ข้อตกลงการประมวลผลข้อมูล
แก้ไขล่าสุด: 10 กุมภาพันธ์ 2026
ข้อตกลงการประมวลผลข้อมูลนี้ ("ข้อตกลง") เป็นส่วนหนึ่งของสัญญาการบริการภายใต้ข้อกำหนดและเงื่อนไขของ Proton AG (“ข้อตกลงหลัก”) ระหว่าง Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland, หมายเลขทะเบียนบริษัท CHE-354.686.492 (ซึ่งต่อไปนี้จะเรียกว่า "ผู้ประมวลผลข้อมูล") และบริษัทที่ใช้บริการของ Proton (ซึ่งต่อไปนี้จะเรียกว่า "บริษัท" ซึ่งให้หมายถึงธุรกิจหรือองค์กรใดก็ตามที่ใช้บริการ โดยไม่คำนึงถึงรูปแบบทางกฎหมาย)
ข้อตกลงนี้ควบคุมข้อกำหนดเฉพาะของกฎหมายคุ้มครองข้อมูลในขอบเขตที่การใช้บริการของ Proton โดยบริษัทเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่อยู่ภายใต้บังคับของกฎหมายคุ้มครองข้อมูล
ข้อตกลงนี้เป็นส่วนเพิ่มเติมของนโยบายความเป็นส่วนตัว ซึ่งทำหน้าที่เป็นข้อมูลอ้างอิงหลักสำหรับแนวปฏิบัติและมาตรการคุ้มครองข้อมูล
ระยะเวลาของข้อตกลงนี้เป็นไปตามระยะเวลาของข้อตกลงหลัก ข้อกำหนดที่ไม่ได้ให้คำจำกัดความไว้ในที่นี้ให้มีความหมายตามที่กำหนดไว้ในข้อตกลงหลัก
โดยที่
ก) บริษัททำหน้าที่เป็นผู้ควบคุมข้อมูล (ซึ่งต่อไปนี้จะเรียกว่า "ผู้ควบคุมข้อมูล")
ข) บริษัทประสงค์ที่จะจ้างช่วงบริการบางอย่าง (ตามที่ให้คำจำกัดความไว้ด้านล่าง) ซึ่งเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้กับ Proton AG ซึ่งทำหน้าที่เป็นผู้ประมวลผลข้อมูล (ซึ่งต่อไปนี้จะเรียกว่า "ผู้ประมวลผลข้อมูล")
ค) คู่สัญญามุ่งหวังที่จะบังคับใช้ข้อตกลงการประมวลผลข้อมูลที่เป็นไปตามข้อกำหนดของกรอบกฎหมายปัจจุบันเกี่ยวกับการประมวลผลข้อมูล และเป็นไปตามกฎระเบียบ (สหภาพยุโรป) 2016/679 ของรัฐสภายุโรปและสภาแห่งสหภาพยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลและการเคลื่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคำสั่ง 95/46/EC (กฎระเบียบทั่วไปเกี่ยวกับการคุ้มครองข้อมูล) และกฎหมายคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้อง
ง) คู่สัญญาประสงค์ที่จะกำหนดสิทธิและข้อผูกพันต่างๆ
คู่สัญญาตกลงกันดังนี้:
1. คำจำกัดความและการตีความ
เว้นแต่จะกำหนดไว้เป็นอย่างอื่นในที่นี้ ข้อกำหนดและคำแสดงออกที่ขึ้นต้นด้วยอักษรตัวพิมพ์ใหญ่ใน DPA นี้ ให้มีความหมายดังต่อไปนี้:
1.1) "ข้อตกลง" หมายถึง ข้อตกลงการประมวลผลข้อมูลนี้และภาคผนวกทั้งหมด
1.2) "ข้อมูลส่วนบุคคลของบริษัท" หมายถึง ข้อมูลส่วนบุคคลใดๆ ที่เกี่ยวข้องกับบริษัท หรือลูกค้า หรือพนักงานของบริษัท ที่ได้รับการประมวลผลที่เกี่ยวข้องกับข้อตกลงหลัก
1.3) "ผู้ประมวลผลข้อมูลตามสัญญา" หมายถึง ผู้ประมวลผลข้อมูลช่วง
1.4) "กฎหมายคุ้มครองข้อมูล" หมายถึง กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป และกฎหมายคุ้มครองข้อมูลหรือความเป็นส่วนตัวของประเทศอื่นๆ ตามขอบเขตที่มีการบังคับใช้
