VILLKOR FÖR ONTRACK DATAÅTERSTÄLLNINGSTJÄNSTER
1 DESSA VILLKOR
1.1 Dessa villkor (”Villkor”) reglerar leveransen av Dataåterställningstjänster från IBAS Ontrack AB (registrerat i Sverige, organisationsnummer: 556536-9740 nedan ”Ontrack”, Läs dessa villkor noga innan du skickar din Beställningsorder till oss. Dessa villkor berättar för dig vilka vi är, hur vi kommer att tillhandahålla Tjänsterna till dig, hur du och vi kan ändra eller avsluta Avtalet, hur eventuella problem hanteras och annan viktig information.
2 KONTAKTUPPGIFTER
2.1 Så här kontaktar du oss. Du kan kontakta oss genom att ringa vår kundtjänst på telefonnummer 018 10 44 40, skriva till oss på IBAS Ontrack AB, Box 1005 -753 20 Uppsala, eller swrecovery@ontrack.com.
3 TOLKNING
3.1 I dessa Villkor gäller följande definitioner:
(n) ”Hemsida” avser hemsidan på https://www.ibas.com/sv eller sådan hemsida som vi använder för sina affärer från tid till annan.
4 BESTÄLLNINGSPROCESS
4.1 För dataåterställning på standardnivå, efter att initial konsultation via telefon och efter ifyllnad av ett online-formulär som du skickar till oss via vår Hemsida eller via e-post, skickar du Utrustningen till oss för utvärdering. Därefter ska vi tillhandahålla Tjänsterna i enlighet med Tjänstebeskrivningarna. Vi kommer att göra rimliga ansträngningar för att: (a) undersöka Utrustningen för att avgöra: (i) vilken Data som är tillgänglig på Utrustningen: (ii) orsaken till eventuell skada på Utrustningen och/eller Data på Utrustningen; (iii) mängden Data (om någon) som sannolikt kan återställas på Utrustningen; (iv) om du har skickat in en trasig Mobiltelefon, huruvida en reparation är möjlig av din Mobiltelefon och vilken hårdvara, om någon, som behöver repareras eller bytas ut för att återställa någon funktion på Mobiltelefonen ("Kostnadsfri Utvärdering"); (b) rapportera resultaten av vår Kostnadsfria Utvärdering till dig. Vi ska tillhandahålla en skriftlig offert till dig som reglerar omfattningen av Tjänsterna och relevant avgift (”Offert”). Alla Tjänster ska förses i enlighet med Tjänstebeskrivningen.
4.2 För andra Tjänster, till exempel dataräddning på distans (Eng: remote data recovery) (”RDR”), där du inte behöver skicka någon Utrustning till oss, eller dataradering genom avmagnetisering (Eng: Degaussing), ska Offerten visa kostnaden för det arbete som Ontrack förväntas behöva utföra för att tillhandahålla Tjänsterna.
4.3 Efter att ha mottagit vår Offert kan du antingen (i) acceptera och underteckna Offerten eller arbetsbeskrivningen för att beställa våra Tjänster (”Beställningsorder”); (ii) lämna in en begäran till oss om att vi (i förekommande fall) ska returnera din Utrustning till dig, och att du i så fall samtycker till att betala leveranskostnaderna; eller (iii) lämna in en begäran till oss om att vi ska förstöra din Utrustning och i så fall får din tillåtelse att omedelbart förstöra din Utrustning. Om vi inte tar emot en Beställningsorder eller en begäran om att returnera din Utrustning inom 90 (nittio) kalenderdagar från offertdatumet kommer vi att kassera din Utrustning i enlighet med gällande lagstiftning.
4.4 Vi kommer att bekräfta din Beställningsorder via e-post, och vid tidpunkten för e-postbekräftelsen blir avtalet som upprättas mellan dig och oss juridiskt bindande och regleras i enlighet med dessa villkor (”Avtal”). Vi kommer att ge din Beställningsorder ett ordernummer. Du hjälper oss genom att ange detta ordernummer när du kontaktar oss.
5 VÅRA TJÄNSTER
5.1 Mot din betalning av Avgiften kommer vi att tillhandahålla Tjänsterna med skälig omsorg och kompetens. Efter en Beställningsorder ska vi med skäliga åtgärder (i) hämta, replikera, rekonstruera, ge tillgång till, konvertera, återskapa och returnera all räddad Data till dig på en krypterad hårddisk eller ett USB-minne och utföra sådana andra tjänster som vi skriftligen har samtyckt till att utföra åt dig, till exempel dataradering eller RDR. När du tar emot hårddisken eller USB-minnet med din återställda Data från Ontrack, uppmanar vi dig att omedelbart kontrollera hårddiskens eller USB-minnets tekniska funktionalitet. Ontrack kan endast ersätta din återställda data om leveransenheten misslyckas inom vår lagringstid för dina återställda personuppgifter enligt Ontracks Databehandlingsavtal.
5.2 Remote Data Recovery (dataräddning på distans). När du vill beställa dataräddning vid tillfällen där Utrustning inte behöver skickas in, kan Ontrack eventuellt utföra dataräddningen på distans. Du måste ladda ner och installera Ontracks RDR-klientprogram via länken som Ontrack tillhandahåller. När klientprogrammet är installerat kan kunden ansluta till Ontrack via en krypterad internetanslutning. Ontrack använder RDR-anslutningen enbart för att styra Ontracks återställningsverktyg direkt på Kundens dator. Din Data kommer inte att överföras till Ontrack under denna process.
5.3 Avmagnetisering. Ontrack kommer att placera din Utrustning i en degausser, en maskin som på ett effektivt och säkert sätt raderar all magnetisk data från Utrustningen. Efter avmagnetiseringsprocessen är Datan oläsbar och kommer att vara förstörd.
5.4 Reparation av Mobiltelefon. Den primära tjänsten vi erbjuder är återvinning av Data från Mobiltelefonen och vi erbjuder inte en fristående reparation av Mobiltelefoner. Om en reparation är möjlig kommer vi att reparera och återställa funktionerna till Mobiltelefonen så att du kan använda den för normala användningsförhållanden.
5.5 Du kommer att informeras om det beräknade slutförandedatumet för Tjänsterna under Beställningsorderprocessen. Kostnaderna för att returnera Utrustningen kommer att anges enligt relevant Offert.
5.6 För en del tjänster kan vi behöva viss information från dig, till exempel användarnamn, lösenord och/eller åtkomstkoder. Om du inte tillhandahåller denna information inom en skälig tid efter vår begäran, eller om du lämnar ofullständig eller felaktig information, kan vi komma att fakturera en extra summa som är skälig för att kompensera oss för eventuellt extra arbete som kan bli nödvändigt till följd av detta. Vi tar inget ansvar för sen eller ofullständig leverans av Tjänsterna om detta orsakas av att du inte ger oss den information vi behöver.
5.7 Vi kan eventuellt bli tvungna att avbryta tillhandahållandet av Tjänster för att: (i) åtgärda tekniska problem eller göra tekniska ändringar, (ii) uppdatera Tjänsterna i enlighet med förändringar i relevanta lagar och myndighetskrav, (iii) göra ändringar i Tjänsterna enligt din begäran. Vi kan också avbryta leveransen av Tjänster om din betalning uteblir.
5.8 Vi använder reparatörer som är godkända av originaltillverkaren men erbjuder ingen garanti att Tjänsterna kommer att överensstämma med eventuell garanti från tillverkaren av originalutrustningen. Vårt utförande av Tjänsterna ska under inga omständigheter betraktas som en garanti för att Tjänsterna kommer att vara lyckade, att alla eller några av dina Data kommer att vara återställnings- eller användbara, eller att vi kommer att uppnå något annat specifikt resultat.
5.9 Ontrack garanterar att RDR-klientprogramvaran: (a) är fri från programkod eller programmeringsinstruktioner som är avsiktligt utformade för att avbryta, inaktivera, skada, störa eller på annat sätt negativt påverka datorprogram, datafiler eller beräkningar; och (b) inte innehåller någon annan destruktiv eller skadlig kod som vanligen beskrivs som virus eller med liknande termer som exempelvis trojan, mask eller bakdörr.
