FORRETNINGSBETINGELSER FOR IBAS' DATAGENDANNELSESYDELSER
1 FORRETNINGSBETINGELSER
1.1 Disse forretningsbetingelser ("Betingelser") gælder for levering af datagendannelsesydelser fra Ibas Ontrack ApS ("Ibas") med hjemstedsadresse på Gammel Kongevej 1, 1610 København V (CVR-nr. 19626008), til dig. Læs venligst Betingelserne grundigt, før du afgiver en ordre til os. Betingelserne indeholder oplysninger om, hvem vi er, hvordan vi leverer ydelserne til dig, hvordan du og vi kan bringe aftalen til ophør, hvad du skal gøre i tilfælde af problemer samt andre vigtige oplysninger.
2 KONTAKTOPLYSNINGER
2.1 Sådan kan du kontakte os. Du kan kontakte os ved at ringe til vores kundeservice på +45 70 22 34 00, ved at sende et brev til Ibas Ontrack Aps, C/O Regus, Gammel Kongevej 1, 1610 København V, ved at gå ind på ibas.com/dk/kontakt eller ved at sende os en e-mail på dkrecovery@ontrack.com.
3 DEFINITIONER
3.1 I disse Betingelser anvendes følgende definerede udtryk:
(n) "Ydelsesbeskrivelse" skal forstås som den specifikke proces, der anvendes af Ibas, og som er beskrevet her: https://www.ibas.com/dk/salgs-leveringsbetingelser#beskrivelse-af-ibas-datagendannelsesydelse, som bl.a. beskriver ydelsesbegrænsninger, ydelsesniveau og forventninger.
4 ORDREPROCES
4.1 Ved en almindelig datagendannelse skal du fremsende dit Datamedie til os efter en indledende telefonsamtale og indsendelse af kontaktformularen på Hjemmesiden, enten via Hjemmesiden eller pr. e-mail. Vi gør rimelige bestræbelser på: a) at undersøge udstyret for at fastslå: i) hvilke Data, der kan tilgås på Udstyret, ii) årsagen til, at Udstyret og/eller Data er blevet beskadiget, iii) omfanget af Data, der sandsynligvis kan gendannes på Udstyret, iv) hvis du har indsendt en ødelagt Mobiltelefon, hvorvidt det er muligt at reparere din Mobiltelefon og hvilken hardware, der evt. skal repareres eller udskiftes for at gendanne Mobiltelefonens funktionalitet ("gratis evaluering"), og b) at formidle resultaterne af vores gratis evaluering til dig. Vi giver dig et tilbud, der beskriver omfanget af Ydelserne og vores Vederlag ("Tilbud"). Alle Ydelser leveres i overensstemmelse med Ydelsesbeskrivelserne.
4.2 Ved andre ydelser, herunder datagendannelse via fjernadgang ("RDR"), hvor der ikke er indleveret Udstyr til os, eller i tilfælde af afmagnetisering, omfatter tilbuddet det arbejde, som Ibas forventes at udføre for at kunne levere Ydelserne.
4.3 Efter modtagelse af vores Tilbud kan du efter eget valg enten: i) acceptere og underskrive Tilbuddet eller arbejdsbeskrivelsen for at bestille vores Ydelser ("Ordre"), ii) fremsende en anmodning om i givet fald at få dit Udstyr retur, hvorved du indvilger i at betale returomkostningerne, eller iii) fremsende en anmodning om, at vi skal destruere Udstyret, i hvilket tilfælde du giver os tilladelse til straks at destruere dit Udstyr. Hvis vi ikke modtager en Ordre eller en anmodning om returnering af Udstyret senest 90 kalenderdage efter afgivelse af Tilbuddet, bortskaffer vi dit Udstyr i overensstemmelse med gældende lov.
4.4 Vi har accepteret Ordren, når vi dig sender en e-mail med en ordrebekræftelse, hvorefter der er indgået en juridisk bindende aftale ("aftale") mellem dig og os, som er underlagt disse Betingelser. Vi giver Ordren et ordrenummer. Det er en hjælp for os, hvis du oplyser ordrenummeret, når du kontakter os.
5 VORES YDELSER
5.1 Mod betaling af Vederlaget leverer vi Ydelserne med professionel omhu. Efter modtagelse af en Ordre bestræber vi os på: i) at genfinde, replikere, genskabe, skabe adgang til, konvertere, gendanne og returnere alle gendannede Data til dig på en krypteret harddisk eller et krypteret USB-stik (eller en anden harddisk leveret af dig), ii) om nødvendigt at reparere din Mobiltelefon, og iii) at udføre sådanne andre ydelser, som vi skriftligt har aftalt at udføre for dig, såsom afmagnetisering eller RDR. Når du modtager harddisken eller USB-stikket med dine gendannede Data fra Ibas, opfordrer vi dig til straks at tjekke harddiskens eller USB-stikkets tekniske funktionalitet. Ibas kan kun foretage genlevering af dine gendannede Data i tilfælde af fejl ved den leverede enhed i den dataopbevaringsperiode, der er gældende for dine gendannede personoplysninger i overensstemmelse med Ibas' databehandleraftale. Datagendannelse via fjernadgang. Hvis du ønsker, at Ibas skal foretage datagendannelse i en situation, hvor det ikke er nødvendigt at indlevere Udstyr, kan Ibas udføre datagendannelse via fjernadgang. Du skal downloade og installere Ibas' RDR-klientsoftware via det link, du modtager fra Ibas. Når klienten er installeret, kan du oprette forbindelse til Ibas ved hjælp af en krypteret internetforbindelse. Ibas anvender kun RDR-forbindelsen til at bruge Ibas' gendannelsesværktøjer direkte på kundens maskine. Dine Data bliver ikke overført til Ibas under denne proces.
5.2 Afmagnetisering. Ibas placerer dit Udstyr i en afmagnetiseringsenhed, dvs. en maskine, der effektivt sikrer, at de magnetiske data på Udstyret ikke længere er læsbare. Efter afmagnetiseringsprocessen er dataene ikke længere læsbare og er blevet tilintetgjort på sikker vis.
5.3 Reparation af Mobiltelefon. Den primære ydelse, vi tilbyder, er gendannelse af Data fra Mobiltelefonen, og vil tilbyder ikke reparation af Mobiltelefoner som en selvstændig ydelse. Hvis det er muligt at reparere Mobiltelefonen, reparerer vi denne og gendanner Mobiltelefonens funktionalitet, så du kan bruge den normalt.
5.4 Du bliver informeret om den forventede færdiggørelsesdato i løbet af ordreprocessen. Omkostningerne til at returnere Udstyret vil være beskrevet i Tilbuddet.
5.5 I forbindelse med visse Ydelser kan vi have brug for visse oplysninger fra dig, såsom brugernavne, passwords og/eller kodeord. Hvis du ikke leverer disse oplysninger inden for en rimelig frist efter vores anmodning derom, eller hvis du leverer ufuldstændige eller ukorrekte oplysninger, kan vi opkræve et yderligere beløb af en rimelig størrelse som kompensation for et eventuelt ekstraarbejde i den forbindelse. Vi påtager os intet ansvar for forsinket levering af Ydelserne eller manglende levering af en del af Ydelserne, hvis dette skyldes, at du ikke giver os de oplysninger, vi har brug for.
5.6 Vi kan blive nødt til at afbryde leveringen af Ydelserne for: i) at løse tekniske problemer eller foretage tekniske ændringer, ii) at opdatere Ydelserne, således at de afspejler ændringer i relevante love og myndighedskrav og (iii) at foretage ændringer i Ydelserne i overensstemmelse med dit ønske. Vi kan også afbryde leveringen af Ydelserne i tilfælde af manglende betaling.
