Umowa o przetwarzaniu danych
Ostatnia modyfikacja: 23 września 2024 r.
Niniejsza Umowa o przetwarzaniu danych („Umowa”) stanowi część Umowy o świadczenie usług zgodnie z Regulaminem firmy Proton AG („Umowa główna”) pomiędzy Proton AG, z siedzibą pod adresem: Route de la Galaise 32, 1228 Plan-les-Ouates, Szwajcaria, numer identyfikacyjny spółki CHE-354.686.492 (zwaną dalej „Podmiotem przetwarzającym”) a Firmą korzystającą z usług Proton (zwaną dalej „Firmą”)”.
Niniejsza Umowa reguluje szczegółowe wymogi Przepisów o ochronie danych w zakresie, w jakim korzystanie przez Firmę z Usług świadczonych przez Proton wiąże się z przetwarzaniem Danych osobowych podlegających Przepisom o ochronie danych.
Niniejsza Umowa stanowi uzupełnienie naszej Polityki prywatności, która służy jako podstawowy punkt odniesienia dla naszych praktyk i środków ochrony danych.
Okres obowiązywania niniejszej Umowy rozpoczyna się wraz z okresem obowiązywania Umowy głównej. Terminy niezdefiniowane w niniejszej Umowie otrzymują znaczenie określone w Umowie głównej.
W ZWIĄZKU Z FAKTEM, ŻE
A) Firma pełni funkcję Administratora danych („Administrator”).
B) Firma zamierza zlecić podwykonawstwo określonych Usług (opisanych poniżej), które wiążą się z przetwarzaniem danych osobowych, firmie Proton AG, działającej jako Podmiot przetwarzający dane („Podmiot przetwarzający”).
C) Strony dążą do zawarcia umowy o przetwarzaniu danych zgodnej z wymogami obowiązujących ram prawnych w zakresie przetwarzania danych oraz z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), oraz innymi obowiązującymi przepisami o ochronie danych.
D) Strony zamierzają określić swoje prawa i obowiązki.
UZGODNIONO, CO NASTĘPUJE:
1. Definicje i wykładnia
O ile nie określono inaczej, terminy i wyrażenia zapisane w niniejszej Umowie wielką literą mają znaczenie przypisane im poniżej:
1.1) „Umowa” oznacza niniejszą Umowę o przetwarzaniu danych i wszystkie Załączniki;
1.2) „Dane osobowe Firmy” Dane osobowe związane z Firmą, klientami lub pracownikami Firmy przetwarzane zgodnie z Umową główną;
1.3) „Podwykonawca podmiotu przetwarzającego” oznacza Inny podmiot przetwarzający zaangażowany w przetwarzanie danych;
1.4) „Przepisy o ochronie danych” oznaczają unijne przepisy o ochronie danych oraz, w odpowiednim zakresie, przepisy o ochronie danych lub prywatności obowiązujące w jakimkolwiek innym kraju;
1.5) „EOG” oznacza Europejski Obszar Gospodarczy;
1.6) „Unijne przepisy o ochronie danych” oznaczają Dyrektywę UE 95/46/WE, transponowaną do ustawodawstwa krajowego każdego państwa członkowskiego, która może być zmieniana, zastępowana lub uchylona, w tym przez RODO oraz przepisy wdrażające lub uzupełniające RODO;
1.7) „RODO” oznacza ogólne rozporządzenie UE o ochronie danych osobowych 2016/679;
1.8) „Przekazanie danych” oznacza:
- 1.8.1) przekazanie Danych osobowych Firmy przez Administratora Podmiotowi przetwarzającemu lub Podwykonawcy podmiotu przetwarzającego; lub
- 1.8.2) dalsze przekazanie Danych osobowych Firmy przez Podmiot przetwarzający Innemu podmiotowi przetwarzającemu lub pomiędzy dwiema jednostkami organizacyjnymi Innego podmiotu przetwarzającego;
1.9) „Usługi” oznaczają bezpieczne usługi internetowe świadczone przez Podmiot przetwarzający, takie jak poczta elektroniczna, kalendarz, dysk i inne usługi opracowane przez Podmiot przetwarzający. Szczegóły i ceny Usług można znaleźć na stronie internetowej Podmiotu przetwarzającego.
1.10) „Inny podmiot przetwarzający” oznacza każdą osobę wyznaczoną przez Podmiot przetwarzający, lub w jego imieniu, do przetwarzania Danych osobowych w imieniu Administratora w związku z niniejszą Umową.