1.5) "EEA" หมายถึง เขตเศรษฐกิจยุโรป
1.6) "กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป" หมายถึง คำสั่งสหภาพยุโรป 95/46/EC ตามที่ได้แปลงเป็นกฎหมายภายในประเทศของแต่ละรัฐสมาชิก และตามที่มีการแก้ไขเพิ่มเติม ทดแทน หรือยกเลิกเป็นระยะๆ รวมถึงโดย GDPR และกฎหมายที่มีการบังคับใช้หรือเพิ่มเติม GDPR
1.7) "GDPR" หมายถึง กฎระเบียบทั่วไปเกี่ยวกับการคุ้มครองข้อมูลของสหภาพยุโรป 2016/679
1.8) "การโอนย้ายข้อมูล" หมายถึง:
- 1.8.1) การโอนย้ายข้อมูลส่วนบุคคลของบริษัทจากผู้ควบคุมข้อมูลไปยังผู้ประมวลผลข้อมูลหรือผู้ประมวลผลข้อมูลตามสัญญา หรือ
- 1.8.2) การโอนย้ายข้อมูลส่วนบุคคลของบริษัทต่อไปจากผู้ประมวลผลข้อมูลไปยังผู้ประมวลผลข้อมูลช่วง หรือระหว่างสถานประกอบการสองแห่งของผู้ประมวลผลข้อมูลช่วง
1.9) "บริการ" หมายถึง บริการออนไลน์ที่มีความปลอดภัยซึ่งจัดหาโดยผู้ประมวลผลข้อมูล เช่น อีเมล ปฏิทิน ไดรฟ์ และบริการอื่นๆ ตามที่พัฒนาขึ้นโดยผู้ประมวลผลข้อมูล รายละเอียดและราคาของบริการต่างๆ สามารถดูได้ที่เว็บไซต์ของผู้ประมวลผลข้อมูล
1.10) "ผู้ประมวลผลข้อมูลช่วง" หมายถึง บุคคลใดก็ตามที่ได้รับการแต่งตั้งโดยหรือในนามของผู้ประมวลผลข้อมูล เพื่อประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลที่เกี่ยวข้องกับข้อตกลง
ข้อกำหนด "คณะกรรมาธิการ", "ผู้ควบคุมข้อมูล", "เจ้าของข้อมูล", "รัฐสมาชิก", "ข้อมูลส่วนบุคคล", "การละเมิดข้อมูลส่วนบุคคล", "การประมวลผล" และ "หน่วยงานกำกับดูแล" ให้มีความหมายเดียวกันกับที่กำหนดไว้ใน GDPR หรือกฎหมายคุ้มครองข้อมูลอื่นๆ ที่เกี่ยวข้อง และข้อกำหนดที่เกี่ยวเนื่องกันให้ตีความตามนั้น
2. การประมวลผลข้อมูลส่วนบุคคลของบริษัท
ผู้ประมวลผลข้อมูลจะต้อง:
2.1) ปฏิบัติตามกฎหมายคุ้มครองข้อมูลทั้งหมดที่เกี่ยวข้องในการประมวลผลข้อมูลส่วนบุคคลของบริษัท
2.2) และไม่ประมวลผลข้อมูลส่วนบุคคลของบริษัทนอกเหนือไปจากคำสั่งการที่เป็นเอกสารหลักฐานของผู้ควบคุมข้อมูลในส่วนที่ 2
ผู้ควบคุมข้อมูลสั่งการให้ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลของบริษัทเพื่อ:
2.3) ให้บริการและฝ่ายสนับสนุนทางเทคนิคที่เกี่ยวข้อง
2.4) ปฏิบัติตามข้อผูกพันทางกฎหมายหรือระงับข้อพิพาท
2.5) ดำเนินงานภายในใดๆ ที่มีวัตถุประสงค์เพื่อเพิ่มประสิทธิภาพด้านความปลอดภัย ความเป็นส่วนตัว การรักษาความลับ และคุณลักษณะการทำงานของบริการ
2.6) ดำเนินการรายงานภายใน รายงานทางการเงิน และงานภายในอื่นๆ ที่คล้ายคลึงกัน
3. บุคลากรของผู้ประมวลผลข้อมูล
