Thỏa thuận Xử lý Dữ liệu
Sửa đổi lần cuối: Ngày 10 tháng 2 năm 2026
Thỏa thuận Xử lý Dữ liệu này ("Thỏa thuận") là một phần của Hợp đồng Dịch vụ theo Điều khoản và Điều kiện của Proton AG (“Thỏa thuận Chính”) giữa Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Thụy Sĩ, mã số đăng ký doanh nghiệp CHE-354.686.492 (được gọi là "Bên xử lý") và Công ty sử dụng dịch vụ của Proton (được gọi là "Công ty”, được hiểu là bất kỳ doanh nghiệp hoặc tổ chức nào sử dụng Dịch vụ, bất kể hình thức pháp lý).
Thỏa thuận này điều chỉnh các yêu cầu cụ thể của Luật Bảo vệ Dữ liệu trong phạm vi việc sử dụng Dịch vụ Proton của Công ty liên quan đến việc xử lý Dữ liệu Cá nhân chịu sự chi phối của Luật Bảo vệ Dữ liệu.
Thỏa thuận này bổ sung cho Chính sách Quyền riêng tư, đóng vai trò là tài liệu tham khảo chính cho các biện pháp và thực hành bảo vệ dữ liệu.
Thời hạn của Thỏa thuận này sẽ tuân theo thời hạn của Thỏa thuận Chính. Các điều khoản không được định nghĩa trong tài liệu này sẽ có ý nghĩa như được quy định trong Thỏa thuận Chính.
XÉT RẰNG
A) Công ty đóng vai trò là Bên kiểm soát dữ liệu ("Bên kiểm soát").
B) Công ty mong muốn thầu phụ một số Dịch vụ nhất định (như được định nghĩa dưới đây) có liên quan đến việc xử lý Dữ liệu Cá nhân cho Proton AG, đóng vai trò là Bên xử lý dữ liệu ("Bên xử lý").
C) Các Bên mong muốn thực hiện một thỏa thuận xử lý dữ liệu tuân thủ các yêu cầu của khung pháp lý hiện hành liên quan đến xử lý dữ liệu và Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng ngày 27 tháng 4 năm 2016 về việc bảo vệ cá nhân đối với việc xử lý Dữ liệu Cá nhân và về việc tự do lưu thông dữ liệu đó, đồng thời bãi bỏ Chỉ thị 95/46/EC (Quy định chung về Bảo vệ Dữ liệu) và các luật bảo vệ dữ liệu hiện hành khác.
D) Các Bên mong muốn quy định các quyền và nghĩa vụ liên quan.
ĐƯỢC THỎA THUẬN NHƯ SAU:
1. Định nghĩa và Giải thích
Trừ khi được định nghĩa khác trong văn bản này, các điều khoản và cụm từ viết hoa được sử dụng trong DPA này sẽ có ý nghĩa như sau:
1.1) "Thỏa thuận" nghĩa là Thỏa thuận Xử lý Dữ liệu này và tất cả các Phụ lục;
1.2) "Dữ liệu Cá nhân của Công ty" nghĩa là bất kỳ Dữ liệu Cá nhân nào liên quan đến Công ty hoặc khách hàng hay nhân viên của Công ty được Xử lý liên quan đến Thỏa thuận Chính;
1.3) "Bên xử lý theo hợp đồng" nghĩa là Bên xử lý phụ;
1.4) "Luật Bảo vệ Dữ liệu" nghĩa là Luật Bảo vệ Dữ liệu của EU và, trong phạm vi áp dụng, luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia nào khác;
1.5) "EEA" nghĩa là Khu vực Kinh tế Châu Âu;
1.6) "Luật Bảo vệ Dữ liệu của EU" nghĩa là Chỉ thị 95/46/EC của EU, được chuyển đổi thành luật nội địa của mỗi Quốc gia Thành viên và được sửa đổi, thay thế hoặc thế chỗ theo từng thời kỳ, bao gồm cả GDPR và các luật thực thi hoặc bổ sung cho GDPR;
1.7) "GDPR" nghĩa là Quy định chung về Bảo vệ Dữ liệu của EU 2016/679;
1.8) "Chuyển giao Dữ liệu" nghĩa là:
- 1.8.1) chuyển giao Dữ liệu Cá nhân của Công ty từ Bên kiểm soát sang Bên xử lý hoặc Bên xử lý theo hợp đồng; hoặc
- 1.8.2) chuyển giao tiếp theo Dữ liệu Cá nhân của Công ty từ Bên xử lý sang Bên xử lý phụ, hoặc giữa hai cơ sở của Bên xử lý phụ;
1.9) "Dịch vụ" nghĩa là các dịch vụ trực tuyến an toàn do Bên xử lý cung cấp, chẳng hạn như email, lịch, ổ đĩa và các dịch vụ khác do Bên xử lý phát triển. Thông tin chi tiết và giá của Dịch vụ có thể được tìm thấy trên trang web của Bên xử lý.
