Proton

Databehandleraftale

Senest ændret: 23. september 2024

Denne databehandleraftale ("Aftalen") udgør en del af servicekontrakten under Proton AG's Vilkår og betingelser ("Hovedaftalen") mellem Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz, Virksomhedsidentifikationsnummer CHE-354.686.492 (omtalt som "Databehandleren") og den Virksomhed, der bruger Protons tjenester (omtalt som "Virksomheden").

Denne Aftale regulerer de specifikke krav i databeskyttelseslovgivningen, i det omfang Virksomhedens brug af Protons tjenester indebærer behandling af Personoplysninger, der er underlagt databeskyttelseslovgivningen.

Denne aftale er et supplement til vores Privatlivspolitik, som fungerer som den primære reference for vores praksisser og foranstaltninger inden for databeskyttelse.

Løbetiden for denne Aftale skal følge løbetiden for Hovedaftalen. Vilkår, der ikke er defineret heri, skal have den betydning, der er angivet i Hovedaftalen.


IDET

A) Virksomheden fungerer som Dataansvarlig ("Dataansvarlig").

B) Virksomheden ønsker at give visse Tjenester i underentreprise (som defineret nedenfor), hvilket indebærer behandling af Personoplysninger, til Proton AG, der fungerer som Databehandler ("Databehandler").

C) Parterne søger at implementere en databehandleraftale, der overholder kravene i den nuværende lovgivningsmæssige ramme i relation til databehandling og med Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) og anden gældende databeskyttelseslovgivning.

D) Parterne ønsker at fastlægge deres rettigheder og forpligtelser.


FØLGENDE ER AFTALT:

1. Definitioner og fortolkning

Medmindre andet er defineret heri, skal udtryk med stort begyndelsesbogstav og vendinger, der bruges i denne databehandleraftale, have følgende betydning:

1.1) "Aftale" betyder denne databehandleraftale og alle bilag;

1.2) "Virksomhedens Personoplysninger" betyder alle Personoplysninger relateret til Virksomheden eller Virksomhedens kunder eller medarbejdere, der Behandles i forbindelse med Hovedaftalen;

1.3) "Kontraheret Databehandler" betyder en Underdatabehandler;

1.4) "Databeskyttelseslovgivning" betyder EU's databeskyttelseslovgivning og, i det omfang det er relevant, databeskyttelses- eller privatlivslovgivningen i ethvert andet land;

1.5) "EØS" betyder Det Europæiske Økonomiske Samarbejdsområde;

1.6) "EU's databeskyttelseslovgivning" betyder EU-direktiv 95/46/EF, som det er gennemført i hver medlemsstats nationale lovgivning og som ændret, erstattet eller afløst fra tid til anden, herunder af GDPR og love, der implementerer eller supplerer GDPR;

1.7) "GDPR" betyder EU's generelle forordning om databeskyttelse 2016/679;

1.8) "Dataoverførsel" betyder:

  • 1.8.1) en overførsel af Virksomhedens Personoplysninger fra den Dataansvarlige til Databehandleren eller en Kontraheret Databehandler; eller
  • 1.8.2) en videreoverførsel af Virksomhedens Personoplysninger fra Databehandleren til en Underdatabehandler eller mellem to etablissementer af en Underdatabehandler;

1.9) "Tjenester" betyder online sikre tjenester leveret af Databehandleren, såsom e-mail, kalender, drev og andre tjenester som udviklet af Databehandleren. Detaljer og priser for Tjenesterne kan findes på Databehandlerens websted.

1.10) "Underdatabehandler" betyder enhver person, der er udpeget af eller på vegne af Databehandleren til at behandle Personoplysninger på vegne af den Dataansvarlige i forbindelse med Aftalen.

Begreberne "Kommissionen", "Dataansvarlig", "Registreret", "Medlemsstat", "Personoplysninger", "Brud på persondatasikkerheden", "Behandling" og "Tilsynsmyndighed" skal have samme betydning som i GDPR eller anden gældende databeskyttelseslovgivning, og deres beslægtede udtryk skal fortolkes i overensstemmelse hermed.