ผู้ประมวลผลข้อมูลจะดำเนินการตามขั้นตอนที่เหมาะสมเพื่อรับรองความน่าเชื่อถือของพนักงาน ตัวแทน หรือผู้รับจ้างรายใดก็ตามของผู้ประมวลผลข้อมูลตามสัญญาที่อาจเข้าถึงข้อมูลส่วนบุคคลของบริษัท โดยต้องมั่นใจว่าการเข้าถึงในแต่ละกรณีจำกัดเฉพาะบุคคลที่มีความจำเป็นต้องทราบ/เข้าถึงข้อมูลส่วนบุคคลของบริษัทที่เกี่ยวข้องเท่าที่จำเป็นอย่างเคร่งครัดตามวัตถุประสงค์ของสัญญาหลัก และ/หรือเพื่อปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ๆ ที่เกี่ยวข้องในบริบทของหน้าที่ของบุคคลนั้น ๆ ที่มีต่อผู้ประมวลผลข้อมูลตามสัญญา ตลอดจนต้องมั่นใจว่าบุคคลดังกล่าวทั้งหมดมีข้อผูกพันในการรักษาความลับ หรือมีหน้าที่ตามวิชาชีพหรือตามกฎหมายในการรักษาความลับ
4. ความปลอดภัย
เพื่อให้เป็นไปตามมาตรา 32 (1) ของ GDPR ผู้ประมวลผลข้อมูลจะดำเนินมาตรการทางเทคนิคและมาตรการเชิงองค์กรที่เหมาะสมเพื่อรับรองระดับความปลอดภัยที่เหมาะสมกับความเสี่ยง โดยคำนึงถึงเทคโนโลยีล่าสุด ค่าใช้จ่ายในการดำเนินการ ตลอดจนลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูล มาตรการเหล่านี้จะได้รับการออกแบบมาเพื่อปกป้องสิทธิและเสรีภาพของบุคคลธรรมดา โดยพิจารณาจากความเสี่ยงที่มีโอกาสเกิดขึ้นและระดับความรุนแรงที่แตกต่างกัน รวมถึงความเสี่ยงของการละเมิดข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลจะประเมินความเสี่ยงที่เกี่ยวข้องกับกิจกรรมการประมวลผลด้วยเช่นกัน และจะนำมาตรการที่สอดคล้องกับข้อกำหนดที่ระบุไว้ในมาตรา 32 (1) ของ GDPR ไปใช้ เพื่อรับรองความปลอดภัยของข้อมูลส่วนบุคคลของบริษัทตลอดเวลา
5. การประมวลผลข้อมูลช่วง
ภายใต้ข้อตกลงนี้ บริษัทอนุญาตเป็นการทั่วไปให้ผู้ประมวลผลข้อมูลแต่งตั้งผู้ประมวลผลข้อมูลย่อย ตลอดจนเปิดเผยหรือโอนย้ายข้อมูลส่วนบุคคลของบริษัทให้แก่ผู้ประมวลผลข้อมูลย่อยดังกล่าว บริษัทยอมรับและอนุมัติรายชื่อผู้ประมวลผลข้อมูลย่อยที่ระบุไว้ในนโยบายความเป็นส่วนตัวของผู้ประมวลผลข้อมูล โดยเข้าใจว่ารายชื่อนี้อาจได้รับการอัปเดตจากผู้ประมวลผลข้อมูลเป็นประจำ ซึ่งในกรณีดังกล่าว ผู้ประมวลผลข้อมูลจะแจ้งให้บริษัททราบตามขั้นตอนการแจ้งเตือนของนโยบายความเป็นส่วนตัว นอกจากนี้ บริษัทยังอนุญาตให้ผู้ประมวลผลข้อมูลเปิดเผยและโอนย้ายข้อมูลส่วนบุคคลให้แก่บริษัทใด ๆ ภายในกลุ่มบริษัทด้วย
ผู้ประมวลผลข้อมูลจะรับรองว่าผู้ประมวลผลข้อมูลย่อยมีข้อผูกพันตามข้อตกลงกับผู้ประมวลผลข้อมูลที่มีข้อจำกัดและการคุ้มครองข้อมูลส่วนบุคคลของบริษัทไม่น้อยไปกว่าข้อตกลงฉบับนี้ เท่าที่เกี่ยวข้องกับลักษณะการบริการที่ผู้ประมวลผลข้อมูลย่อยจัดหาให้
6. สิทธิของเจ้าของข้อมูล
เมื่อคำนึงถึงลักษณะของการประมวลผลแล้ว ผู้ประมวลผลข้อมูลจะให้ความช่วยเหลือที่สมเหตุสมผลแก่บริษัท เพื่อให้บรรลุหน้าที่ของบริษัทในการตอบกลับคำขอการใช้สิทธิของเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลจะต้อง:
