[go: up one dir, main page]
Proton

Tietojenkäsittelysopimus

Viimeksi muutettu: 10. helmikuuta 2026

Tämä tietojenkäsittelysopimus ("Sopimus") on osa Proton AG:n käyttöehtojen mukaista palvelusopimusta ("Pääsopimus") Proton AG:n, Route de la Galaise 32, 1228 Plan-les-Ouates, Sveitsi, yritystunnus CHE-354.686.492 (jäljempänä "Käsittelijä") ja Protonin palveluja käyttävän yrityksen (jäljempänä "Yritys", jolla tarkoitetaan mitä tahansa liiketoimintaa harjoittavaa yritystä tai organisaatio käyttäen Palveluja sen oikeudellisesta muodosta riippumatta) välillä.

Tämä Sopimus sääntelee tietosuojalainsäädännön erityisiä vaatimuksia siltä osin kuin Yrityksen Proton-palvelujen käyttö edellyttää sellaisen Henkilötiedon käsittelyä, johon sovelletaan tietosuojalainsäädäntöä.

Tämä Sopimus täydentää tietosuojakäytäntöämme, joka toimii ensisijaisena viitekehyksenä tietosuojakäytännöillemme ja -toimenpiteillemme.

Tämän Sopimuksen voimassaoloaika määräytyy Pääsopimuksen voimassaoloajan mukaisesti. Ellei tässä määritellä toisin, tässä käytetyillä termeillä on Pääsopimuksessa niille annettu merkitys.


KOSKA

A) Yritys toimii rekisterinpitäjänä ("Rekisterinpitäjä").

B) Yritys haluaa alihankkia tiettyjä Palveluja (kuten jäljempänä määritellään), joihin sisältyy Henkilötietojen käsittelyä, Proton AG:lle, joka toimii henkilötietojen käsittelijänä ("Käsittelijä").

C) Osapuolet pyrkivät ottamaan käyttöön tietojenkäsittelysopimuksen, joka täyttää nykyisen oikeudellisen kehyksen vaatimukset tietojenkäsittelyn osalta sekä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), ja muiden sovellettavien tietosuojalakien vaatimukset.

D) Osapuolet haluavat vahvistaa oikeutensa ja velvollisuutensa.


ON SOVITTU SEURAAVAA:

1. Määritelmät ja tulkinta

Ellei tässä DPA:ssa ole toisin määritelty, tässä tietojenkäsittelysopimuksessa käytetyillä isolla alkukirjaimella kirjoitetuilla termeillä ja ilmauksilla on seuraava merkitys:

1.1) "Sopimus" tarkoittaa tätä tietojenkäsittelysopimusta ja kaikkia liitteitä;

1.2) "Yrityksen henkilötiedot" tarkoittaa kaikkia Yritykseen tai Yrityksen asiakkaisiin taikka työntekijöihin liittyviä Henkilötietoja, joita käsitellään Pääsopimuksen yhteydessä;

1.3) "Sopimuksen mukainen käsittelijä" tarkoittaa Alikäsittelijää;

1.4) "Tietosuojalait" tarkoittaa EU:n tietosuojalakeja ja soveltuvin osin minkä tahansa muun maan tietosuoja- tai yksityisyyslakeja;

1.5) "ETA" tarkoittaa Euroopan talousaluetta;

1.6) "EU:n tietosuojalait" tarkoittaa EU:n direktiiviä 95/46/EY sellaisena kuin se on saatettu osaksi kunkin jäsenvaltion kansallista lainsäädäntöä ja sellaisena kuin sitä kulloinkin muutetaan, korvataan tai syrjäytetään, mukaan lukien GDPR ja GDPR:n täytäntöönpanevat tai sitä täydentävät lait;

1.7) "GDPR" tarkoittaa EU:n yleistä tietosuoja-asetusta 2016/679;

1.8) "Tiedonsiirto" tarkoittaa:

  • 1.8.1) Yrityksen henkilötietojen siirtoa Rekisterinpitäjältä Käsittelijälle tai Sopimuskäsittelijälle; tai
  • 1.8.2) Yrityksen henkilötietojen jatkosiirtoa Käsittelijältä alikäsittelijälle tai kahden alikäsittelijän toimipaikan välillä;

1.9) "Palvelut" tarkoittaa Käsittelijän tarjoamia turvallisia yhdistettyjä palveluja, kuten sähköposti-, kalenteri-, levy- ja muita Käsittelijän kehittämiä palveluja. Palvelujen tiedot ja hinnoittelu löytyvät Käsittelijän verkkosivustolta.

1.10) "Alikäsittelijä" tarkoittaa henkilöä, jonka Käsittelijä tai joku sen puolesta toimiva taho nimeää käsittelemään Henkilötietoja Rekisterinpitäjän puolesta Sopimuksen yhteydessä.

