FORRETNINGSBETINGELSER FOR IBAS' DATAGENDANNELSESYDELSER
1 FORRETNINGSBETINGELSER
1.1 Disse forretningsbetingelser ("Betingelser") gælder for levering af datagendannelsesydelser fra Ibas Ontrack ApS ("Ibas") med hjemstedsadresse på Gammel Kongevej 1, 1610 København V (CVR-nr. 19626008), til dig. Læs venligst Betingelserne grundigt, før du afgiver en ordre til os. Betingelserne indeholder oplysninger om, hvem vi er, hvordan vi leverer ydelserne til dig, hvordan du og vi kan bringe aftalen til ophør, hvad du skal gøre i tilfælde af problemer samt andre vigtige oplysninger.
2 KONTAKTOPLYSNINGER
2.1 Sådan kan du kontakte os. Du kan kontakte os ved at ringe til vores kundeservice på +45 70 22 34 00, ved at sende et brev til Ibas Ontrack Aps, C/O Regus, Gammel Kongevej 1, 1610 København V, ved at gå ind på ibas.com/dk/kontakt eller ved at sende os en e-mail på dkrecovery@ontrack.com.
3 DEFINITIONER
3.1 I disse Betingelser anvendes følgende definerede udtryk:
(n) "Ydelsesbeskrivelse" skal forstås som den specifikke proces, der anvendes af Ibas, og som er beskrevet her: https://www.ibas.com/dk/salgs-leveringsbetingelser#beskrivelse-af-ibas-datagendannelsesydelse, som bl.a. beskriver ydelsesbegrænsninger, ydelsesniveau og forventninger.
4 ORDREPROCES
4.1 Ved en almindelig datagendannelse skal du fremsende dit Datamedie til os efter en indledende telefonsamtale og indsendelse af kontaktformularen på Hjemmesiden, enten via Hjemmesiden eller pr. e-mail. Vi gør rimelige bestræbelser på: a) at undersøge udstyret for at fastslå: i) hvilke Data, der kan tilgås på Udstyret, ii) årsagen til, at Udstyret og/eller Data er blevet beskadiget, iii) omfanget af Data, der sandsynligvis kan gendannes på Udstyret, iv) hvis du har indsendt en ødelagt Mobiltelefon, hvorvidt det er muligt at reparere din Mobiltelefon og hvilken hardware, der evt. skal repareres eller udskiftes for at gendanne Mobiltelefonens funktionalitet ("gratis evaluering"), og b) at formidle resultaterne af vores gratis evaluering til dig. Vi giver dig et tilbud, der beskriver omfanget af Ydelserne og vores Vederlag ("Tilbud"). Alle Ydelser leveres i overensstemmelse med Ydelsesbeskrivelserne.
4.2 Ved andre ydelser, herunder datagendannelse via fjernadgang ("RDR"), hvor der ikke er indleveret Udstyr til os, eller i tilfælde af afmagnetisering, omfatter tilbuddet det arbejde, som Ibas forventes at udføre for at kunne levere Ydelserne.
4.3 Efter modtagelse af vores Tilbud kan du efter eget valg enten: i) acceptere og underskrive Tilbuddet eller arbejdsbeskrivelsen for at bestille vores Ydelser ("Ordre"), ii) fremsende en anmodning om i givet fald at få dit Udstyr retur, hvorved du indvilger i at betale returomkostningerne, eller iii) fremsende en anmodning om, at vi skal destruere Udstyret, i hvilket tilfælde du giver os tilladelse til straks at destruere dit Udstyr. Hvis vi ikke modtager en Ordre eller en anmodning om returnering af Udstyret senest 90 kalenderdage efter afgivelse af Tilbuddet, bortskaffer vi dit Udstyr i overensstemmelse med gældende lov.
4.4 Vi har accepteret Ordren, når vi dig sender en e-mail med en ordrebekræftelse, hvorefter der er indgået en juridisk bindende aftale ("aftale") mellem dig og os, som er underlagt disse Betingelser. Vi giver Ordren et ordrenummer. Det er en hjælp for os, hvis du oplyser ordrenummeret, når du kontakter os.
5 VORES YDELSER
5.1 Mod betaling af Vederlaget leverer vi Ydelserne med professionel omhu. Efter modtagelse af en Ordre bestræber vi os på: i) at genfinde, replikere, genskabe, skabe adgang til, konvertere, gendanne og returnere alle gendannede Data til dig på en krypteret harddisk eller et krypteret USB-stik (eller en anden harddisk leveret af dig), ii) om nødvendigt at reparere din Mobiltelefon, og iii) at udføre sådanne andre ydelser, som vi skriftligt har aftalt at udføre for dig, såsom afmagnetisering eller RDR. Når du modtager harddisken eller USB-stikket med dine gendannede Data fra Ibas, opfordrer vi dig til straks at tjekke harddiskens eller USB-stikkets tekniske funktionalitet. Ibas kan kun foretage genlevering af dine gendannede Data i tilfælde af fejl ved den leverede enhed i den dataopbevaringsperiode, der er gældende for dine gendannede personoplysninger i overensstemmelse med Ibas' databehandleraftale. Datagendannelse via fjernadgang. Hvis du ønsker, at Ibas skal foretage datagendannelse i en situation, hvor det ikke er nødvendigt at indlevere Udstyr, kan Ibas udføre datagendannelse via fjernadgang. Du skal downloade og installere Ibas' RDR-klientsoftware via det link, du modtager fra Ibas. Når klienten er installeret, kan du oprette forbindelse til Ibas ved hjælp af en krypteret internetforbindelse. Ibas anvender kun RDR-forbindelsen til at bruge Ibas' gendannelsesværktøjer direkte på kundens maskine. Dine Data bliver ikke overført til Ibas under denne proces.
5.2 Afmagnetisering. Ibas placerer dit Udstyr i en afmagnetiseringsenhed, dvs. en maskine, der effektivt sikrer, at de magnetiske data på Udstyret ikke længere er læsbare. Efter afmagnetiseringsprocessen er dataene ikke længere læsbare og er blevet tilintetgjort på sikker vis.
5.3 Reparation af Mobiltelefon. Den primære ydelse, vi tilbyder, er gendannelse af Data fra Mobiltelefonen, og vil tilbyder ikke reparation af Mobiltelefoner som en selvstændig ydelse. Hvis det er muligt at reparere Mobiltelefonen, reparerer vi denne og gendanner Mobiltelefonens funktionalitet, så du kan bruge den normalt.
5.4 Du bliver informeret om den forventede færdiggørelsesdato i løbet af ordreprocessen. Omkostningerne til at returnere Udstyret vil være beskrevet i Tilbuddet.
5.5 I forbindelse med visse Ydelser kan vi have brug for visse oplysninger fra dig, såsom brugernavne, passwords og/eller kodeord. Hvis du ikke leverer disse oplysninger inden for en rimelig frist efter vores anmodning derom, eller hvis du leverer ufuldstændige eller ukorrekte oplysninger, kan vi opkræve et yderligere beløb af en rimelig størrelse som kompensation for et eventuelt ekstraarbejde i den forbindelse. Vi påtager os intet ansvar for forsinket levering af Ydelserne eller manglende levering af en del af Ydelserne, hvis dette skyldes, at du ikke giver os de oplysninger, vi har brug for.