1.10) "Bên xử lý phụ" nghĩa là bất kỳ cá nhân hoặc tổ chức nào được chỉ định bởi hoặc thay mặt cho Bên xử lý để xử lý Dữ liệu Cá nhân thay mặt cho Bên kiểm soát liên quan đến Thỏa thuận.
Các thuật ngữ, "Ủy ban", "Bên kiểm soát", "Chủ thể Dữ liệu", "Quốc gia Thành viên", "Dữ liệu Cá nhân", "Vi phạm Dữ liệu Cá nhân", "Xử lý" và "Cơ quan Giám sát" sẽ có cùng ý nghĩa như trong GDPR hoặc Luật Bảo vệ Dữ liệu hiện hành khác, và các thuật ngữ có cùng nguồn gốc sẽ được hiểu tương ứng.
2. Xử lý Dữ liệu Cá nhân của Công ty
Bên xử lý phải:
2.1) tuân thủ tất cả các Luật Bảo vệ Dữ liệu hiện hành trong việc Xử lý Dữ liệu Cá nhân của Công ty;
2.2) và không xử lý Dữ liệu Cá nhân của Công ty ngoài các chỉ thị bằng văn bản của Bên kiểm soát trong phần 2.
Bên kiểm soát chỉ thị Bên xử lý xử lý Dữ liệu Cá nhân của Công ty để:
2.3) cung cấp Dịch vụ và hỗ trợ kỹ thuật liên quan;
2.4) hoàn thành các nghĩa vụ pháp lý hoặc giải quyết tranh chấp;
2.5) thực hiện bất kỳ nhiệm vụ nội bộ nào nhằm tối ưu hóa tính bảo mật, quyền riêng tư, tính bảo mật thông tin và các tính năng của Dịch vụ;
2.6) thực hiện báo cáo nội bộ, báo cáo tài chính và các nhiệm vụ nội bộ tương tự khác.
3. Nhân sự của Bên xử lý
Bên xử lý sẽ thực hiện các biện pháp hợp lý để đảm bảo độ tin cậy của bất kỳ nhân viên, đại lý hoặc nhà thầu nào của bất kỳ Bên xử lý theo hợp đồng nào có quyền truy cập vào Dữ liệu cá nhân của công ty, đảm bảo trong từng trường hợp rằng quyền truy cập được giới hạn nghiêm ngặt ở những cá nhân cần biết / truy cập Dữ liệu cá nhân có liên quan của công ty, như là thực sự cần thiết cho các mục đích của Thỏa thuận chính và/hoặc để tuân thủ Luật bảo vệ dữ liệu và luật liên quan khác trong bối cảnh nhiệm vụ của cá nhân đó đối với Bên xử lý theo hợp đồng, đảm bảo rằng tất cả các cá nhân đó phải cam kết bảo mật hoặc tuân thủ các nghĩa vụ bảo mật theo luật định hoặc nghề nghiệp.
4. Bảo mật
Theo quy định tại Điều 32 (1) của GDPR, Bên xử lý sẽ triển khai các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo mức độ bảo mật tương thích với rủi ro, có tính đến trình độ công nghệ hiện tại, chi phí triển khai, cũng như bản chất, phạm vi, bối cảnh và mục đích xử lý. Các biện pháp này sẽ được thiết kế để bảo vệ các quyền và tự do của cá nhân, xem xét các rủi ro có khả năng xảy ra và mức độ nghiêm trọng khác nhau, bao gồm cả rủi ro Vi phạm dữ liệu cá nhân.