Termeillä "Komissio", "Rekisterinpitäjä", "Rekisteröity", "Jäsenvaltio", "Henkilötiedot", "Henkilötietojen tietoturvaloukkaus", "Käsittely" ja "Valvontaviranomainen" on sama merkitys kuin GDPR:ssä tai muussa sovellettavassa tietosuojalaissa, ja niiden lähikäsitteitä on tulkittava vastaavasti.

2. Yrityksen henkilötietojen käsittely

Käsittelijän tulee:

2.1) noudattaa kaikkia sovellettavia tietosuojalakeja Yrityksen henkilötietojen käsittelyssä;

2.2) eikä käsitellä Yrityksen henkilötietoja muutoin kuin Rekisterinpitäjän osiossa 2 dokumentoitujen ohjeiden mukaisesti.

Rekisterinpitäjä ohjeistaa Käsittelijää käsittelemään Yrityksen henkilötietoja:

2.3) tarjota Palvelut ja niihin liittyvä tekninen tuki;

2.4) täyttää lakisääteiset velvoitteet tai ratkaista riitoja;

2.5) suorittaa sisäisiä tehtäviä, joiden tarkoituksena on optimoida Palvelujen turvallisuus, yksityisyys, luottamuksellisuus ja toiminnallisuudet;

2.6) suorittaa sisäistä raportointia, talousraportointia ja muita vastaavia sisäisiä tehtäviä.

3. Käsittelijän henkilöstö

Käsittelijän on toteutettava kohtuulliset toimet varmistaakseen sellaisen työntekijän, edustajan tai toimeksisaajan luotettavuuden, joka työskentelee Sopimuksen mukaisen käsittelijän palveluksessa ja jolla saattaa olla pääsy Yrityksen henkilötietoihin, varmistaen kussakin tapauksessa, että pääsy on tiukasti rajoitettu niihin henkilöihin, joiden on tarpeen tietää asiaankuuluvat Yrityksen henkilötiedot / saada pääsy niihin siinä määrin kuin se on ehdottoman välttämätöntä Pääsopimuksen tarkoituksia varten ja/tai tietosuojalakien ja muun asiaankuuluvan lainsäädännön noudattamiseksi kyseisen henkilön tehtävien yhteydessä Sopimuksen mukaisen käsittelijän palveluksessa, varmistaen, että kaikki tällaiset henkilöt ovat sitoutuneet salassapitoon tai että heihin sovelletaan ammatillisia tai lakisääteisiä salassapitovelvollisuuksia.

4. Suojaus

GDPR:n 32 artiklan 1 kohdan mukaisesti Käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason ottaen huomioon tekniikan tason, toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset. Nämä toimenpiteet on suunniteltava suojaamaan luonnollisten henkilöiden oikeuksia ja vapauksia ottaen huomioon todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, mukaan lukien Henkilötietojen tietoturvaloukkauksen riski.

Käsittelijän on myös arvioitava käsittelytoimiin liittyvät riskit ja käytä toimenpiteitä, jotka ovat yhdenmukaisia GDPR:n 32 artiklan 1 kohdassa asetettujen vaatimusten kanssa, varmistaen Yrityksen henkilötietojen turvallisuuden aina.

5. Alikäsittely

Tämän Sopimuksen mukaisesti Yritys antaa Käsittelijälle yleisen valtuutuksen käyttää Alikäsittelijöitä sekä luovuttaa tai siirtää niille Yrityksen henkilötietoja. Yritys tunnustaa ja hyväksyy Käsittelijän tietosuojakäytännössä esitetyn Alikäsittelijöiden luettelon ja ymmärtää, että Käsittelijä voi päivittää tätä luetteloa säännöllisesti, jolloin Käsittelijä ilmoittaa siitä yritykselle tietosuojakäytännön ilmoitusprosessin mukaisesti. Lisäksi Yritys valtuuttaa Käsittelijän luovuttamaan ja siirtämään Henkilötietoja mille tahansa sen yritysryhmään kuuluvalle yhtiölle.

Käsittelijä varmistaa, että Alikäsittelijöihin sovelletaan Käsittelijän kanssa tehtyä sopimusta, joka ei ole Yrityksen henkilötietojen suojan osalta vähemmän rajoittava tai suojaava kuin tämä Sopimus siltä osin kuin se soveltuu Alikäsittelijän tarjoamien palvelujen luonteeseen.

6. Rekisteröidyn oikeudet

Ottaen huomioon käsittelyn luonteen Käsittelijän on kohtuullisessa määrin avustettava Yritystä täyttämään Yrityksen velvollisuudet vastata pyyntöihin, jotka koskevat Rekisteröidyn oikeuksien käyttämistä tietosuojalakien nojalla.