5.6 Vi kan blive nødt til at afbryde leveringen af Ydelserne for: i) at løse tekniske problemer eller foretage tekniske ændringer, ii) at opdatere Ydelserne, således at de afspejler ændringer i relevante love og myndighedskrav og (iii) at foretage ændringer i Ydelserne i overensstemmelse med dit ønske. Vi kan også afbryde leveringen af Ydelserne i tilfælde af manglende betaling.
5.7 Selv om vi anvender godkendt udstyr til reparationer, kan vi ikke garantere, at Ydelserne er i overensstemmelse med den garanti, som den oprindelige udstyrsproducent tilbyder. Vores levering af Ydelserne bør under ingen omstændigheder opfattes som en garanti for, at Ydelserne vil være vellykkede, at alle eller nogle af Dataene kan gendannes eller blive brugbare, eller at Mobiltelefonen vil kunne bruges, eller at vi opnår et andet specifikt resultat.
5.8 Ibas garanterer, at RDR-klientsoftwaren: a) er fri for programkoder eller programmeringsinstruktioner udformet til med overlæg at afbryde, deaktivere, skade, forstyrre eller på anden måde have en negativ indvirkning på computerprogrammer, datafiler eller datadrift og b) ikke indeholder anden ondsindet eller skadelig kode, der normalt kaldes virus eller lignende, herunder trojanske heste, orme eller bagdøre.
6 IMMATERIELLE RETTIGHEDER
6.1 Dit Udstyr og dine Data forbliver til enhver tid din ejendom, og vi har ingen ejendomsrettigheder eller andre rettigheder til dem (bortset fra retten til at besidde og bruge dit Udstyr og Dataene til at levere Ydelserne). Vi bevarer alle ejendomsrettigheder og andre rettigheder i forbindelse med levering af Ydelserne, herunder til enhver forbedring eller videreudvikling af Ydelserne.
7 RET TIL AT BRINGE EN AFTALE TIL OPHØR (PRIVATKUNDER)
7.1 Dette pkt. 7 gælder udelukkende aftaler med Privatkunder. Du har ret til at ændre mening efter ordreafgivelsen. Disse rettigheder, i henhold til The Consumer Contracts (Information, Cancellation and Additional Charges) Regulations 2013, forklares nærmere nedenfor.
7.2 Du kan til enhver tid annullere en ordre på en gratis evaluering. Hvis du afgiver en Ordre, kan du annullere den inden 14 dage fra den dag, hvor vi sender en e-mail med vores bekræftelse af, at vi har modtaget din Ordre. Når vi har leveret Ydelserne, kan du dog ikke fortryde, selv om fortrydelsesfristen på de 14 dage ikke er udløbet. Ved ordreafgivelsen giver du os udtrykkeligt tilladelse til at påbegynde levering af Ydelserne med det samme. Hvis du annullerer Ordren, efter vi har påbegyndt levering af Ydelserne, skal du betale os for de Ydelser, vi har leveret indtil det tidspunkt, hvor du fortæller os, at du har skiftet mening. Vi fortæller dig, hvad dette beløb udgør, når vi har modtager din annulleringsanmodning.
7.3 Hvis du ønsker at annullere Ordren, kan du kontakte os på en af følgende måder og oplyse dit ordrenummer, dit navn, din adresse og tilkendegive, at du ønsker at annullere Ordren:
c) Fortrydelsesformular: Udfyld og send en fortrydelsesformular med samme udformning som standardformularen, der er vedhæftet som bilag til disse Betingelser.
8 RET TIL AT BRINGE AFTALEN TIL OPHØR (ERHVERVSKUNDER)
8.1 Dette pkt. 8 gælder kun aftaler indgået med Erhvervskunder. Efter ordreafgivelse kan Ydelserne kun annulleres som anført i pkt. 9 nedenfor.
9 GENSIDIG RET TIL AT BRINGE AFTALEN TIL OPHØR
9.1 Uden at dette berører nogen øvrige rettigheder eller misligholdelsesbeføjelser, parterne har til deres rådighed, kan begge parter med øjeblikkelig virkning bringe aftalen til ophør, hvis:
b) En af parterne ophører (eller truer med at ophøre) med at drive hele eller en del af sin virksomhed, får udpeget en likvidator, bobestyrer eller kurator for sig selv eller for en del af sin virksomhed eller sine aktiver eller vedtager en beslutning om likvidation (bortset fra som led i en reel rekonstruktions- eller fusionsplan, hvor den deraf følgende enhed overtager alle dens forpligtelser), eller en kompetent domstol afsiger en kendelse om betalingsstandsning, et konkursdekret eller lignende, eller indgår aftale om en gældsordning med sine kreditorer, eller er ude af stand til at betale sin gæld, når den forfalder, eller, hvis der er tale om en fysisk person, går konkurs.
9.2 Vi kan bringe aftalen til ophør med øjeblikkelig virkning, hvis vi ved opfyldelse af aftalen bryder gældende eksportregler for og sanktioner mod transaktioner med visse virksomheder og fysiske personer fastsat af Europa-Kommissionen eller andre nationale myndigheder, herunder USA.
9.3 Efter opsigelse af aftalen hæfter du for betaling af alle vores tilgodehavender, der forfalder til øjeblikkelig betaling.
10 KUNDENS INDESTÅELSER
10.1 Du accepterer og garanterer hermed over for Ibas: i) at du har retsevne til at indgå bindende aftaler, ii) at du har bemyndigelse, beføjelse og kompetence til at acceptere disse Betingelser, og, hvis du er en Erhvervskunde, at du har juridisk beføjelse at indgå aftalen, iii) at alle de oplysninger, du afgiver i forbindelse med din Ordre, er rigtige, korrekte, fuldstændige og ikke misvisende, iv) at du er ejer af Udstyret og/eller har tilladelse fra ejeren af Udstyret til, at vi leverer Ydelserne, v) at indleveringen af dit Udstyr og/eller dine Data til os ikke medfører overtrædelse af tredjemands forpligtelser eller rettigheder, vi) at indleveringen af Udstyret og/eller Dataene ikke medfører overtrædelse af gældende lovgivning, vii) at du er juridisk berettiget til at give adgang til Dataene, viii) at Udstyret ikke indeholder materiale (herunder, uden begrænsning, Data), der kan krænke en tredjemands immaterielle rettigheder, og ix) at Udstyret ikke indeholder materiale, der kan medføre overtrædelse af gældende lovgivning. Vi forbeholder os ret til at anmode om dokumentation for ejendomsretten eller den juridiske berettigelse til at godkende vores igangsætning af Ydelserne og at indstille eller ikke at iværksætte Ydelserne, før vi har modtaget en sådan dokumentation.
10.2 Du accepterer hermed, at dit Udstyr og/eller dine Data kan være beskadiget allerede før vi modtager dem, og at arbejdet med at levere Ydelserne kan medføre tilintetgørelse af eller yderligere fejl på Udstyret og/eller Dataene. Vi leverer Ydelserne med professionel omhu, men med undtagelse af de i pkt. 12 anførte forhold påtager vi os intet ansvar for eksisterende eller yderligere fejl, der kan opstå på Udstyret og/eller Dataene i forbindelse med levering af Ydelserne.
11 PRIS OG BETALING
11.1 Prisen for Ydelserne svarer til det Vederlag, der er anført i det pågældende Tilbud. Beløbet tillægges moms med den gældende sats, som betales af kunden.
