras häri, ska termer och uttryck med stor bokstav som används i detta PUB-avtal ha följande betydelse:

1.1) "Avtal" avser detta personuppgiftsbiträdesavtal och alla bilagor;

1.2) "Bolagets personuppgifter" avser alla personuppgifter relaterade till Bolaget eller Bolagets kunder eller anställda som behandlas i samband med Huvudavtalet;

1.3) "Anlitat biträde" avser ett underbiträde;

1.4) "Dataskyddslagstiftning" avser EU:s dataskyddslagstiftning och, i tillämplig utsträckning, dataskydds- eller integritetslagar i något annat land;

1.5) "EES" avser Europeiska ekonomiska samarbetsområdet;

1.6) "EU:s dataskyddslagstiftning" avser EU-direktiv 95/46/EG, såsom det införlivats i nationell lagstiftning i varje medlemsstat och såsom det ändrats, ersatts eller efterträtts från tid till annan, inklusive genom GDPR och lagar som implementerar eller kompletterar GDPR;

1.7) "GDPR" avser EU:s allmänna dataskyddsförordning 2016/679;

1.8) "Dataöverföring" avser:

  • 1.8.1) en överföring av Bolagets personuppgifter från Personuppgiftsansvarig till Biträdet eller ett Anlitat biträde; eller
  • 1.8.2) en vidareöverföring av Bolagets personuppgifter från Biträdet till ett Underbiträde, eller mellan två inrättningar hos ett Underbiträde;

1.9) "Tjänster" avser säkra onlinetjänster som tillhandahålls av Biträdet, såsom e-post, kalender, drive och andra tjänster som utvecklats av Biträdet. Detaljer och prissättning för Tjänsterna finns på Biträdets webbplats.

1.10) "Underbiträde" avser varje person som utsetts av eller på uppdrag av Biträdet för att behandla personuppgifter för Personuppgiftsansvariges räkning i samband med Avtalet.

Termerna "Kommissionen", "Personuppgiftsansvarig", "Registrerad", "Medlemsstat", "Personuppgifter", "Personuppgiftsincident", "Behandling" och "Tillsynsmyndighet" ska ha samma betydelse som i GDPR eller annan tillämplig dataskyddslagstiftning, och deras besläktade termer ska tolkas i enlighet därmed.

2. Behandling av Bolagets personuppgifter

Biträdet ska:

2.1) följa all tillämplig dataskyddslagstiftning vid behandling av Bolagets personuppgifter;

2.2) och inte behandla Bolagets personuppgifter på annat sätt än enligt Personuppgiftsansvariges dokumenterade instruktioner i avsnitt 2.

Personuppgiftsansvarig instruerar Biträdet att behandla Bolagets personuppgifter för att:

2.3) tillhandahålla Tjänsterna och relaterad teknisk support;

2.4) uppfylla rättsliga förpliktelser eller lösa tvister;

2.5) utföra interna uppgifter som syftar till att optimera säkerhet, integritet, sekretess och funktionalitet i Tjänsterna;

2.6) utföra intern rapportering, finansiell rapportering och andra liknande interna uppgifter.

3. Biträdets personal

Biträdet ska vidta rimliga åtgärder för att säkerställa tillförlitligheten hos varje anställd, agent eller uppdragstagare hos något Anlitat biträde som kan ha åtkomst till Bolagets personuppgifter, och säkerställa i varje fall att åtkomst är strikt begränsad till de individer som behöver veta/ha åtkomst till relevanta Bolagets personuppgifter, såsom strikt nödvändigt för syftena i Huvudavtalet, och/eller för att följa dataskyddslagstiftning och annan relevant lagstiftning inom ramen för den individens skyldigheter gentemot det Anlitade biträdet, och säkerställa att alla sådana individer omfattas av sekretessförbindelser eller professionella eller lagstadgade tystnadsplikter.

4. Säkerhet

I enlighet med artikel 32.1 i GDPR ska Biträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål. Dessa åtgärder ska utformas för att skydda fysiska personers rättigheter och friheter, med beaktande av riskerna med varierande sannolikhet och allvarlighetsgrad, inklusive risken för en personuppgiftsincident.

Biträdet ska även bedöma riskerna i samband med behandlingsaktiviteter och tillämpa åtgärder som är förenliga med kraven i artikel 32.1 i GDPR, för att säkerställa säkerheten för Bolagets personuppgifter vid alla tidpunkter.