6 IMMATERIELLA RÄTTIGHETER
6.1 Din Utrustning och dina Data ska alltid vara din egendom, och vi ska inte ha någon rättighet, äganderätt eller intresse i eller till dem (förutom rätten till innehav och användning av din Utrustning och din Data för att kunna utföra Tjänsterna). Vi behåller alla rättigheter, äganderätten och intressen avseende tillhandahållandet av Tjänsterna, inklusive eventuella förbättringar eller utökningar av Tjänsterna.
7 ÅNGERRÄTT (KONSUMENTER)
7.1 Punkt 7 gäller endast våra Avtal med Konsumenter. Efter en Beställningsorder har du en laglig rätt att ångra dig. Dessa rättigheter förklaras närmare nedan.
7.2 Under Freeval Analysis kan du avbeställa när du vill. Om du gör en Beställningsorder kan du avbeställa inom 14 (fjorton) dagar efter den dag som vi via e-post bekräftar att vi accepterar din Beställningsorder. Men när vi har slutfört Tjänsterna kan du inte ångra dig, även om din period fortfarande löper. Genom att göra en Beställningsorder tillåter du oss uttryckligen att omedelbart påbörja utförandet av Tjänsterna. Om du avbeställer efter att vi har påbörjat utförandet av Tjänsterna måste du betala oss för de Tjänster som tillhandahållits fram till dess att du informerar oss om din avbeställning. Vi kommer att informera dig om vad du ska betala efter att du har gjort din avbeställning.
7.3 Du kan makulera Beställningen bland annat genom att meddela oss om ordernumret, ditt namn, din adress och din begäran om makulering på något av följande sätt:
(d) Du kan även använda Konsumentverkets ångerblankett som finns tillgänglig på Konsumentverkets hemsida, https://publikationer.konsumentverket.se/kontrakt-och-mallar/angerblankett.
8 RÄTTIGHETER ATT AVSLUTA AVTALET (FÖRETAGSKUNDER)
8.1 Punkt 8 gäller endast våra avtal med Företagskunder. Efter en Beställningsorder kan du inte avsluta Tjänsterna om det inte anges i punkt 9 nedan.
9 ÖMSESIDIGA UPPSÄGNINGSRÄTTIGHETER (FÖRETAGSKUNDER)
9.1 Utan att påverka någon annan rättighet eller gottgörelse tillgänglig för endera Parten kan varje Part säga upp avtalet med omedelbar verkan genom skriftligt meddelande, om:
(a) endera Parten på ett väsentligt sätt bryter mot något villkor i Avtalet som inte kan avhjälpas (eller om sådant avtalsbrott är avhjälpbart) misslyckas att vidta rättelse av denna överträdelse inom en period av 7 (sju) dagar efter att skriftligen ha meddelats om att göra detta eller upprepade gånger bryter mot Villkoren. Underlåtenhet att betala Avgifterna ska utgöra ett väsentligt avtalsbrott; eller
(b) endera Parten upphör (eller hotar att upphöra) med att bedriva hela eller delar av sin verksamhet, har en konkursförvaltare utsedd att hantera hela eller del av sitt åtaganden eller tillgångar eller fattar ett beslut för dess avveckling (på annat sätt än då syftet är ett ”bona fide-system” för sammanslagning eller rekonstruktion där den resultatet är att enheten ska överta samtliga dess förpliktelser) eller en behörig domstol beslutar om ackordsförfarande, likvidation eller liknande beslut, eller ingår något frivilligt arrangemang med sina borgenärer eller inte kan betala sina skulder när de förfaller, eller, om en person, blir försatt i konkurs.
9.2 Vi kan säga upp Avtalet om vi genom Avtalets utförande kan bryta mot tillämplig export- och sanktionslagstiftning avseende kontakter med vissa företag och individer som anges av Europeiska kommissionen, USA eller andra nationella myndigheter.
9.3 Efter uppsägning ansvarar du för att alla belopp som du är skyldig oss ska betalas omedelbart.
10 KUNDBEKRÄFTELSER
10.1 Du bekräftar och garanterar härmed att: (i) du är juridiskt kapabel att ingå bindande avtal; (ii) du har full befogenhet, rättskapacitet och förmåga att godkänna dessa Villkor, och om du är en Företagskund att du har lämplig juridisk befogenhet att ingå Avtalet; (iii) all information som du lämnar till oss i samband med din Beställningsorder är sann, korrekt, fullständig och inte vilseledande; (iv) du äger Utrustningen och/eller har Utrustningen ägares tillstånd att låta oss utföra Tjänsterna; (v) din leverans av din Utrustning och/eller Data till oss inte kommer att inkräkta på någon tredjeparts skyldigheter eller rättigheter; (vi) din leverans av din Utrustning och/eller Data till oss inte kommer att bryta mot någon tillämplig lag; (vii) du har laglig rätt att ge oss tillgång till Datan; (viii) Utrustningen innehåller inte något material (inklusive och utan begränsning all Data) som kan kränka någon tredjeparts immateriella rättigheter; och att (ix) din Utrustning inte innehåller något material som bryter mot tillämplig lag. Vi förbehåller oss rätten att begära handlingar som styrker din äganderätt eller lagliga rätt att auktorisera Tjänsterna, samt att avbryta eller inte påbörja Tjänsterna om vi inte mottar några sådana bevis.
10.2 Du bekräftar härmed att din Utrustning och/eller Data kan vara skadad redan innan vi tar emot den, och att våra ansträngningar att genomföra tjänsterna kan leda till förstörelse av, eller ytterligare skada på, din Utrustning och/eller Data. Vi kommer att iaktta skälig omsorg när vi utför Tjänsterna, men kommer inte, som anges i punkt 12.2 i dessa Villkor, att bära något ansvar för befintliga eller ytterligare skador som kan uppstå på din Utrustning och/eller Data medan vi utför Tjänsterna.
11 PRIS OCH BETALNING
11.1 Priserna för Tjänsterna är den Avgift som anges i den relevanta Offerten. Moms kommer att läggas till enligt lagstadgat belopp och ska i förekommande fall betalas av Kunden.
11.2 Så här betalar du. Betalningar kan göras via banköverföring, eller kredit-/betalkort. Om du betalar med Kredit-/betalkort kommer Ontrack att skicka en betalningslänk till en säker tredjeparts betalningsplattform för att slutföra betalningsprocessen när arbetet är slutfört. Vissa Tjänster, såsom som fil-listor (se Tjänstebeskrivning) ska betalas innan Tjänsterna påbörjas. För andra Tjänster, efter Beställningsorderns slutförande, måste betalning göras till Ontrack innan återvunnen Data returneras. Företagskunder måste betala sin faktura inom den angivna tiden, om kreditvillkor erbjuds av Ontrack. Kreditvillkor erbjuds endast om signerad Ontrack-order eller inköpsorder från kund har returnerats signerad till Ontrack.
11.3 Om du inte betalar ett belopp som du är skyldig enligt dessa Villkor kan vi behålla Utrustningen och Datan tills du har betalat hela beloppet. Om du inte betalar hela beloppet inom 90 (nittio) kalenderdagar efter förfallodagen kan vi, utan ansvarsskyldighet eller någon vidare konsultation med dig, avyttra din Utrustning och/eller Data i enlighet med gällande lagstiftning. Vi debiterar dig också ränta på det förfallna beloppet med en ränta på 4% per år över grundutlåningsräntan för Barclays Bank plc vid den aktuella tidpunkten. Denna ränta kommer att tillkomma dagligen från förfallodagen till datumet för faktisk betalning av det försenade beloppet, antingen före eller efter dom.