5.7 Selv om vi anvender godkendt udstyr til reparationer, kan vi ikke garantere, at Ydelserne er i overensstemmelse med den garanti, som den oprindelige udstyrsproducent tilbyder. Vores levering af Ydelserne bør under ingen omstændigheder opfattes som en garanti for, at Ydelserne vil være vellykkede, at alle eller nogle af Dataene kan gendannes eller blive brugbare, eller at Mobiltelefonen vil kunne bruges, eller at vi opnår et andet specifikt resultat.
5.8 Ibas garanterer, at RDR-klientsoftwaren: a) er fri for programkoder eller programmeringsinstruktioner udformet til med overlæg at afbryde, deaktivere, skade, forstyrre eller på anden måde have en negativ indvirkning på computerprogrammer, datafiler eller datadrift og b) ikke indeholder anden ondsindet eller skadelig kode, der normalt kaldes virus eller lignende, herunder trojanske heste, orme eller bagdøre.
6 IMMATERIELLE RETTIGHEDER
6.1 Dit Udstyr og dine Data forbliver til enhver tid din ejendom, og vi har ingen ejendomsrettigheder eller andre rettigheder til dem (bortset fra retten til at besidde og bruge dit Udstyr og Dataene til at levere Ydelserne). Vi bevarer alle ejendomsrettigheder og andre rettigheder i forbindelse med levering af Ydelserne, herunder til enhver forbedring eller videreudvikling af Ydelserne.
7 RET TIL AT BRINGE EN AFTALE TIL OPHØR (PRIVATKUNDER)
7.1 Dette pkt. 7 gælder udelukkende aftaler med Privatkunder. Du har ret til at ændre mening efter ordreafgivelsen. Disse rettigheder, i henhold til The Consumer Contracts (Information, Cancellation and Additional Charges) Regulations 2013, forklares nærmere nedenfor.
7.2 Du kan til enhver tid annullere en ordre på en gratis evaluering. Hvis du afgiver en Ordre, kan du annullere den inden 14 dage fra den dag, hvor vi sender en e-mail med vores bekræftelse af, at vi har modtaget din Ordre. Når vi har leveret Ydelserne, kan du dog ikke fortryde, selv om fortrydelsesfristen på de 14 dage ikke er udløbet. Ved ordreafgivelsen giver du os udtrykkeligt tilladelse til at påbegynde levering af Ydelserne med det samme. Hvis du annullerer Ordren, efter vi har påbegyndt levering af Ydelserne, skal du betale os for de Ydelser, vi har leveret indtil det tidspunkt, hvor du fortæller os, at du har skiftet mening. Vi fortæller dig, hvad dette beløb udgør, når vi har modtager din annulleringsanmodning.
7.3 Hvis du ønsker at annullere Ordren, kan du kontakte os på en af følgende måder og oplyse dit ordrenummer, dit navn, din adresse og tilkendegive, at du ønsker at annullere Ordren:
c) Fortrydelsesformular: Udfyld og send en fortrydelsesformular med samme udformning som standardformularen, der er vedhæftet som bilag til disse Betingelser.
8 RET TIL AT BRINGE AFTALEN TIL OPHØR (ERHVERVSKUNDER)
8.1 Dette pkt. 8 gælder kun aftaler indgået med Erhvervskunder. Efter ordreafgivelse kan Ydelserne kun annulleres som anført i pkt. 9 nedenfor.
9 GENSIDIG RET TIL AT BRINGE AFTALEN TIL OPHØR
9.1 Uden at dette berører nogen øvrige rettigheder eller misligholdelsesbeføjelser, parterne har til deres rådighed, kan begge parter med øjeblikkelig virkning bringe aftalen til ophør, hvis:
b) En af parterne ophører (eller truer med at ophøre) med at drive hele eller en del af sin virksomhed, får udpeget en likvidator, bobestyrer eller kurator for sig selv eller for en del af sin virksomhed eller sine aktiver eller vedtager en beslutning om likvidation (bortset fra som led i en reel rekonstruktions- eller fusionsplan, hvor den deraf følgende enhed overtager alle dens forpligtelser), eller en kompetent domstol afsiger en kendelse om betalingsstandsning, et konkursdekret eller lignende, eller indgår aftale om en gældsordning med sine kreditorer, eller er ude af stand til at betale sin gæld, når den forfalder, eller, hvis der er tale om en fysisk person, går konkurs.
9.2 Vi kan bringe aftalen til ophør med øjeblikkelig virkning, hvis vi ved opfyldelse af aftalen bryder gældende eksportregler for og sanktioner mod transaktioner med visse virksomheder og fysiske personer fastsat af Europa-Kommissionen eller andre nationale myndigheder, herunder USA.
9.3 Efter opsigelse af aftalen hæfter du for betaling af alle vores tilgodehavender, der forfalder til øjeblikkelig betaling.
10 KUNDENS INDESTÅELSER
10.1 Du accepterer og garanterer hermed over for Ibas: i) at du har retsevne til at indgå bindende aftaler, ii) at du har bemyndigelse, beføjelse og kompetence til at acceptere disse Betingelser, og, hvis du er en Erhvervskunde, at du har juridisk beføjelse at indgå aftalen, iii) at alle de oplysninger, du afgiver i forbindelse med din Ordre, er rigtige, korrekte, fuldstændige og ikke misvisende, iv) at du er ejer af Udstyret og/eller har tilladelse fra ejeren af Udstyret til, at vi leverer Ydelserne, v) at indleveringen af dit Udstyr og/eller dine Data til os ikke medfører overtrædelse af tredjemands forpligtelser eller rettigheder, vi) at indleveringen af Udstyret og/eller Dataene ikke medfører overtrædelse af gældende lovgivning, vii) at du er juridisk berettiget til at give adgang til Dataene, viii) at Udstyret ikke indeholder materiale (herunder, uden begrænsning, Data), der kan krænke en tredjemands immaterielle rettigheder, og ix) at Udstyret ikke indeholder materiale, der kan medføre overtrædelse af gældende lovgivning. Vi forbeholder os ret til at anmode om dokumentation for ejendomsretten eller den juridiske berettigelse til at godkende vores igangsætning af Ydelserne og at indstille eller ikke at iværksætte Ydelserne, før vi har modtaget en sådan dokumentation.
10.2 Du accepterer hermed, at dit Udstyr og/eller dine Data kan være beskadiget allerede før vi modtager dem, og at arbejdet med at levere Ydelserne kan medføre tilintetgørelse af eller yderligere fejl på Udstyret og/eller Dataene. Vi leverer Ydelserne med professionel omhu, men med undtagelse af de i pkt. 12 anførte forhold påtager vi os intet ansvar for eksisterende eller yderligere fejl, der kan opstå på Udstyret og/eller Dataene i forbindelse med levering af Ydelserne.
11 PRIS OG BETALING
11.1 Prisen for Ydelserne svarer til det Vederlag, der er anført i det pågældende Tilbud. Beløbet tillægges moms med den gældende sats, som betales af kunden.
11.2 Sådan kan du betale. Betaling kan foretages ved bankoverførsel eller med kredit-/debetkort. Hvis du betaler med kredit/debetkort, sender Ibas dig et betalingslink til en sikker betalingsplatform tilhørende tredjemand, hvor du kan foretage betaling, når arbejdet er udført. Visse ydelser, såsom udarbejdelse af fillister (se Ydelsesbeskrivelsen), skal betales førend arbejdet påbegyndes. Ved øvrige ydelser, og efter færdiggørelse af Ordren, skal der ske betaling til Ibas, før de gendannede Data returneres. Erhvervskunder som anmoder om kreditvilkår skal betale deres faktura i henhold til de aftalte vilkår, efter at have givet Ibas en underskrevet accept af vores Ordre eller en gyldig købsordre.