Bên xử lý cũng sẽ đánh giá các rủi ro liên quan đến các hoạt động xử lý và áp dụng các biện pháp phù hợp với các yêu cầu được quy định tại Điều 32 (1) GDPR, đảm bảo an toàn cho Dữ liệu cá nhân của công ty vào mọi lúc.
5. Xử lý phụ
Theo Thỏa thuận này, Công ty cấp quyền ủy quyền chung cho Bên xử lý để thuê các Bên xử lý phụ và tiết lộ hoặc chuyển giao Dữ liệu cá nhân của công ty cho họ. Công ty ghi nhận và chấp thuận danh sách các Bên xử lý phụ được nêu trong Chính sách quyền riêng tư của Bên xử lý, hiểu rằng danh sách này có thể được Bên xử lý cập nhật thường xuyên, trong trường hợp đó, công ty sẽ được Bên xử lý thông báo theo quy trình thông báo của Chính sách quyền riêng tư. Ngoài ra, Công ty cho phép Bên xử lý tiết lộ và chuyển giao Dữ liệu cá nhân cho bất kỳ công ty nào trong cùng tập đoàn.
Bên xử lý đảm bảo rằng các Bên xử lý phụ phải tuân thủ một thỏa thuận với Bên xử lý có tính chất hạn chế và bảo vệ không kém so với Thỏa thuận này liên quan đến việc bảo vệ Dữ liệu cá nhân của công ty trong phạm vi áp dụng cho bản chất của các dịch vụ do Bên xử lý phụ cung cấp.
6. Quyền của Chủ thể Dữ liệu
Có tính đến bản chất của việc xử lý, Bên xử lý sẽ hỗ trợ Công ty một cách hợp lý để thực hiện các nghĩa vụ của Công ty nhằm phản hồi các yêu cầu thực hiện quyền của Chủ thể dữ liệu theo Luật bảo vệ dữ liệu.
Bên xử lý phải:
6.1) thông báo ngay cho Công ty nếu nhận được yêu cầu từ Chủ thể dữ liệu theo bất kỳ Luật bảo vệ dữ liệu nào liên quan đến Dữ liệu cá nhân của công ty; và
6.2) đảm bảo không phản hồi yêu cầu đó trừ khi có hướng dẫn bằng văn bản của Bên kiểm soát hoặc theo yêu cầu của Luật áp dụng mà Bên xử lý phải tuân thủ, trong trường hợp đó, Bên xử lý sẽ thông báo cho Bên kiểm soát về yêu cầu pháp lý đó trong phạm vi được Luật áp dụng cho phép trước khi Bên xử lý theo hợp đồng phản hồi yêu cầu.
7. Vi phạm Dữ liệu Cá nhân
Bên xử lý sẽ quản lý mọi vụ Vi phạm dữ liệu cá nhân tuân thủ Luật bảo vệ dữ liệu hiện hành và các quy trình nội bộ về Vi phạm dữ liệu cá nhân. Trong trường hợp xảy ra Vi phạm dữ liệu cá nhân ảnh hưởng đến Dữ liệu cá nhân của công ty, Bên xử lý sẽ thông báo cho Công ty mà không chậm trễ, cung cấp đầy đủ thông tin để Công ty có thể thực hiện các nghĩa vụ của mình theo Luật bảo vệ dữ liệu, bao gồm cả việc thông báo cho các Chủ thể dữ liệu khi cần thiết. Trong những trường hợp như vậy, Bên xử lý sẽ cung cấp cho Công ty đầy đủ thông tin để Công ty đáp ứng bất kỳ nghĩa vụ báo cáo hoặc thông báo nào cho Chủ thể dữ liệu về vụ Vi phạm dữ liệu cá nhân theo Luật bảo vệ dữ liệu.
Bên xử lý sẽ hợp tác với Công ty và thực hiện các biện pháp thương mại hợp lý theo hướng dẫn của Công ty để hỗ trợ việc điều tra, giảm thiểu và khắc phục từng vụ Vi phạm dữ liệu cá nhân đó.