12 VÅRT ANSVAR FÖR FÖRLUST ELLER SKADA SOM DRABBAR DIG
12.1 Vi accepterar inget ansvar för eventuell förvanskning av, eller fysisk eller annan skada på eller förstörelse av din Utrustning, Data eller annan utrustning, eller ogiltigförklarande av garantier avseende din Utrustning eller annan utrustning, antingen innan vi tar emot din Utrustning, Data eller annan utrustning; eller i samband med vårt tillhandahållande av Tjänsterna där sådan skada, förstörelse, förvanskning eller ogiltighet härrör från vårt utförande av Tjänsterna enligt dessa Villkor.
12.2 Även om vi kommer att ta hand om din Utrustning eller Data med skäliga ansträngningar medan den är i vårt förvar, ska du vara medveten om att din Utrustning eller Data kan gå förlorad, förstöras, förvanskas eller på annat sätt skadas genom normalt slitage.
12.3 Vi utesluter eller begränsar inte på något sätt vårt ansvar gentemot dig där det är olagligt att göra det. Detta inkluderar vårt ansvar för dödsfall eller personskada orsakad av vår vårdslöshet eller vårdslöshet från våra anställda, agenter eller underleverantörer; för bedrägeri eller bedräglig felaktig framställning; och för Konsumenter, för brott mot dina lagliga rättigheter i förhållande till tjänsterna och för defekta tjänster enligt gällande konsumentlagstiftning.
12.4 Om inget annat följer av bestämmelserna i punkt 12 ska vår totala ansvarsskyldighet gentemot dig, oavsett om den grundas inom eller utom avtal (inklusive försummelse), vid brott mot lagstadgad skyldighet eller på annat sätt, som uppstår inom eller i samband med ett Avtal begränsas till: (i) vid brott mot sekretesskyldighet, dataskydd eller immateriella rättigheter, det högre värdet av £10 000 eller värdet av Avgiften enligt tillämpligt kontrakt; eller (ii) i alla övriga fall, värdet av det Avgiften som ska betalas enligt Avtalet.
12.5 Ingen av Parterna är ansvariga gentemot den andra, vare sig i avtal, skadestånd (inklusive oaktsamhet), för brott mot lagstadgad skyldighet, eller på annat sätt, som uppstår under eller i samband med dessa Villkor eller något Avtal för indirekt eller följdförlust, förlust av vinst eller förlust av försäljning eller affärer.
12.6 Användning av bud. När vi hämtar din Utrustning före påbörjandet av Tjänsterna, eller för att leverera återskapad Data och/eller ursprunglig Utrustning, anlitar vi nationellt kända budföretag för dessa tjänster. Genom att acceptera att vi använder sådana budföretag för Tjänsterna godkänner du att eventuell förlust av eller skada på Utrustning eller Data uttryckligen ska vara föremål för de villkor som tillhandahålls av det tillämpliga transportföretaget, inklusive ansvarsbegränsningar och ersättningsgränser. Du avsäger dig härmed all rätt att rikta skadeståndsanspråk mot Ontrack för förlust eller skada på Data eller Utrustning som uppkommit genom vårdslöshet och/eller avtalsbrott från transportföretagets sida och inte täcks av transportföretagets eventuella ersättningssystem.
13 ERSÄTTNING
13.1 Du ska till fullo ersätta oss för och hålla oss skadeslösa från alla anspråk, kostnader, skador, skulder, kostnader (däribland juridiska kostnader) krav och domar som tilldelats oss eller som ådragits eller betalats av oss som ett resultat av eller i samband med någon som helst av dina handlingar, din passivitet och/eller försummelse i samband med Avtalet och dessa Villkor.
14 HUR KAN VI ANVÄNDA DINA PERSONUPPGIFTER (KONTAKTUPPGIFTER FÖR KONSUMENT OCH FÖRETAGSKUND)
14.1 Vi kommer att använda de personuppgifter som du lämnar till oss för att leverera Tjänsterna till dig och för att hantera din betalning av Tjänsterna. Att lämna ut personuppgifter är frivilligt, men Ontrack kommer eventuellt inte att kunna tillhandahålla Tjänsterna om du väljer att inte lämna ut dina personuppgifter eller vid någon tidpunkt återkallar ditt samtycke. Vi samlar in dina personuppgifter: (i) när du kontaktar oss via e-post, telefon eller på annat sätt; och (ii) löpande medan vi tillhandahåller Tjänsterna till dig (inklusive sådana personuppgifter vi får i samband med administration av dina betalningar).
14.2 Syftena som vi behandlar dina personuppgifter för inbegriper: (i) att tillhandahålla Tjänsterna och leverera din Beställningsorder; (ii) att ta del av dina åsikter om våra Tjänster, och (iii) att med tillämplig laglig rätt använda dem för direktmarknadsföring.
14.3 Vi kan lämna ut dina personuppgifter till andra enheter inom KLDiscovery-gruppen (där Ontrack ingår) – en fullständig förteckning över vilka de är hittar du i vår Integritetspolicy, och: (i) till rättsliga och reglerande myndigheter i syfte att rapportera faktiskt eller misstänkt brott mot tillämplig lag eller bestämmelse, (ii) till våra bokförare, revisorer, advokater och andra utomstående professionella rådgivare; (iii) till tredjepartsföretag (till exempel leverantörer av betalningstjänster, rederier/budfirmor, teknikleverantörer, företag som tillhandahåller efterlevnadstjänster). Syftet med utlämnande till andra enheter är att uppfylla våra avtalsförpliktelser gentemot dig, eller för legitima affärsändamål i enlighet med gällande lagstiftning. Vi har infört de säkerhetsåtgärder som beskrivs i vår Integritetspolicy, och alla enheter är skyldiga att implementera säkerhetsåtgärder som garanterar en hög skyddsnivå.
14.4 Utan att det påverkar någon av dina lagstadgade rättigheter har du vid var tid rätt att: (i) få tillgång till och få information om dina personuppgifter och om hur de behandlas eller delas; (ii) rätta dina personuppgifter; (iii) på berättigade grunder radera eller begränsa behandlingen av dina personuppgifter; (iv) på berättigade grunder invända mot behandlingen av dina personuppgifter; (v) begära att dina personuppgifter överförs till en annan personuppgiftsansvarig; (vi) återkalla ditt samtycke till behandlingen av personuppgifter; och (vii) lämna in klagomål till den tillämpliga dataskyddsmyndigheten.
14.5 Genom att godkänna dessa villkor godkänner du även lagringen och användningen av dina personuppgifter i enlighet med villkoren i vår Integritetspolicy, som du hittar på https://www.ibas.com/sv/privacy-policy/.
15 HUR VI BEHANDLAR PERSONUPPGIFTER (ÅTERSKAPAD DATA)
15.1 Genom att godkänna dessa villkor godkänner våra Kunder, avseende återskapad data, även lagringen och användningen av personuppgifter som eventuellt finns i Datan som lämnas till Ontrack i samband med Tjänsterna i enlighet med villkoren i vårt Databehandlingsavtal, som du hittar på https://www.ibas.com/sv/allmanna-forsaljningsvillkor#databehandlingsavtal.
16 KONFIDENTIELL INFORMATION
16.1 Varje part förbinder sig att inte dela någon Konfidentiell information om den andra parten med tredjepart utan skriftligt tillstånd från den part vars Konfidentiella information ska delas, och att (i) använda sådan Konfidentiell information endast i syfte att uppfylla sina skyldigheter enligt detta Avtal; (ii) att använda samma metoder och omsorg för att förhindra spridning av sådan Konfidentiell information som man använder för att förhindra spridning av sin egen Konfidentiella information, och under inga omständigheter mindre än skälig omsorg; och (iii) att dela Konfidentiell information med sina anställda och godkända tredjeparter endast då behov av kännedom finns och förutsatt att alla sådana personer är bundna av sekretess som inte är mindre förpliktigande än vad som anges i detta Avtal.