11.2 Sådan kan du betale. Betaling kan foretages ved bankoverførsel eller med kredit-/debetkort. Hvis du betaler med kredit/debetkort, sender Ibas dig et betalingslink til en sikker betalingsplatform tilhørende tredjemand, hvor du kan foretage betaling, når arbejdet er udført. Visse ydelser, såsom udarbejdelse af fillister (se Ydelsesbeskrivelsen), skal betales førend arbejdet påbegyndes. Ved øvrige ydelser, og efter færdiggørelse af Ordren, skal der ske betaling til Ibas, før de gendannede Data returneres. Erhvervskunder som anmoder om kreditvilkår skal betale deres faktura i henhold til de aftalte vilkår, efter at have givet Ibas en underskrevet accept af vores Ordre eller en gyldig købsordre.
11.3 Hvis du undlader at betale et forfaldent beløb i henhold til disse Betingelser, kan vi tilbageholde Udstyret og Dataene, indtil hele beløbet er betalt. Hvis det fulde beløb ikke er betalt senest 90 kalenderdage fra forfaldsdatoen, kan vi, uden at ifalde noget ansvar og uden at kontakte dig yderligere, bortskaffe dit Udstyr og/eller dine Data i overensstemmelse med gældende lovgivning. Vi opkræver også rente i henhold til renteloven. Renter tilskrives dagligt fra forfaldsdatoen og indtil den faktiske betaling af det forfaldne beløb finder sted, hvad enten dette er før eller efter en eventuel retsafgørelse.
12 VORES ANSVAR FOR TAB ELLER SKADE PÅFØRT DIG
12.1 Vi påtager os intet ansvar for beskadigelse af eller fysisk skade eller anden skade på eller tilintetgørelse af dit Udstyr, dine Data eller andet Udstyr, eller for ugyldiggørelse af eventuelle garantier i forbindelse med dit Udstyr eller andet materiale, hverken: før vi modtager dit Udstyr, dine Data eller andet Udstyr eller, eller i forbindelse med vores levering af Ydelserne, hvis en sådan skade, tilintetgørelse, beskadigelse eller ugyldiggørelse opstår i forbindelse med vores levering af Ydelserne i overensstemmelse med disse Betingelser.
12.2 Vi bestræber os på så vidt muligt at tage godt vare på dit Udstyr og dine Data, mens de er i vores besiddelse, men vi påtager os intet ansvar over for dig, hvis dit Udstyr eller dine Data går tabt eller bliver tilintetgjort eller beskadiget eller på anden måde ødelægges som følge af almindelig slitage.
12.3 Vi fralægger os ikke og begrænser på ingen måde vores ansvar over for dig i de tilfælde, hvor dette ville være retsstridigt. Det gælder også vores erstatningsansvar for død eller personskade som følge af uagtsomhed fra vores eller vores medarbejderes, repræsentanters eller underleverandørers side; som følge af bedrageri eller urigtige oplysninger fremsat i ond tro; og i forhold til Privatkunder, for tilsidesættelse af dine juridiske rettigheder i forhold til Ydelserne og for mangelfulde Ydelser i henhold til den danske forbrugeraftalelov.
12.4 Med forbehold for bestemmelserne i dette pkt. 12 er vores samlede erstatningsansvar over for dig, uanset hvorvidt dette er i eller uden for kontrakt (herunder uagtsomhed), for tilsidesættelse af en lovbestemt forpligtelse eller andet, der udspringer af eller i forbindelse med en aftale, begrænset til: i) enten 100.000 kr. eller størrelsen af vederlaget i henhold til aftalen, hvis dette er højere, i tilfælde af manglende overholdelse af tavshedspligt og databeskyttelse eller overtrædelse af immaterielle rettigheder eller, ii) i alle øvrige tilfælde, værdien af det vederlag, der skal betales i henhold til aftalen.
12.5 Ingen af parterne skal være ansvarlige over for den anden part, hverken i eller uden for kontrakt (herunder uagtsomhed), for tilsidesættelse af en lovbestemt forpligtelse eller andet, der udspringer af eller i forbindelse med disse Betingelser eller en aftale, for indirekte skade eller følgeskade, driftstab eller mistet omsætning eller forretning.
12.6 Brug af kurertjenester. Ved afhentning af dit Udstyr forud for iværksættelsen af Ydelserne, eller ved levering af de gendannede Data og/eller originalt Udstyr, sker dette ved brug af nationalt anerkendte kurervirksomheder. Ved at acceptere at vi anvender sådanne kurervirksomheder i forbindelse med Ydelserne, giver du dit samtykke til, at ethvert tab eller enhver skade på Udstyret eller Dataene udtrykkeligt er underlagt de forretningsbetingelser, der er fastsat af den pågældende kurervirksomhed, herunder hvad angår ansvarsbegrænsninger og erstatningsgrænser. Du giver herved afkald på enhver ret til at rejse krav over for Ibas for tab eller skade på Data eller Udstyr, der skyldes kurervirksomhedens uagtsomhed og/eller misligholdelse af aftalen, og som ikke er omfattet af dennes erstatningsordning.
13 SKADESLØSHOLDELSE
13.1 Du accepterer skadesløsholde os fuldt ud for alle krav, omkostninger, erstatningsbeløb, forpligtelser, udgifter (herunder, uden begrænsning, udgifter til advokatbistand), krav og domme, som vi pådrager os eller som skal betales af os som følge af eller i forbindelse med alle dine handlinger, manglende handlinger og/eller undladelser i forbindelse med aftalen og disse Betingelser.
14 SÅDAN ANVENDER VI DINE PERSONOPLYSNINGER (PRIVATKUNDERS OG ERHVERVSKUNDERS KONTAKTOPLYSNINGER)
14.1 Vi bruger de personoplysninger, du giver til os, til at levere Ydelserne til dig og til at håndtere betalingen for Ydelserne. Det er frivilligt at udlevere sine personoplysninger, men hvis du vælger ikke at gøre det, eller hvis du vælger at tilbagekalde dit samtykke, kan det forhindre Ibas i at levere Ydelserne. Vi indsamler personoplysninger: i) når du kontakter os via e-mail, telefon eller på anden måde, og ii) som led i vores sædvanlige kontakt med dig, når vi leverer Ydelser (herunder personoplysninger, som vi får i forbindelse med registrering af dine betalinger).
14.2 De formål, hvortil vi behandler dine personoplysninger, omfatter: i) til at levere Ydelserne og ekspedere dine Ordrer, ii) til at få tilkendegivelser om din mening om vores Ydelser og iii) til direkte markedsføring, hvis du har fået din tilladelse hertil.
14.3 Vi kan videregive personoplysninger til andre enheder i KLDiscovery-koncernen (som Ibas er en del af), som er anført på en komplet oversigt over tilknyttede enheder i vores privatlivspolitik, og til: i) retslige myndigheder og tilsynsmyndigheder med det formål at indberette faktiske overtrædelser og mistanke om overtrædelser af gældende love og bestemmelser, ii) bogholdere, revisorer, advokater og andre eksterne rådgivere og iii) eksterne samarbejdspartnere (f.eks. betalingsformidlere, transport-/kurervirksomheder, leverandører af teknologi og personer, der leverer bistand i forbindelse med overholdelse af myndighedskrav). Vi videregiver personoplysninger til andre enheder med det formål at opfylde aftalemæssige forpligtelser over for dig eller af legitime forretningsmæssige årsager i henhold til gældende lovgivning. Vi har indført sikkerhedsforanstaltninger som beskrevet i vores privatlivspolitik, og alle enheder er forpligtet til at indføre sikkerhedsforanstaltninger for at sikre et højt beskyttelsesniveau.