Terminy „Komisja”, „Administrator”, „Osoba, której dane dotyczą”, „Państwo członkowskie”, „Dane osobowe”, „Naruszenie ochrony danych osobowych”,„Przetwarzanie” i „Organ nadzorczy” mają takie samo znaczenie jak w RODO lub innych obowiązujących przepisach o ochronie danych, a odpowiadające im terminy będą interpretowane zgodnie z nimi.
2. Przetwarzanie Danych osobowych Firmy
Podmiot przetwarzający:
2.1) będzie przestrzegać wszystkich obowiązujących Przepisów o ochronie danych podczas przetwarzania Danych osobowych Firmy;
2.2) nie będzie przetwarzać Danych osobowych Firmy w sposób inny niż zgodnie z udokumentowanymi poleceniami Administratora, o których mowa w punkcie 2.
Administrator zleca Podmiotowi przetwarzającemu przetwarzanie Danych osobowych Firmy w celu:
2.3) świadczenia Usług i związanego z nimi wsparcia technicznego;
2.4) wypełniania zobowiązań prawnych lub rozstrzygania sporów;
2.5) wykonywania wszelkich zadań wewnętrznych mających na celu optymalizację bezpieczeństwa, prywatności, poufności i funkcjonalności Usług;
2.6) prowadzenia wewnętrznej sprawozdawczości, sprawozdawczości finansowej i wykonywania innych podobnych zadań wewnętrznych.
3. Personel Podmiotu przetwarzającego
Podmiot przetwarzający podejmie uzasadnione kroki w celu zapewnienia wiarygodności każdego pracownika, agenta lub kontrahenta Podwykonawcy podmiotu przetwarzającego, który może mieć dostęp do Danych osobowych Firmy, upewniając się każdorazowo, że dostęp ten jest ściśle ograniczony do osób, które muszą znać stosowne Dane osobowe Firmy lub uzyskać do nich dostęp w zakresie niezbędnym do realizacji Umowy głównej i/lub w celu przestrzegania przepisów o ochronie danych i innych stosownych przepisów w kontekście obowiązków danej osoby wobec Podwykonawcy podmiotu przetwarzającego, zapewniając przy tym, by wszystkie takie osoby zobowiązały się do zachowania tajemnicy lub by podlegały zawodowemu lub ustawowemu obowiązkowi zachowania tajemnicy.
4. Bezpieczeństwo
Zgodnie z art. 32 (1) RODO Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, z uwzględnieniem aktualnego stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. Środki te mają na celu ochronę praw i wolności osób fizycznych, biorąc pod uwagę ryzyko o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, w tym ryzyko naruszenia danych osobowych.
Podmiot przetwarzający oceni również ryzyko związane z czynnościami przetwarzania i zastosuje środki zgodne z wymogami określonymi w art. 32 (1) RODO, przez cały czas zapewniając bezpieczeństwo Danych osobowych Firmy.
5. Podwykonawstwo przetwarzania danych
Z zastrzeżeniem postanowień niniejszej Umowy, Firma udziela Podmiotowi przetwarzającemu ogólnego upoważnienia do korzystania z usług Innych podmiotów przetwarzających oraz ujawniania lub przekazywania im Danych osobowych Firmy. Firma uznaje i zatwierdza listę Innych podmiotów przetwarzających przedstawioną w Polityce prywatności Podmiotu przetwarzającego, przyjmując do wiadomości, że lista ta może być regularnie aktualizowana przez Podmiot przetwarzający, w którym to przypadku Firma zostanie poinformowana przez Podmiot przetwarzający zgodnie z procedurą powiadamiania określoną w Polityce prywatności. Ponadto Firma upoważnia Podmiot przetwarzający do ujawniania i przekazywania Danych osobowych dowolnej firmie w ramach swojej grupy kapitałowej.
Podmiot przetwarzający zapewnia, że Inne podmioty przetwarzające podlegają umowie z Podmiotem przetwarzającym, która pod względem ochrony Danych osobowych Firmy jest równie restrykcyjna i zapewnia taki sam stopień ochrony jak niniejsza Umowa w zakresie odpowiadającym charakterowi usług świadczonych przez Inne podmioty przetwarzające.
6. Prawa osób, których dane dotyczą
Biorąc pod uwagę charakter przetwarzania, Podmiot przetwarzający w stosownym stopniu pomoże Firmie w wypełnianiu jej obowiązków w zakresie odpowiadania na żądania Osób, których dane dotyczą, chcących skorzystać z praw przysługujących im na mocy Przepisów o ochronie danych.