16.2 Skyldigheter avseende konfidentialitet ska inte gälla någon Konfidentiell information: (i) som blir offentligt känd utan den mottagande partens förskyllan; (ii) som var känd för den mottagande parten före mottagandet från den andra parten; (iii) som delas med den mottagande parten av tredjepart (annan än anställda eller representanter för endera parten) under förhållanden där sådant avslöjande inte bryter mot andra sekretessbestämmelser gentemot den part som delar den Konfidentiella informationen; eller (iv) som är oberoende framtagen av den mottagande parten utan utnyttjande av Konfidentiell information.
17 ANDRA VIKTIGA VILLKOR
17.1 Detta Avtal gäller mellan dig och oss. Ingen annan person ska ha några rättigheter att genomdriva något av villkoren i detta Avtal. Var och en av punkterna i dessa Villkor har även separat giltighet. Om någon domstol eller behörig myndighet beslutar att någon punkt är olaglig och/eller ogenomförbar kommer de övriga punkterna att behålla sin fulla kraft och verkan. Om vi avvaktar med att vidta åtgärder mot dig för att du bryter mot detta Avtal kommer det inte att hindra oss att vidta åtgärder mot dig vid senare tillfälle.
17.2 Vi kan ändra Tjänsterna i förhållande till förändringar i relevanta lagar och myndighetskrav och för att införa mindre tekniska justeringar och förbättringar, till exempel för att möta ett hot mot säkerheten. Sådana förändringar kommer inte att påverka din användning av Tjänsterna. Vi kan även göra mer väsentliga förändringar avseende dessa Villkor eller Tjänsterna, men kommer i så fall att meddela dig om detta och ge dig möjlighet att kontakta oss för att avsluta Avtalet innan ändringarna träder i kraft och få en återbetalning för alla Tjänster som du har betalat för men ännu inte mottagit.
17.3 Förutom alla övriga rättigheter som du enligt lag eller förordningar har om du är bosatt i EU, kan du även ha möjlighet att lämna in klagomål på EU:s onlineplattform för tvistlösning (”Plattformen”), som underlättar tvistlösning online. För mer information, besök Plattformen på https://webgate.ec.europa.eu/odr/. Ontrack har inte för avsikt att använda plattformen för att lösa tvister, och du godkänner att Ontrack inte har någon skyldighet att använda Plattformen för att lösa eventuella tvister.
17.4 Försäljningsvillkoren regleras av svensk lagstiftning och varje part underkastar sig de svenska domstolarnas exklusiva jurisdiktion, om inte tillämplig konsumentlagstiftning föreskriver något annat.
BILAGA
Avbokningsformulär
(Fyll i och skicka in detta formulär bara om du vill avsluta Avtalet)
| Till | Ibas Ontrack AB, Box 1005, 753 20 Uppsala. |
| Jag/vi meddelar härmed att jag/vi vill avbryta mitt/vårt avtal om försäljning av följande varor/för leverans av följande tjänst: | |
| Beställt den [*]/mottaget den [*], | |
| Konsumenten/konsumenternas namn | |
| Konsumenten/konsumenternas adress: | |
| Konsumenten/konsumenternas underskrift (endast om denna blankett skickas in i fysisk form): | |
| Datum: | |
Ikraftträdande: 1 december 2022
Beskrivning av Ibas Ontrack AB:s (Ibas) dataräddningstjänster
Uppdaterad: 1 december 2022
1. Beskrivning av tjänst
1.1 Ibas kommer att återställa största möjliga mängd data från en eller flera skadade databärare eller kommer att försöka göra dem läsbara igen genom lämpliga åtgärder.
1.2 Dataräddningen utförs i flera möjliga steg:
1.2.1 Gratis felsökning – se avsnitt 2 nedan;
1.2.2 Diagnosen – som tillval – se avsnitt 3 nedan; och
1.2.3 Dataräddningen – se avsnitt 4 och 5 nedan.
1.3 Trots största omsorg och erfarenhet finns det en möjlighet för att det inte går att läsa raderade och/eller skadade data även med Ibas verktyg och tekniker. Därför kan Ibas inte garantera att data från skadade medier kan återställas, repareras eller läsas.
1.4 Trots högsta möjliga standarder inom teknik och bearbetning medför de bearbetningar som krävs för dataräddning risken för delvis eller total förlust av återstående data, och/eller endast delvis återställning av data från den skadade mediaenheten. Kunden bekräftar att den känner till att även med rätt dataåterställningsprocess kvarstår en risk för att:
1.4.1 tidigare befintliga data inte längre kan återställas, ytterligare data kan gå förlorade,
1.4.2 återställda data inte kan användas av kunden;
1.4.3 informationsinnehåll i databärarna kan förstöras i sin helhet eller delvis; och
1.4.4 databärare, programvara och andra objekt som tillhandahålls kan skadas, bli oanvändbara eller förstöras.
2. Gratis felsökning
2.1 Gratis felsökning består av en undersökning av dataskadans typ och omfattning samt en undersökning av möjligheterna att återställa data från databäraren. Det första steget är att avgöra om skadan är logisk och/eller fysisk och om databäraren ska skickas till renrumslaboratoriet för bearbetning. Dessutom görs en bedömning av det förväntade resultatet för dataåterställningen.
2.2 Gratis felsökning kan utföras i Ibas laboratorium eller via en fjärranslutning till kundens lokaler. Om en Gratis felsökning med Ibas RDR-teknik utförs på distans, accepterar kunden de särskilda villkoren för RDR – Remote Data Recovery (dataräddning på distans) i punkt 7
2.3 Ibas kommer efter Gratis felsökning att informera kunden om hur framgångsrik den efterföljande dataräddningen förväntas bli. Följande uppskattningar av förväntat resultat för dataräddningen är möjliga:
2.3.1 Utmärkt – Vi räknar med att de flesta (90-100 %) av dina rådata kan återställas och kommer att vara läsbara i respektive program.
2.3.2 Bra – Vi räknar med att de flesta (50-100 %) av dina rådata kan återställas och kommer att vara läsbara i respektive program.
2.3.3 Delvis – Vi räknar med att en mindre del av dina rådata (mindre än 50 %) kan återställas och kommer att vara läsbara i respektive program.
2.3.4 Kan inte återställas – Vi kan inte komma åt data på din databärare.
2.3.5 Komplicerat – Vi kan inte ge en exakt procent på förväntade data som kan återställas vid denna tidpunkt.
2.4 Gratis felsökning kan inte garantera %-tröskelvärdena som är angivna i punkt 2 (b) ovan. Det kan finnas skador som är svåra att upptäcka och som inte kan upptäckas helt av Gratis felsökning.
2.5 Efter Gratis felsökning kommer Ibas att informera kunden om hur stora mängder data som kan förväntas återvinnas och hur lång tid det förväntas ta samt gällande priser.
2.6 På kundens begäran kan Ibas utföra en, avgiftsbelagd, utökad diagnos efter Gratis felsökning. I den skapas en Verifile-fillista, där datamängden som förväntas kunna återvinnas kan bestämmas mer exakt.
2.7 Om kunden, baserat på resultaten från Gratis felsökning, beställer en dataräddning, kommer Ibas utföra dataräddningen.
2.8 Kunden kan besluta att inte utföra någon dataräddning efter Gratis felsökning och då är beställningen slutförd. Om kunden så önskar returneras databäraren till kunden när beställningen på återställning har gjorts, mot den avgift som framgår i analysformuläret. Annars kommer mediet att förstöras.
2.9 Beroende på medietyp kan Gratis felsökning leda till överföring av data till ett annat lagringsmedia och till att ursprungliga media förstörs.
3. Gratis utvärdering för smartphones och surfplattor
3.1 Gratis utvärdering består av en undersökning av typen och omfattningen av dataskadan, samt en undersökning av möjligheterna till dataräddning från databäraren. Det första steget är att avgöra om skadan är logisk och / eller fysisk och om databäraren måste skickas till telefonlaboratoriet för vidare hantering. Dessutom görs en bedömning av förväntade resultat för dataräddningen.