11.3 Hvis du undlader at betale et forfaldent beløb i henhold til disse Betingelser, kan vi tilbageholde Udstyret og Dataene, indtil hele beløbet er betalt. Hvis det fulde beløb ikke er betalt senest 90 kalenderdage fra forfaldsdatoen, kan vi, uden at ifalde noget ansvar og uden at kontakte dig yderligere, bortskaffe dit Udstyr og/eller dine Data i overensstemmelse med gældende lovgivning. Vi opkræver også rente i henhold til renteloven. Renter tilskrives dagligt fra forfaldsdatoen og indtil den faktiske betaling af det forfaldne beløb finder sted, hvad enten dette er før eller efter en eventuel retsafgørelse.
12 VORES ANSVAR FOR TAB ELLER SKADE PÅFØRT DIG
12.1 Vi påtager os intet ansvar for beskadigelse af eller fysisk skade eller anden skade på eller tilintetgørelse af dit Udstyr, dine Data eller andet Udstyr, eller for ugyldiggørelse af eventuelle garantier i forbindelse med dit Udstyr eller andet materiale, hverken: før vi modtager dit Udstyr, dine Data eller andet Udstyr eller, eller i forbindelse med vores levering af Ydelserne, hvis en sådan skade, tilintetgørelse, beskadigelse eller ugyldiggørelse opstår i forbindelse med vores levering af Ydelserne i overensstemmelse med disse Betingelser.
12.2 Vi bestræber os på så vidt muligt at tage godt vare på dit Udstyr og dine Data, mens de er i vores besiddelse, men vi påtager os intet ansvar over for dig, hvis dit Udstyr eller dine Data går tabt eller bliver tilintetgjort eller beskadiget eller på anden måde ødelægges som følge af almindelig slitage.
12.3 Vi fralægger os ikke og begrænser på ingen måde vores ansvar over for dig i de tilfælde, hvor dette ville være retsstridigt. Det gælder også vores erstatningsansvar for død eller personskade som følge af uagtsomhed fra vores eller vores medarbejderes, repræsentanters eller underleverandørers side; som følge af bedrageri eller urigtige oplysninger fremsat i ond tro; og i forhold til Privatkunder, for tilsidesættelse af dine juridiske rettigheder i forhold til Ydelserne og for mangelfulde Ydelser i henhold til den danske forbrugeraftalelov.
12.4 Med forbehold for bestemmelserne i dette pkt. 12 er vores samlede erstatningsansvar over for dig, uanset hvorvidt dette er i eller uden for kontrakt (herunder uagtsomhed), for tilsidesættelse af en lovbestemt forpligtelse eller andet, der udspringer af eller i forbindelse med en aftale, begrænset til: i) enten 100.000 kr. eller størrelsen af vederlaget i henhold til aftalen, hvis dette er højere, i tilfælde af manglende overholdelse af tavshedspligt og databeskyttelse eller overtrædelse af immaterielle rettigheder eller, ii) i alle øvrige tilfælde, værdien af det vederlag, der skal betales i henhold til aftalen.
12.5 Ingen af parterne skal være ansvarlige over for den anden part, hverken i eller uden for kontrakt (herunder uagtsomhed), for tilsidesættelse af en lovbestemt forpligtelse eller andet, der udspringer af eller i forbindelse med disse Betingelser eller en aftale, for indirekte skade eller følgeskade, driftstab eller mistet omsætning eller forretning.
12.6 Brug af kurertjenester. Ved afhentning af dit Udstyr forud for iværksættelsen af Ydelserne, eller ved levering af de gendannede Data og/eller originalt Udstyr, sker dette ved brug af nationalt anerkendte kurervirksomheder. Ved at acceptere at vi anvender sådanne kurervirksomheder i forbindelse med Ydelserne, giver du dit samtykke til, at ethvert tab eller enhver skade på Udstyret eller Dataene udtrykkeligt er underlagt de forretningsbetingelser, der er fastsat af den pågældende kurervirksomhed, herunder hvad angår ansvarsbegrænsninger og erstatningsgrænser. Du giver herved afkald på enhver ret til at rejse krav over for Ibas for tab eller skade på Data eller Udstyr, der skyldes kurervirksomhedens uagtsomhed og/eller misligholdelse af aftalen, og som ikke er omfattet af dennes erstatningsordning.
13 SKADESLØSHOLDELSE
13.1 Du accepterer skadesløsholde os fuldt ud for alle krav, omkostninger, erstatningsbeløb, forpligtelser, udgifter (herunder, uden begrænsning, udgifter til advokatbistand), krav og domme, som vi pådrager os eller som skal betales af os som følge af eller i forbindelse med alle dine handlinger, manglende handlinger og/eller undladelser i forbindelse med aftalen og disse Betingelser.
14 SÅDAN ANVENDER VI DINE PERSONOPLYSNINGER (PRIVATKUNDERS OG ERHVERVSKUNDERS KONTAKTOPLYSNINGER)
14.1 Vi bruger de personoplysninger, du giver til os, til at levere Ydelserne til dig og til at håndtere betalingen for Ydelserne. Det er frivilligt at udlevere sine personoplysninger, men hvis du vælger ikke at gøre det, eller hvis du vælger at tilbagekalde dit samtykke, kan det forhindre Ibas i at levere Ydelserne. Vi indsamler personoplysninger: i) når du kontakter os via e-mail, telefon eller på anden måde, og ii) som led i vores sædvanlige kontakt med dig, når vi leverer Ydelser (herunder personoplysninger, som vi får i forbindelse med registrering af dine betalinger).
14.2 De formål, hvortil vi behandler dine personoplysninger, omfatter: i) til at levere Ydelserne og ekspedere dine Ordrer, ii) til at få tilkendegivelser om din mening om vores Ydelser og iii) til direkte markedsføring, hvis du har fået din tilladelse hertil.
14.3 Vi kan videregive personoplysninger til andre enheder i KLDiscovery-koncernen (som Ibas er en del af), som er anført på en komplet oversigt over tilknyttede enheder i vores privatlivspolitik, og til: i) retslige myndigheder og tilsynsmyndigheder med det formål at indberette faktiske overtrædelser og mistanke om overtrædelser af gældende love og bestemmelser, ii) bogholdere, revisorer, advokater og andre eksterne rådgivere og iii) eksterne samarbejdspartnere (f.eks. betalingsformidlere, transport-/kurervirksomheder, leverandører af teknologi og personer, der leverer bistand i forbindelse med overholdelse af myndighedskrav). Vi videregiver personoplysninger til andre enheder med det formål at opfylde aftalemæssige forpligtelser over for dig eller af legitime forretningsmæssige årsager i henhold til gældende lovgivning. Vi har indført sikkerhedsforanstaltninger som beskrevet i vores privatlivspolitik, og alle enheder er forpligtet til at indføre sikkerhedsforanstaltninger for at sikre et højt beskyttelsesniveau.
14.4 Uden at det berører dine lovfæstede rettigheder, så har du altid ret til: i) at få adgang til og indhente oplysninger om arten, behandlingen eller videregivelsen af dine personoplysninger, ii) at få berigtiget dine personoplysninger, iii) af legitime årsager at anmode om sletning eller begrænsning i behandlingen af personoplysninger, iv) af legitime årsager at gøre indsigelse mod behandlingen af personoplysninger, v) at anmode om overførsel af personoplysninger til en anden dataansvarlig, vi) at trække dit samtykke til behandling af personoplysninger tilbage og vii) at indgive klager til den relevante datatilsynsmyndighed.
14.5 Ved at acceptere disse Betingelser accepterer du også opbevaring og brug af dine personoplysninger i henhold til Betingelserne i vores privatlivspolitik, som kan læses på: https://www.ibas.dk/privacy-policy.
