資料處理協議
最後修改日期:2026 年 2 月 10 日
本資料處理協議(「協議」)構成 Proton AG 條款及細則下服務合約(「主協議」)的一部分,由 Proton AG(地址:Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland,公司識別號碼 CHE-354.686.492,以下稱為「處理者」)與使用 Proton 服務的公司(以下稱為「公司」,應理解為任何使用服務的企業或組織,不論其法律形式為何)之間訂立。
本協議規範資料保護法的具體要求,但僅限於公司使用 Proton 服務涉及處理受資料保護法約束的個人資料之範圍內。
本協議為我們的隱私權政策之補充文件,後者作為我們資料保護實務與措施的主要參考依據。
本協議的有效期限應與主協議的有效期限一致。 本協議未定義之術語,其含義應以主協議所規定者為準。
鑑於
A) 公司擔任資料控制者(「控制者」)。
B) 公司希望將某些服務(定義如下)分包予 Proton AG,而該等服務涉及個人資料處理;Proton AG 係以資料處理者(「處理者」)身分行事。
C) 雙方擬落實一項符合現行資料處理法律框架要求,以及符合 2016 年 4 月 27 日歐洲議會及理事會關於在個人資料處理及該等資料自由流通方面保護自然人並廢止第 95/46/EC 號指令之 (EU) 2016/679 號規例(一般資料保護規則)及其他適用資料保護法律要求的資料處理協議。
D) 雙方希望訂明各自的權利與義務。
茲協議如下:
1. 定義與解釋
除非本文另有定義,於本 DPA 中使用之大寫術語及表述應具有下列含義:
1.1)「協議」係指本資料處理協議及其所有附表;
1.2)「公司個人資料」係指與公司、公司客戶或員工有關,且就主協議而被處理之任何個人資料;
1.3)「受約束處理者」係指次級處理者;
1.4)「資料保護法」係指歐盟資料保護法,以及在適用範圍內,任何其他國家的資料保護或隱私法律;
1.5)「EEA」係指歐洲經濟區;
1.6)「歐盟資料保護法」係指歐盟第 95/46/EC 號指令,該指令經轉化為各會員國國內法,並可不時修訂、替換或取代,包括由 GDPR 以及執行或補充 GDPR 的法律所為者;
1.7)「GDPR」係指歐盟一般資料保護規則 2016/679;
1.8)「資料傳輸」 係指:
- 1.8.1) 將公司個人資料從控管者傳輸至處理者或簽約處理者;或
- 1.8.2) 將公司個人資料從處理者後續傳輸至次級處理者,或於次級處理者之兩個機構間傳輸;
1.9)「服務」係指由處理者提供的線上安全服務,例如電子郵件、行事曆、磁碟及處理者所開發的其他服務。 服務的詳細資料及價格可於處理者的網站上查閱。
1.10)「次級處理者」係指由處理者或代表處理者任命,以代表控制者就本協議相關事宜處理個人資料之任何人士。
「委員會」、「控制者」、「資料當事人」、「會員國」、「個人資料」、「個人資料外洩」、 「處理」及「監督機關」等術語,應與 GDPR 或其他適用資料保護法中的含義相同,其同源術語亦應據此解釋。
2. 公司個人資料之處理
處理者應:
2.1) 在處理公司個人資料時,遵守所有適用的資料保護法;
2.2) 並且除依第 2 節中控制者之書面記錄指示外,不處理公司個人資料。
控管者指示處理者處理公司個人資料以:
2.3) 提供服務及相關技術支援;
2.4) 履行法律義務或解決爭議;
2.5) 執行任何旨在優化服務之安全性、隱私、機密性及功能的內部工作;
2.6) 進行內部報告、財務報告及其他類似的內部工作。
3. 處理者人員
處理者應採取合理步驟,以確保任何可能接觸公司個人資料之受約束處理者的員工、代理人或承包商之可靠性,並確保在每一情況下,僅嚴格限於基於知悉/存取相關公司個人資料之必要而需要知悉/存取該等資料之人員,且該等知悉/存取須為主協議目的所絕對必要,及/或為遵守資料保護法及其他與該個人對受約束處理者職務相關之法律所必要;並確保所有該等人員均受保密承諾或專業上或法定上的保密義務所拘束。
4. 安全保護
根據 GDPR 第 32(1) 條,處理者應考慮現有技術水準、實施成本,以及處理的性質、範圍、背景與目的,實施適當的技術及組織措施,以確保與風險相稱的安全水準。 該等措施之設計應旨在保護自然人之權利與自由,並考量可能性及嚴重程度不一的風險,包括個人資料外洩之風險。
處理者亦應評估與處理活動相關的風險,並套用符合 GDPR 第 32(1) 條所載要求的措施,確保公司個人資料始終安全。
5. 次級處理
在遵守本協議之前提下,公司授予處理者一般授權,以委任次級處理者並向其揭露或傳輸公司個人資料。 公司確認並核准處理者隱私權政策中列明的次級處理者名單,且理解該名單可能由處理者定期更新;在此情況下,處理者應依隱私權政策的通知程序通知公司。 此外,公司授權處理者向其企業群組內的任何公司揭露及傳輸個人資料。