3.2 Gratis utvärdering kommer att utföras i Ibas laboratorium.
3.3 Ibas kräver att kunden anger lösenordet för smarttelefonen eller surfplattan.
3.4 Ibas informerar kunden efter Gratis utvärdering om hur framgångsrikt den efterföljande åtgärden för återhämtning av data förväntas bli. Följande uppskattningar av förväntade resultat för dataåterhämtning är möjliga:
3.4.1 Bra - Vi räknar med att komma åt minnesområdet och återställa data.
3.4.2 Kan inte återvinnas - Vi har inte tillgång till minnesområdet och kan inte återställer dina data.
3.4.3 Komplex - Vi kan inte ge någon indikation på om vi kan komma åt minnesområdet i detta skede. Andra alternativ för återhämtning av data måste undersökas och detta kan kräva en diagnos (se avsnitt.4)
3.5 Gratis utvärdering kan inte garantera överensstämmelse med den förväntade utvärderingen av datainsamling avsnitt 3 ovan, eftersom det kan finnas skador som är svåra att upptäcka och inte kan upptäckas fullständigt genom Gratis utvärdering.
3.6 Utöver beräkningen av dataåterställning, kommer Ibas att informera kunden om hur lång tid som förväntas krävas för att utföra dataåterställning tillsammans med det aktuella priset.
3.7 Om kunden skickar in dataräddningsbeställningen, baserat på Gratis utvärdering-resultat, kommer Ibas att utföra dataräddning (se avsnitt 5).
3.8 Kunden kan besluta att inte göra dataräddningen efter Gratis utvärdering. I sådant fall kommer ordern at stängas och databäraren att returneras till kunden för den avgift som visas i beställningsformuläret. Annars förstörs (media) smartphone / surfplatta.
4. Diagnos/resultat av diagnosen
4.1 På kundens begäran kan Ibas utföra en avgiftsbelagd diagnos efter Gratis felsökning för att bestämma mängden data som sannolikt kommer att kunna återvinnas.
4.1.1 I denna diagnos kommer det emellertid endast bestämmas följande: dataskadans typ och omfattning, den exakta bestämning av möjligheter till dataåterställning på databäraren som tillhandahålls av kunden och mängden filer/data som förmodligen kan återvinnas. Prognoser om läsbarhet av data på grund av andra skadeorsaker är inte alltid tillförlitliga eller ens möjliga att göra, och Ibas lämnar inga garantier i detta avseende.
4.1.2 Vidare är det inte möjligt att kontrollera användbarheten av data i anslutning till respektive applikationsprogram inom omfattningen för denna diagnos.
4.2 Diagnosen kan utföras i Ibas laboratorium eller via en fjärranslutning till kundens lokaler. Om en diagnos med Ibas RDR-teknik utförs på distans, accepterar kunden de särskilda villkoren för RDR – Remote Data Recovery (dataräddning på distans) i punkt 7
4.3 Efter diagnosen kommer Ibas att informera kunden om vilka åtgärder som är nödvändiga för återställning av data, vilka data/filer som kan förväntas återvinnas, hur lång tid det förväntas ta och vilka kostnader som kommer att uppstå för dataräddning.
4.4 Beroende på medietyp kan diagnosen leda till överföring av data till ett annat medium och till att ursprungliga media förstörs.
4.5 Ibas skapar en detaljerad fillista (Verifile) på data/filer som Ibas räknar med att kunna återvinna. Fillistan innehåller en identifiering av filer beträffande deras förväntade användbarhet:
4.5.1 Grön – data kommer sannolikt fungera/öppnas i respektive program.
4.5.2 Gul – data eller filer är delvis skadade och detta kan resultera i att filerna inte kan öppnas eller redigeras i respektive program. Det är möjligt att de skadade filerna kan repareras, men detta är inte en del av den erbjudna dataräddningen.
4.5.3 Röd – data eller filer är skadade och detta kommer sannolikt resultera i att filerna inte kan öppnas eller redigeras i respektive program.
4.6 Det finns särskilda scenarier med dataförlust, då giltigheten för de färgade förklaringarna i fillistan (Verifile) inte anges. Om så är fallet anges det skriftligt i diagnosresultatet.
4.7 Om kunden baserat på fillistan beslutar att utföra dataräddningen, så som angivet i avsnitt 5 nedan, får den de data som presenteras i fillistan (Verifile).
4.8 Om kunden, baserat på fillistan (Verifile), beslutar att inte utföra dataräddningen är beställningen slutförd. Om kunden så önskar returneras databäraren till kunden när diagnosbeställningen har gjorts, mot den avgift som framgår i analysformuläret.
5. Dataräddning efter Gratis felsökning
5.1 Om kunden gör en beställning på dataräddning baserat på resultaten från Gratis felsökning och dataräddningserbjudandet, kommer Ibas att utföra dataräddningen.
5.2 Om Gratis felsökning utfördes på distans med Ibas RDR-teknik, kan dataräddningen utföras med Ibas RDR-teknik och kunden accepterar då även de särskilda villkoren för RDR – dataräddning på distans i punkt 7..
5.3 Om kunden ber om det när den beställer dataräddningen, ska Ibas, utöver den separata databäraren med återställda data, även returnera den skadade databäraren.
5.4 På kundens begäran kan den skadade databäraren lagras och förseglas säkert hos Ibas mot en särskild avgift i syfte att bevara bevis, den förvaras sedan i ett kassaskåp.
5.5 På kundens begäran kan Ibas utan kostnad radera och/eller bortskaffa databäraren i enlighet med dataskyddsregler.
5.6 Om mängden data som återvunnits är avsevärt lägre än vad som beräknades i Gratis felsökning kommer beställningen inte betraktas som levererad.
5.7 Under de omständigheter som anges i 4(e) ovan, kommer kunden ha 2 alternativ:
5.7.1 Alternativ 1. Ibas skapar kostnadsfritt en detaljerad fillista (Verifile) till kunden med data/filer som Ibas räknar med att kunna återvinna. Fillistan innehåller en indikation på filer beträffande deras förväntade användbarhet:
5.7.1.1 Grön – data kommer sannolikt fungera/öppnas i respektive program.
5.7.1.2 Gul – data eller filer är delvis skadade och detta kan resultera i att filerna inte kan öppnas eller redigeras i respektive program. Det kan vara möjligt att reparera skadade filer, men Ibas erbjuder inte detta.
5.7.1.3 Röd – data eller filer är skadade och detta kommer sannolikt resultera i att filerna inte kan öppnas eller redigeras i respektive program.
5.7.2 Om kunden på grundval av fillistan (Verifile) beslutar att utföra dataräddningen, så som angivet i avsnitt 3 ovan, får den de data som presenteras i fillistan (Verifile).
5.7.3 Alternativ 2. Om kunden beslutar att inte utföra dataräddningen eller att begära en fillista (Verifile), är beställningen slutförd. Om kunden så önskar returneras databäraren till kunden när beställningen på återställning har gjorts, mot den avgift som framgår i analysformuläret.
6. Dataräddning efter diagnos
6.1 Om kunden gör en beställning på dataräddning baserat på diagnosresultaten och dataräddningserbjudandet, kommer Ibas att utföra dataräddningen.
6.2 Om diagnosen utfördes på distans med Ibas RDR-teknik, kan dataräddningen utföras med Ibas RDR-teknik och kunden accepterar då även de särskilda villkoren för RDR – Remote Data Recovery (dataräddning på distans) i punkt 7.
6.3 Kunden tar emot data som presenteras i fillistan (Verifile).
6.4 Om kunden ber om det när den beställer dataräddning, ska Ibas, utöver den separata databäraren med återställda data, även returnera den skadade databäraren.
6.5 På kundens begäran kan den skadade databäraren förseglas säkert och lagras hos Ibas i ett kassaskåp mot en särskild avgift, i syfte att bevara bevis.
6.6 På kundens begäran kan Ibas utan kostnad radera och/eller bortskaffa databäraren i enlighet med dataskyddsregler.
7. Dataräddning efter Gratis felsökning - för smartphones och surfplattor
7.1 Om kunden gör en beställning på dataräddning baserat på resultaten från Gratis felsökning och erbjudandet om dataräddning, kommer Ibas att utföra dataräddningen.
