資料處理協議
最後修改日期:2024 年 9 月 23 日
本資料處理協議 (「協議」) 構成 Proton AG 的條款及細則 (「主協議」) 下服務合約的一部分,協議雙方為 Proton AG (地址:Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland,公司識別碼 CHE-354.686.492,下稱「處理者」) 與使用 Proton 服務的公司 (下稱「公司」)。
若公司使用 Proton 服務時涉及處理受資料保護法約束的個人資料,本協議將規範資料保護法的具體要求。
本協議是我們隱私權政策的補充,該政策是我們資料保護做法和措施的主要參考。
本協議的期限應遵循主協議的期限。 本協議中未定義的術語應具有主協議中規定的含義。
鑑於
A) 公司作為資料控管者 (「控管者」)。
B) 公司希望將某些涉及個人資料處理的服務 (定義如下) 分包給作為資料處理者的 Proton AG (「處理者」)。
C) 雙方尋求實施一份資料處理協議,該協議符合當前與資料處理相關的法律框架要求,並符合歐洲議會和理事會於 2016 年 4 月 27 日頒布的關於個人資料處理和此類資料自由流動的 (EU) 2016/679 號條例,該條例廢除了 95/46/EC 指令 (一般資料保護規範) 及其他適用的資料保護法。
D) 雙方希望規定其權利和義務。
茲同意如下:
1. 定義與解釋
除非本資料處理協議中另有定義,本協議中使用的大寫術語和表達式應具有以下含義:
1.1) 「協議」指本資料處理協議及所有附表;
1.2) 「公司個人資料」指與公司或公司客戶或員工相關的、就主協議處理的任何個人資料;
1.3) 「合約處理者」指次處理者;
1.4) 「資料保護法」指歐盟資料保護法,並在適用範圍內,指任何其他國家/地區的資料保護或隱私法;
1.5) 「EEA」指歐洲經濟區;
1.6) 「歐盟資料保護法」指歐盟 95/46/EC 指令,經各成員國轉化為國內立法,並不時修訂、更換或取代,包括 GDPR 及實施或補充 GDPR 的法律;
1.7) 「GDPR」指歐盟一般資料保護規範 2016/679;
1.8) 「資料傳輸」 指:
- 1.8.1) 公司個人資料從控管者傳輸至處理者或合約處理者;或
- 1.8.2) 公司個人資料從處理者進一步傳輸至次處理者,或在次處理者的兩個機構之間傳輸;
1.9) 「服務」指處理者提供的線上安全服務,例如電子郵件、行事曆、雲端硬碟以及處理者開發的其他服務。 服務的詳細資料和定價可在處理者的網站上找到。
1.10) 「次處理者」指由處理者或代表處理者任命,代表控管者處理與本協議相關的個人資料的任何人。
術語「委員會」、「控管者」、「資料當事人」、「成員國」、「個人資料」、「個人資料外洩」、 「處理」和「監管機構」應具有與 GDPR 或其他適用資料保護法中相同的含義,其同源術語應作相應解釋。
2. 公司個人資料的處理
處理者應:
2.1) 在處理公司個人資料時遵守所有適用的資料保護法;
2.2) 並且除根據控管者在第 2 節中的書面指示外,不得處理公司個人資料。
控管者指示處理者處理公司個人資料以:
2.3) 提供服務及相關技術支援;
2.4) 履行法律義務或解決爭議;
2.5) 執行旨在優化服務的安全性、隱私、機密性和功能的任何內部任務;
2.6) 執行內部報告、財務報告及其他類似的內部任務。
3. 處理者人員
處理者應採取合理步驟,確保任何可能存取公司個人資料的合約處理者之員工、代理人或承包商的可靠性,確保在每種情況下,存取權限嚴格限於那些為履行主協議之目的,和/或在該個人對合約處理者之職責範圍內遵守資料保護法及其他相關法規而有必要知曉/存取相關公司個人資料的個人,並確保所有此類個人均受保密承諾或專業或法定的保密義務約束。
4. 安全性
根據 GDPR 第 32 (1) 條,處理者應實施適當的技術和組織措施,以確保與風險相應的安全等級,同時考慮到技術發展水平、實施成本以及處理的性質、範圍、背景和目的。 這些措施應旨在保護自然人的權利和自由,同時考慮到不同可能性和嚴重程度的風險,包括個人資料外洩的風險。
處理者還應評估與處理活動相關的風險,並採取符合 GDPR 第 32 (1) 條規定要求的措施,確保公司個人資料始終安全。
5. 次處理
根據本協議,公司授予處理者一般授權,以聘用次處理者並向其揭露或傳輸公司個人資料。 公司承認並批准處理者隱私權政策中列出的次處理者名單,並理解處理者可能會定期更新此名單,在這種情況下,處理者應根據隱私權政策通知流程通知公司。 此外,公司授權處理者向其公司集團內的任何公司揭露和傳輸個人資料。