2. Behandling af Virksomhedens Personoplysninger

Databehandleren skal:

2.1) overholde al gældende databeskyttelseslovgivning i forbindelse med Behandlingen af Virksomhedens Personoplysninger;

2.2) og ikke behandle Virksomhedens Personoplysninger ud over den Dataansvarliges dokumenterede instrukser i afsnit 2.

Den Dataansvarlige instruerer Databehandleren til at behandle Virksomhedens Personoplysninger med henblik på at:

2.3) levere Tjenesterne og relateret teknisk support;

2.4) opfylde juridiske forpligtelser eller løse tvister;

2.5) udføre enhver intern opgave, der sigter mod at optimere sikkerheden, privatlivet, fortroligheden og funktionaliteterne i Tjenesterne;

2.6) udføre intern rapportering, finansiel rapportering og andre lignende interne opgaver.

3. Databehandlerens Personale

Databehandleren skal tage rimelige skridt for at sikre pålideligheden af enhver medarbejder, agent eller entreprenør hos enhver Kontraheret Databehandler, som måtte have adgang til Virksomhedens Personoplysninger, og i hvert enkelt tilfælde sikre, at adgang er strengt begrænset til de personer, der har behov for at kende/have adgang til de relevante Virksomheds Personoplysninger, som strengt nødvendigt for Hovedaftalens formål, og/eller for at overholde databeskyttelseslovgivningen og anden relevant lovgivning i forbindelse med den pågældende persons pligter over for den Kontraherede Databehandler, og sikre, at alle sådanne personer er underlagt fortrolighedsforpligtelser eller faglige eller lovbestemte tavshedspligter.

4. Sikkerhed

I overensstemmelse med artikel 32, stk. 1, i GDPR skal Databehandleren implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens art, omfang, sammenhæng og formål. Disse foranstaltninger skal være udformet til at beskytte fysiske personers rettigheder og frihedsrettigheder under hensyntagen til risiciene med varierende sandsynlighed og alvor, herunder risikoen for et brud på persondatasikkerheden.

Databehandleren skal også vurdere de risici, der er forbundet med behandlingsaktiviteter, og anvende foranstaltninger, der er i overensstemmelse med kravene i artikel 32, stk. 1, i GDPR, for til enhver tid at sikre sikkerheden for Virksomhedens Personoplysninger.

5. Underdatabehandling

I henhold til denne Aftale giver Virksomheden generel tilladelse til Databehandleren til at engagere Underdatabehandlere og videregive eller overføre Virksomhedens Personoplysninger til dem. Virksomheden anerkender og godkender listen over Underdatabehandlere, der er skitseret i Databehandlerens Privatlivspolitik, med forståelse for, at denne liste kan blive opdateret af Databehandleren regelmæssigt, i hvilket tilfælde virksomheden skal informeres af Databehandleren i henhold til notifikationsprocessen i Privatlivspolitikken. Endvidere giver Virksomheden Databehandleren tilladelse til at videregive og overføre Personoplysninger til enhver virksomhed inden for sin koncern.

Databehandleren sikrer, at Underdatabehandlere er underlagt en aftale med Databehandleren, der ikke er mindre restriktiv og beskyttende end nærværende Aftale med hensyn til beskyttelsen af Virksomhedens Personoplysninger i det omfang, det er relevant for arten af de tjenester, der leveres af Underdatabehandleren.

6. Den Registreredes Rettigheder

Under hensyntagen til behandlingens art skal Databehandleren i rimeligt omfang bistå Virksomheden med opfyldelsen af Virksomhedens forpligtelser til at besvare anmodninger om at udøve den registreredes rettigheder i henhold til databeskyttelseslovgivningen.