7.2 Vid betalning kommer Ibas att returnera den återställda informationen tillsammans med den skadade smarttelefonen / surfplattan.
7.3 På kundens begäran kan Ibas radera och / eller kassera smarttelefonen / surfplattan i enlighet med dataskyddsbestämmelser utan kostnad.
7.4 Om mängden data som återhämtas är betydligt mindre än beräknat i Gratis felsökning kommer beställningen inta att anses vara framgångsrik. Smarttelefonen / surfplattan returneras till kunden för den avgift som visas i beställningsformuläret. Annars kommer din smartphone / surfplatta att kasseras.
8. RRD Remote Data Recovery Service (dataräddning på distans)
8.1 RDR® står för Remote Data Recovery™. RDR är en patenterad teknik som gör det möjligt för våra tekniker att utföra en dataräddning med labbkvalitet på din server, stationära eller bärbara dator via ett modem eller en internetuppkoppling. Det enda kravet är att lagringsenheten är funktionsduglig.
8.2 Ibas Remote Data Recovery består av tre huvudkomponenter:
8.2.1 Kommunikationsklient: Användaren initierar en anslutning till en Ibas RDR-server med hjälp av ett specialdesignat RDR-klientprogram. RDR-klienten arbetar för närvarande med Microsoft Windows-versioner XP/2003 och senare. Drivenheter som ska återställas behöver inte vara från ett Windows-system
8.2.2 RDR-servrar: Finns på platser runt om i världen för att underlätta anslutningar
8.2.3 RDR-arbetsstation: Används av Ibas-tekniker för att fjärrstyra våra verktyg på din dator och återställa värdefulla data
8.3 Först laddar kunden ned lämplig klientversion och installerar den på den server, stationär eller bärbar dator som ska användas för återställningen. Därefter ansluter Ibas klientprogramvara som en utgående anslutning från kundens plats till Ibas-servern, och det skapar en tunnel eller punkt-till-punkt-anslutning via internet. Eftersom anslutningen är utgående till port , kan den komma igenom de flesta brandväggar utan några ytterligare konfigurationskrav.
8.4 Datasäkerheten är mycket viktig och skyddas med Ibas egenutvecklade kommunikationsprotokoll, krypterade paket och säkra Ibas-anläggningar. Remote Data Recovery skyddar kunddata över en RDR-anslutning på fyra sätt:
8.4.1 Direktanslutning till RDR-server: Klientprogrammet använder en direkt anslutning från kundens dator till Ibas RDR-server. RDR använder inte tredje part som värd
8.4.2 Kryptering: Kommunikationslänken använder 256 bitars kryptering på alla paket
8.4.3 Egenutvecklat protokoll: RDR-kommunikation använder ett egenutvecklat protokoll, och inte HTTP eller något annat gemensamt protokoll som andra skulle kunna förstå
8.4.4 Inga kunddata överförs via anslutningen: RDR-anslutningen används enbart av Ibas tekniker för fjärrstyrning av Ibas återställningsverktyg direkt på kundens dator. Skärmuppdateringar och tangentbordspaket skickas över anslutningen, men inte faktiska kunddatafiler. Istället styr Ibas tekniker verktygen för att reparera struktursystemet hos filerna för att göra data tillgängliga för kunden
9. Servicenivåer
9.1 För beställningar av dataåterställning kan kunden välja mellan följande servicenivåer beroende på hur akut det är:
9.1.1 24-timmars akuttjänst - Bearbetning sker omedelbart efter mottagandet av beställningen, 24 timmar om dygnet. Bearbetningen sker dygnet runt och pågår tills arbetet är slutfört och data levererats.
9.1.2 Expresstjänst - Bearbetning sker omedelbart efter mottagandet av beställningen från måndag till lördag kl. 08.00 till 18.00. Bearbetningstiden är vanligtvis 3 dagar.
9.1.3 Standardtjänst - Databäraren kommer att bearbetas efter mottagandet av beställningen från måndag till fredag från kl. 09:00 till 17:00. Bearbetningstiden är vanligtvis 7-10 arbetsdagar.
9.1.4 Ekonomitjänst - Databäraren kommer att bearbetas efter mottagandet av beställningen från måndag till fredag från kl. 09:00 till 17:00, men inte förrän godkännande av tjänstens kostnad har mottagits. Bearbetningstiden är vanligtvis 20 arbetsdagar.
9.1.5 Hemtjänst - Databäraren kommer att bearbetas efter mottagandet av beställningen från måndag till fredag från kl. 09:00 till 17:00. Bearbetningstiden är vanligtvis 30 arbetsdagar.
9.2 Betalning sker alltid i förskott, såvida det inte finns en överenskommelse med särskilda villkor.
Data Processing Agreement
Detta Databehandlingsavtal är en del av de allmänna villkoren för Ontrack Data Recovery Services och gäller (i) IBAS Ontrack AB (företagsnummer 556536-9740) med adress Box 1005, 751 40 Uppsala, Sverige (“Ontrack”); och (ii) den Kund som beställer Ontracks tjänster för dataräddning i överensstämmelse med affärsvillkoren (”Villkoren”).
Parterna har enats om att villkoren i detta Databehandlingsavtal ska tillämpas på behandlingen av de personuppgifter (enligt definition nedan) som krävs för att Ontrack ska kunna tillhandahålla tjänsterna till Kunden. .
Definitioner
I detta Databehandlingsavtal:
Personuppgiftsansvarig | har den betydelse som ges till den termen i dataskyddslagar; |
Personuppgiftsbiträde | har den betydelse som ges till den termen i dataskyddslagar; |
Dataskyddslagar | avser all tillämplig dataskyddslagstiftning som är tillämplig för Kunden, Ontrack och/eller i förhållande till tjänsterna, inklusive: (i) Data Protection Act 2018, inklusive den tillämpade GDPR; (ii) GDPR och/eller motsvarande eller likvärdiga nationella lagar eller förordningar; och (iii) i EU:s medlemsländer, alla relevanta lagar och förordningar som ger verkan till eller motsvarar GDPR; |
Registrerad | har den betydelse som ges till den termen i Dataskyddslagar; |
Förfrågan från Registrerad | avser en begäran från en Registrerad om att utöva den Registrerades rättigheter enligt Dataskyddslagar; |
GDPR | avser Dataskyddsförordningen (den allmänna dataskyddsförordningen (EU) 2016/679); |
Personuppgifter | har den betydelse som ges till den termen i dataskyddslagar och avser alla personuppgifter som tillhandahålls till Ontrack av Kunden; |
Personuppgiftsincident | avser varje säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, otillåtet röjande eller otillåten åtkomst till personuppgifter; |
Personal | avser varje nuvarande, tidigare eller blivande anställd, konsult, vikarie, inhyrd arbetare, praktikant, annan tillfälligt anställd, entreprenör, utstationerad anställd eller annan personal; |
Behandling | har den betydelse som ges för den termen i Dataskyddslagar (besläktade termer såsom behandla har motsvarande betydelser); |
Underbiträde | Underbiträde avser ett annat Personuppgiftsbiträde som anlitats av Ontrack för Kundens räkning för att utföra behandling av Personuppgifter för tjänster som är direkt relaterade till Tjänsten. Detta inkluderar inte tillhörande tjänster, såsom telekommunikationstjänster, post- / transporttjänster, underhålls- eller användarsupporttjänster eller bortskaffande av databärare och pappersdokument samt andra mjuk- eller hårdvarubaserade åtgärder |
Tillsynsmyndighet | avser varje lokal, nationell eller multinationell instans, avdelning, tjänsteman, parlament, offentlig eller auktoriserad person eller regering eller yrkesorganisation, reglerande eller övervakande myndighet, styrelse eller annat organ som ansvarar för att administrera Dataskyddslagar. |
Databehandlingsvillkor
1 Personuppgiftsbiträde och Personuppgiftsansvarigg
1.1 Avseende Personuppgifter är Parterna eniga om att Kunden ska vara Personuppgiftsansvarig och att Ontrack ska vara Personuppgiftsbiträde. Kunden ska ha ensamt ansvar för riktighet, kvalitet, integritet och tillförlitlighet hos alla Personuppgifter samt för sättet som sådana Personuppgifter inhämtats.
