Proton

Tietojenkäsittelysopimus

Viimeksi muokattu: 23. syyskuuta 2024

Tämä tietojenkäsittelysopimus ("sopimus") on osa Proton AG:n käyttöehtojen mukaista palvelusopimusta ("pääsopimus"), joka on solmittu Proton AG:n (Route de la Galaise 32, 1228 Plan-les-Ouates, Sveitsi, yritystunnus CHE-354.686.492, jäljempänä "käsittelijä") ja Protonin palveluita käyttävän yrityksen (jäljempänä "yritys") välillä.

Tämä sopimus sääntelee tietosuojalakien erityisvaatimuksia siltä osin kuin yrityksen Proton-palveluiden käyttö sisältää tietosuojalakien alaisten henkilötietojen käsittelyä.

Tämä sopimus täydentää tietosuojakäytäntöämme, joka toimii ensisijaisena viitteenä tietosuojakäytännöillemme ja -toimenpiteillemme.

Tämän sopimuksen voimassaoloaika noudattaa pääsopimuksen voimassaoloaikaa. Tässä määrittelemättömillä termeillä on pääsopimuksessa annettu merkitys.


OTTEN HUOMIOON

A) Yritys toimii rekisterinpitäjänä (jäljempänä "rekisterinpitäjä").

B) Yritys haluaa antaa alihankintaan tiettyjä palveluita (kuten alla määritelty), jotka sisältävät henkilötietojen käsittelyä, Proton AG:lle, joka toimii henkilötietojen käsittelijänä (jäljempänä "käsittelijä").

C) Osapuolet pyrkivät toteuttamaan tietojenkäsittelysopimuksen, joka on tietojenkäsittelyä koskevan nykyisen lainsäädännön vaatimusten sekä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), ja muiden sovellettavien tietosuojalakien mukainen.

D) Osapuolet haluavat määrittää oikeutensa ja velvollisuutensa.


ON SOVITTU SEURAAVAA:

1. Määritelmät ja tulkinta

Ellei tässä toisin määritellä, tässä tietojenkäsittelysopimuksessa käytetyillä isoilla alkukirjaimilla kirjoitetuilla termeillä ja ilmauksilla on seuraava merkitys:

1.1) "Sopimus" tarkoittaa tätä tietojenkäsittelysopimusta ja kaikkia sen liitteitä;

1.2) "Yrityksen henkilötiedot" tarkoittaa kaikkia henkilötietoja, jotka liittyvät yritykseen tai sen asiakkaisiin tai työntekijöihin ja joita käsitellään pääsopimuksen yhteydessä;

1.3) "Sopimuskäsittelijä" tarkoittaa alikäsittelijää;

1.4) "Tietosuojalait" tarkoittaa EU:n tietosuojalakeja ja soveltuvin osin minkä tahansa muun maan tietosuoja- tai yksityisyydensuojalakeja;

1.5) "ETA" tarkoittaa Euroopan talousaluetta;

1.6) "EU:n tietosuojalait" tarkoittaa EU-direktiiviä 95/46/EY, sellaisena kuin se on saatettu osaksi kunkin jäsenvaltion kansallista lainsäädäntöä ja sellaisena kuin sitä on aika ajoin muutettu, korvattu tai se on kumottu, mukaan lukien GDPR ja GDPR:ää täytäntöönpanevat tai täydentävät lait;

1.7) "GDPR" tarkoittaa EU:n yleistä tietosuoja-asetusta 2016/679;

1.8) "Tietojen siirto" tarkoittaa:

  • 1.8.1) yrityksen henkilötietojen siirtoa rekisterinpitäjältä käsittelijälle tai sopimuskäsittelijälle; tai
  • 1.8.2) yrityksen henkilötietojen edelleen siirtoa käsittelijältä alikäsittelijälle tai alikäsittelijän kahden toimipaikan välillä;

1.9) "Palvelut" tarkoittaa käsittelijän tarjoamia suojattuja verkkopalveluita, kuten sähköpostia, kalenteria, tallennustilaa ja muita käsittelijän kehittämiä palveluita. Palveluiden tiedot ja hinnoittelu löytyvät käsittelijän verkkosivustolta.

1.10) "Alikäsittelijä" tarkoittaa henkilöä, jonka käsittelijä on nimittänyt tai jonka puolesta käsitellään henkilötietoja rekisterinpitäjän lukuun sopimuksen yhteydessä.