Podmiot przetwarzający:
6.1) niezwłocznie powiadomi Firmę, jeśli otrzyma żądanie od Osoby, której dane dotyczą, złożonego na mocy Przepisów o ochronie danych w odniesieniu do Danych osobowych Firmy; oraz
6.2) zapewni, że nie odpowie na takie żądanie, chyba że zgodnie z udokumentowanymi poleceniami Administratora lub zgodnie z wymogami Obowiązujących przepisów prawa, którym podlega Podmiot przetwarzający; w takim przypadku Podmiot przetwarzający poinformuje Administratora o takim wymogu prawnym w zakresie dozwolonym przez Obowiązujące przepisy prawa, zanim Podwykonawca podmiotu przetwarzającego odpowie na takie żądanie.
7. Naruszenie ochrony danych osobowych
Podmiot przetwarzający będzie zarządzał wszelkimi przypadkami Naruszenia ochrony danych osobowych zgodnie z obowiązującymi Przepisami o ochronie danych osobowych i wewnętrznymi procedurami dotyczącymi Naruszenia ochrony danych osobowych. W przypadku Naruszenia ochrony danych osobowych mającego wpływ na Dane osobowe Firmy, Podmiot przetwarzający powiadomi o tym niezwłocznie Firmę, dostarczając jej wystarczających informacji umożliwiających wypełnienie zobowiązań wynikających z Przepisów o ochronie danych, w tym, w razie konieczności, poinformowanie Osób, których dane dotyczą. W takich przypadkach Podmiot przetwarzający przekaże Firmie wystarczające informacje umożliwiające jej wywiązanie się z obowiązku zgłoszenia lub poinformowania Osób, których dane dotyczą o Naruszeniu ochrony danych osobowych zgodnie z Przepisami o ochronie danych.
Podmiot przetwarzający będzie współpracował z Firmą i podejmie uzasadnione kroki handlowe wskazane przez Firmę, aby pomóc w dochodzeniu, złagodzeniu środków i naprawieniu każdego takiego Naruszenia ochrony danych osobowych.
Każda ze Stron poniesie koszty dochodzenia, środków zaradczych, łagodzenia skutków i inne powiązane koszty w zakresie, w jakim Naruszenie ochrony danych osobowych zostało spowodowane przez stronę.
Każda ze stron ponosi koszty wszelkich grzywien, kar, odszkodowań i innych powiązanych kwot nałożonych przez upoważniony organ regulacyjny, agencję rządową lub sąd właściwej jurysdykcji w zakresie wynikającym z naruszenia przez daną stronę jej zobowiązań wynikających z niniejszej Umowy.
8. Ocena skutków dla ochrony danych i uprzednie konsultacje
Podmiot Przetwarzający zapewni Firmie uzasadnioną pomoc w przeprowadzeniu oceny skutków dla ochrony danych oraz uprzednich konsultacji z Organami nadzorczymi lub właściwymi organami ochrony prywatności danych, które Administrator zasadnie uzna za wymagane na mocy artykułu 35 lub 36 RODO lub równoważnych przepisów jakiegokolwiek innego prawa o ochronie danych, w każdym przypadku wyłącznie w odniesieniu do przetwarzania Danych osobowych Firmy przez Podwykonawców podmiotów przetwarzających, z uwzględnieniem charakteru Przetwarzania i dostępnych informacji.
9. Usunięcie lub zwrot Danych osobowych Firmy
W przypadku zaprzestania świadczenia jakiejkolwiek Usługi związanej z przetwarzaniem Danych osobowych Firmy, Podmiot przetwarzający usunie wszystkie Dane osobowe Firmy w zakresie dozwolonym przez obowiązujące przepisy prawa oraz zgodnie z Regulaminem i Polityką prywatności Podmiotu przetwarzającego. Jeśli Firma zażąda kopii swoich danych, musi to zrobić przed usunięciem jej konta; żądania złożone po usunięciu konta nie mogą być już rozpatrywane.