14.4 Uden at det berører dine lovfæstede rettigheder, så har du altid ret til: i) at få adgang til og indhente oplysninger om arten, behandlingen eller videregivelsen af dine personoplysninger, ii) at få berigtiget dine personoplysninger, iii) af legitime årsager at anmode om sletning eller begrænsning i behandlingen af personoplysninger, iv) af legitime årsager at gøre indsigelse mod behandlingen af personoplysninger, v) at anmode om overførsel af personoplysninger til en anden dataansvarlig, vi) at trække dit samtykke til behandling af personoplysninger tilbage og vii) at indgive klager til den relevante datatilsynsmyndighed.
14.5 Ved at acceptere disse Betingelser accepterer du også opbevaring og brug af dine personoplysninger i henhold til Betingelserne i vores privatlivspolitik, som kan læses på: https://www.ibas.dk/privacy-policy.
15 VORES BEHANDLING AF PERSONOPLYSNINGER (GENDANNEDE DATA)
15.1 Ved at acceptere disse Betingelser accepterer du også, for så vidt angår gendannede Data, opbevaring og brug af dine personoplysninger i henhold til Betingelserne i vores databehandleraftale, som kan læses på www.ibas.com/dk/salgs-leveringsbetingelser#databehandleraftale.
16 FORTROLIGE OPLYSNINGER
16.1 Parterne er enige om ikke at videregive Fortrolige Oplysninger om den anden part til tredjemand uden forudgående skriftlig tilladelse til den part, der videregiver de Fortrolige Oplysninger, og: i) kun at anvende sådanne Fortrolige Oplysninger til at udføre sine forpligtelser i henhold til disse Betingelser, ii) at anvende samme metoder til og samme grad af omhu for at forhindre videregivelse af sådanne Fortrolige Oplysninger, som anvendes for at forhindre videregivelse af egne Fortrolige Oplysninger, men vil under alle omstændigheder som minimum anvende rimelig omhu og iii) at videregive Fortrolige Oplysninger til sine medarbejdere og godkendt tredjemand, dog kun de nødvendige oplysninger, forudsat at alle sådanne personer er underlagt en mindst lige så omfattende tavshedspligt som den tavshedspligt, der følger af disse Betingelser.
16.2 Tavshedspligten gælder ikke Fortrolige Oplysninger: i) der kommer til offentlighedens kendskab uden den modtagende parts skyld, ii) der var kendt af den modtagende part forud for modtagelsen fra den anden part, iii) der videregives til den modtagende part af tredjemand (andre end parternes ansatte og repræsentanter) under omstændigheder, der gør, at sådan videregivelse ikke strider mod den tavshedspligt, som den videregivende part er underlagt, eller iv) der er uafhængigt udarbejdet af den modtagende part uden brug af Fortrolige Oplysninger.
17 ANDRE VIGTIGE BETINGELSER
17.1 Denne aftale er indgået mellem dig og os. Ingen andre personer har ret til at håndhæve nogen af aftalens vilkår. Hvert afsnit i disse Betingelser har selvstændig virkning. Hvis en domstol eller en relevant myndighed bestemmer, at nogle af Betingelserne er retsstridige og/eller ikke kan håndhæves, skal de resterende afsnit fortsætte med fuld gyldighed og virkning. Hvis vi udskyder at træffe foranstaltninger over for dig i forbindelse med din misligholdelse af denne aftale, forhindrer det os ikke i at træffe foranstaltninger over for dig på et senere tidspunkt.
17.2 Vi kan ændre Ydelserne for at tage højde for ændringer i de relevante love og myndighedskrav og for at implementere mindre tekniske justeringer og forbedringer, for eksempel at imødegå en sikkerhedstrussel. Sådanne ændringer vil ikke påvirke din brug af Ydelserne. Vi kan tillige foretage væsentlige ændringer af disse Betingelser eller Ydelserne, men i så fald vil vi underrette dig derom, og du kan derefter kontakte os for at bringe aftalen til ophør, inden ændringerne træder i kraft, og modtage en godtgørelse for eventuelle betalte Ydelser, der endnu ikke er modtaget.
17.3 Hvis du er bosiddende i EU, så har du, i tillæg til øvrige rettigheder, du måtte have i henhold til love eller bestemmelser, mulighed for at indgive klager via EU's platform for onlinetvistbilæggelse ("platformen"), som gør det muligt at bilægge tvister online. Yderligere oplysninger om platformen findes på https://webgate.ec.europa.eu/odr/. Ibas har ikke til hensigt at bruge platformen til at bilægge tvister, og du accepterer, at Ibas ikke er forpligtet til at bruge platformen til at bilægge tvister.
17.4 Disse Betingelser er underlagt dansk ret. Eventuelle tvister som udspringer af Betingelserne er undergivet dansk ret og danske domstoles enekompetence, medmindre ufravigelige forbrugerrettigheder bestemmer andet.
BILAG
Standardfortrydelsesformular
(Udfyld og returner denne formular, hvis du ønsker at udtræde af aftalen)
| Til | [FORHANDLER INDSÆTTER FORHANDLERS NAVN, ADRESSE, TELEFONNUMMER OG EVT. TELEFAXNUMMER OG E-MAILADRESSE] |
| Jeg/Vi [*] meddeler hermed, at jeg/vi [*] annullerer min/vores [*] købsaftale vedr. følgende varer [*]/levering af følgende Ydelser [*], | |
| Bestilt den [*]/modtaget den [*], | |
| Kundens/kundernes navn, | |
| Kundens/kundernes adresse, | |
| Kundens/kundernes underskrift (kun hvis formularen indsendes i papirform) | |
| Dato | |
[*] Slet det ikke relevante
Gyldig fra: 1. maj 2021
Databehandleraftale
Denne databehandleraftale er en del af de generelle vilkår og betingelser for Ibas Ontrack Data Recovery Services og er gældende for: i) Ibas Ontrack ApS med hjemsted på adressenC/O Regus Center, Christians Brygge 28, 1559 København V (CVR-nr. 19626008) ("Ibas") og ii) den pågældende kunde, som afgiver en ordre på Ibas Ontracks datagendannelsestjenester ydelser i henhold til Forretningsbetingelserne.
Det er mellem parterne aftalt, at vilkårene i denne databehandleraftale finder anvendelse på den behandling af personoplysninger (som defineret nedenfor), der er nødvendig for, at Ibas kan levere ydelserne til den pågældende kunde.
