資料處理協議
上次修改日期:2026 年 2 月 10 日
本資料處理協議(「協議」)構成 Proton AG 位於 Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland(公司統一編號 CHE-354.686.492,稱為「處理者」)與使用 Proton 服務之公司(稱為「公司」,即任何使用本服務之企業或組織,無論其法律形式為何)之間依據 Proton AG 條款及細則(「主協議」)所簽訂之服務合約的一部分。
本協議規範資料保護法之特定要求,適用範圍限於公司使用 Proton 服務涉及受資料保護法規範之個人資料處理的情況。
本協議為我們隱私權政策的補充文件,該政策為我們資料保護實務與措施的主要參考依據。
本協議之期限應與主協議之期限一致。 本協議未定義之條款應具有主協議所規定之涵義。
鑑於
A) 公司擔任資料控管者(「控管者」)。
B) 公司欲將涉及處理個人資料之特定服務(定義如下)分包予擔任資料處理者之 Proton AG(「處理者」)。
C) 雙方尋求實施符合當前資料處理相關法律架構要求,以及符合 2016 年 4 月 27 日歐洲議會與歐盟理事會關於自然人個人資料處理保護與此類資料自由流通之第 (EU) 2016/679 號條例(一般資料保護規則),並廢止第 95/46/EC 號指令及其他適用資料保護法律之資料處理協議。
D) 雙方欲制定其權利與義務。
雙方協議如下:
1. 定義與解釋
除本協議另有定義外,本 DPA 中使用之大寫術語與詞彙應具有下列涵義:
1.1) 「協議」係指本資料處理協議及所有附表;
1.2) 「公司個人資料」係指與主協議相關之處理過程中,任何與公司或公司客戶或員工有關之個人資料;
1.3) 「簽約處理者」係指次級處理者;
1.4) 「資料保護法」係指歐盟資料保護法,以及(在適用範圍內)任何其他國家之資料保護或隱私法律;
1.5) 「EEA」係指歐洲經濟區;
1.6) 「歐盟資料保護法」係指歐盟第 95/46/EC 號指令(及其於各成員國國內立法之轉換),以及不時修訂、替換或取代之版本,包括 GDPR 以及實施或補充 GDPR 之法律;
1.7) 「GDPR」係指歐盟一般資料保護規則 2016/679;
1.8) 「資料傳輸」 係指:
- 1.8.1) 將公司個人資料從控管者傳輸至處理者或簽約處理者;或
- 1.8.2) 將公司個人資料從處理者後續傳輸至次級處理者,或於次級處理者之兩個機構間傳輸;
1.9) 「服務」係指由處理者提供之線上安全服務,例如由處理者開發之電子郵件、行事曆、磁碟及其他服務。 服務之詳細資訊與定價可於處理者網站上查閱。
1.10) 「次級處理者」係指由處理者指派或代表處理者,以與本協議相關之方式代表控管者處理個人資料之任何人員。
「委員會」、「控管者」、「資料當事人」、「成員國」、「個人資料」、「個人資料外洩」、 「處理」及「監管機關」等詞彙應具有 GDPR 或其他適用資料保護法中相同之涵義,其同源詞彙亦應據此解釋。
2. 公司個人資料之處理
處理者應:
2.1) 於處理公司個人資料時遵守所有適用之資料保護法;
2.2) 且除第 2 節中控管者之書面指示外,不得處理公司個人資料。
控管者指示處理者處理公司個人資料以:
2.3) 提供本服務及相關技術支援;
2.4) 履行法律義務或解決爭議;
2.5) 執行旨在最佳化本服務安全性、隱私、機密性及功能之任何內部任務;
2.6) 執行內部報告、財務報告及其他類似內部任務。
3. 處理者人員
處理者應採取合理措施,以確保任何可能存取公司個人資料之簽約處理者的員工、代理人或承包商之可靠性,確保在任何情況下,存取權限僅限於為達成主協議之目的,及/或為遵守資料保護法及其他相關法規(在此人對簽約處理者之職責範圍內)而有必要知悉/存取相關公司個人資料之個人,並確保所有該等個人皆受保密承諾或專業或法定保密義務之約束。
4. 安全保護
依據 GDPR 第 32 (1) 條,處理者應實施適當之技術與組織措施,考量現有技術水準、實施成本,以及處理之性質、範圍、背景與目的,以確保與風險相稱之安全層級。 這些措施之設計應旨在保護自然人之權利與自由,並考量不同可能性與嚴重程度之風險,包括個人資料外洩之風險。
處理者亦應評估與處理活動相關之風險,並採取符合 GDPR 第 32 (1) 條規定之措施,確保公司個人資料隨時安全。
5. 次級處理
受本協議規範,公司授予處理者一般授權,得聘用次級處理者並向其揭露或傳輸公司個人資料。 公司承認並核准處理者隱私權政策中列出之次級處理者名單,並了解處理者可能會定期更新此名單,在此情況下,處理者應依據隱私權政策通知程序通知公司。 此外,公司授權處理者向其企業集團內之任何公司揭露與傳輸個人資料。