Termeillä "komissio", "rekisterinpitäjä", "rekisteröity", "jäsenvaltio", "henkilötiedot", "henkilötietojen tietoturvaloukkaus", "käsittely" ja "valvontaviranomainen" on sama merkitys kuin GDPR:ssä tai muussa sovellettavassa tietosuojalaissa, ja niiden johdannaiset on tulkittava vastaavasti.

2. Yrityksen henkilötietojen käsittely

Käsittelijän on:

2.1) noudatettava kaikkia sovellettavia tietosuojalakeja käsitellessään yrityksen henkilötietoja;

2.2) eikä se saa käsitellä yrityksen henkilötietoja muuten kuin rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti kohdassa 2.

Rekisterinpitäjä ohjeistaa käsittelijää käsittelemään yrityksen henkilötietoja seuraavasti:

2.3) palveluiden ja niihin liittyvän teknisen tuen tarjoamiseksi;

2.4) lakisääteisten velvoitteiden täyttämiseksi tai riitojen ratkaisemiseksi;

2.5) suoritettava sisäisiä tehtäviä, joiden tarkoituksena on optimoida palveluiden turvallisuutta, yksityisyyttä, luottamuksellisuutta ja toiminnallisuuksia;

2.6) suoritettava sisäistä raportointia, taloudellista raportointia ja muita vastaavia sisäisiä tehtäviä.

3. Käsittelijän henkilöstö

Käsittelijän on ryhdyttävä kohtuullisiin toimenpiteisiin varmistaakseen minkä tahansa sopimuskäsittelijän työntekijän, edustajan tai alihankkijan luotettavuuden, jolla voi olla pääsy yrityksen henkilötietoihin. Käsittelijän on joka tapauksessa varmistettava, että pääsy on rajoitettu tiukasti niihin henkilöihin, joiden tarvitsee tietää tai päästä käsiksi asiaankuuluviin yrityksen henkilötietoihin, mikä on ehdottoman välttämätöntä pääsopimuksen tarkoitusten kannalta ja/tai tietosuojalakien ja muun asiaankuuluvan lainsäädännön noudattamiseksi kyseisen henkilön sopimuskäsittelijälle kuuluvien tehtävien yhteydessä. Samalla on varmistettava, että kaikki tällaiset henkilöt ovat sitoutuneet salassapitosopimuksiin tai ammatillisiin tai lakisääteisiin salassapitovelvollisuuksiin.

4. Turvallisuus

GDPR:n 32 artiklan 1 kohdan mukaisesti käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason, ottaen huomioon uusimman tekniikan, toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset. Näiden toimenpiteiden on oltava suunniteltu suojelemaan luonnollisten henkilöiden oikeuksia ja vapauksia, ottaen huomioon vaihtelevan todennäköisyyden ja vakavuuden riskit, mukaan lukien henkilötietojen tietoturvaloukkauksen riskin.

Käsittelijän on myös arvioitava käsittelytoimiin liittyvät riskit ja sovellettava toimenpiteitä, jotka ovat GDPR:n 32 artiklan 1 kohdassa asetettujen vaatimusten mukaisia, varmistaen yrityksen henkilötietojen turvallisuuden jatkuvasti.

5. Alikäsittely

Tämän sopimuksen mukaisesti yritys antaa käsittelijälle yleisen valtuutuksen käyttää alikäsittelijöitä ja luovuttaa tai siirtää yrityksen henkilötietoja heille. Yritys hyväksyy käsittelijän tietosuojakäytännössä esitetyn alikäsittelijöiden luettelon ja ymmärtää, että käsittelijä voi päivittää tätä luetteloa säännöllisesti, jolloin käsittelijä ilmoittaa asiasta yritykselle tietosuojakäytännön ilmoitusprosessin mukaisesti. Lisäksi yritys valtuuttaa käsittelijän luovuttamaan ja siirtämään henkilötietoja mille tahansa konserniinsa kuuluvalle yritykselle.

Käsittelijä varmistaa, että alikäsittelijät ovat sitoutuneet käsittelijän kanssa sopimukseen, joka ei ole yrityksen henkilötietojen suojan osalta vähemmän rajoittava ja suojaava kuin tämä sopimus siltä osin kuin se on sovellettavissa alikäsittelijän tarjoamien palveluiden luonteeseen.

6. Rekisteröidyn oikeudet

Ottaen huomioon käsittelyn luonteen käsittelijän on kohtuullisessa määrin autettava yritystä täyttämään sen velvollisuudet vastata pyyntöihin, jotka koskevat rekisteröityjen oikeuksien käyttämistä tietosuojalakien mukaisesti.