Mỗi bên sẽ chịu chi phí điều tra, khắc phục, giảm thiểu và các chi phí liên quan khác trong phạm vi vụ Vi phạm dữ liệu do bên đó gây ra.
Mỗi bên sẽ chịu chi phí cho bất kỳ khoản tiền phạt, hình phạt, thiệt hại hoặc các khoản liên quan khác do cơ quan quản lý có thẩm quyền, cơ quan chính phủ hoặc tòa án có thẩm quyền áp đặt trong phạm vi phát sinh từ việc bên đó vi phạm các nghĩa vụ theo Thỏa thuận này.
8. Đánh giá Tác động Bảo vệ Dữ liệu và Tham vấn Trước
Bên xử lý sẽ hỗ trợ hợp lý cho Công ty đối với bất kỳ đánh giá tác động bảo vệ dữ liệu nào, và tham vấn trước với các Cơ quan giám sát hoặc các cơ quan có thẩm quyền khác về quyền riêng tư dữ liệu, mà Bên kiểm soát xem xét một cách hợp lý là được yêu cầu theo điều 35 hoặc 36 của GDPR hoặc các quy định tương đương của bất kỳ Luật bảo vệ dữ liệu nào khác, trong từng trường hợp chỉ liên quan đến việc Xử lý Dữ liệu cá nhân của công ty bởi các Bên xử lý theo hợp đồng, và có tính đến bản chất của việc Xử lý và thông tin sẵn có cho họ.
9. Xóa hoặc trả lại Dữ liệu Cá nhân của Công ty
Trong trường hợp chấm dứt bất kỳ Dịch vụ nào liên quan đến việc Xử lý Dữ liệu cá nhân của công ty, Bên xử lý sẽ xóa tất cả Dữ liệu cá nhân của công ty trong phạm vi luật pháp hiện hành cho phép và theo các Điều khoản và điều kiện cùng Chính sách quyền riêng tư của Bên xử lý. Nếu Công ty yêu cầu bản sao dữ liệu, yêu cầu đó phải được đưa ra trước khi xóa tài khoản; các yêu cầu sau khi tài khoản đã bị xóa sẽ không còn được xem xét.
10. Quyền kiểm toán
Theo quy định tại mục 10 này, Bên xử lý sẽ cung cấp cho Công ty theo yêu cầu tất cả các thông tin cần thiết để chứng minh việc tuân thủ Thỏa thuận này, đồng thời sẽ cho phép và đóng góp vào các cuộc kiểm toán, bao gồm cả các cuộc kiểm tra, bởi Công ty hoặc một kiểm toán viên do Công ty ủy quyền liên quan đến việc Xử lý Dữ liệu cá nhân của công ty bởi các Bên xử lý theo hợp đồng. Công ty sẽ không thực hiện các quyền kiểm toán của mình quá một lần mỗi năm lịch, trừ trường hợp sau khi xảy ra Vi phạm dữ liệu cá nhân hoặc theo chỉ thị của cơ quan quản lý. Công ty sẽ thông báo bằng văn bản cho Bên xử lý ít nhất sáu mươi (60) ngày trước khi thực hiện ý định kiểm toán Bên xử lý theo Thỏa thuận này. Việc kiểm toán sẽ được tiến hành trong giờ làm việc của Bên xử lý, không làm gián đoạn các hoạt động của Bên xử lý và phải đảm bảo bảo vệ Dữ liệu cá nhân của Công ty, của Bên xử lý và của các Chủ thể dữ liệu khác. Bên xử lý và Công ty sẽ cùng nhau thống nhất trước về ngày, phạm vi, thời hạn cũng như các biện pháp kiểm soát bảo mật và bí mật áp dụng cho việc kiểm toán. Công ty ghi nhận rằng Bên kiểm soát có thể yêu cầu ký một thỏa thuận bảo mật thông tin trước khi tiến hành kiểm toán.
Các quyền thông tin và kiểm toán của Công ty chỉ phát sinh theo mục 10 trong phạm vi mà Thỏa thuận không cung cấp cho Công ty các quyền thông tin và kiểm toán đáp ứng các yêu cầu liên quan của Luật bảo vệ dữ liệu theo cách khác.