Definitioner
I denne databehandleraftale anvendes følgende definerede udtryk:
| Anmodning fra registrerede | skal forstås som en anmodning fremsat af en registreret om udøvelse af dennes rettigheder i henhold til Databeskyttelseslovgivningen. |
| Behandling | har den i Databeskyttelseslovgivningen anførte betydning (som tillige omfatter beslægtede udtryk såsom "behandle"). |
| Brud På Persondatasikkerheden | skal forstås som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger. |
| Dataansvarlig | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Databehandler | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Databeskyttelsesforordningen | skal forstås som Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse (GDPR)). |
| Databeskyttelseslovgivningen | skal forstås som alle gældende databeskyttelsesregler, som kunden, Ibas og/eller ydelserne er omfattet af, herunder: i) den britiske databeskyttelseslov (Data Protection Act 2018), herunder den anvendte databeskyttelsesforordning, ii) EU's databeskyttelsesforordning og/eller tilsvarende nationale love og bestemmelser samt iii) alle gældende love og bestemmelser, som gennemfører eller svarer til Databeskyttelsesforordningen i EU's medlemsstater. |
| Personale | skal forstås som nuværende, tidligere eller fremtidige medarbejdere, konsulenter, interne og eksterne vikarer, praktikanter, andre midlertidigt ansatte, kontraktsparter, udstationerede medarbejdere og andet Personale. |
| Personoplysninger | har den betydning, der er anført i Databeskyttelseslovgivningen, og omfatter alle personoplysninger, som kunden overlader til Ibas. |
| Registrerede | har den betydning, der er anført i Databeskyttelseslovgivningen. |
| Tilsynsmyndighed | skal forstås som en/et lokal(t), national(t) eller international(t) styrelse, departement, embedsmand, parlament, myndighedsperson eller juridisk person eller et statsligt eller fagligt organ, en kontrollerende eller tilsynsførende myndighed, et udvalg eller et andet organ med ansvar for at administrere Databeskyttelseslovgivningen. |
| Underdatabehandler | skal forstås som en anden databehandler, som Ibas gør brug af på vegne af kunden til at foretage behandlingsaktiviteter i forbindelse med ydelser, der knytter sig direkte til den primære ydelse. Dette omfatter ikke accessoriske ydelser, såsom telekommunikationsydelser, post-/transportydelser, vedligeholdelses- eller brugersupportydelser, eller bortskaffelse af databærere og papirdokumenter samt øvrige soft- eller hardwarebaserede handlinger. |
Bestemmelser om databehandling
1 Databehandler og Dataansvarlig
1.1 Det er aftalt mellem parterne, at kunden er Dataansvarlig, og at Ibas er Databehandler for beskyttede oplysninger. Kunden bekræfter, at denne er eneansvarlig for rigtigheden, kvaliteten, integriteten og pålideligheden af alle beskyttede oplysninger og af de midler, hvormed kunden har indhentet beskyttede oplysninger.
1.2 Kunden erklærer og garanterer: i) at alle beskyttede oplysninger, som anvendes i forbindelse med ydelserne i henhold til Forretningsbetingelserne, i alle henseender overholder Databeskyttelseslovgivningen, ii) at enhver instruks, som kunden giver Ibas vedrørende beskyttede oplysninger, til enhver tid vil være i overensstemmelse med Databeskyttelseslovgivningen, iii) at kunden har indhentet ethvert nødvendigt samtykke fra registrerede, hvis Personoplysninger er beskyttede oplysninger, eller på anden måde har den fornødne juridiske hjemmel til at udlevere beskyttede oplysninger til Ibas, samt iv) at kunden vil overholde vilkårene i denne databehandleraftale.
1.3 Ibas erklærer og garanterer: i) at Ibas alene vil behandle beskyttede oplysninger i det omfang, det er nødvendigt for at opfylde Forretningsbetingelserne, ii) at Ibas vil behandle beskyttede oplysninger efter dokumenteret instruks fra kunden og i overensstemmelse med kravene i Databeskyttelseslovgivningen, iii) at Ibas omgående vil orientere kunden, hvis kundens instruks efter Ibas' vurdering er i strid med Databeskyttelseslovgivningen, eller hvis Ibas ikke kan efterleve kundens instruks vedrørende Behandlingen af beskyttede oplysninger (uanset om dette skyldes ændringer i gældende lovgivning eller ændringer i kundens instruks), samt iv) at Ibas vil overholde vilkårene i denne databehandleraftale.
1.4 Inden for rammerne af den bestilte behandling behandles alle data, der overdrages af kunden. Kategorierne af personoplysninger og kategorierne af registrerede er kendt af kunden og er specificeret for databehandleren, hvis dette er nødvendigt
i forbindelse med ordren. I tilfælde af datagendannelse er kendskab til indholdet af kundens data normalt ikke relevant for databehandleren.
2 Instruks og oplysninger om Behandling
3 Tekniske og organisatoriske foranstaltninger
4 Brug af Personale og Underdatabehandlere
4.3 Ibas skal sikre, at det Personale, som har adgang til beskyttede oplysninger, er pålideligt og alene behandler oplysningerne, når dette er strengt nødvendigt for at kunne levere ydelserne, at Personalet har fuldt kendskab til de foranstaltninger, der skal træffes, og de skridt, der skal tages ved Behandling af beskyttede oplysninger i henhold til Databeskyttelseslovgivningen, samt at Personalet har forpligtet sig til at behandle beskyttede oplysninger med fortrolighed, herunder at være underlagt en passende tavshedspligt i forhold til beskyttede oplysninger (i henhold til en skriftlig aftale eller på anden måde).
5 Bistand til kunden med overholdelse af forpligtelser og registreredes rettigheder
5.1 Ibas skal omgående videresende alle anmodninger fra registrerede til kunden. Ibas skal efter anmodning fra kunden bistå kunden i rimeligt omfang (under hensyntagen til Behandlingens karakter og de oplysninger, der er til tilgængelige for Ibas) med at sikre overholdelse af kundens forpligtelser i medfør af Databeskyttelseslovgivningen i forhold til: i) behandlingssikkerhed, ii) konsekvensanalyser vedrørende databeskyttelse (som defineret i Databeskyttelseslovgivningen), iii) forudgående høring af Tilsynsmyndigheden vedrørende Behandling, som indebærer en høj risiko, samt iv) anmeldelser til Tilsynsmyndigheden og/eller underretninger fra kunden til registrerede om Brud På Persondatasikkerheden. Kunden skal dog betale vederlag til Ibas for bistanden, hvis denne er uforholdsmæssigt tids- og ressourcekrævende for Ibas.
6 International overførsel af data
6.1 Kunden anerkender, at Ibas Ontrack på datoen for denne databehandlingsaftale kan behandle persondata i Storbritannien, Europa og USA i løbet af denne aftales løbetid.
6.2 Kunden anerkender, at med hensyn til personoplysninger, der er underlagt Data Protection Act 2018 (UK), skal Ibas Ontrack have tilladelse til at behandle alle eller en del af personoplysningerne inden for Det Europæiske Økonomiske Samarbejdsområde ("EØS") i henhold til paragraf 5(1)(a) i Sch.21 til Data Protection Act 2018. Derudover har Storbritannien modtaget en afgørelse om tilstrækkelighed dateret 28. juni 2021 fra Europa-Kommissionen i henhold til artikel 45, stk. 3, i GDPR, som bekræfter, at overførsler kan finde sted uden behov for yderligere tilladelse ("afgørelse om tilstrækkelighed"). I tilfælde af at afgørelsen om tilstrækkelighed udløber eller på anden måde erklæres ugyldig, skal parterne anvende EU's standardkontraktbestemmelser for dataansvarlige til databehandlere, der er gældende på det pågældende tidspunkt, for at sikre Ibas Ontracks behandling af personoplysninger i Storbritannien i overensstemmelse hermed.
6.3 Med hensyn til overførsler af personoplysninger til USA er parterne enige om, at 2021-standardkontraktbestemmelserne for dataansvarlige til databehandlere (modul 2), der er godkendt af Europa-Kommissionen, med de gældende ændringer, der er bemyndiget af S119A(1) i databeskyttelsesloven 2018, og i overensstemmelse med kravene i den schweiziske føderale lov om databeskyttelse af 19. juni 1992 ("FADP") og, efter ikrafttræden, i overensstemmelse med art. 16(2)(d) i databeskyttelsesloven. 16(2)(d) i den fremtidige reviderede føderale lov om databeskyttelse af 25. september 2020 ("revDSG"), som der linkes til her, ("standardkontraktbestemmelser") er indarbejdet ved henvisning i denne databehandlingsaftale, og at alle overførsler er underlagt betingelserne i standardkontraktbestemmelserne. Hvis standardkontraktbestemmelserne ændres, ophæves eller erstattes af Europa-Kommissionen eller i henhold til gældende databeskyttelseslove, skal parterne arbejde sammen i god tro for at indgå en opdateret version af dataoverførselsmekanismen eller for at forhandle en alternativ løsning for at muliggøre overensstemmende overførsler af personoplysninger til USA.