Käsittelijän tulee:

6.1) ilmoitettava viipymättä Yritykselle, jos se vastaanottaa Rekisteröidyltä tietosuojalain nojalla tehdyn pyynnön, joka koskee Yrityksen henkilötietoja; ja

6.2) varmistettava, ettei se vastaa tähän pyyntöön muuten kuin Rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti tai ellei sitä vaadita sovellettavissa laeissa, joita Käsittelijään sovelletaan, jolloin Käsittelijän on sovellettavien lakien sallimissa rajoissa ilmoitettava Rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen kuin Sopimuksen mukainen käsittelijä vastaa pyyntöön.

7. Henkilötietojen tietoturvaloukkaus

Käsittelijän on hallitse kaikkia Henkilötietojen tietoturvaloukkauksia sovellettavien tietosuojalakien ja sen sisäisten Henkilötietojen tietoturvaloukkausta koskevien menettelyjen mukaisesti. Jos tapahtuma Henkilötietojen tietoturvaloukkaus vaikuttaa yrityksen henkilötietoihin, Käsittelijän on ilmoitettava Yritykselle ilman aiheetonta viivytystä ja annettava riittävät tiedot, jotta Yritys voi täyttää tietosuojalakien mukaiset velvollisuutensa, mukaan lukien Rekisteröityjen informoiminen tarvittaessa. Tällaisissa tapauksissa Käsittelijän on annettava Yritykselle riittävät tiedot, jotta Yritys voi täyttää kaikki velvollisuutensa ilmoittaa Henkilötietojen tietoturvaloukkauksesta tai tiedottaa siitä Rekisteröidyille tietosuojalakien mukaisesti.

Käsittelijän on tehtävä yhteistyötä Yrityksen kanssa ja toteutettava kohtuulliset kaupalliset toimet Yrityksen ohjeiden mukaisesti avustaakseen jokaisen tällaisen Henkilötietojen tietoturvaloukkauksen tutkimisessa, lieventämisessä ja korjaamisessa.

Kumpikin osapuoli vastaa tutkimisen, korjaamisen, lieventämisen ja muiden niihin liittyvien kustannusten osalta siltä osin kuin Tietoturvaloukkaus on kyseisen osapuolen aiheuttama.

Kumpikin osapuoli vastaa kaikista sakoista, seuraamuksista, vahingonkorvauksista tai muista vastaavista määristä, jotka toimivaltainen sääntelyelin, viranomainen tai toimivaltainen tuomioistuin määrää siltä osin kuin ne johtuvat kyseisen osapuolen tämän Sopimuksen mukaisten velvoitteiden rikkomisesta.

8. Tietosuojan vaikutustenarviointi ja ennakkokuuleminen

Käsittelijän on annettava Yritykselle kohtuullista apua kaikissa tietosuojaa koskevissa vaikutustenarvioinneissa sekä ennakkokuulemisissa valvontaviranomaisten tai muiden toimivaltaisten tietosuojaviranomaisten kanssa, joita Rekisterinpitäjä pitää kohtuudella GDPR:n 35 tai 36 artiklan taikka muun tietosuojalain vastaavien säännösten nojalla vaadittuina, kussakin tapauksessa yksinomaan suhteessa Yrityksen henkilötietojen käsittelyyn, jota Sopimuksen mukaiset käsittelijät suorittavat, ja ottaen huomioon Käsittelyn luonteen ja Sopimuksen mukaisten käsittelijöiden saatavilla olevat tiedot.

9. Yrityksen henkilötietojen poistaminen tai palauttaminen

Jos jokin Palvelu, johon sisältyy Yrityksen henkilötietojen käsittelyä, lakkaa, Käsittelijän on poistaa kaikki Yrityksen henkilötiedot sovellettavien lakien sallimassa laajuudessa sekä Käsittelijän käyttöehtojen ja tietosuojakäytännön mukaisesti. Jos Yritys tarvitsee kopion tiedoistaan, sen on pyydettävä sitä ennen tilinsä poistamista; tilin poistamisen jälkeen tehtyjä pyyntöjä ei voida enää ottaa käsiteltäviksi.