處理者確保次級處理者與處理者簽訂之協議,就公司個人資料保護而言(在適用於次級處理者所提供服務性質之範圍內),其限制與保護程度不低於本協議。
6. 資料當事人權利
考量處理之性質,處理者應合理協助公司履行其義務,以回應依據資料保護法行使資料當事人權利之請求。
處理者應:
6.1) 若收到資料當事人依據任何資料保護法針對公司個人資料提出之請求,應立即通知公司;及
6.2) 確保除非依據控管者之書面指示,或依據處理者所受適用法律之要求,否則不回應該請求;在後者情況下,處理者應在簽約處理者回應請求前,於適用法律允許之範圍內通知控管者該法律要求。
7. 個人資料外洩
處理者應依據適用之資料保護法及其內部個人資料外洩程序管理任何個人資料外洩事件。 若發生影響公司個人資料之個人資料外洩事件,處理者應立即通知公司,並提供充分資訊以使公司能履行資料保護法下之義務,包括必要時通知資料當事人。 在此類情況下,處理者應向公司提供充分資訊,以利公司履行資料保護法下關於報告或通知資料當事人個人資料外洩之任何義務。
處理者應與公司合作,並依公司指示採取合理商業措施,以協助調查、減輕及補救每次此類個人資料外洩事件。
若資料外洩係由某方所造成,該方應承擔調查、補救、減輕及其他相關成本。
若因某方違反本協議下之義務,導致授權監管機構、政府機關或有管轄權之法院處以任何罰款、罰金、損害賠償或其他相關金額,該方應承擔此類成本。
8. 資料保護影響評估與事前諮詢
處理者應就任何資料保護影響評估,以及與監管機關或其他主管資料隱私機關之事前諮詢,向公司提供合理協助;此係指控管者合理認為 GDPR 第 35 或 36 條或其他資料保護法同等條款所要求者,且僅限於與簽約處理者處理公司個人資料有關,並考量處理性質及簽約處理者可取得之資訊。
9. 公司個人資料之刪除或歸還
若涉及處理公司個人資料之任何服務終止,處理者應於適用法律允許範圍內,並依據處理者之條款及細則與隱私權政策,刪除所有公司個人資料。 若公司需要其資料副本,必須在刪除其帳號前提出請求;帳號刪除後提出之請求將無法受理。
10. 稽核權
受本第 10 節規範,處理者應應要求向公司提供證明遵守本協議所需之所有資訊,並應允許且協助公司或公司授權之稽核員,針對簽約處理者處理公司個人資料之情形進行稽核(包括檢查)。 除發生個人資料外洩或依監管機構指示外,公司每一曆年行使稽核權不得超過一次。 公司欲依據本協議對處理者進行稽核時,應至少於六十 (60) 天前向處理者發出書面通知。 稽核應於處理者之營業時間內進行,不得中斷處理者之營運,並應確保公司、處理者及其他資料當事人個人資料之保護。 處理者與公司應事先就稽核之日期、範圍、持續時間及適用之安全與保密管控達成共識。 公司知悉,在進行稽核前,控管者可能要求簽署保密協議。
公司依第 10 節享有之資訊與稽核權,僅在本協議未另行賦予其符合資料保護法相關要求之資訊與稽核權的範圍內產生。
11. 資料傳輸
在可能範圍內,處理者僅得將資料傳輸或授權傳輸至瑞士、歐盟境內國家及/或受適足性認定之國家,如 GDPR 第 45 條及 瑞士 FADP 第 16 條所規定。 若依據本協議處理之個人資料從瑞士、歐盟境內任何國家或受適足性認定之任何國家,傳輸至此範圍以外之國家,雙方應確保個人資料受到充分保護。 為達成此目的,除非另有約定,雙方應依賴瑞士及/或歐盟及/或英國核准且當時有效之個人資料傳輸標準合約條款,或其他資料保護法規定之傳輸機制。 若已針對傳輸性質實施適當之防護措施,處理者應獲授權向次級處理者進行此類傳輸。
12. 一般條款
遵守適用法律。 處理者將依據本協議及適用於其在本協議下角色之資料保護法處理公司個人資料。 對於僅因公司之業務或產業而適用於公司之資料保護法,處理者不負遵守之責任或義務。
保密。 各方必須將其收到關於另一方及其與本協議相關之業務的任何資訊(「機密資訊」)予以保密,且未經另一方事前書面同意,不得使用或揭露該機密資訊,除非:
(a) 法律要求揭露;
(b) 相關資訊已處於公眾領域,且非因雙方之過失所致。
通知。 本協議下之所有通知與通訊必須以書面為之,並將透過電子郵件發送。 控管者將透過發送至其在主協議下使用服務相關位址之電子郵件收到通知。 處理者將透過發送至下列位址之電子郵件收到通知:legal@proton.me。
準據法與管轄權。 本協議應受瑞士法律管轄,不適用任何相反之管轄權法律選擇或衝突規定;因本協議、訂購單、任何引用之文件、Proton 技術或本服務所引起或與之相關之爭議、訴訟、索賠或訴訟理由,應受瑞士日內瓦之專屬管轄。
如果本條款的英文版本與任何翻譯版本之間存在差異,應以英文版本為準。