處理者確保,次級處理者受其與處理者之間所訂協議之拘束,而該協議就保護公司個人資料而言,在適用於次級處理者所提供服務性質之範圍內,不得比本協議更寬鬆或提供更少保護。
6. 資料當事人權利
考量處理之性質,處理者應合理協助公司履行其義務,以回應依資料保護法行使資料當事人權利之請求。
處理者應:
6.1) 如其收到資料當事人根據任何資料保護法就公司個人資料提出之請求,應立即通知公司;以及
6.2) 除非依控制者之書面記錄指示,或處理者所受拘束之適用法律另有要求,否則應確保其不回應該請求;如屬後者,處理者應在適用法律允許之範圍內,於受約束處理者回應該請求前,將該法律要求通知控制者。
7. 個人資料外洩
處理者應依適用資料保護法及其內部個人資料外洩程序,管理任何個人資料外洩事件。 如發生影響公司個人資料的個人資料外洩事件,處理者應立即通知公司,並提供充分資訊,使公司得以履行其於資料保護法下的義務,包括在必要時通知資料當事人。 在該等情況下,處理者應向公司提供充分資訊,使公司得以履行其於資料保護法下申報個人資料外洩或通知資料當事人的任何義務。
處理者應與公司合作,並依公司指示採取合理的商業步驟,以協助調查、減輕及補救每一次該等個人資料外洩事件。
若資料外洩係由任一方所致,該方應負擔與調查、補救、減輕損害及其他相關事項有關的費用。
倘若經授權之監管機構、政府機關或有管轄權之法院所施加之任何罰款、處罰、損害賠償或其他相關金額,係因任一方違反其於本協議下之義務所致,則該方應負擔該等費用。
8. 資料保護影響評估與事前諮詢
就控制者合理認為依 GDPR 第 35 或 36 條或任何其他資料保護法之同等規定所要求之任何資料保護影響評估,以及與監督機關或其他有權限資料隱私機關之事前諮詢,處理者應向公司提供合理協助;惟各該情況僅限於受約束處理者處理公司個人資料之範圍內,並應考量處理之性質及受約束處理者可取得之資訊。
9. 公司個人資料之刪除或歸還
如任何涉及處理公司個人資料之服務終止,處理者應在適用法律允許之範圍內,並依處理者的條款及細則與隱私權政策,刪除所有公司個人資料。 如公司需要其資料的副本,必須在其帳號刪除前提出請求;帳號已刪除後提出的請求將不再受理。
10. 稽核權
在遵守本第 10 節之前提下,處理者應依公司要求提供一切為證明遵守本協議所必要的資訊,並應允許且配合公司或公司委任的稽核人員,就受約束處理者處理公司個人資料之相關事項進行稽核,包括檢查。 除非發生個人資料外洩或監管機關作出指示,公司每一行事曆年度不得行使其稽核權超過一次。 公司應至少提前六十 (60) 天以書面通知處理者其擬依本協議對處理者進行稽核。 稽核應於處理者的營業時間內進行,不得干擾處理者的營運,並應確保保護公司、處理者及其他資料當事人的個人資料。 處理者與公司應事先共同就稽核日期、範圍、期間,以及適用於稽核的安全與保密控管達成一致。 公司確認,於進行稽核前,控制者可能被要求簽署保密協議。
公司於第 10 節下之資訊及稽核權,僅於本協議未以其他方式賦予其符合相關資料保護法要求之資訊及稽核權時,方會產生。
11. 資料傳輸
在可能範圍內,處理者僅應將資料傳輸或授權傳輸至瑞士、歐盟境內及/或受充分性認定約束的國家,如 art. 所規定。 45 GDPR 及 art. 16 Swiss FADP。 如根據本協議處理的個人資料自瑞士、歐盟境內任何國家或任何受充分性認定約束的國家,傳輸至超出此範圍的國家,雙方應確保該等個人資料獲得充分保護。 為達成此目的,除非另有約定,雙方應依據瑞士及/或歐盟及/或英國核准且當時有效之個人資料傳輸標準契約條款,或資料保護法所規定之其他傳輸機制。 在就傳輸性質實施充分保障措施之前提下,處理者應獲授權得向次級處理者進行該等傳輸。
12. 一般條款
遵守適用法律。 處理者將依本協議及依其在本協議下角色所適用之資料保護法處理公司個人資料。 處理者無須就僅因公司之業務或產業而專屬適用於公司之資料保護法負責或承擔責任。
保密。 各方必須對其就本協議而收到之有關另一方及其業務的任何資訊(「機密資訊」)予以保密,且未經另一方事先書面同意,不得使用或揭露該機密資訊,但下列情況除外:
(a) 法律要求揭露;
(b) 相關資訊並非因雙方過失而已屬公開領域。
通知。 根據本協議發出的所有通知及通訊均須以書面作出,並將以電子郵件傳送。 應以傳送至與其根據主協議使用服務相關之電子郵件位址的電子郵件通知控制者。 應以傳送至下列位址的電子郵件通知處理者:legal@proton.me。
準據法與管轄權。 本協議應受瑞士法律管轄,而不適用任何司法管轄區中與此相反的法律選擇或法律衝突規定;因本協議、訂單表格、任何以引用方式納入之文件、Proton 技術或服務所引起或與之相關的爭議、訴訟、請求或訴因,均應受瑞士日內瓦之專屬管轄。
如果本條款的英文版本與任何翻譯版本之間存在差異,應以英文版本為準。