15 VORES BEHANDLING AF PERSONOPLYSNINGER (GENDANNEDE DATA)
15.1 Ved at acceptere disse Betingelser accepterer du også, for så vidt angår gendannede Data, opbevaring og brug af dine personoplysninger i henhold til Betingelserne i vores databehandleraftale, som kan læses på www.ibas.com/dk/salgs-leveringsbetingelser#databehandleraftale.
16 FORTROLIGE OPLYSNINGER
16.1 Parterne er enige om ikke at videregive Fortrolige Oplysninger om den anden part til tredjemand uden forudgående skriftlig tilladelse til den part, der videregiver de Fortrolige Oplysninger, og: i) kun at anvende sådanne Fortrolige Oplysninger til at udføre sine forpligtelser i henhold til disse Betingelser, ii) at anvende samme metoder til og samme grad af omhu for at forhindre videregivelse af sådanne Fortrolige Oplysninger, som anvendes for at forhindre videregivelse af egne Fortrolige Oplysninger, men vil under alle omstændigheder som minimum anvende rimelig omhu og iii) at videregive Fortrolige Oplysninger til sine medarbejdere og godkendt tredjemand, dog kun de nødvendige oplysninger, forudsat at alle sådanne personer er underlagt en mindst lige så omfattende tavshedspligt som den tavshedspligt, der følger af disse Betingelser.
16.2 Tavshedspligten gælder ikke Fortrolige Oplysninger: i) der kommer til offentlighedens kendskab uden den modtagende parts skyld, ii) der var kendt af den modtagende part forud for modtagelsen fra den anden part, iii) der videregives til den modtagende part af tredjemand (andre end parternes ansatte og repræsentanter) under omstændigheder, der gør, at sådan videregivelse ikke strider mod den tavshedspligt, som den videregivende part er underlagt, eller iv) der er uafhængigt udarbejdet af den modtagende part uden brug af Fortrolige Oplysninger.
17 ANDRE VIGTIGE BETINGELSER
17.1 Denne aftale er indgået mellem dig og os. Ingen andre personer har ret til at håndhæve nogen af aftalens vilkår. Hvert afsnit i disse Betingelser har selvstændig virkning. Hvis en domstol eller en relevant myndighed bestemmer, at nogle af Betingelserne er retsstridige og/eller ikke kan håndhæves, skal de resterende afsnit fortsætte med fuld gyldighed og virkning. Hvis vi udskyder at træffe foranstaltninger over for dig i forbindelse med din misligholdelse af denne aftale, forhindrer det os ikke i at træffe foranstaltninger over for dig på et senere tidspunkt.
17.2 Vi kan ændre Ydelserne for at tage højde for ændringer i de relevante love og myndighedskrav og for at implementere mindre tekniske justeringer og forbedringer, for eksempel at imødegå en sikkerhedstrussel. Sådanne ændringer vil ikke påvirke din brug af Ydelserne. Vi kan tillige foretage væsentlige ændringer af disse Betingelser eller Ydelserne, men i så fald vil vi underrette dig derom, og du kan derefter kontakte os for at bringe aftalen til ophør, inden ændringerne træder i kraft, og modtage en godtgørelse for eventuelle betalte Ydelser, der endnu ikke er modtaget.
17.3 Hvis du er bosiddende i EU, så har du, i tillæg til øvrige rettigheder, du måtte have i henhold til love eller bestemmelser, mulighed for at indgive klager via EU's platform for onlinetvistbilæggelse ("platformen"), som gør det muligt at bilægge tvister online. Yderligere oplysninger om platformen findes på https://webgate.ec.europa.eu/odr/. Ibas har ikke til hensigt at bruge platformen til at bilægge tvister, og du accepterer, at Ibas ikke er forpligtet til at bruge platformen til at bilægge tvister.
17.4 Disse Betingelser er underlagt dansk ret. Eventuelle tvister som udspringer af Betingelserne er undergivet dansk ret og danske domstoles enekompetence, medmindre ufravigelige forbrugerrettigheder bestemmer andet.
BILAG
Standardfortrydelsesformular
(Udfyld og returner denne formular, hvis du ønsker at udtræde af aftalen)
| Til | [FORHANDLER INDSÆTTER FORHANDLERS NAVN, ADRESSE, TELEFONNUMMER OG EVT. TELEFAXNUMMER OG E-MAILADRESSE] |
| Jeg/Vi [*] meddeler hermed, at jeg/vi [*] annullerer min/vores [*] købsaftale vedr. følgende varer [*]/levering af følgende Ydelser [*], | |
| Bestilt den [*]/modtaget den [*], | |
| Kundens/kundernes navn, | |
| Kundens/kundernes adresse, | |
| Kundens/kundernes underskrift (kun hvis formularen indsendes i papirform) | |
| Dato | |
[*] Slet det ikke relevante
Gyldig fra: 1. maj 2021
Databehandleraftale
Denne databehandleraftale er en del af de generelle vilkår og betingelser for Ibas Ontrack Data Recovery Services og er gældende for: i) Ibas Ontrack ApS med hjemsted på adressenC/O Regus Center, Christians Brygge 28, 1559 København V (CVR-nr. 19626008) ("Ibas") og ii) den pågældende kunde, som afgiver en ordre på Ibas Ontracks datagendannelsestjenester ydelser i henhold til Forretningsbetingelserne.
Det er mellem parterne aftalt, at vilkårene i denne databehandleraftale finder anvendelse på den behandling af personoplysninger (som defineret nedenfor), der er nødvendig for, at Ibas kan levere ydelserne til den pågældende kunde.
Definitioner
I denne databehandleraftale anvendes følgende definerede udtryk:
| Anmodning fra registrerede | skal forstås som en anmodning fremsat af en registreret om udøvelse af dennes rettigheder i henhold til Databeskyttelseslovgivningen. |
| Behandling | har den i Databeskyttelseslovgivningen anførte betydning (som tillige omfatter beslægtede udtryk såsom "behandle"). |
| Brud På Persondatasikkerheden | skal forstås som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger. |
| Dataansvarlig | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Databehandler | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Databeskyttelsesforordningen | skal forstås som Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse (GDPR)). |
| Databeskyttelseslovgivningen | skal forstås som alle gældende databeskyttelsesregler, som kunden, Ibas og/eller ydelserne er omfattet af, herunder: i) den britiske databeskyttelseslov (Data Protection Act 2018), herunder den anvendte databeskyttelsesforordning, ii) EU's databeskyttelsesforordning og/eller tilsvarende nationale love og bestemmelser samt iii) alle gældende love og bestemmelser, som gennemfører eller svarer til Databeskyttelsesforordningen i EU's medlemsstater. |
| Personale | skal forstås som nuværende, tidligere eller fremtidige medarbejdere, konsulenter, interne og eksterne vikarer, praktikanter, andre midlertidigt ansatte, kontraktsparter, udstationerede medarbejdere og andet Personale. |
| Personoplysninger | har den betydning, der er anført i Databeskyttelseslovgivningen, og omfatter alle personoplysninger, som kunden overlader til Ibas. |
| Registrerede | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Tilsynsmyndighed | skal forstås som en/et lokal(t), national(t) eller international(t) styrelse, departement, embedsmand, parlament, myndighedsperson eller juridisk person eller et statsligt eller fagligt organ, en kontrollerende eller tilsynsførende myndighed, et udvalg eller et andet organ med ansvar for at administrere Databeskyttelseslovgivningen. |
| Underdatabehandler | skal forstås som en anden databehandler, som Ibas gør brug af på vegne af kunden til at foretage behandlingsaktiviteter i forbindelse med ydelser, der knytter sig direkte til den primære ydelse. Dette omfatter ikke accessoriske ydelser, såsom telekommunikationsydelser, post-/transportydelser, vedligeholdelses- eller brugersupportydelser, eller bortskaffelse af databærere og papirdokumenter samt øvrige soft- eller hardwarebaserede handlinger. |
Bestemmelser om databehandling
1 Databehandler og Dataansvarlig
1.1 Det er aftalt mellem parterne, at kunden er Dataansvarlig, og at Ibas er Databehandler for beskyttede oplysninger. Kunden bekræfter, at denne er eneansvarlig for rigtigheden, kvaliteten, integriteten og pålideligheden af alle beskyttede oplysninger og af de midler, hvormed kunden har indhentet beskyttede oplysninger.