Käsittelijän on:

6.1) ilmoitettava yritykselle viipymättä, jos se saa rekisteröidyltä pyynnön minkä tahansa tietosuojalain nojalla koskien yrityksen henkilötietoja; ja

6.2) varmistettava, ettei se vastaa pyyntöön muuten kuin rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti tai käsittelijään sovellettavien lakien edellyttämällä tavalla, jolloin käsittelijän on sovellettavien lakien sallimissa rajoissa ilmoitettava rekisterinpitäjälle kyseisestä lakisääteisestä vaatimuksesta ennen kuin sopimuskäsittelijä vastaa pyyntöön.

7. Henkilötietojen tietoturvaloukkaus

Käsittelijä hallinnoi kaikkia henkilötietojen tietoturvaloukkauksia sovellettavien tietosuojalakien ja sisäisten henkilötietojen tietoturvaloukkausmenettelyjensä mukaisesti. Jos yrityksen henkilötietoihin kohdistuu henkilötietojen tietoturvaloukkaus, käsittelijän on ilmoitettava siitä yritykselle viipymättä ja annettava riittävät tiedot, jotta yritys voi täyttää tietosuojalakien mukaiset velvollisuutensa, mukaan lukien tarvittaessa rekisteröityjen informointi. Tällaisissa tapauksissa käsittelijän on annettava yritykselle riittävät tiedot, jotta yritys voi täyttää kaikki tietosuojalakien mukaiset velvollisuutensa ilmoittaa henkilötietojen tietoturvaloukkauksesta tai tiedottaa siitä rekisteröidyille.

Käsittelijän on tehtävä yhteistyötä yrityksen kanssa ja ryhdyttävä yrityksen ohjeistamiin kohtuullisiin kaupallisiin toimiin auttaakseen kunkin tällaisen henkilötietojen tietoturvaloukkauksen tutkinnassa, lieventämisessä ja korjaamisessa.

Kumpikin osapuoli vastaa tutkinnan, korjaamisen, lieventämisen ja muiden asiaan liittyvien kustannusten kustannuksista siinä määrin kuin tietoturvaloukkaus on kyseisen osapuolen aiheuttama.

Kumpikin osapuoli vastaa valtuutetun sääntelyelimen, viranomaisen tai toimivaltaisen tuomioistuimen määräämien sakkojen, rangaistusten, vahingonkorvausten tai muiden vastaavien summien kustannuksista siinä määrin kuin ne johtuvat kyseisen osapuolen tämän sopimuksen mukaisten velvoitteiden rikkomisesta.

8. Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

Käsittelijän on annettava yritykselle kohtuullista apua kaikissa tietosuojaa koskevissa vaikutustenarvioinneissa ja ennakkokuulemisissa valvontaviranomaisten tai muiden toimivaltaisten tietosuojaviranomaisten kanssa, joita rekisterinpitäjä kohtuudella pitää GDPR:n 35 tai 36 artiklan tai minkä tahansa muun tietosuojalain vastaavien säännösten edellyttäminä, kussakin tapauksessa ainoastaan liittyen yrityksen henkilötietojen käsittelyyn sopimuskäsittelijöiden toimesta ja ottaen huomioon käsittelyn luonteen ja sopimuskäsittelijöiden saatavilla olevat tiedot.

9. Yrityksen henkilötietojen poistaminen tai palauttaminen

Jos mikä tahansa yrityksen henkilötietojen käsittelyyn liittyvä palvelu lakkaa, käsittelijän on poistettava kaikki yrityksen henkilötiedot sovellettavien lakien sallimissa rajoissa ja käsittelijän käyttöehtojen ja tietosuojakäytännön mukaisesti. Jos yritys tarvitsee kopion tiedoistaan, sen on pyydettävä sitä ennen tilinsä poistamista; tilin poistamisen jälkeen tehtyjä pyyntöjä ei voida enää ottaa huomioon.