10. Auditointioikeudet

Tämän osion 10 mukaisesti Käsittelijän on pyynnöstä asetettava Yrityksen saataville kaikki tiedot, jotka ovat tarpeen tämän Sopimuksen noudattamisen osoittamiseksi, ja sen on sallittava Yrityksen tai Yrityksen valtuuttaman tilintarkastajan suorittamat auditoinnit, mukaan lukien tarkastukset, sekä osallistuttava niihin suhteessa Yrityksen henkilötietojen käsittelyyn, jota Sopimuksen mukaiset käsittelijät suorittavat. Yritys ei saa käyttää auditointioikeuksiaan useammin kuin kerran kalenterivuodessa, paitsi Henkilötietojen tietoturvaloukkauksen jälkeen tai sääntelyviranomaisen ohjeesta. Yrityksen on annettava Käsittelijälle vähintään kuusikymmentä (60) päivää etukäteen kirjallinen ilmoitus aikomuksestaan auditoida Käsittelijää tämän Sopimuksen mukaisesti. Auditointi on suoritettava Käsittelijän liiketoiminta-aikana, se ei saa häiritä Käsittelijän toimintaa, ja sen on varmistettava Yrityksen, Käsittelijän ja muiden Rekisteröityjen Henkilötietojen suoja. Käsittelijän ja Yrityksen on sovittava etukäteen yhdessä auditointiin sovellettavista päivämäärästä, laajuudesta, kestosta sekä turvallisuus- ja luottamuksellisuusvalvonnasta. Yritys hyväksyy, että Rekisterinpitäjä voi edellyttää salassapitosopimuksen allekirjoittamista ennen auditoinnin suorittamista.

Yrityksen tiedonsaanti- ja auditointioikeudet syntyvät osion 10 nojalla vain siltä osin kuin Sopimus ei muutoin anna sille tiedonsaanti- ja auditointioikeuksia, jotka täyttävät tietosuojalain asiaankuuluvat vaatimukset.

11. Tiedonsiirto

Siltä osin kuin mahdollista, Käsittelijä saa siirtää tai valtuuttaa Tietojen siirron vain Sveitsissä, EU:ssa ja/tai maissa, joita koskee riittävyyspäätös, kuten art. mukaisesti. 45 GDPR ja art. 16 Sveitsin FADP. Jos tämän Sopimuksen nojalla käsiteltyjä Henkilötietoja siirretään Sveitsistä tai mistä tahansa EU:n maasta tai maasta, jota koskee riittävyyspäätös, tämän soveltamisalan ulkopuoliseen maahan, Osapuolten on varmistettava, että Henkilötiedot suojataan asianmukaisesti. Tämän saavuttamiseksi Osapuolet tukeutuvat, ellei toisin sovita, Sveitsin ja/tai EU:n ja/tai Yhdistyneen kuningaskunnan hyväksymiin ja kulloinkin voimassa oleviin henkilötietojen siirtoa koskeviin vakiosopimuslausekkeisiin tai muihin tietosuojalakien mukaisiin siirtomekanismeihin. Käsittelijällä on oikeus suorittaa tällaisia siirtoja Alikäsittelijöille edellyttäen, että siirron luonne huomioon ottaen toteutetaan asianmukaiset suojatoimet.

12. Yleiset ehdot

Sovellettavien lakien noudattaminen. Käsittelijä käsittelee Yrityksen henkilötietoja tämän Sopimuksen ja sen tehtävään tämän Sopimuksen nojalla sovellettavien tietosuojalakien mukaisesti. Käsittelijä ei ole vastuussa eikä korvausvastuussa sellaisten tietosuojalakien noudattamisesta, joita sovelletaan yksinomaan Yritykseen sen liiketoiminnan tai toimialan perusteella.

Luottamuksellisuus. Kummankin osapuolen on pidettävä luottamuksellisina kaikki tiedot, jotka se saa toisesta osapuolesta ja sen liiketoiminnasta tämän Sopimuksen yhteydessä ("Luottamukselliset tiedot"), eikä se saa käyttää tai luovuttaa näitä Luottamuksellisia tietoja ilman toisen osapuolen etukäteen antamaa kirjallista suostumusta, paitsi siltä osin kuin:

(a) luovuttaminen on lain edellyttämää;

(b) asiaankuuluvat tiedot ovat jo julkisesti saatavilla ilman, että Osapuolet ovat syyllisiä siihen.

Ilmoitukset. Kaikkien tämän Sopimuksen mukaisten ilmoitusten ja viestien on oltava kirjallisia, ja ne lähetetään sähköpostitse. Rekisterinpitäjälle ilmoitetaan sähköpostitse osoitteeseen, joka liittyy sen Palvelujen käyttöön Pääsopimuksen nojalla. Käsittelijälle ilmoitetaan sähköpostitse osoitteeseen: legal@proton.me.

Sovellettava laki ja oikeuspaikka. Tähän Sopimukseen sovelletaan Sveitsin lakia ottamatta huomioon minkään oikeusalueen ristiriitaisia lainvalinta- tai lainristiriitasäännöksiä, ja kaikki tästä Sopimuksesta, tilauslomakkeesta, mistä tahansa viittauksella sisällytetystä asiakirjasta, Proton-teknologiasta tai Palveluista johtuvat tai niihin liittyvät riidat, kanteet, vaatimukset tai kanneperusteet kuuluvat yksinomaan Geneven, Sveitsin toimivaltaan.


Jos näiden Käyttöehtojen englanninkielisen version ja käännetyn version välillä on ristiriitaisuuksia, englanninkielinen versio on ensisijainen.