1.2 Kunden erklærer og garanterer: i) at alle beskyttede oplysninger, som anvendes i forbindelse med ydelserne i henhold til Forretningsbetingelserne, i alle henseender overholder Databeskyttelseslovgivningen, ii) at enhver instruks, som kunden giver Ibas vedrørende beskyttede oplysninger, til enhver tid vil være i overensstemmelse med Databeskyttelseslovgivningen, iii) at kunden har indhentet ethvert nødvendigt samtykke fra registrerede, hvis Personoplysninger er beskyttede oplysninger, eller på anden måde har den fornødne juridiske hjemmel til at udlevere beskyttede oplysninger til Ibas, samt iv) at kunden vil overholde vilkårene i denne databehandleraftale.
1.3 Ibas erklærer og garanterer: i) at Ibas alene vil behandle beskyttede oplysninger i det omfang, det er nødvendigt for at opfylde Forretningsbetingelserne, ii) at Ibas vil behandle beskyttede oplysninger efter dokumenteret instruks fra kunden og i overensstemmelse med kravene i Databeskyttelseslovgivningen, iii) at Ibas omgående vil orientere kunden, hvis kundens instruks efter Ibas' vurdering er i strid med Databeskyttelseslovgivningen, eller hvis Ibas ikke kan efterleve kundens instruks vedrørende Behandlingen af beskyttede oplysninger (uanset om dette skyldes ændringer i gældende lovgivning eller ændringer i kundens instruks), samt iv) at Ibas vil overholde vilkårene i denne databehandleraftale.
1.4 Inden for rammerne af den bestilte behandling behandles alle data, der overdrages af kunden. Kategorierne af personoplysninger og kategorierne af registrerede er kendt af kunden og er specificeret for databehandleren, hvis dette er nødvendigt
i forbindelse med ordren. I tilfælde af datagendannelse er kendskab til indholdet af kundens data normalt ikke relevant for databehandleren.
2 Instruks og oplysninger om Behandling
3 Tekniske og organisatoriske foranstaltninger
4 Brug af Personale og Underdatabehandlere
4.3 Ibas skal sikre, at det Personale, som har adgang til beskyttede oplysninger, er pålideligt og alene behandler oplysningerne, når dette er strengt nødvendigt for at kunne levere ydelserne, at Personalet har fuldt kendskab til de foranstaltninger, der skal træffes, og de skridt, der skal tages ved Behandling af beskyttede oplysninger i henhold til Databeskyttelseslovgivningen, samt at Personalet har forpligtet sig til at behandle beskyttede oplysninger med fortrolighed, herunder at være underlagt en passende tavshedspligt i forhold til beskyttede oplysninger (i henhold til en skriftlig aftale eller på anden måde).
5 Bistand til kunden med overholdelse af forpligtelser og registreredes rettigheder
5.1 Ibas skal omgående videresende alle anmodninger fra registrerede til kunden. Ibas skal efter anmodning fra kunden bistå kunden i rimeligt omfang (under hensyntagen til Behandlingens karakter og de oplysninger, der er til tilgængelige for Ibas) med at sikre overholdelse af kundens forpligtelser i medfør af Databeskyttelseslovgivningen i forhold til: i) behandlingssikkerhed, ii) konsekvensanalyser vedrørende databeskyttelse (som defineret i Databeskyttelseslovgivningen), iii) forudgående høring af Tilsynsmyndigheden vedrørende Behandling, som indebærer en høj risiko, samt iv) anmeldelser til Tilsynsmyndigheden og/eller underretninger fra kunden til registrerede om Brud På Persondatasikkerheden. Kunden skal dog betale vederlag til Ibas for bistanden, hvis denne er uforholdsmæssigt tids- og ressourcekrævende for Ibas.
6 International overførsel af data
6.1 Kunden anerkender, at Ibas Ontrack på datoen for denne databehandlingsaftale kan behandle persondata i Storbritannien, Europa og USA i løbet af denne aftales løbetid.
6.2 Kunden anerkender, at med hensyn til personoplysninger, der er underlagt Data Protection Act 2018 (UK), skal Ibas Ontrack have tilladelse til at behandle alle eller en del af personoplysningerne inden for Det Europæiske Økonomiske Samarbejdsområde ("EØS") i henhold til paragraf 5(1)(a) i Sch.21 til Data Protection Act 2018. Derudover har Storbritannien modtaget en afgørelse om tilstrækkelighed dateret 28. juni 2021 fra Europa-Kommissionen i henhold til artikel 45, stk. 3, i GDPR, som bekræfter, at overførsler kan finde sted uden behov for yderligere tilladelse ("afgørelse om tilstrækkelighed"). I tilfælde af at afgørelsen om tilstrækkelighed udløber eller på anden måde erklæres ugyldig, skal parterne anvende EU's standardkontraktbestemmelser for dataansvarlige til databehandlere, der er gældende på det pågældende tidspunkt, for at sikre Ibas Ontracks behandling af personoplysninger i Storbritannien i overensstemmelse hermed.
6.3 Med hensyn til overførsler af personoplysninger til USA er parterne enige om, at 2021-standardkontraktbestemmelserne for dataansvarlige til databehandlere (modul 2), der er godkendt af Europa-Kommissionen, med de gældende ændringer, der er bemyndiget af S119A(1) i databeskyttelsesloven 2018, og i overensstemmelse med kravene i den schweiziske føderale lov om databeskyttelse af 19. juni 1992 ("FADP") og, efter ikrafttræden, i overensstemmelse med art. 16(2)(d) i databeskyttelsesloven. 16(2)(d) i den fremtidige reviderede føderale lov om databeskyttelse af 25. september 2020 ("revDSG"), som der linkes til her, ("standardkontraktbestemmelser") er indarbejdet ved henvisning i denne databehandlingsaftale, og at alle overførsler er underlagt betingelserne i standardkontraktbestemmelserne. Hvis standardkontraktbestemmelserne ændres, ophæves eller erstattes af Europa-Kommissionen eller i henhold til gældende databeskyttelseslove, skal parterne arbejde sammen i god tro for at indgå en opdateret version af dataoverførselsmekanismen eller for at forhandle en alternativ løsning for at muliggøre overensstemmende overførsler af personoplysninger til USA.
6.4 På de vilkår, der er angivet i dette punkt 6 "Internationale dataoverførsler", giver kunden tilladelse til overførsel af personoplysninger til
USA. Kundens samtykke til overførsel af personoplysninger til USA kan til enhver tid trækkes tilbage, men i et sådant tilfælde anerkender kunden, at Ibas Ontrack muligvis ikke er i stand til at gennemføre
ordren og/eller udføre tjenesterne, hvis kunden trækker sit samtykke til overførslen af personoplysninger tilbage.
7 Fortegnelser, information og revision
7.2 Ibas skal give kunden adgang til at foretage revision højst én gang pr. kalenderår inden for normal kontortid med mindst 30 dages skriftligt varsel og forudsat, at kunden påtager sig at iagttage en rimelig grad af fortrolighed. Kunden får dermed adgang til og kan tage kopi af fortegnelserne over den foretagne Behandling af beskyttede oplysninger. Ibas skal bistå kunden i rimeligt omfang ved udøvelsen af denne ret til at foretage revision. Adgangen til revision omfatter ikke tredjemands datacentre eller øvrige faciliteter hos tredjemand, som forestår opbevaring af serverudstyr, hvor der alene kan foretages visuel inspektion under ledsagelse.