5. Anlitande av underbiträden

Med förbehåll för detta Avtal ger Bolaget allmänt tillstånd till Biträdet att anlita Underbiträden och lämna ut eller överföra Bolagets personuppgifter till dem. Bolaget bekräftar och godkänner listan över Underbiträden som beskrivs i Biträdets Integritetspolicy, och förstår att denna lista kan uppdateras av Biträdet regelbundet, i vilket fall Bolaget ska informeras av Biträdet enligt processen för avisering i Integritetspolicyn. Vidare ger Bolaget Biträdet tillstånd att lämna ut och överföra personuppgifter till alla bolag inom dess koncern.

Biträdet säkerställer att Underbiträden omfattas av ett avtal med Biträdet som inte är mindre restriktivt och skyddande än det nuvarande Avtalet avseende skyddet av Bolagets personuppgifter i den utsträckning det är tillämpligt på arten av de tjänster som tillhandahålls av Underbiträdet.

6. Registrerades rättigheter

Med beaktande av behandlingens art ska Biträdet i rimlig utsträckning bistå Bolaget med att fullgöra Bolagets skyldigheter att svara på begäran om att utöva den Registrerades rättigheter enligt dataskyddslagstiftningen.

Biträdet ska:

6.1) skyndsamt meddela Bolaget om det tar emot en begäran från en Registrerad enligt någon dataskyddslagstiftning avseende Bolagets personuppgifter; och

6.2) säkerställa att det inte svarar på denna begäran utom på dokumenterade instruktioner från Personuppgiftsansvarig eller om det krävs enligt tillämpliga lagar som Biträdet lyder under, i vilket fall Biträdet ska i den utsträckning det är tillåtet enligt tillämpliga lagar informera Personuppgiftsansvarig om detta lagkrav innan det Anlitade biträdet svarar på begäran.

7. Personuppgiftsincident

Biträdet ska hantera eventuella personuppgiftsincidenter i enlighet med tillämplig dataskyddslagstiftning och dess interna rutiner för personuppgiftsincidenter. I händelse av en personuppgiftsincident som påverkar Bolagets personuppgifter ska Biträdet meddela Bolaget utan dröjsmål och tillhandahålla tillräcklig information för att göra det möjligt för Bolaget att fullgöra sina skyldigheter enligt dataskyddslagstiftningen, inklusive att informera Registrerade vid behov. I sådana fall ska Biträdet förse Bolaget med tillräcklig information för att göra det möjligt för Bolaget att uppfylla eventuella skyldigheter att rapportera eller informera Registrerade om personuppgiftsincidenten enligt dataskyddslagstiftningen.

Biträdet ska samarbeta med Bolaget och vidta rimliga kommersiella åtgärder enligt Bolagets anvisningar för att bistå vid utredning, begränsning och avhjälpande av varje sådan personuppgiftsincident.

Varje part ska stå för kostnaderna för utredning, avhjälpande, begränsning och andra relaterade kostnader i den utsträckning en dataincident orsakats av en sådan part.

Varje part ska stå för kostnaderna för eventuella böter, straffavgifter, skadestånd eller andra relaterade belopp som påförs av ett behörigt tillsynsorgan, statlig myndighet eller domstol med behörig jurisdiktion i den utsträckning det uppstår till följd av en sådan parts brott mot sina skyldigheter enligt detta Avtal.

8. Konsekvensbedömning avseende dataskydd och förhandssamråd

Biträdet ska tillhandahålla rimligt bistånd till Bolaget vid konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheter eller andra behöriga dataskyddsmyndigheter, som Personuppgiftsansvarig rimligen anser krävas enligt artikel 35 eller 36 i GDPR eller motsvarande bestämmelser i annan dataskyddslagstiftning, i varje fall enbart i relation till behandling av Bolagets personuppgifter av, och med beaktande av behandlingens art och information som är tillgänglig för, de Anlitade biträdena.

9. Radering eller återlämnande av Bolagets personuppgifter

Vid upphörande av någon Tjänst som innefattar behandling av Bolagets personuppgifter ska Biträdet ta bort alla Bolagets personuppgifter i den utsträckning det är tillåtet enligt tillämpliga lagar och i enlighet med Biträdets användarvillkor och Integritetspolicy. Om Bolaget behöver en kopia av sina data måste de begära den innan radering av deras konto; begäranden som görs efter att kontot har tagits bort kan inte längre beaktas.