11. Chuyển giao Dữ liệu
Trong phạm vi có thể, Bên xử lý sẽ chỉ chuyển giao hoặc cho phép chuyển giao Dữ liệu đến các quốc gia thuộc Thụy Sĩ, EU và/hoặc các quốc gia có quyết định về mức độ bảo vệ dữ liệu đầy đủ, như được quy định tại Điều 45 GDPR và Điều 16 của FADP Thụy Sĩ. Nếu Dữ liệu cá nhân được xử lý theo Thỏa thuận này được chuyển giao từ Thụy Sĩ hoặc bất kỳ quốc gia nào thuộc EU hoặc bất kỳ quốc gia nào có quyết định về mức độ bảo vệ dữ liệu đầy đủ đến một quốc gia ngoài phạm vi này, các Bên sẽ đảm bảo rằng Dữ liệu cá nhân được bảo vệ đầy đủ. Để đạt được điều này, trừ khi có thỏa thuận khác, các Bên sẽ dựa vào các điều khoản hợp đồng tiêu chuẩn được phê duyệt và hiện hành của Thụy Sĩ và/hoặc EU và/hoặc Vương quốc Anh đối với việc chuyển giao Dữ liệu cá nhân hoặc các cơ chế chuyển giao khác theo quy định của Luật bảo vệ dữ liệu. Bên xử lý sẽ được phép thực hiện các hoạt động chuyển giao như vậy cho các Bên xử lý phụ với điều kiện là các biện pháp bảo vệ thích hợp được thực hiện liên quan đến bản chất của việc chuyển giao.
12. Điều khoản Chung
Tuân thủ Luật áp dụng. Bên xử lý sẽ xử lý Dữ liệu cá nhân của công ty theo Thỏa thuận này và các Luật bảo vệ dữ liệu áp dụng cho vai trò của mình theo Thỏa thuận này. Bên xử lý không chịu trách nhiệm hay nghĩa vụ pháp lý đối với việc tuân thủ các Luật bảo vệ dữ liệu chỉ áp dụng riêng cho Công ty dựa trên hoạt động kinh doanh hoặc ngành nghề.
Bảo mật thông tin. Mỗi bên phải bảo mật mọi thông tin nhận được về bên kia và hoạt động kinh doanh của bên kia liên quan đến Thỏa thuận này (“Thông tin bảo mật”) và không được sử dụng hoặc tiết lộ Thông tin bảo mật đó khi chưa có sự đồng ý trước bằng văn bản của bên kia, ngoại trừ trong phạm vi:
(a) việc tiết lộ được yêu cầu bởi pháp luật;
(b) thông tin liên quan đã thuộc về công chúng mà không phải do lỗi của các Bên.
Thông báo. Tất cả các thông báo và thông tin liên lạc được đưa ra theo Thỏa thuận này phải bằng văn bản và sẽ được gửi qua email. Bên kiểm soát sẽ được thông báo qua email gửi đến địa chỉ liên quan đến việc sử dụng các Dịch vụ theo Thỏa thuận chính. Bên xử lý sẽ được thông báo qua email gửi đến địa chỉ: legal@proton.me.
Luật áp dụng và Thẩm quyền phán quyết. Thỏa thuận này sẽ được điều chỉnh bởi luật pháp Thụy Sĩ, không xét đến các điều khoản về lựa chọn hoặc xung đột pháp luật của bất kỳ khu vực tài phán nào trái ngược lại, và mọi tranh chấp, hành động, khiếu nại hoặc cơ sở khởi kiện phát sinh từ hoặc liên quan đến Thỏa thuận này, đơn đặt hàng, bất kỳ tài liệu nào được đưa vào để dẫn chiếu, công nghệ Proton hoặc các Dịch vụ sẽ thuộc thẩm quyền phán quyết độc quyền của Geneva, Thụy Sĩ.
Trong trường hợp có sự khác biệt giữa bản tiếng Anh của các Điều khoản này và bất kỳ bản dịch nào, bản tiếng Anh sẽ được ưu tiên áp dụng.