1.2 Kunden garanterar, intygar och åtar sig: (i) att alla Personuppgifter som används i samband med tjänsterna i enlighet med Villkoren i alla avseenden vara i enlighet med alla krav i Dataskyddslagar; (ii) att alla instruktioner som ges av Kunden till Ontrack avseende Personuppgifter alltid ska vara i enlighet med Dataskyddslagar; (iii) att man har erhållit alla nödvändiga samtycken från alla Registrerade vars personuppgifter behandlas, eller på annat sätt har tillämpligt lagligt tillstånd för att tillhandahålla Personuppgifterna till Ontrack; samt (iv) att man kommer att uppfylla villkoren i detta Databehandlingsavtal.
1.3 Ontrack garanterar, intygar och åtar sig: (i) att Behandla Personuppgifter endast i den mån det är nödvändigt i samband med Villkoren; och (ii) att behandla Personuppgifter i enlighet med Kundens dokumenterade instruktioner och kraven i Dataskyddslagar; (iii) att omedelbart informera Kunden om Ontrack anser att Kundens instruktioner är i strid med Dataskyddslagar eller om Ontrack inte kan följa Kundens instruktioner avseende behandlingen av Personuppgifter (på grund av att tillämplig lag eller Kundens instruktioner har förändrats); och (iv) att uppfylla villkoren i detta Databehandlingsavtal.
1.4 Inom ramen för den beställda behandlingen ska alla uppgifter som överlämnas av kunden behandlas. Kategorierna av personuppgifter och kategorierna av registrerade är kända för kunden och specificeras för processorn om detta är nödvändigt i samband med beställningen. När det gäller återvinning av uppgifter är kunskap om innehållet i kundens uppgifter vanligtvis inte relevant för personuppgiftsbiträdet.
2 Instruktioner och information om Behandling
2.1 Behandlingen av Personuppgifter som ska utföras av Ontrack enligt detta Databehandlingsavtal ska innefatta den Behandling som krävs för att Ontrack ska kunna tillhandahålla tjänsterna för dataåterställning.
3 Tekniska och organisatoriska åtgärder
3.1 Ontrack ska på egen kostnad implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder i samband med Behandling och säkerhet avseende Personuppgifter i enlighet med Dataskyddslagar och i synnerhet i enlighet med artiklarna 32–34 i GDPR. Ontrack ska se till att dessa tekniska och organisatoriska åtgärder är lämpliga för de särskilda risker som Behandlingen innebär, särskilt för att skydda Personuppgifter från oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt avslöjande eller obehörig åtkomst.
4 Använda Personal och Underbiträden
4.1 Förutom vad som anges i punkt 4.2 ska Ontrack inte anlita något Underbiträde för att utföra Behandling avseende Personuppgifter utan Kundens skriftliga förhandsmedgivande. Om sådant tillstånd skulle beviljas ska Ontrack, innan någon delning av Personuppgifter till ett godkänt Underbiträde, upprätta och ingå skriftliga villkor med Underbiträdet, som ska vara likvärdiga med de som anges i detta Databehandlingsavtal. Det är fastställt och accepterat att Ontrack, oaktat vad som anges i sådant avtal, gentemot Kunden ska fortsätta att vara helt ansvarig för att varje Underbiträde uppfyller sina skyldigheter. Ontrack ska informera Kunden om eventuella planerade ändringar avseende tillkomst eller utbyte av sådant Underbiträde och ge Kunden en rimlig möjlighet att på skäliga grunder invända mot sådana ändringar eller utbyten.
4.2 Godkända Underbiträden vid tidpunkten för detta Databehandlingsavtal anges i Annex 1.
4.3 Ontrack ska säkerställa att Personal med tillgång till Personuppgifter är tillförlitlig och behandlar Personuppgifter enbart om detta är absolut nödvändigt med tanke på tjänsterna, se till att denna Personal är fullt medveten om vilka åtgärder som krävs och ska vidtas vid behandling av Personuppgifter med hänsyn till Dataskyddslagar; samt säkerställa att denna Personal har samtyckt till att skydda sekretessen för de Skyddade uppgifterna, däribland genom sekretess (genom skriftligt avtal eller på annat sätt) avseende Personuppgifter.
5 Bistånd avseende Kundens regelefterlevnad och Registrerades rättigheter
5.1 Alla Förfrågningar från Registrerade som Ontrack tar emot ska omgående hänvisas till Kunden. Ontrack ska tillhandahålla sådant skäligt bistånd som Kunden rimligen kräver (med hänsyn till typen av Behandling och den information som Ontrack har tillgång till) till Kunden för att säkerställa efterlevnad av Kundens skyldigheter enligt Dataskyddslagar avseende: (i) Behandlingens säkerhet; (ii) konsekvensbedömningar (i enlighet med hur denna term definieras i Dataskyddslagarna); (iii) förhandssamråd med en tillsynsmyndighet avseende högriskbehandling; och (iv) meddelanden från Kunden till tillsynsmyndigheten och/eller Registrerade i samband med eventuella Personuppgiftsincidenter, såvida sådant bistånd inte är oproportionerligt tids- och resurskrävande för Ontrack, och varvid Kunden i sådant fall ska betala Ontrack ersättning för att tillhandahålla sådant bistånd.
6 Internationella överföringar
6.1 Kunden bekräftar att Ontrack, vid tidpunkten för detta databehandlingsavtal, kan behandla personuppgifter i Storbritannien, Europa och USA under avtalets löptid.
6.2 Kunden bekräftar att när det gäller personuppgifter som omfattas av Data Protection Act 2018 (Storbritannien), ska Ontrack tillåtas att behandla alla eller någon del av personuppgifterna inom Europeiska ekonomiska samarbetsområdet ("EES") enligt punkt 5(1)(a) i Sch.21 till Data Protection Act 2018. Dessutom har Förenade kungariket mottagit ett beslut om adekvat skyddsnivå daterat den 28 juni 2021 från Europeiska kommissionen i enlighet med artikel 45.3 i GDPR som bekräftar att överföringar kan ske utan behov av ytterligare tillstånd ("Beslut om adekvat skyddsnivå"). I händelse av att beslutet om adekvat skyddsnivå löper ut eller på annat sätt förklaras ogiltigt, ska parterna tillämpa de EU-standardavtalsklausuler för personuppgiftsbiträde som gäller vid den tillämpliga tidpunkten för att säkerställa att Ontrack i Storbritannien behandlar Personuppgifter i enlighet med gällande regler.
6.3 När det gäller överföringar av Personuppgifter till Amerikas förenta stater är parterna överens om att 2021 års standardavtalsklausuler för personuppgiftsansvarig (Modul 2) som godkänts av Europeiska kommissionen, med de tillämpliga ändringar som föreskrivs i S119A(1) i Data Protection Act 2018, och i enlighet med kraven i den schweiziska federala lagen om dataskydd av den 19 juni 1992 ("FADP") och, efter ikraftträdande, i enlighet med art. 16(2)(d) i dataskyddslagen. 16(2)(d) i den framtida reviderade federala lagen om dataskydd av den 25 september 2020 ("revDSG"), länkad här, ("standardavtalsklausuler") införlivas genom hänvisning i detta databehandlingsavtal och att alla överföringar ska omfattas av villkoren i standardavtalsklausulerna. Om Standardavtalsklausulerna ändras, upphävs eller ersätts av Europeiska kommissionen eller i enlighet med tillämpliga dataskyddslagar, ska Parterna samarbeta i god tro för att ingå en uppdaterad version av dataöverföringsmekanismen, eller för att förhandla fram en alternativ lösning för att möjliggöra kompatibla överföringar av Personuppgifter till Amerikas förenta stater.