6.4 På de vilkår, der er angivet i dette punkt 6 "Internationale dataoverførsler", giver kunden tilladelse til overførsel af personoplysninger til
USA. Kundens samtykke til overførsel af personoplysninger til USA kan til enhver tid trækkes tilbage, men i et sådant tilfælde anerkender kunden, at Ibas Ontrack muligvis ikke er i stand til at gennemføre
ordren og/eller udføre tjenesterne, hvis kunden trækker sit samtykke til overførslen af personoplysninger tilbage.
7 Fortegnelser, information og revision
7.2 Ibas skal give kunden adgang til at foretage revision højst én gang pr. kalenderår inden for normal kontortid med mindst 30 dages skriftligt varsel og forudsat, at kunden påtager sig at iagttage en rimelig grad af fortrolighed. Kunden får dermed adgang til og kan tage kopi af fortegnelserne over den foretagne Behandling af beskyttede oplysninger. Ibas skal bistå kunden i rimeligt omfang ved udøvelsen af denne ret til at foretage revision. Adgangen til revision omfatter ikke tredjemands datacentre eller øvrige faciliteter hos tredjemand, som forestår opbevaring af serverudstyr, hvor der alene kan foretages visuel inspektion under ledsagelse.
8 Underretning om Brud På Persondatasikkerheden
8.1 I tilfælde af Brud På Persondatasikkerheden, der omfatter beskyttede oplysninger, skal Ibas uden unødig forsinkelse: i) underrette kunden om bruddet på persondatasikkerheden og ii) give kunden nærmere oplysninger om bruddet på persondatasikkerheden.
9 Sletning eller tilbagelevering af Personoplysninger og kopier
9.1 Ibas skal, efter skriftlig anmodning fra kunden eller ved udløb af interne opbevaringsperioder, enten slette alle beskyttede oplysninger eller tilbagelevere alle beskyttede oplysninger til kunden i den form, som kunden med rimelighed måtte anmode om, herunder slette eksisterende kopier, inden for en rimelig periode: i) efter at de pågældende ydelser vedrørende datagendannelse, som Behandlingen er foretaget i forbindelse med, er blevet leveret i henhold til Forretningsbetingelserne, eller, hvis følgende tidspunkt indtræffer før, ii) når Ibas's Behandling af beskyttede oplysninger ikke længere er nødvendig for, at Ibas kan opfylde sine forpligtelser i henhold til denne databehandleraftale (medmindre gældende lovgivning stiller krav om opbevaring af beskyttede oplysninger, i hvilket tilfælde Ibas skal orientere kunden herom). Ibas skal sikre, at Ibas' Underdatabehandlere træffer samme foranstaltninger vedrørende beskyttede oplysninger.
9.2 Ibas skal slette beskyttede oplysninger, som fortsat er i Ibas' besiddelse eller under Ibas' kontrol efter en periode på 12 måneder, medmindre dette skyldes, at kunden aktivt har givet instruks herom.
10 Skadesløsholdelse
10.1 Hver part (den "skadesløsholdende part") skal holde den anden part ("den skadesløsholdte part") skadesløs for alle krav, fordringer, søgsmål, forlig, sager af anden art, renter, gebyrer, udgifter, tab og erstatningsbeløb, som måtte blive gjort gældende mod den skadesløsholdte part, eller som denne måtte pådrage sig, blive pålagt at betale eller har accepteret at betale som følge af eller i forbindelse med den skadesløsholdende parts manglende overholdelse af denne databehandleraftale og/eller overtrædelse af Databeskyttelseslovgivningen.
11 Ansvar
11.1 Hver parts samlede ansvar i henhold til denne databehandleraftale kan i intet tilfælde overstige de i Forretningsbetingelserne fastlagte og aftalte beløbsgrænser.
12 Varighed og ophør
12.1 Medmindre parterne ved enighed har bragt aftalen til ophør, træder denne databehandleraftale i kraft på den dato, hvor der afgives en ordre på ydelser i henhold til Forretningsbetingelserne, og aftalen er gældende, så længe Ibas fortsat behandler beskyttede oplysninger.
13 Lovvalg
13.1 Denne databehandleraftale er omfattet af lovvalgsbestemmelsen i Forretningsbetingelserne.
Bilag 1 – Underdatabehandlere og overførsler
Ibas Ontrack product eller forretningssystem | Processorens navn og placering |
Datagendannelse (Koncernselskaber) | KLDiscovery Ontrack Limited KLDiscovery Limited Ibas Ontrack ApS Ibas Ontrack Oy KLDiscovery Ontrack B.V. Ibas Ontrack AB Ibas Ontrack AS KLDiscovery Ontrack GmbH KLDiscovery Ontrack Srl KLDiscovery Ontrack Sp. z o.o KLDiscovery Ontrack SL KLDiscovery Ontrack Sarl KLDiscovery Ontrack (Switzerland) GmbH KLDiscovery Ontrack, LLC |
Ibas Ontrack datarekonstruktion - Tjenestebeskrivelse
1. Datarekonstruktionsproses, Ibas Ontracks tjenester og begrænsninger
a) Datarekonstruktion udføres i flere mulige trin:
- Evaluering - se punkt 2 nedenfor -; eller/og
- Diagnose - se punkt 3 nedenfor -; og
- Datarekonstruktion efter evaluering eller diagnose - se punkt 4 nedenfor - eller RDR Remote datarekonstruktion for erhvervskunder - se punkt 5 nedenfor.
b) Ibas Ontrack vil rekonstruere så meget data som muligt fra et eller flere beskadigede lagringsmedier ved hjælp af passende tiltag. Ibas Ontrack tester ikke anvendelighed eller kompatibilitet med applikationssoftware eller kundeoperativmiljøer.
c) Det er muligt, at slettede og/eller beskadigede data ikke kan læses, selv ved brug af Ibas Ontracks værktøjer og teknologi. Derfor kan Ibas Ontrack ikke garantere, at data på beskadigede lagringsmedier kan gendannes, repareres eller læses.
d) Ibas Ontrack vil undersøge lagringsmedierne for at finde ud af, hvilke skader der er tale om for at rekonstruere data og datastrukturer, så de sandsynligvis kan læses og bruges igen i kundens egnede applikationer. For at gøre dette bruger Ibas Ontrack de højeste tekniske standarder og proprietære processer samt software- og hardwareværktøjer. Grundet karakteren af Ibas Ontracks arbejde med beskadigede data eller lagringsmedier er der en generel risiko for, at resterende data på det beskadigede lagringsmedie kan gå tabt eller helt eller delvist blive ødelagt.