10. Revisionsrättigheter

Med förbehåll för detta avsnitt 10 ska Biträdet på begäran tillgängliggöra för Bolaget all information som är nödvändig för att visa efterlevnad av detta Avtal, och ska möjliggöra och bidra till revisioner, inklusive inspektioner, av Bolaget eller en revisor som utsetts av Bolaget i relation till behandlingen av Bolagets personuppgifter av de Anlitade biträdena. Bolaget ska inte utöva sina revisionsrättigheter mer än en gång per kalenderår utom efter en personuppgiftsincident eller en instruktion från en tillsynsmyndighet. Bolaget ska ge Biträdet minst sextio (60) dagars skriftligt varsel i förväg om sin avsikt att granska Biträdet enligt detta Avtal. Revision ska genomföras under Biträdets kontorstid, ska inte störa Biträdets verksamhet och ska säkerställa skyddet av Bolagets, Biträdets och andra Registrerades personuppgifter. Biträdet och Bolaget ska ömsesidigt komma överens i förväg om datum, omfattning, varaktighet samt säkerhets- och sekretesskontroller som är tillämpliga på revisionen. Bolaget bekräftar att undertecknande av ett sekretessavtal kan krävas av Personuppgiftsansvarig innan revisionen genomförs.

Information och revisionsrättigheter för Bolaget uppstår endast under avsnitt 10 i den utsträckning Avtalet inte på annat sätt ger dem information och revisionsrättigheter som uppfyller relevanta krav i dataskyddslagstiftning.

11. Dataöverföring

I den mån det är möjligt ska Biträdet endast överföra eller tillåta överföring av data till länder inom Schweiz, EU och/eller länder som omfattas av ett beslut om adekvat skyddsnivå, enligt vad som föreskrivs i art. 45 i GDPR och art. 16 i schweiziska FADP. Om personuppgifter som behandlas enligt detta Avtal överförs från Schweiz eller något land inom EU eller något land som omfattas av ett beslut om adekvat skyddsnivå till ett land utanför detta område, ska Parterna säkerställa att personuppgifterna är tillräckligt skyddade. För att uppnå detta ska Parterna, om inte annat överenskommits, förlita sig på av Schweiz och/eller EU och/eller Storbritannien godkända och vid var tid gällande standardavtalsklausuler för överföring av personuppgifter eller andra överföringsmekanismer enligt dataskyddslagstiftning. Biträdet ska vara bemyndigat att utföra sådana överföringar till Underbiträden förutsatt att adekvata skyddsåtgärder implementeras med hänsyn till överföringens art.

12. Allmänna villkor

Efterlevnad av tillämpliga lagar. Biträdet kommer att behandla Bolagets personuppgifter i enlighet med detta Avtal och dataskyddslagstiftning som är tillämplig på dess roll enligt detta Avtal. Biträdet är varken ansvarigt eller skadeståndsskyldigt för efterlevnad av dataskyddslagstiftning som är tillämplig enbart på Bolaget till följd av dess verksamhet eller bransch.

Sekretess. Varje part måste hålla all information den tar emot om den andra parten och dess verksamhet i samband med detta Avtal ("Konfidentiell information") konfidentiell och får inte använda eller lämna ut denna Konfidentiella information utan den andra partens föregående skriftliga samtycke, utom i den utsträckning som:

(a) utlämnande krävs enligt lag;

(b) den relevanta informationen redan är allmänt känd utan att Parterna bär skuld till detta.

Meddelanden. Alla meddelanden och all kommunikation som ges enligt detta Avtal måste vara skriftliga och skickas via e-post. Personuppgiftsansvarig ska meddelas via e-post som skickas till adressen relaterad till dess användning av Tjänsterna enligt Huvudavtalet. Biträdet ska meddelas via e-post som skickas till adressen: legal@proton.me.

Tillämplig lag och jurisdiktion. Detta Avtal ska regleras av schweizisk lag, utan hänsyn till lagvalsregler eller kollisionsrättsliga bestämmelser i någon jurisdiktion som strider häremot, och tvister, talan, anspråk eller rättegångsgrunder som uppstår ur eller i anslutning till detta Avtal, ett orderformulär, något dokument som införlivats genom hänvisning, Proton-teknik eller Tjänsterna ska vara föremål för exklusiv jurisdiktion i Genève, Schweiz.


I händelse av avvikelse mellan den engelska versionen av dessa Villkor och någon översatt version, ska den engelska versionen ha företräde.