處理者確保次處理者與處理者簽訂的協議,在保護公司個人資料方面的限制性和保護性,不低於本協議在適用於次處理者提供服務性質的範圍內所規定的標準。
6. 資料當事人權利
考慮到處理的性質,處理者應合理協助公司履行其義務,以回應根據資料保護法行使資料當事人權利的請求。
處理者應:
6.1) 如果收到資料當事人根據任何資料保護法就公司個人資料提出的請求,應及時通知公司;並且
6.2) 確保除根據控管者的書面指示或處理者所適用法律的要求外,不回應該請求,在後一種情況下,處理者應在適用法律允許的範圍內,在合約處理者回應請求前,將該法律要求通知控管者。
7. 個人資料外洩
處理者應根據適用的資料保護法及其內部個人資料外洩程序處理任何個人資料外洩事件。 若發生影響公司個人資料的個人資料外洩事件,處理者應立即通知公司,提供足夠資訊,使公司能夠履行其在資料保護法下的義務,包括在必要時通知資料當事人。 在此類情況下,處理者應向公司提供足夠的資訊,以便公司能夠履行根據資料保護法向資料當事人報告或告知個人資料外洩的任何義務。
處理者應與公司合作,並按照公司的指示採取合理的商業步驟,以協助調查、減輕和補救每一次此類個人資料外洩事件。
各方應承擔因該方造成資料外洩而產生的調查、補救、減輕及其他相關費用。
若因一方違反其在本協議下的義務,而由授權監管機構、政府機關或具有管轄權的法院處以任何罰款、罰金、損害賠償或其他相關金額,則該方應承擔相關費用。
8. 資料保護影響評估與事前諮詢
處理者應就任何資料保護影響評估,以及與監管機構或其他主管資料隱私機構的事前諮詢,向公司提供合理協助。此類評估和諮詢是控管者合理認為根據 GDPR 第 35 或 36 條或任何其他資料保護法的同等條款所要求的,且在每種情況下都僅與合約處理者處理公司個人資料有關,並考慮到處理的性質和可用的資訊。
9. 公司個人資料的刪除或返還
若涉及處理公司個人資料的任何服務終止,處理者應在適用法律允許的範圍內,並根據處理者的條款及細則和隱私權政策刪除所有公司個人資料。 若公司需要其資料的副本,必須在刪除其帳號之前提出請求;帳號刪除後提出的請求將不再受理。
10. 稽核權
根據本第 10 節的規定,處理者應根據公司要求,提供所有必要資訊以證明其遵守本協議,並應允許並配合公司或公司授權的稽核員對合約處理者處理公司個人資料的情況進行稽核,包括檢查。 除發生個人資料外洩或應監管機構指示外,公司每個日曆年不得行使其稽核權利超過一次。 公司應在根據本協議對處理者進行稽核的意向前,至少提前六十 (60) 天向處理者發出書面通知。 稽核應在處理者的營業時間內進行,不得干擾處理者的營運,並應確保公司、處理者及其他資料當事人的個人資料受到保護。 處理者和公司應事先就稽核的日期、範圍、持續時間以及適用的安全和保密控制措施達成相互協議。 公司承認,在進行稽核前,控管者可能要求簽署保密協議。
公司的資訊和稽核權利僅在本協議未另外賦予其滿足資料保護法相關要求的資訊和稽核權利的情況下,根據第 10 節產生。
11. 資料傳輸
在可能的情況下,處理者應僅將資料傳輸或授權傳輸至瑞士、歐盟境內國家和/或受適足性認定約束的國家,如條文所規定。 GDPR 第 45 條及條文 瑞士 FADP 第 16 條。 如果根據本協議處理的個人資料從瑞士或歐盟境內的任何國家或受適足性認定約束的任何國家傳輸到此範圍之外的國家,雙方應確保個人資料得到充分保護。 為此,除非另有約定,雙方應依賴瑞士和/或歐盟和/或英國批准的、當時現行的個人資料傳輸標準合約條款,或資料保護法規定的其他傳輸機制。 只要就傳輸的性質實施了充分的保障措施,處理者即有權將此類傳輸執行給次處理者。
12. 一般條款
遵守適用法律。 處理者將根據本協議及適用於其在本協議下角色的資料保護法處理公司個人資料。 處理者不負責亦不承擔遵守僅因公司的業務或行業而適用於公司的資料保護法之責任。
保密。 各方必須對其就本協議收到的有關另一方及其業務的任何資訊 (「機密資訊」) 保密,並且未經另一方事先書面同意,不得使用或揭露該機密資訊,除非在以下範圍內:
(a) 法律要求揭露;
(b) 相關資訊已非因雙方過失而進入公眾領域。
通知。 根據本協議發出的所有通知和通訊必須為書面形式,並將透過電子郵件傳送。 控管者應透過傳送電子郵件至其根據主協議使用服務相關的位址來接收通知。 處理者應透過傳送電子郵件至以下位址來接收通知:legal@proton.me。
準據法與管轄權。 本協議應受瑞士法律管轄,不考慮任何司法管轄區的法律選擇或衝突條款,以及因本協議、訂單、任何以引用方式併入的文件、Proton 技術或服務而產生或與之相關的爭議、訴訟、索賠或訴因,均應受瑞士日內瓦的專屬管轄。
如果本條款的英文版本與任何翻譯版本之間存在差異,應以英文版本為準。