8 Underretning om Brud På Persondatasikkerheden
8.1 I tilfælde af Brud På Persondatasikkerheden, der omfatter beskyttede oplysninger, skal Ibas uden unødig forsinkelse: i) underrette kunden om bruddet på persondatasikkerheden og ii) give kunden nærmere oplysninger om bruddet på persondatasikkerheden.
9 Sletning eller tilbagelevering af Personoplysninger og kopier
9.1 Ibas skal, efter skriftlig anmodning fra kunden eller ved udløb af interne opbevaringsperioder, enten slette alle beskyttede oplysninger eller tilbagelevere alle beskyttede oplysninger til kunden i den form, som kunden med rimelighed måtte anmode om, herunder slette eksisterende kopier, inden for en rimelig periode: i) efter at de pågældende ydelser vedrørende datagendannelse, som Behandlingen er foretaget i forbindelse med, er blevet leveret i henhold til Forretningsbetingelserne, eller, hvis følgende tidspunkt indtræffer før, ii) når Ibas's Behandling af beskyttede oplysninger ikke længere er nødvendig for, at Ibas kan opfylde sine forpligtelser i henhold til denne databehandleraftale (medmindre gældende lovgivning stiller krav om opbevaring af beskyttede oplysninger, i hvilket tilfælde Ibas skal orientere kunden herom). Ibas skal sikre, at Ibas' Underdatabehandlere træffer samme foranstaltninger vedrørende beskyttede oplysninger.
9.2 Ibas skal slette beskyttede oplysninger, som fortsat er i Ibas' besiddelse eller under Ibas' kontrol efter en periode på 12 måneder, medmindre dette skyldes, at kunden aktivt har givet instruks herom.
10 Skadesløsholdelse
10.1 Hver part (den "skadesløsholdende part") skal holde den anden part ("den skadesløsholdte part") skadesløs for alle krav, fordringer, søgsmål, forlig, sager af anden art, renter, gebyrer, udgifter, tab og erstatningsbeløb, som måtte blive gjort gældende mod den skadesløsholdte part, eller som denne måtte pådrage sig, blive pålagt at betale eller har accepteret at betale som følge af eller i forbindelse med den skadesløsholdende parts manglende overholdelse af denne databehandleraftale og/eller overtrædelse af Databeskyttelseslovgivningen.
11 Ansvar
11.1 Hver parts samlede ansvar i henhold til denne databehandleraftale kan i intet tilfælde overstige de i Forretningsbetingelserne fastlagte og aftalte beløbsgrænser.
12 Varighed og ophør
12.1 Medmindre parterne ved enighed har bragt aftalen til ophør, træder denne databehandleraftale i kraft på den dato, hvor der afgives en ordre på ydelser i henhold til Forretningsbetingelserne, og aftalen er gældende, så længe Ibas fortsat behandler beskyttede oplysninger.
13 Lovvalg
13.1 Denne databehandleraftale er omfattet af lovvalgsbestemmelsen i Forretningsbetingelserne.
Bilag 1 – Underdatabehandlere og overførsler
Ibas Ontrack product eller forretningssystem | Processorens navn og placering |
Datagendannelse (Koncernselskaber) | KLDiscovery Ontrack Limited KLDiscovery Limited Ibas Ontrack ApS Ibas Ontrack Oy KLDiscovery Ontrack B.V. Ibas Ontrack AB Ibas Ontrack AS KLDiscovery Ontrack GmbH KLDiscovery Ontrack Srl KLDiscovery Ontrack Sp. z o.o KLDiscovery Ontrack SL KLDiscovery Ontrack Sarl KLDiscovery Ontrack (Switzerland) GmbH KLDiscovery Ontrack, LLC |
Beskrivelse af Ibas Ontrack’s Datagendannelsesydelse
Oppdatert: 1 Juni 2019
1. Beskrivelse af ydelse
1.1 Ibas gendanner så meget data som muligt fra en eller flere ødelagte digitale lagringsmedier.
1.2 Datagendannelse kan bestå af flere faser:
1.2.1 Gratis vurdering (se pkt. 2),
1.2.2 Diagnosticering som en ekstra valgmulighed (se pkt. 3) og
1.2.3 Datagendannelse (se pkt. 4 og 5).
1.3 Selvom vi gør vores yderste og har stor erfaring, er der alligevel risiko for, at det selv ved hjælp af Ibas' værktøjer og teknologier ikke er muligt at læse slettede og/eller ødelagte data. Ibas kan derfor ikke garantere, at data på ødelagte medier kan gendannes, repareres eller læses.
1.4 Selv med den bedste teknologi og de nyeste standarder inden for databehandling, kan de processer, der er nødvendige for at gendanne data, indebære en risiko for, at de resterende data mistes helt eller delvist, og/eller at kun en del af dataene på det ødelagte medie kan gendannes. Kunden accepterer, at selv ved en omhyggelig datagendannelsesproces er der risiko for,
1.4.1 at yderligere data vil gå tabt, såfremt eksisterende data ikke kan gendannes,
1.4.2 at gendannede data ikke kan anvendes af kunden,
1.4.3 at de oplysninger, der er lagret på et lagringsmedie, bliver helt eller delvist ødelagt, og
1.4.4 at lagringsmedier, software og andre indleverede genstande kan blive ødelagt, gjort ubrugelige eller bortskaffet.
2. Gratis vurdering
2.1 En gratis vurdering består af en undersøgelse af datafejlens art og omfang samt en undersøgelse af mulighederne for gendannelse af data på lagringsmediet. Det første skridt er at fastslå, om det er en logisk og/eller fysisk fejl, og om lagringsmediet skal behandles i et støv- og fugtfrit miljø. Desuden gives der en vurdering af det forventede udbytte af en datagendannelsesproces.
2.2 En gratis vurdering kan foretages på Ibas' værksted eller via en forbindelse med fjernadgang til kundens adresse. Ved en Gratis vurdering via fjernadgang ved hjælp af Ibas' RDR-teknologi accepterer kunden de særlige betingelser for datagendannelse via fjernadgang (RDR), der er anført i pkt. 7.
2.3 Efter den gratis vurdering orienterer Ibas kunden om, hvor vellykket den efterfølgende datagendannelse kan forventes at være. Der er følgende mulige skøn for det forventede udbytte af datagendannelsen:
2.3.1 Fortræffelig - Vi forventer, at hovedparten af kundens rådata (90-100%) kan gendannes og blive læsbare i det relevante program.
2.3.2 God - Vi forventer, at en stor del af kundens rådata (50-100%) kan gendannes og blive læsbare i det relevante program.
2.3.3 Delvis - Vi forventer, at en mindre del af kundens rådata (under 50%) kan gendannes og blive læsbare i det relevante program.
2.3.4 Gendannelse ikke mulig - Vi kan ikke få adgang til data på kundens harddisk.
2.3.5 Kompleks - Vi kan ikke på nuværende tidspunkt angive en præcis procentdel af den mænge data, der forventes gendannet.
2.4 Ved en gratis vurdering gives ingen garanti for, at de under pkt. 2.b anførte procentsatser kan overholdes. Der kan være fejl, der er svære at opdage, og som ikke i fuldt omfang bliver opdaget i en gratis vurdering.
2.5 Efter den gratis vurdering orienterer Ibas kunden om, hvor stor en mængde data, der kan forventes gendannet, og hvor lang tid dette vil tage, samt prisen herfor.
2.6 Ibas kan efter den gratis vurdering på kundens anmodning og mod betaling af et vederlag foretage en udvidet analyse, hvor der dannes en Verifile-rapport over filer, hvori den mængde data, der kan forventes gendannet, kan bestemmes mere præcist.