Databehandleren skal:

6.1) straks underrette Virksomheden, hvis den modtager en anmodning fra en Registreret i henhold til enhver databeskyttelseslovgivning med hensyn til Virksomhedens Personoplysninger; og

6.2) sikre, at den ikke besvarer denne anmodning, undtagen efter dokumenteret instruks fra den Dataansvarlige eller som krævet i henhold til gældende love, som Databehandleren er underlagt, i hvilket tilfælde Databehandleren, i det omfang det er tilladt i henhold til gældende love, skal informere den Dataansvarlige om dette juridiske krav, før den Kontraherede Databehandler besvarer anmodningen.

7. Brud på persondatasikkerheden

Databehandleren skal håndtere ethvert brud på persondatasikkerheden i overensstemmelse med gældende databeskyttelseslovgivning og sine interne procedurer for brud på persondatasikkerheden. I tilfælde af et brud på persondatasikkerheden, der påvirker virksomhedens Personoplysninger, skal Databehandleren underrette Virksomheden uden forsinkelse og give tilstrækkelige oplysninger, så Virksomheden kan opfylde sine forpligtelser i henhold til databeskyttelseslovgivningen, herunder om nødvendigt at informere de Registrerede. I sådanne tilfælde skal Databehandleren give Virksomheden tilstrækkelige oplysninger til at give Virksomheden mulighed for at opfylde eventuelle forpligtelser til at anmelde eller informere de Registrerede om bruddet på persondatasikkerheden i henhold til databeskyttelseslovgivningen.

Databehandleren skal samarbejde med Virksomheden og tage rimelige kommercielle skridt som anvist af Virksomheden for at bistå med efterforskning, afbødning og afhjælpning af hvert enkelt brud på persondatasikkerheden.

Hver part skal bære omkostningerne til efterforskning, afhjælpning, afbødning og andre relaterede omkostninger i det omfang, et databrud er forårsaget af den pågældende part.

Hver part skal bære omkostningerne til eventuelle bøder, sanktioner, skader eller andre relaterede beløb, der pålægges af et autoriseret tilsynsorgan, en statslig myndighed eller en kompetent domstol, i det omfang det skyldes den pågældende parts misligholdelse af sine forpligtelser i henhold til denne Aftale.

8. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

Databehandleren skal yde rimelig bistand til Virksomheden med enhver konsekvensanalyse vedrørende databeskyttelse og forudgående høringer med Tilsynsmyndigheder eller andre kompetente databeskyttelsesmyndigheder, som den Dataansvarlige med rimelighed anser for at være påkrævet i henhold til artikel 35 eller 36 i GDPR eller tilsvarende bestemmelser i enhver anden databeskyttelseslovgivning, i hvert tilfælde udelukkende i relation til Behandling af Virksomhedens Personoplysninger af, og under hensyntagen til arten af Behandlingen og de oplysninger, der er tilgængelige for de Kontraherede Databehandlere.

9. Sletning eller returnering af Virksomhedens Personoplysninger

I tilfælde af ophør af en Tjeneste, der involverer Behandling af Virksomhedens Personoplysninger, skal Databehandleren slette alle Virksomhedens Personoplysninger i det omfang, det er tilladt i henhold til gældende love og i overensstemmelse med Databehandlerens Vilkår og betingelser og Privatlivspolitik. Hvis Virksomheden ønsker en kopi af sine data, skal den anmode om det før sletningen af sin konto; anmodninger foretaget efter sletning af kontoen kan ikke længere imødekommes.

10. Revisionsrettigheder

Med forbehold for dette afsnit 10 skal Databehandleren efter anmodning stille alle oplysninger til rådighed for Virksomheden, der er nødvendige for at påvise overholdelse af denne Aftale, og skal tillade og bidrage til revisioner, herunder inspektioner, foretaget af Virksomheden eller en revisor, der er bemyndiget af Virksomheden, i forbindelse med de Kontraherede Databehandleres Behandling af Virksomhedens Personoplysninger. Virksomheden må ikke udøve sine revisionsrettigheder mere end én gang pr. kalenderår, undtagen efter et brud på persondatasikkerheden eller en instruks fra en tilsynsmyndighed. Virksomheden skal give Databehandleren mindst tres (60) dages skriftligt varsel om sin hensigt om at revidere Databehandleren i henhold til denne Aftale. Revisionen skal udføres i Databehandlerens åbningstid, må ikke forstyrre Databehandlerens drift og skal sikre beskyttelsen af Virksomhedens, Databehandlerens og andre Registreredes Personoplysninger. Databehandleren og Virksomheden skal på forhånd gensidigt aftale dato, omfang, varighed samt sikkerheds- og fortrolighedskontroller, der gælder for revisionen. Virksomheden anerkender, at underskrivelse af en fortrolighedsaftale kan blive krævet af den Dataansvarlige forud for gennemførelsen af revisionen.