6.1) แจ้งให้บริษัททราบโดยทันทีหากได้รับคำขอจากเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลใด ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของบริษัท และ
6.2) รับรองว่าจะไม่ตอบกลับคำขอดังกล่าว เว้นแต่จะได้รับคำสั่งเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูล หรือตามที่กฎหมายที่ใช้บังคับกำหนดไว้ซึ่งผู้ประมวลผลข้อมูลต้องปฏิบัติตาม ซึ่งในกรณีนี้ ผู้ประมวลผลข้อมูลจะแจ้งให้ผู้ควบคุมข้อมูลทราบเกี่ยวกับข้อกำหนดทางกฎหมายดังกล่าวก่อนที่ผู้ประมวลผลข้อมูลตามสัญญาจะตอบกลับคำขอ เท่าที่กฎหมายที่ใช้บังคับอนุญาตให้ทำได้
7. การละเมิดข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลจะจัดการกรณีการละเมิดข้อมูลส่วนบุคคลใด ๆ ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับและขั้นตอนภายในสำหรับกรณีการละเมิดข้อมูลส่วนบุคคล ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคลที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของบริษัท ผู้ประมวลผลข้อมูลจะแจ้งให้บริษัททราบโดยไม่ชักช้า พร้อมทั้งให้ข้อมูลที่เพียงพอเพื่อช่วยให้บริษัทสามารถปฏิบัติตามภาระผูกพันภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงการแจ้งให้เจ้าของข้อมูลทราบตามความจำเป็น ในกรณีดังกล่าว ผู้ประมวลผลข้อมูลจะให้ข้อมูลที่เพียงพอแก่บริษัท เพื่อให้บริษัทสามารถปฏิบัติตามภาระผูกพันใด ๆ ในการรายงานหรือแจ้งให้เจ้าของข้อมูลทราบเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลจะให้ความร่วมมือกับบริษัทและดำเนินการขั้นตอนทางการค้าที่สมเหตุสมผลตามที่ได้รับคำสั่งจากบริษัท เพื่อช่วยเหลือในการตรวจสอบ การบรรเทาผลกระทบ และการแก้ไขการละเมิดข้อมูลส่วนบุคคลแต่ละครั้งดังกล่าว
คู่สัญญาแต่ละฝ่ายจะรับภาระค่าใช้จ่ายในการตรวจสอบ การแก้ไข การบรรเทาผลกระทบ และค่าใช้จ่ายอื่น ๆ ที่เกี่ยวข้อง เท่าที่ความเสียหายจากการละเมิดข้อมูลเกิดขึ้นจากฝ่ายดังกล่าว
คู่สัญญาแต่ละฝ่ายจะรับภาระค่าปรับ บทลงโทษ ค่าเสียหาย หรือค่าใช้จ่ายอื่น ๆ ที่เกี่ยวข้องซึ่งกำหนดโดยหน่วยงานกำกับดูแลที่มีอำนาจ หน่วยงานของรัฐ หรือศาลที่มีเขตอำนาจศาล เท่าที่เกิดจากการที่ฝ่ายดังกล่าวละเมิดภาระผูกพันภายใต้ข้อตกลงนี้
8. การประเมินผลกระทบด้านการคุ้มครองข้อมูลและการปรึกษาหารือล่วงหน้า
ผู้ประมวลผลข้อมูลจะให้ความช่วยเหลือที่สมเหตุสมผลแก่บริษัทเกี่ยวกับการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล และการปรึกษาหารือล่วงหน้ากับหน่วยงานกำกับดูแลหรือหน่วยงานที่มีอำนาจด้านความเป็นส่วนตัวของข้อมูลอื่น ๆ ซึ่งผู้ควบคุมข้อมูลพิจารณาอย่างสมเหตุสมผลว่ามีความจำเป็นตามมาตรา 35 หรือ 36 ของ GDPR หรือข้อกำหนดที่เทียบเท่าของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอื่น ๆ โดยในแต่ละกรณีจะเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทโดยผู้ประมวลผลข้อมูลตามสัญญาเท่านั้น และคำนึงถึงลักษณะของการประมวลผลข้อมูลและข้อมูลที่มีอยู่สำหรับผู้ประมวลผลข้อมูลตามสัญญาดังกล่าว