2.7 Hvis kunden på baggrund af resultaterne af en gratis vurdering bestiller datagendannelse, udfører Ibas datagendannelsen.
2.8 Hvis kunden på baggrund af den gratis vurdering beslutter ikke at få udført en datagendannelse, bliver ordren afsluttet. Lagringsmediet returneres til kunden mod betaling af det vederlag, der er anført i analysesvaret, hvis kunden anmoder herom ved bestillingen af datagendannelse. I modsat fald vil datamediet blive bortskaffet.
2.9 Afhængig af datamediet kan konsekvensen af den gratis vurdering være, at data bliver overført til et andet datamedie, hvorefter det oprindelige datamedie bliver bortskaffet.
3. Gratis vurdering for smartphones og tablets
3.1 Den gratis vurdering består af en undersøgelse af datafejlens art og omfang samt en undersøgelse af mulighederne for gendannelse af data på enheden. Det første trin er at bestemme, om skaden er logisk og / eller fysisk, og om enheden skal sendes til telefonlaboratoriet for behandling. Derudover foretages en vurdering af forventede resultater for datagendannelse.
3.1.1 Den gratis vurdering vil blive udført i Ibas’ laboratorium.
3.1.2 Ibas kræver, at kunden opgiver adgangskoden til sin smartphone eller tablet.
3.1.3 Ibas informerer kunden efter den gratis vurdering omkring hvor vellykket den efterfølgende datagendannelse forventes at være. Følgende estimater af forventede datagendannelsesresultater er mulige:
3.1.3.1 God - Vi forventer at få adgang til hukommelsesområdet og gendanne dataerne.
3.1.3.2 Kan ikke gendannes - Vi får ikke adgang til hukommelsesområdet og kan ikke gendanne data.
3.1.3.3 Kompleks - Vi kan ikke give nogen indikation af, om vi kan få adgang til hukommelsesområdet på dette trin. Andre muligheder for datagendannelse skal udforskes, og dette kan kræve en diagnose (se afsnit 4)
3.1.4 Ved en gratis vurdering gives ingen garanti for, at de under pkt. 2.b anførte procentsatser kan overholdes. Der kan være fejl, der er svære at opdage, og som ikke i fuldt omfang bliver opdaget i en gratis vurdering.
3.1.5 Efter den gratis vurdering orienterer Ibas kunden om, hvor stor en mængde data, der kan forventes gendannet, og hvor lang tid dette vil tage, samt prisen herfor.
3.1.6 Hvis kunden på baggrund af resultaterne af en gratis vurdering bestiller datagendannelse, udfører Ibas datagendannelsen (se afsnit 5).
3.1.7 Hvis kunden på baggrund af den gratis vurdering beslutter ikke at få udført en datagendannelse, bliver ordren afsluttet. Lagringsmediet returneres til kunden mod betaling af det vederlag, der er anført i analysesvaret, hvis kunden anmoder herom ved bestillingen af datagendannelse. I modsat fald vil mediet blive bortskaffet.
4. Diagnosticering/resultat af diagnosticering
4.1 På kundens anmodning kan Ibas mod betaling af et vederlag foretage en diagnosticering for at bestemme den mængde data, der kan forventes gendannet.
4.1.1 Ved en sådan diagnosticering bestemmes dog kun datafejlens art og omfang, muligheden for gendannelse af data på de lagringsmedier, som kunden har indleveret, samt mængden af filer/data, der med sandsynlighed kan gendannes. Det er ikke altid muligt at give et pålidelig skøn over læsbarheden af data ved andre typer fejl, og Ibas påtager sig ingen garanti herfor.
4.1.2 Desuden er det i forbindelse med en sådan diagnosticering ikke muligt at verificere anvendeligheden af data i de forskellige programmer.
4.2 Diagnosticeringen kan foretages på Ibas' værksted eller via fjernadgang til kundens adresse. Ved diagnosticering via fjernadgang ved hjælp af Ibas' RDR-teknologi accepterer kunden de særlige betingelser for datagendannelse via fjernadgang (RDR), der er anført i pkt. 7.
4.2.1 Efter diagnosticeringen orienterer Ibas kunden om nødvendige tiltag til at gendanne data, hvilke data/filer der kan forventes gendannet, det forventede tidsforbrug og de forventede udgifter til datagendannelsen.
4.3 Afhængig af datamediet kan diagnosticeringen medføre, at data bliver overført til et andet datamedie, hvorefter det oprindelige datamedie bliver bortskaffet.
4.4 Ibas danner en detaljeret filliste (Verifile) med de data/filer, som Ibas forventer at kunne gendanne. Fillisten giver en indikation af filernes forventede anvendelighed:
4.4.1 Grøn - Disse data vil med stor sandsynlighed kunne bruges/åbnes i den relevante applikation.
4.4.2 Gul - Disse data eller filer er delvist beskadigede, hvilket kan medføre, at filerne ikke kan åbnes eller redigeres i den relevante applikation. Ødelagte filer kan muligvis repareres, men dette er ikke omfattet af tilbuddet om datagendannelse.
4.4.3 Rød - Disse data eller filer er beskadiget, hvilket kan medføre, at filerne ikke kan åbnes eller redigeres i den anvendte applikation.
4.5 I visse situationer med mistede data er der ikke anført nogen gyldighed af de farvede udsagn i fillisten (Verifile). Hvis dette er tilfældet, bliver det anført skriftligt i resultatet af diagnosticeringen.
4.6 Hvis kunden på baggrund af fillisten (Verifile) beslutter at få udført en datagendannelse som beskrevet i pkt. 5, modtager kunden de data, der er anført i fillisten.
4.7 Hvis kunden på baggrund af fillisten (Verifile) beslutter ikke at få udført en datagendannelse, bliver ordren afsluttet. Lagringsmediet returneres til kunden mod betaling af det vederlag, der er anført i analysesvaret, hvis kunden anmoder herom ved bestillingen af en diagnosticering.
5. Datagendannelse efter den gratis vurdering
5.1 Hvis kunden på baggrund af resultaterne af en gratis vurdering og et tilbud om datagendannelse bestiller datagendannelse, udfører Ibas datagendannelsen. Hvis der er foretaget en gratis vurdering via fjernadgang ved hjælp af Ibas' RDR-teknologi, kan der udføres datagendannelse ved hjælp af Ibas' RDR-teknologi, såfremt kunden accepterer de særlige betingelser for datagendannelse via fjernadgang (RDR), der er anført i pkt. 7.
5.2 Ud over det separate lagringsmedie med de gendannede data returnerer Ibas det ødelagte lagringsmedie, hvis kunden anmoder herom ved bestillingen af datagendannelse.
5.3 Et ødelagt lagringsmedie kan på kundens anmodning opbevares og forsegles sikkert hos Ibas mod betaling af et særskilt vederlag for at bevare og på sikker måde opbevare bevismateriale.
5.4 Ibas kan uden beregning på kundens anmodning slette og/eller bortskaffe lagringsmediet i henhold til databeskyttelsesbestemmelserne.
5.5 Hvis mængden af gendannede data er betydeligt mindre end det i den gratis vurdering skønnede omfang, anses ordren for ikke at være gennemført.
5.6 Kunden har under de i pkt. 4.e anførte omstændigheder to valgmuligheder:
5.6.1 Valgmulighed 1. Ibas danner uden beregning en detaljeret filliste (Verifile) til kunden over de data/filer, som Ibas forventer at kunne gendanne. Fillisten giver en indikation af filernes forventede anvendelighed:
5.6.1.1 Grøn - Disse data vil med stor sandsynlighed kunne bruges/åbnes i det anvendte program.
5.6.1.2 Gul - Disse data eller filer er delvist beskadigede, hvilket kan medføre, at filerne ikke kan åbnes eller redigeres i det anvendte program. De ødelagte filer kan muligvis repareres, men dette er ikke noget, som Ibas tilbyder.