10. Tarkastusoikeudet

Tämän kohdan 10 mukaisesti käsittelijän on pyynnöstä annettava yrityksen saataville kaikki tiedot, jotka ovat tarpeen tämän sopimuksen noudattamisen osoittamiseksi, ja sallittava ja myötävaikutettava tarkastuksiin, mukaan lukien yrityksen tai sen valtuuttaman tarkastajan suorittamat tarkastukset, jotka liittyvät sopimuskäsittelijöiden suorittamaan yrityksen henkilötietojen käsittelyyn. Yritys ei saa käyttää tarkastusoikeuttaan useammin kuin kerran kalenterivuodessa, paitsi henkilötietojen tietoturvaloukkauksen tai sääntelyviranomaisen ohjeen jälkeen. Yrityksen on ilmoitettava käsittelijälle kirjallisesti vähintään kuusikymmentä (60) päivää etukäteen aikomuksestaan tarkastaa käsittelijä tämän sopimuksen mukaisesti. Tarkastus on suoritettava käsittelijän työaikana, se ei saa häiritä käsittelijän toimintaa ja sen on varmistettava yrityksen, käsittelijän ja muiden rekisteröityjen henkilötietojen suoja. Käsittelijä ja yritys sopivat keskenään etukäteen tarkastuksen päivämäärästä, laajuudesta, kestosta sekä sovellettavista turvallisuus- ja luottamuksellisuusvalvontatoimista. Yritys hyväksyy, että rekisterinpitäjä voi vaatia salassapitosopimuksen allekirjoittamista ennen tarkastuksen suorittamista.

Yrityksen tiedonsaanti- ja tarkastusoikeudet syntyvät kohdan 10 nojalla vain siltä osin kuin sopimus ei muuten anna niille tietosuojalain asiaankuuluvia vaatimuksia täyttäviä tiedonsaanti- ja tarkastusoikeuksia.

11. Tietojen siirto

Mahdollisuuksien mukaan käsittelijä saa siirtää tai valtuuttaa siirtämään tietoja vain Sveitsin, EU:n ja/tai riittävän tietosuojan tason maiksi todettuihin maihin, kuten on säädetty artiklassa. 45 GDPR ja artiklassa 16 Sveitsin FADP. Jos tämän sopimuksen nojalla käsiteltyjä henkilötietoja siirretään Sveitsistä tai mistä tahansa EU:n maasta tai maasta, jota koskee riittävän tietosuojan tason päätös, tämän soveltamisalan ulkopuoliseen maahan, osapuolten on varmistettava, että henkilötiedot on suojattu riittävästi. Tämän saavuttamiseksi osapuolet tukeutuvat, ellei toisin sovita, Sveitsin ja/tai EU:n ja/tai Yhdistyneen kuningaskunnan hyväksymiin ja voimassa oleviin vakiolausekkeisiin henkilötietojen siirtoa varten tai muihin tietosuojalakien mukaisiin siirtomekanismeihin. Käsittelijällä on oikeus suorittaa tällaisia siirtoja alikäsittelijöille edellyttäen, että siirron luonteen kannalta riittävät suojatoimet on toteutettu.

12. Yleiset ehdot

Sovellettavien lakien noudattaminen. Käsittelijä käsittelee yrityksen henkilötietoja tämän sopimuksen ja sen rooliin sovellettavien tietosuojalakien mukaisesti. Käsittelijä ei ole vastuussa tai velvollinen noudattamaan tietosuojalakeja, jotka soveltuvat yksinomaan yritykseen sen liiketoiminnan tai toimialan perusteella.

Luottamuksellisuus. Kummankin osapuolen on pidettävä kaikki tiedot, jotka se saa toisesta osapuolesta ja sen liiketoiminnasta tämän sopimuksen yhteydessä ("luottamukselliset tiedot"), luottamuksellisina, eikä se saa käyttää tai luovuttaa kyseisiä luottamuksellisia tietoja ilman toisen osapuolen etukäteen antamaa kirjallista suostumusta, paitsi siinä määrin kuin:

(a) luovutus on lain edellyttämä;

(b) kyseiset tiedot ovat jo julkisia ilman osapuolten syytä.

Ilmoitukset. Kaikki tämän sopimuksen nojalla annettavat ilmoitukset ja tiedonannot on tehtävä kirjallisesti ja lähetettävä sähköpostitse. Rekisterinpitäjälle ilmoitetaan sähköpostitse osoitteeseen, joka liittyy sen palveluiden käyttöön pääsopimuksen mukaisesti. Käsittelijälle ilmoitetaan sähköpostitse osoitteeseen: [email protected].

Sovellettava laki ja oikeuspaikka. Tähän sopimukseen sovelletaan Sveitsin lakia lainvalintaa tai lainristiriitoja koskevista säännöksistä riippumatta, ja kaikki riidat, kanteet, vaatimukset tai kanneperusteet, jotka johtuvat tästä sopimuksesta, tilauslomakkeesta, mistä tahansa viittauksella sisällytetystä asiakirjasta, Proton-teknologiasta tai Palveluista tai liittyvät niihin, kuuluvat Geneven, Sveitsin, tuomioistuinten yksinomaiseen toimivaltaan.


Jos näiden Käyttöehtojen englanninkielisen version ja käännetyn version välillä on ristiriitaisuuksia, englanninkielinen versio on ensisijainen.