9. การลบหรือการส่งคืนข้อมูลส่วนบุคคลของบริษัท
ในกรณีที่มีการยุติการให้บริการใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของบริษัท ผู้ประมวลผลข้อมูลจะลบข้อมูลส่วนบุคคลของบริษัททั้งหมดเท่าที่กฎหมายที่ใช้บังคับอนุญาต และเป็นไปตามข้อกำหนดและเงื่อนไขและนโยบายความเป็นส่วนตัวของผู้ประมวลผลข้อมูล หากบริษัทต้องการสำเนาข้อมูล จะต้องร้องขอก่อนที่จะทำการลบบัญชี โดยคำร้องขอที่ยื่นหลังจากบัญชีถูกลบไปแล้วจะไม่ได้รับการพิจารณาอีกต่อไป
10. สิทธิในการตรวจสอบ
ภายใต้บทบัญญัติส่วนที่ 10 นี้ ผู้ประมวลผลข้อมูลจะจัดเตรียมข้อมูลทั้งหมดที่จำเป็นเพื่อแสดงถึงการปฏิบัติตามข้อตกลงนี้ให้แก่บริษัทตามที่ร้องขอ ตลอดจนอนุญาตและสนับสนุนให้มีการตรวจสอบข้อมูล รวมถึงการตรวจสอบโดยบริษัทหรือผู้สอบบัญชีที่ได้รับมอบหมายจากบริษัทเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของบริษัทโดยผู้ประมวลผลข้อมูลตามสัญญา บริษัทจะไม่ใช้สิทธิในการตรวจสอบข้อมูลเกินกว่าหนึ่งครั้งต่อปีปฏิทิน เว้นแต่ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลขึ้น หรือตามคำสั่งของหน่วยงานกำกับดูแล บริษัทจะแจ้งเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อยหกสิบ (60) วันถึงเจตนาในการเข้าตรวจสอบผู้ประมวลผลข้อมูลตามข้อตกลงนี้ การตรวจสอบข้อมูลจะดำเนินการในระหว่างเวลาทำการของผู้ประมวลผลข้อมูล โดยต้องไม่ขัดขวางการดำเนินงานของผู้ประมวลผลข้อมูล และต้องคุ้มครองข้อมูลส่วนบุคคลของบริษัท ของผู้ประมวลผลข้อมูล และของเจ้าของข้อมูลรายอื่น ๆ ผู้ประมวลผลข้อมูลและบริษัทจะตกลงร่วมกันล่วงหน้าเกี่ยวกับวันที่ ขอบเขต ระยะเวลา ตลอดจนการควบคุมความปลอดภัยและการรักษาความลับที่ใช้บังคับกับการตรวจสอบข้อมูล บริษัทยอมรับว่าผู้ควบคุมข้อมูลอาจกำหนดให้มีการลงนามในข้อตกลงการไม่เปิดเผยข้อมูลก่อนเริ่มดำเนินการตรวจสอบข้อมูล
สิทธิในข้อมูลและการตรวจสอบข้อมูลของบริษัทจะเกิดขึ้นภายใต้ส่วนที่ 10 นี้เฉพาะในกรณีที่ข้อตกลงนี้ไม่ได้ให้สิทธิในข้อมูลและการตรวจสอบข้อมูลที่สอดคล้องกับข้อกำหนดที่เกี่ยวข้องของกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วยวิธีอื่น
11. การโอนย้ายข้อมูล