e) Kunden anerkender, at der er risiko for, at:
- yderligere data går tabt, når eksisterende data ikke længere kan gendannes,
- rekonstruerede data kan ikke bruges af kunden,
- lagringsmediets informationsindhold vil blive helt eller delvist ødelagt; og
- lagringsmedier, software og andre elementer er beskadiget, gjort ubrugelige eller ødelagt
2. Evaluering
a) Evaluering er en indledende vurdering af en erfaren datarekonstruktionsingeniør, som vurderer, hvilken skade der kan ses på lagringsmediet, for at give et skøn over mængden af data, der kan forventes at blive rekonstrueret. Evalueringen kan bruges til HDD- og SDD-harddiske. Undtaget fra evalueringen er mobiltelefoner, tablets og flash-medier samt medier med slettede data, vand- og brandskader og lagringsmedier, der allerede er åbnet. Under evalueringen kobles kundens lagringsmedier til Ibas Ontracks egne proprietære systemer og åbnes evt. I evalueringen bliver ingen data kopieret/backupet (imaged) eller yderligere analyseret. Der produceres ingen liste over rekonstruerbare datasæt eller indikation af, hvilke filer der kan rekonstrueres. Ibas Ontrack afgiver ikke skadesrapport efter vurderingen.
b) Ibas Ontrack vil efter evalueringen informere kunden om (i) datarekonstruktion er mulig, (ii) en yderligere afgiftspligtig diagnose er nødvendig for at afsløre om en rekonstruktion kan tilbydes samt mulighederne for datarekonstruktion inklusive mængden af data der kan sandsynligvis rekonstrueres (se punkt 3); (iii) eller at skadens omfang er så omfattende, at en datarekonstruktion ikke kan udføres af Ibas Ontrack.
c) En vurdering af den sandsynlige succes af datarekonstruktion efter evalueringen foretages på grundlag af følgende klassifikationer:
- Fremragende - Ibas Ontrack forventer et rigtig godt resultat, hvor 95-100% af rådata kan rekonstrueres
- Godt - Ibas Ontrack forventer et godt resultat, hvor 75-100% af rådata kan rekonstrueres
- Delvist rekonstruerbar - Ibas Ontrack forventer, at op til 50 % af rådata kan rekonstrueres.
- Kompleks – På grund af skadens kompleksitet giver vurderingen ikke tilstrækkelig information og begrundelse til at kunne tilbyde en datarekonstruktion. Vi anbefaler derfor en fuld diagnose, der vil give svar på, om en datarekonstruktion er mulig samt et overblik over, hvad der kan rekonstrueres.
- Kan ikke rekonstrueres - Ibas Ontrack kan ikke rekonstruere data fra denne enhed.
d) Vurderingen af chancerne for succes for en datarekonstruktion baseret på klassificeringen ovenfor er ingen garanti for, at de anførte procentsatser i punkt 2.c) vil blive opfyldt, da hverken fysiske eller datastrukturelle skader repareres i en evaluering.
e) Såfremt kunden anmoder herom, kan Ibas Ontrack efter evalueringen foretage en afgiftspligtig diagnose, som omfatter, hvor det er muligt, oprettelse af Verifilen (fillisten), som kan vise mængden af data, der skønnes at kunne rekonstrueres. (se punkt 3 nedenfor). Bemærk venligst, at det ikke altid er muligt at levere en filliste, hvis ingen data kan rekonstrueres.
f) Såfremt kunden på baggrund af resultaterne af evalueringen afgiver bestilling på diagnosen eller datarekonstruktionen (se punkt 4 nedenfor), vil Ibas Ontrack foretage enten diagnosen eller datarekonstruktionen.
g) Kunden kan beslutte ikke at udføre datarekonstruktionen eller diagnosen efter evalueringen. Hvis kunden ønsker det, vil enheden blive returneret til kunden for det gebyr, der er vist i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktioner, resten deponeres efter gældende regler.
h) Vær opmærksom på, at behandling under evalueringen kan skade kundens udstyr.
3. Diagnose
a) Til rekonstruktion af data på smartphones, tablets eller flashmedier eller i tilfælde af specifik dataskade tilbyder Ibas Ontrack en gebyrbaseret diagnose (og ikke evaluering). Ibas Ontrack kan også anbefale en diagnose efter at udredningen er foretaget, især ved komplekse skader. Diagnosen kan også rekvireres uden evalueringen.
b) Diagnosen vil afsløre skadens art og omfang, samt en præcis beskrivelse af mulighederne for en datarekonstruktion på de lagringsmedier, som kunden har stillet til rådighed, og mængden af filer/data, der sandsynligvis kan rekonstrueres. Ibas Ontrack vil give kunden adgang til en proprietær platform, der giver kunden mulighed for at spore status samt give kunden en filliste (Verifile), hvis datarekonstruktion er mulig. I nogle tilfælde kan Ibas Ontrack ikke få adgang til data og kan derfor ikke levere en filliste (Verifile).
c) Filliste (Verifile) indeholder en indikation af kvaliteten af dataene, da det drejer sig om anvendelighed i trafiklyssystemet:
- Grøn – dataene vil højst sandsynligt fungere eller åbne i de respektive applikationer.
- Gul – dataene eller filerne er delvist beskadiget – det kan betyde, at filerne ikke kan åbnes og redigeres i de respektive applikationer. Det kan være muligt at reparere de beskadigede filer, men Ibas Ontrack tilbyder ikke reparation. Ibas Ontrack kan kontakte dig direkte, hvis en sådan service i så fald kan tilbydes af Ibas Ontrack.
- Rød – dataene eller filerne er korrupte – dette vil sandsynligvis resultere i, at filerne ikke kan åbnes og redigeres i de respektive applikationer.
d) Det er ikke muligt for Ibas Ontrack at garantere brugbarheden af data med kundens respektive applikationer som en del af diagnosen. Ibas Ontracks ingeniører vil give vejledning om den generelle status for rekonstruerede data, dog kan disse antagelser ikke garanteres på grund af andre skadesårsager, som ikke kan identificeres. Dette gælder i det særlige tilfælde for alle typer databasefiler. Importen af datasættene i henhold til den nyeste teknologi af den respektive databasesoftware og applikation og konsultation af yderligere eksperter er kundens eget ansvar. Ibas Ontrack vil så vidt muligt støtte kunden og tredjeparteentrepenører.
e) Der er særlige situationer med tab af data, hvor farverne i fillisten (Verifile) ikke har nogen betydning. I tilfælde af sådanne alvorlige strukturelle skader garanterer Ibas Ontrack ikke for filernes funktionalitet. Hvis et sådant tilfælde eksisterer, er dette angivet i diagnoseresultatet.
f) Diagnosticering foretages i Ibas Ontracks laboratorium. Vi sender normalt mobiltelefoner og tablets til et af Ontracks europæiske mobiltelefonekspertisecentre.
g) Afhængigt af typen af lagringsmedie kan diagnosen føre til overførsel af data til et andet lagringsmedium, og den originale enhed kan blive yderligere beskadiget.
h) Såfremt Kunden afgiver en ordre på datarekonstruktion baseret på resultaterne af diagnosen (se punkt 4 nedenfor), vil Ibas Ontrack foretage datarekonstruktion.
g) Kunden kan vælge kan beslutte ikke at udføre datarekonstruktion efter diagnosen. Efter anmodning fra Kunden vil Kundens medier herefter blive returneret til Kunden mod det gebyr, der er angivet i Tilbudsformularen. Ellers bortskaffes mediet sikkert.
g) Kunden kan vælge ikke at foretage datarekonstruktion efter diagnosen. På Kundens anmodning vil Kundens medier herefter blive returneret til Kunden mod det gebyr, der er angivet i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktioner, resten deponeres efter gældende regler.