5.6.1.3 Rød - Disse data eller filer er beskadigede, hvilket kan medføre, at filerne ikke kan åbnes eller redigeres i det anvendte program.
5.6.2 Hvis kunden på baggrund af fillisten (Verifile) beslutter at få udført en datagendannelse som beskrevet i pkt. 4, modtager kunden de data, der er anført i fillisten.
5.6.3 Valgmulighed 2. Hvis kunden beslutter ikke at få udført en datagendannelse eller ikke at anmode om en filliste (Verifile), bliver ordren afsluttet. Lagringsmediet returneres til kunden mod betaling af det vederlag, der er anført i analysesvaret, hvis kunden anmoder herom ved bestillingen af datagendannelse.
6 Datagendannelse efter diagnosticering
6.1 Hvis kunden på baggrund af resultatet af diagnosticeringen og et tilbud om datagendannelse bestiller datagendannelse, udfører Ibas datagendannelsen. Hvis der er foretaget en diagnosticering via fjernadgang ved hjælp af Ibas' RDR-teknologi, kan der udføres datagendannelse ved hjælp af Ibas' RDR-teknologi, såfremt kunden accepterer de særlige betingelser for datagendannelse via fjernadgang (RDR), der er anført i pkt. 7.
6.2 Kunden modtager de data, der er anført i fillisten (Verifile).
6.3 Ud over det separate lagringsmedie med de gendannede data returnerer Ibas det ødelagte lagringsmedie, hvis kunden anmoder herom ved bestillingen af datagendannelse.
6.4 Et ødelagt lagringsmedie kan på kundens anmodning opbevares og forsegles sikkert hos Ibas mod betaling af et særskilt vederlag for at bevare og på sikker måde opbevare bevismateriale.
6.5 Ibas kan uden beregning på kundens anmodning slette og/eller bortskaffe lagringsmediet i henhold til databeskyttelsesbestemmelserne.
7. Datagendannelse efter den gratis vurdering til smartphones og tablets
7.1 Hvis kunden på baggrund af resultaterne af en gratis vurdering og et tilbud om datagendannelse bestiller datagendannelse, udfører Ibas datagendannelsen..
7.2 Ud over det separate lagringsmedie med de gendannede data returnerer Ibas den ødelagte smartphone/tablet, hvis kunden anmoder herom ved bestillingen af datagendannelse .
7.3 Ibas kan uden beregning på kundens anmodning slette og/eller bortskaffe smartphone/tablet i henhold til databeskyttelsesbestemmelserne.
7.4 Hvis mængden af gendannede data er betydeligt mindre end det i den gratis vurdering skønnede omfang, anses ordren for ikke at være gennemført.
7.5 Smartphone/tablet returneres til kunden mod betaling af det vederlag, der er anført i analysesvaret, hvis kunden anmoder herom ved bestillingen af datagendannelse .
8. Datagendannelse via fjernadgang (RDR)
8.1 RDR® står for Remote Data Recovery™. RDR er en patenteret teknologi, der giver Ibas' teknikere mulighed for at udføre datagendannelse af samme kvalitet som på et værksted direkte på kundens server, stationære eller bærbare computer via et modem eller en internetforbindelse. Den eneste forudsætning er, at lagringsmediet fungerer.
8.2 Ibas' datagendannelse via fjernadgang har tre hovedelementer:
8.2.1 Kommunikationsklient: Kunden opretter en forbindelse til Ibas' RDR-server ved hjælp af særligt udviklet RDR-klientsoftware. RDR-klienten arbejder sammen med Microsoft Windows version XP/2003 og senere versioner. De(t) drev, der skal gendannes behøver ikke stamme fra et Windowssystem.
8.2.2 RDR-servere: Er placeret over hele verden for at understøtte opkobling.
8.2.3 RDR-arbejdsstation: Bruges af Ibas' teknikere til at overtage kontrollen over kundens maskine og gendanne kundens værdifulde data.
8.3 Kunden skal først downloade den rigtige version af klientsoftwaren og installere den på den server, stationære eller bærbare computer, hvor der skal foretages datagendannelse. Dernæst opretter Ibas' klientsoftware forbindelse til en udgående TCP/IP-forbindelse via port 80 (internetporten) fra kundens adresse til en server hos Ibas, hvorved der etableres en tunnel eller en direkte punkt til punkt-forbindelse via internettet. Eftersom det er en udgående forbindelse via port 80, kan den passere de fleste firewalls uden yderligere konfiguration.
8.4 Datasikkerheden er meget høj som følge af Ibas' varemærkebeskyttede kommunikationsprotokol, kryptering af pakker og Ibas' sikre systemer. Datagendannelse via en RDR-fjernforbindelse sikrer beskyttelse af kundens data på fire måder:
8.4.1 Direkte forbindelse til RDR-server: Klientsoftwaren benytter en direkte TCP-forbindelse til at etablere forbindelse fra kundens maskine til Ibas' RDR-server. RDR bruger ikke værtssoftware fra tredjemand.
8.4.2 Kryptering: Der benyttes 256-bit-kryptering af kommunikationen i alle pakker.
8.4.3 Varemærkebeskyttet protokol: Der benyttes en varemærkebeskyttet protokol til RDR-kommunikation og ikke HTTP eller en anden almindelig protokol, hvor udenforstående kan følge med i kommunikationen.
8.4.4 Ingen kundedata overføres via forbindelsen: Ibas' teknikere anvender kun RDR-forbindelsen til at bruge Ibas' datagendannelsesværktøjer direkte på kundens maskine. Der sendes pakker med skærmbilleder og tastaturbevægelser via forbindelsen, men ikke filer med kundens data. Ibas' teknikere bruger i stedet styreværktøjerne til at reparere filsystemstrukturerne for at gøre det muligt for kunden at tilgå dataene.
9. Serviceniveauer
9.1 For bestilling af datagendannelse kan kunden vælge mellem følgende serviceniveauer alt efter hvor hastende det er:
9.1.1 24-timers alarmtjeneste - Behandlingen finder sted straks efter modtagelse af ordren, 24 timer i døgnet. Behandlingstiden er døgnet rundt, indtil gendannelse er afsluttet og data leveret
9.1.2 Hurtig service - Behandlingen finder sted straks efter modtagelse af ordren fra mandag til fredag fra kl. 8.00 til 16.00. Behandlingstiden er normalt 2-5 arbejdsdage.
9.1.3 Standardtjeneste - Databehandleren behandles efter modtagelse af ordren fra mandag til fredag mellem 8.00 og 16.00. Behandlingstiden er normalt 7-10 arbejdsdage.
9.1.4 Økonomitjeneste - Databehandleren behandles efter modtagelse af ordren fra mandag til fredag mellem 8.00 og 16.00. Behandlingstiden varer normalt 20 arbejdsdage.
9.1.5 Hjemmeservice - Databehandleren behandles efter modtagelse af ordren fra mandag til fredag mellem 8.00 og 16.00. Behandlingstiden er normalt 30 arbejdsdage.
9.2 Medmindre andet er aftalt, skal alle ydelser forudbetales.
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.ontrack.com/en-gb/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
| Start date | ||
| The Parties | Exporter (who sends the Restricted Transfer) | Importer (who receives the Restricted Transfer) |
| Parties’ details | Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order | Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
| Key Contact | Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order | Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
| Signature (if required for the purposes of Section 2) | Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order | Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
| Addendum EU SCCs | The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
| Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
| Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
| Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
| Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
| Ending this Addendum when the Approved Addendum changes | Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß
Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes
über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen: | APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country
in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future
revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply: |