10. Prawo do audytu
Z zastrzeżeniem postanowień niniejszego punktu 10, Podmiot przetwarzający, na żądanie Firmy, udostępni jej wszelkie informacje niezbędne do wykazania przestrzegania niniejszej Umowy oraz umożliwi Firmie lub audytorowi upoważnionemu przez Firmę przeprowadzanie audytów, w tym inspekcji, w związku z Przetwarzaniem danych osobowych Firmy przez Podwykonawców podmiotów przetwarzających. Firma nie będzie korzystać ze swoich praw do audytu częściej niż raz w roku kalendarzowym, z wyjątkiem przypadków naruszenia ochrony danych osobowych lub na polecenie organu regulacyjnego. Firma jest zobowiązana powiadomić Podmiot przetwarzający na piśmie o zamiarze przeprowadzenia audytu Podmiotu przetwarzającego zgodnie z niniejszą Umową co najmniej na sześćdziesiąt (60) dni przed jego przeprowadzeniem. Audyt zostanie przeprowadzony w godzinach pracy Podmiotu przetwarzającego, bez zakłócania działalności Podmiotu przetwarzającego i zapewni ochronę Danych osobowych Firmy, Podmiotu przetwarzającego i innych osób, których dane dotyczą. Podmiot przetwarzający i Firma uzgodnią z wyprzedzeniem datę, zakres, czas trwania oraz środki kontroli bezpieczeństwa i poufności mające zastosowanie w przypadku audytu. Firma przyjmuje do wiadomości, że przed przeprowadzeniem audytu Administrator może zażądać podpisania umowy o zachowaniu poufności.
Prawa Firmy do informacji i przeprowadzania audytu przysługują jej na mocy punktu 10. wyłącznie w zakresie, w jakim Umowa nie przyznaje jej w inny sposób praw do informacji i audytu spełniających odpowiednie wymogi Przepisów o ochronie danych.
11. Przekazywanie danych
W zakresie, w jakim jest to możliwe, Podmiot przetwarzający będzie przekazywać lub zezwalać na przekazywanie Danych wyłącznie do Szwajcarii, UE i/lub krajów objętych decyzją stwierdzającą odpowiedni stopień ochrony, zgodnie z art. 45 RODO oraz art. 16 szwajcarskiej federalnej ustawy o ochronie danych osobowych. Jeżeli Dane Osobowe przetwarzane na mocy niniejszej Umowy są przekazywane ze Szwajcarii lub jakiegokolwiek kraju w UE lub jakiegokolwiek kraju objętego decyzją o odpowiednim stopniu ochrony do kraju spoza tego zakresu, Strony zapewnią odpowiednią ochronę takich Danych osobowych. W tym celu, o ile nie uzgodniono inaczej, Strony będą polegać na zatwierdzonych przez Szwajcarię i/lub UE i/lub Wielką Brytanię i obowiązujących w danym momencie standardowych klauzulach umownych dotyczących przekazywania Danych osobowych lub innych mechanizmach przekazywania przewidzianych w Przepisach o ochronie danych. Podmiot przetwarzający jest upoważniony do takiego przekazywania danych Innym podmiotom przetwarzającym pod warunkiem wdrożenia odpowiednich zabezpieczeń uwzględniających charakter przekazywania.
12. Warunki ogólne
Przestrzeganie obowiązującego prawa. Procesor będzie przetwarzać dane osobowe Firmy zgodnie z niniejszą Umową oraz przepisami o ochronie danych obowiązującymi dla jego roli na mocy tej Umowy. Podmiot przetwarzający nie ponosi odpowiedzialności za przestrzeganie Przepisów o ochronie danych mających zastosowanie wyłącznie do Spółki ze względu na jej działalność lub branżę.
Poufność. Każda ze stron musi zachować w poufności wszelkie informacje, które otrzyma od drugiej strony i dotyczą jej działalności w związku z niniejszą Umową („Informacje poufne”) oraz nie może używać ani ujawniać tych Informacji poufnych bez uprzedniej pisemnej zgody drugiej strony, z wyjątkiem sytuacji, gdy:
(a) ujawnienie jest wymagane przez prawo;
(b) odpowiednie informacje są już publicznie dostępne bez winy Stron.
Powiadomienia. Wszystkie zawiadomienia i komunikaty przekazywane na mocy niniejszej Umowy muszą być sporządzone na piśmie i będą wysyłane e-mailem. Administrator będzie powiadamiany pocztą elektroniczną na adres e-mail podany na potrzeby korzystania z Usług wynikających z Umowy głównej. Podmiot przetwarzający będzie powiadamiany pocztą elektroniczną na adres e-mail: legal@proton.me.
Prawo właściwe i jurysdykcja. Niniejsza Umowa podlega prawu szwajcarskiemu, bez względu na obowiązujące przepisy kolizyjne lub konflikt regulacji i przepisów prawnych jakiejkolwiek innej jurysdykcji, a spory, powództwa, roszczenia lub powody powództwa wynikające z niniejszej Umowy lub w związku z nią, formularzem zamówienia, jakimkolwiek dokumentem włączonym przez odniesienie, technologią Proton lub Usługami podlegają wyłącznej jurysdykcji sądów w Genewie, w Szwajcarii.
W przypadku rozbieżności między angielską wersją niniejszych Warunków a wersją przetłumaczoną, wersja angielska ma znaczenie rozstrzygające.