4) Datarekonstruktion efter diagnosen eller evalueringen
a) Tilbud om datarekonstruktion efter evalueringen
Evalueringsresultater sendes sammen med tilbud om datarekonstruktion. Kun den forventede succesvurdering på Excellent/God/Delvis/Kompleks overføres.
Tilbud på datarekonstruktion indeholder datarekonstruktionsprisen i forhold til serviceniveauerne (se punkt c.), som viser behandlingstiden for den respektive datarekonstruktionsproces og sendes til kunden som beskrevet i vores salgs- og leveringsbetingelser.
b.) Tilbud på datarekonstruktion efter diagnosen
Efter diagnosen sender Ibas Ontrack Verifile-listen til kunden, hvor det er muligt, og informerer kunden om, hvor lang tid datarekonstruktionsprocessen kan tage, og hvad omkostningerne ved en datarekonstruktion vil være. Kunden vil modtage et datarekonstruktionstilbud som beskrevet i vores handelsbetingelser, som vil indeholde datarekonstruktionsprisen i forhold til de serviceniveauer (se pkt. c.), som angiver behandlingstiden for den respektive datarekonstruktionsproces.
c.) Tjenesteniveauer
Ved bestilling af datarekonstruktion kan kunden vælge mellem følgende serviceniveauer baseret på hastergraden:
- Emergency
Opgaven starter umiddelbart efter modtagelse af ordren og fortsætter løbende (24/7), indtil opgaven er afsluttet. - Express
Opgaven starter umiddelbart efter modtagelse af ordren, fra mandag til fredag mellem 08:00 og 16:00. Normal behandlingstid er 3-5 hverdage. - Standard
Opgaven udføres indenfor normal arbejdstid, mandag til fredag mellem 08.00 og 16.00. Normal behandlingstid er 7-10 hverdage. - Economy
Opgaven udføres indenfor normal arbejdstid, mandag til fredag mellem 08.00 og 16.00. Normal behandlingstid er op til 20 hverdage. - Home
Opgaven udføres indenfor normal arbejdstid, mandag til fredag mellem 08.00 og 16.00. Normal behandlingstid er op til 30 hverdage.
d.) Bestilling af data rekonstruktion
Kunden accepterer tilbuddet om datarekonstruktion som beskrevet i vores salgs- og leveringsbetingelser.
Hvis kunden beslutter sig for ikke at udføre datarekonstruktionen baseret på evalueringsresultaterne eller fillisten (verifle), betragtes ordren som annulleret. På kundens anmodning returneres datamediet til kunden mod det gebyr, der er angivet i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktionerr, resten deponeres efter gældende regler.
e) Gennemførelse af datarekonstruktionen
Såfremt kunden afgiver en ordre på datarekonstruktion baseret på datarekonstruktionstilbuddet efter gennemgang af resultaterne af evalueringen og/eller diagnosen, vil Ibas Ontrack udføre datarekonstruktionen. Kunden modtager de data, der kunne rekonstrueres af Ibas Ontrack. Efter en diagnose er dette normalt de data, der vises i fillisten (Verifile).
Data rekonstrueret af Ibas Ontrack gemmes på en bærbar lagringsenhed og sendes til kunden. Udover at det leverede medie indeholdende de rekonstruerede data, kan Ibas Ontrack returnere det beskadigede medie, hvis kunden anmoder om det ved bestilling af datarekonstruktion mod betaling af returfragt angivet i tilbuddet. På kundens anmodning, efter 90 dages karantæne, vil enheden/enhederne blive slettet og demonteret. Brugbare dele vil være tilgængelige til senere ombygninger, resten vil blive deponeret i henhold til gældende regler.
f) Afvigelse i datarekonstruktionsresultatet
I tilfælde af at mængden af rekonstruerede data er væsentligt mindre end mængden af rekonstruerbare data estimeret i evalueringen, hvor der ikke tidligere er bestilt en filliste, vil en filliste (Verifile) blive leveret til kunden uden ekstra omkostninger for at hjælpe med beslutningen om at gå videre med rekonstruktionen. Hvis der tidligere er bestilt og leveret en diagnostik, vil en kunderepræsentant kontakte kunden for at diskutere resultaterne og kundens muligheder for datagendannelse.
5) RDR Remote Data Recovery Tjeneste
a) RDR® er en forkortelse for Remote Data Recovery™ ("RDR"). RDR er en patenteret teknologi, som gør det muligt for Ibas Ontracks ingeniører at udføre en datarekonstruktion af laboratoriekvalitet direkte på kundens server, desktop eller laptop via en internetforbindelse. Det eneste krav er, at lagringsenheden er fysisk i orden. Ibas Ontracks RDR består af tre hovedkomponenter:
i) Kommunikation med kunde: Kunden initierer en forbindelse til en Ontrack RDR-server ved hjælp af den specialudviklede RDR-software. RDR-softwaren virker mod alle typer Windows-installationer. De diske/volumener, der skal rekonstrueres, behøver ikke at være fra et specifikt operativsystem.
ii) RDR-server: Ontrack har flere RDR-servere rundt om i verden.
iii) RDR-arbejdsstation: Den bruges af Ibas Ontrack-ingeniører til at fjernstyre værktøjerne på kundens maskine og gendanne kundens data.
b) Først downloader kunden den relevante RDR-klientversion og installerer den på den server, stationære eller bærbare computer, der skal bruges til rekonstruktionen. Ontrack-klientsoftwaren forbinder derefter som en udgående TCP/IP-forbindelse fra kundens placering til Ontrack-serveren, hvilket skaber en tunnel eller punkt-til-punkt-forbindelse over internettet. Da forbindelsen sandsynligvis vil bruge en netværksforbindelse, kan den passere gennem de fleste firewalls uden yderligere konfigurationskrav. Datasikkerhed er altafgørende på grund af Ontracks proprietære kommunikationsprotokol, krypterede pakker og sikre Ontrack faciliteter.
RDR beskytter kundedata via RDR-forbindelsen på fire måder:
- direkte forbindelse til RDR-serveren: Klientsoftwaren bruger en direkte TCP-forbindelse fra klientens computer til Ontrack RDR-serveren. RDR bruger ikke et tredjeparts hostingprodukt.
- kryptering: Kommunikations linjen benytter 256 bit kryptering på alle pakker.
- Proprietær protokol: RDR-kommunikation bruger en proprietær protokol, men ikke HTTP eller almindelige protokoller, som andre vil forstå.
- ingen kundedata overføres over forbindelsen: RDR-forbindelsen bruges kun af Ontrack-ingeniøren til at fjernstyre Ontrack-værktøjer direkte på kundens maskine. Kun skærmopdateringer og tastaturpakker sendes over forbindelsen, men ikke faktiske kundedata. Ontrack-ingeniøren bruger rekonstruktionsværktøjerne til filsystemstrukturer til at rekonstruere kundedata og gøre dem tilgængelige for kunden.
c) Så snart forbindelsen er etableret, og opgaven er bestilt, starter enten diagnosen eller rekonstruktionsprocessen.
Status: May 2023
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.ontrack.com/en-gb/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
| Start date | ||
| The Parties | Exporter (who sends the Restricted Transfer) | Importer (who receives the Restricted Transfer) |
| Parties’ details | Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order | Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
| Key Contact | Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order | Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
| Signature (if required for the purposes of Section 2) | Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order | Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
| Addendum EU SCCs | The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
| Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
| Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
| Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
| Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
| Ending this Addendum when the Approved Addendum changes | Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß
Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes
über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen: | APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country
in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future
revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply: |