Virksomhedens informations- og revisionsrettigheder opstår kun i henhold til afsnit 10 i det omfang, Aftalen ikke på anden måde giver dem informations- og revisionsrettigheder, der opfylder de relevante krav i databeskyttelseslovgivningen.

11. Dataoverførsel

I videst muligt omfang skal Databehandleren kun overføre eller godkende overførsel af Data til lande i Schweiz, EU og/eller lande, der er omfattet af en tilstrækkelighedsafgørelse, som fastsat i art. 45 GDPR og art. 16 i den schweiziske databeskyttelseslov (nFADP). Hvis Personoplysninger, der behandles i henhold til denne Aftale, overføres fra Schweiz eller et land inden for EU eller et land, der er omfattet af en tilstrækkelighedsafgørelse, til et land uden for dette anvendelsesområde, skal Parterne sikre, at Personoplysningerne er tilstrækkeligt beskyttet. For at opnå dette skal Parterne, medmindre andet er aftalt, støtte sig til Schweiz- og/eller EU- og/eller UK-godkendte og på det tidspunkt gældende standardkontraktbestemmelser for overførsel af Personoplysninger eller andre overførselsmekanismer som fastsat i databeskyttelseslovgivningen. Databehandleren skal være bemyndiget til at udføre sådanne overførsler til Underdatabehandlere, forudsat at der er implementeret passende garantier med hensyn til overførslens art.

12. Generelle vilkår

Overholdelse af gældende love. Databehandleren vil behandle Virksomhedens Personoplysninger i overensstemmelse med denne Aftale og databeskyttelseslovgivningen, der gælder for dens rolle i henhold til denne Aftale. Databehandleren er ikke ansvarlig eller erstatningsansvarlig for at overholde databeskyttelseslove, der udelukkende gælder for Virksomheden i kraft af dens forretning eller branche.

Fortrolighed. Hver part skal holde enhver oplysning, den modtager om den anden part og dens forretning i forbindelse med denne Aftale ("Fortrolige Oplysninger"), fortrolig og må ikke bruge eller videregive disse Fortrolige Oplysninger uden forudgående skriftligt samtykke fra den anden part, undtagen i det omfang:

(a) videregivelse er påkrævet ved lov;

(b) de relevante oplysninger allerede er offentligt tilgængelige uden Parternes skyld.

Meddelelser. Alle meddelelser og kommunikationer i henhold til denne Aftale skal være skriftlige og vil blive sendt pr. e-mail. Den Dataansvarlige skal underrettes via e-mail sendt til den adresse, der er relateret til dens brug af Tjenesterne i henhold til Hovedaftalen. Databehandleren skal underrettes via e-mail sendt til adressen: legal@protnn.me.

Gældende lov og værneting. Denne Aftale er underlagt schweizisk lov, uden hensyntagen til lovvalgs- eller lovkonfliktbestemmelser i nogen jurisdiktion, der måtte tilsige det modsatte, og tvister, søgsmål, krav eller søgsmålsgrunde, der opstår som følge af eller i forbindelse med denne Aftale, en ordreformular, ethvert dokument, der er indarbejdet ved henvisning, Proton-teknologi eller Tjenesterne, skal være underlagt den eksklusive jurisdiktion i Geneve, Schweiz.


I tilfælde af uoverensstemmelse mellem den engelske version af disse Betingelser og en oversat version, skal den engelske version have forrang.