6.4 På de villkor som anges i denna punkt 6 "Internationella dataöverföringar", godkänner Kunden överföringen av Personuppgifter till Amerikas Förenta Stater. Kundens samtycke till överföringen av Personuppgifter till USA kan återkallas när som helst, men i sådant fall bekräftar Kunden att Ontrack kanske inte kan slutföra Ordern och/eller utföra Tjänsterna om Kunden återkallar sitt samtycke till överföringen av Personuppgifter.
7 Dokumentation, information och granskning
7.1 Ontrack ska: (i) skapa; (ii) hålla uppdaterad; och (iii) upprätthålla fullständig och korrekt dokumentation avseende all Behandling av Personuppgifter.
7.2 Ontrack ska bevilja Kunden rätt till granskning högst en gång per kalenderår och med minst 30 (trettio) dagars skriftligt förhandsmeddelande, under normal kontorstid och under förutsättning att skäliga sekretessförpliktelser ingås, att tillgå och kopiera sådan dokumentation som avser Behandling av Personuppgifter, samt på alla skäliga sätt hjälpa Kunden att utöva sina granskningsrättigheter. Granskningsrätten ska inte omfatta något tredjepartsdatacenter eller någon annan tredjepartsanläggning där serverutrustning finns där bara visuell inspektion under övervakning är tillåten.
7.3 Ontrack ska på Kundens begäran och bekostnad omedelbart ge Kunden all information som krävs för att Kunden ska kunna visa att Kunden uppfyller sina skyldigheter enligt GDPR, i den mån som Ontrack kan tillhandahålla sådan information.
8 Notifiering om Personuppgiftsincident
8.1 Ontrack ska vid händelse av en Personuppgiftsincident som avser Personuppgifter utan onödigt dröjsmål: (i) meddela Kunden om Personuppgiftsincidenten; och (ii) förse Kunden med information om Personuppgiftsincidenten.
9 Radering eller återlämning av Personuppgifter och kopior
9.1 Ontrack ska på Kundens skriftliga begäran eller efter utgången av interna lagringsperioder antingen radera eller återlämna alla Personuppgifter till Kunden i sådan form som Kunden skäligen begär och inom skälig tid efter det av följande som tidigast infaller: (i) då tillhandahållande av relevanta dataräddningstjänster i enlighet med Villkoren avseende Behandling upphör; eller (ii) när Ontracks Behandling av eventuella Personuppgifter inte längre behövs för att Ontrack ska kunna utföra sina relevanta skyldigheter enligt detta Databehandlingsavtal, och radera befintliga kopior (såvida inte lagring av eventuella Personuppgifter krävs enligt tillämplig lag, och om så är fallet ska Ontrack informera Kunden om sådant krav). Ontrack ska säkerställa att Ontrack Underbiträde vidtar samma åtgärder avseende Personuppgifter.
9.2 Om Personuppgifter kvarstår i Ontracks besittning eller under Ontracks rådighet under en period som är längre än 12 (tolv) månader utan några aktiva instruktioner från Kunden, ska Ontrack radera sådana Personuppgifter.
10 Skadeslöshet
10.1 Varje part (den ”Skadeståndsskyldiga parten”) ska ersätta och hålla den andra Parten skadeslös (den ”Skadeståndsberättigade parten”) avseende alla anspråk, krav, åtgärder, uppgörelser, räntor, avgifter, förfaranden, kostnader, förluster och skador som åsamkats av, utdömts mot eller som enligt överenskommelse ska betalas av den Skadeståndsberättigade parten och som härrör från eller har samband med den Skadeståndsskyldiga partens bristande efterlevnad av detta Databehandlingsavtal och/eller överträdelser av Dataskyddslagar.
11 Ansvar
11.1 Den totala ersättningsskyldigheten för endera Parten enligt detta Databehandlingsavtal ska under inga omständigheter överskrida de avtalade gränser som anges i och har överenskommits i Villkoren.
12 Avtalstid och Uppsägning
12.1 Såvida inte detta Databehandlingsavtal sägs upp genom en överenskommelse mellan Parterna, ska Databehandlingsavtalet börja gälla den dag då tjänster beställs i enlighet med Villkoren och gälla så länge som Ontrack fortsätter att behandla Personuppgifter.
13 Lagval
13.1 Detta Databehandlingsavtal ska omfattas av villkoren i de lagvalsregler som anges i Villkoren.
Datum: 1 September 2023
Bilaga 1 – Underbiträde och överföringar
| Ontrack produkt- eller affärssystem | Personuppgiftsbiträdets namn och adress |
|---|---|
| Dataåtervinning (Koncernföretag) | KLDiscovery Ontrack Limited KLDiscovery Limited Ibas Ontrack ApS Ibas Ontrack Oy KLDiscovery Ontrack B.V. Ibas Ontrack AB Ibas Ontrack AS KLDiscovery Ontrack GmbH KLDiscovery Ontrack Srl KLDiscovery Ontrack Sp. z o.o KLDiscovery Ontrack SL KLDiscovery Ontrack Sarl KLDiscovery Ontrack (Switzerland) GmbH KLDiscovery Ontrack, LLC |
Bilaga 2: Tekniskt och organisatoriskt Åtgärder
| Notering om dokumentet: KLDiscovery Ontracks allmänna tekniska och organisatoriska åtgärder beskrivs här. De befintliga åtgärderna förtecknas generiskt i detta dokument. Dessa åtgärder genomförs när det är nödvändigt och möjligt. |
|---|
| 1. Konfidentialitet (artikel 32.1 b i GDPR) |
|---|
√ Access fob för rummen √ Dörrsäkerhet (magnetisk dörrstängare, nyckelknippa) √ Regler för hantering av besökare och extern personal √ Besökare får endast vistas i kontorsutrymmen i sällskap av √ Larmsystem / system för inbrottsdetektering
|
| Systemåtkomstkontroll √ Begrepp för auktorisering och behovsbaserade åtkomsträttigheter |
Dataåtkomstkontroll √ Behörighetskoncept och behovsbaserade åtkomsträttigheter för program och data. |
Kontroll av separation √ Möjlighet till flera klienter |
Pseudonymisering (artikel 32.1 a i GDPR, artikel 25.1 i GDPR) Parterna kommer överens om eventuell pseudonymisering i respektive beställning eller avtal. |
| 2. Integritet (artikel 32.1 b i GDPR) |
|---|
| Överföringskontroll √ Begrepp som rör kryptering (kryptering av databärare, kryptering av filer). |
Ingångskontroll √ Organisatoriskt definierade ansvarsområden för datainmatningar |
| 3. Tillgänglighet och motståndskraft (artikel 32.1 b i GDPR). |
|---|
| Tillgänglighetskontroll √ System för brand-och rökdetektering |
Snabb återställbart (artikel 32.1 c i GDPR); √ Koncept för säkerhetskopiering och återställning |
| 4. Förfaranden för regelbunden översyn, bedömning och utvärdering (artikel 32.1 d i GDPR, artikel 25.1 i GDPR). |
|---|
| Data-Privacy-Management / Dataskyddsförvaltning √ System för hantering av dataskydd |
| Hantering av incidenter och reaktioner (beredskapsplaner) √ Riskbedömning |
| Dataskydd genom design och standard (artikel 25.2 i GDPR) √ Begrepp för auktorisering |
| Beställningskontroll √ Avtal för orderbehandling (artikel 28 i GDPR) |
| 5. Ytterligare kommentarer / referenser / dokument
|
|
|
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.ontrack.com/en-gb/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
| Start date | ||
| The Parties | Exporter (who sends the Restricted Transfer) | Importer (who receives the Restricted Transfer) |
| Parties’ details | Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order | Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
| Key Contact | Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order | Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
| Signature (if required for the purposes of Section 2) | Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order | Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
| Addendum EU SCCs | The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
| Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
| Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
| Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
| Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
| Ending this Addendum when the Approved Addendum changes | Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß
Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes
über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen: | APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country
in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future
revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply: |