เท่าที่จะเป็นไปได้ ผู้ประมวลผลข้อมูลจะโอนย้ายหรืออนุญาตให้โอนย้ายข้อมูลไปยังประเทศภายในประเทศสวิตเซอร์แลนด์ สหภาพยุโรป และ/หรือประเทศที่อยู่ภายใต้ข้อกำหนดเกี่ยวกับความเพียงพอของมาตรการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในมาตรา 45 ของ GDPR และมาตรา 16 ของ Swiss FADP หากข้อมูลส่วนบุคคลที่ได้รับการประมวลผลภายใต้ข้อตกลงนี้ถูกโอนย้ายจากสวิตเซอร์แลนด์ หรือประเทศใด ๆ ภายในสหภาพยุโรป หรือประเทศใด ๆ ที่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ไปยังประเทศที่อยู่นอกเหนือจากขอบเขตนี้ คู่สัญญาจะร่วมกันดำเนินการเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลดังกล่าวได้รับการคุ้มครองอย่างเพียงพอ เพื่อให้บรรลุเป้าหมายนี้ เว้นแต่จะตกลงเป็นอย่างอื่น คู่สัญญาจะอาศัยข้อสัญญามาตรฐานที่ได้รับการอนุมัติจากสวิตเซอร์แลนด์ และ/หรือ สหภาพยุโรป และ/หรือ สหราชอาณาจักร ในปัจจุบันสำหรับการโอนย้ายข้อมูลส่วนบุคคล หรือกลไกการโอนย้ายข้อมูลอื่น ๆ ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลได้รับอนุญาตให้ทำการโอนย้ายข้อมูลดังกล่าวไปยังผู้ประมวลผลข้อมูลย่อยได้ หากมีมาตรการป้องกันที่เพียงพอกับลักษณะของการโอนย้ายข้อมูลนั้น ๆ
12. ข้อกำหนดทั่วไป
การปฏิบัติตามกฎหมายที่ใช้บังคับ. ผู้ประมวลผลข้อมูลจะประเมินและประมวลผลข้อมูลส่วนบุคคลของบริษัทตามข้อตกลงนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับกับบทบาทภายใต้ข้อตกลงนี้ ผู้ประมวลผลข้อมูลไม่ต้องรับผิดชอบหรือรับผิดในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับเฉพาะกับบริษัทโดยพิจารณาจากประเภทธุรกิจหรืออุตสาหกรรมของบริษัท
การรักษาความลับ. คู่สัญญาแต่ละฝ่ายต้องรักษาความลับเกี่ยวกับข้อมูลที่ได้รับเกี่ยวกับคู่สัญญาอีกฝ่ายและธุรกิจของคู่สัญญานั้นที่เกี่ยวข้องกับข้อตกลงนี้ (“ข้อมูลลับ”) และต้องไม่ใช้หรือเปิดเผยข้อมูลลับดังกล่าวโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากคู่สัญญาอีกฝ่าย เว้นแต่ในกรณีที่:
(a) จำเป็นต้องเปิดเผยข้อมูลตามกฎหมาย
(b) ข้อมูลที่เกี่ยวข้องนั้นกลายเป็นข้อมูลสาธารณะแล้วโดยไม่ได้เกิดจากความผิดพลาดของคู่สัญญา
คำบอกกล่าว. คำบอกกล่าวและการสื่อสารทั้งหมดภายใต้ข้อตกลงนี้ต้องทำเป็นลายลักษณ์อักษรและจะส่งทางอีเมล ผู้ควบคุมข้อมูลจะได้รับแจ้งทางอีเมลที่ส่งไปยังที่อยู่ที่เกี่ยวข้องกับการใช้บริการภายใต้สัญญาหลัก ผู้ประมวลผลข้อมูลจะได้รับแจ้งทางอีเมลที่ส่งไปยังที่อยู่: legal@proton.me
กฎหมายที่ใช้บังคับและเขตอำนาจศาล. ข้อตกลงนี้จะอยู่ภายใต้บังคับของกฎหมายสวิตเซอร์แลนด์ โดยไม่คำนึงถึงหลักการเลือกกฎหมายหรือการขัดกันของกฎหมายของเขตอำนาจศาลใด ๆ และข้อพิพาท การดำเนินการ การฟ้องร้องสิทธิ หรือมูลฟ้องใด ๆ ที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อตกลงนี้ ใบสั่งซื้อ เอกสารใด ๆ ที่รวมอยู่โดยการอ้างอิง เทคโนโลยีของ Proton หรือบริการต่าง ๆ จะอยู่ภายใต้เขตอำนาจศาลแต่เพียงผู้เดียวของเมืองเจนีวา ประเทศสวิตเซอร์แลนด์
ในกรณีที่มีความคลาดเคลื่อนระหว่างข้อกำหนดเหล่านี้ฉบับภาษาอังกฤษและฉบับแปล ให้ยึดถือฉบับภาษาอังกฤษเป็นหลัก