Data Recovery Salgs- og Leveringsbetingelser

Generelle betingelser for datagendannelsestjenester

Læs venligst disse vilkår omhyggeligt, før du sender os din indkøbsordre. Disse vilkår beskriver hvem vi er, hvordan vi leverer tjenesterne til dig, hvordan du og vi kan ændre eller afslutte kontrakten, hvordan eventuelle problemer håndteres og andre vigtige oplysninger.

1. Disse generelle vilkår og betingelser

1.1 Disse vilkår og betingelser ("Vilkår") regulerer leveringen af datagendannelsestjenester af IBAS Ontrack ApS, i det følgende benævnt "Ibas Ontrack", med registreret kontor i København; co/Regus Center, Christians Brygge 28, 1559 København V, CVR-nummer 19626008.

1.2 Vores Servicebeskrivelse for datagendannelsestjenester og Databehandlingsaftale (DPA), som regulerer behandlingen af personoplysninger i forbindelse med leveringen af vores service, udgør en del af disse vilkår. For mere information om funktionerne og begrænsningerne i vores datagendannelsestjenester, bedes du læse vores tjenestebeskrivelse. DPA regulerer behandlingen af personoplysninger der leveres til Ibas Ontrack af kunden i forbindelse med datagendannelse.

1.3 For information om hvordan vi som ansvarlig part indsamler, behandler og opbevarer personoplysninger, se venligst vores privatlivspolitik.

1.4 Kundens eller tredjeparters vilkår og betingelser er udtrykkeligt udelukket og gælder ikke. Disse generelle vilkår og betingelser for servicebeskrivelsen og DPA gælder også for alle fremtidige forretningsforbindelser, selv om det ikke udtrykkeligt er aftalt igen.

1.5 Tjenesterne leveres hovedsageligt i vores datagendannelseslaboratorium i Norge. Ibas Ontrack har datagendannelsesfaciliteter flere steder i Europa og USA. Hvis det er nødvendigt, giver du hermed Ibas Ontrack tilladelse til at få adgang til data på lagerenheder fra ethvert Ibas Ontrack-anlæg, herunder USA og Storbritannien, for at Ontrack kan levere tjenesterne. Se venligst afsnit 6.4.

2. KONTAKTOPLYSNINGER

2.1 Sådan kontakter du os. Du kan kontakte os ved at ringe til vores kundeservice på +45 70 22 34 00, skrive til os på Ibas Ontrack Aps, co/Regus Center, Gammel Kongevej 1, 1610 København V, eller sende en e-mail til: dkrecovery@ontrack.com.

3. FORTOLKNING

3.1 I forbindelse med disse betingelser gælder følgende definitioner:

(a) "Erhvervskunde" betyder en kunde, der repræsenterer sin virksomhed, branche eller profession, såsom enkeltmandsvirksomheder, interesseorganisation, selskaber med begrænset ansvar eller offentlige myndigheder.

(b) "Fortrolige oplysninger" betyder alle oplysninger, der er videregivet eller meddelt af den ene part til den anden part i løbet af forretningsforholdet, og hvor den modtagende part havde en berettiget forventning, baseret på en mærkning af de relevante oplysninger som fortrolige eller i god tro baseret på oplysningernes art, om at den videregivende part havde en særlig beskyttelsesværdig interesse i at holde de relevante oplysninger fortrolige.

(c) "Forbruger" betyder enhver fysisk person, der bruger Ibas Ontrack til formål, der overvejende ikke er kommercielle eller selvstændige.

(d) "Kontrakt" er defineret i afsnit 4.4.

(e) "Kunde" betyder både en erhvervskunde og en forbruger.

(f) "Data" betyder data i elektronisk form af enhver art, herunder "personoplysninger" som defineret i den generelle databeskyttelsesforordning EU 2016/679 og/eller lokale databeskyttelseslove.

(g) "Enheder" betyder dine lagringsmedier og, hvis det er relevant, din mobiltelefon eller tablet.

(h) "Gebyr" betyder det gebyr, du skal betale for tjenesterne som angivet i det relevante tilbud.

(i) "Lagringsmedier" betyder medier såsom harddiske, USB-sticks, SSD'er, hukommelseschips, bånd eller andre databærere.

(j) "Tilbud" og "Accept" er defineret i afsnit 4.3 og 4.4.

(k) "Servicebeskrivelse" betyder de specifikke processer, der anvendes af Ontrack, og som er beskrevet på følgende link: https://www.ontrack.com/da-dk/legal/data-recovery-servicevilkaar#beskrivelse, som blandt andet beskriver omfanget og begrænsningerne af de datagendannelsestjenester, vi leverer.

(l) "Datagendannelsestjenester" (eller kort sagt "tjenester") betyder de tjenester, der skal leveres af os til dig som beskrevet i afsnit 4 (Bestillingsproces) og 6 (Vores datagendannelsestjenester) i disse vilkår og betingelser og i tjenestebeskrivelsen.

(m) "Hjemmeside" betyder vores hjemmeside på www.ontrack.com

(n) "Backupmedie" betyder en Ibas Ontrack-datalagringsenhed, hvor gendannede data er lagret i krypteret form. Dette er normalt en USB-harddisk.

4. BESTILLINGSPROCESSEN (tilbud og accept)

4.1 Efter en indledende telefonkonsultation, indsendelse af en ordre via vores hjemmeside eller e-mailkorrespondance, giver du os dit udstyr. I tilfælde af standard datagendannelse udføres der først en evaluering/analyse som defineret i vores servicebeskrivelse. Afhængigt af enhedstype og skadetype kan evalueringen udføres gratis (med undtagelse af mobiltelefoner, tablets og flashmedier, åbne harddiske, slettede eller formaterede medier, vand- og brandskader), medmindre andet er aftalt under bestillingsprocessen. Derefter vil vi levere vurderingen (samt andre datagendannelsestjenester, hvis relevant) i overensstemmelse med servicebeskrivelsen. I tilfælde af mobiltelefoner, tablets, åbne harddiske og flashmedier samt i tilfælde af visse typer skader, eller hvis evalueringen ikke giver nogen oplysninger om en mulig datagendannelse, vil vi udføre en diagnose mod et gebyr. I dette tilfælde vil du modtage et link til et tilbud om at udføre en dybdegående diagnose, som du skal acceptere elektronisk for at give os tilladelse til at udføre tjenesten.

4.2 Efter evalueringen/analysen eller den betalte dybdegående diagnose vil du modtage en oversigt over det forventede resultat af en gennemført datagendannelse. Når en dybdegående diagnose er blevet udført, vil du modtage oplysninger om, hvilke filer der sandsynligvis kan gendannes. For en forklaring af vurderingskategorierne og den nøjagtige procedure, se venligst vores servicebeskrivelse. På baggrund af vurderingen modtager du et tilbud på datagendannelse til en fast pris (tilbud på datagendannelse). Du kan normalt vælge mellem forskellige serviceniveauer i datagendannelsestilbuddet, som er beskrevet mere detaljeret i vores servicebeskrivelse.

4.3 Når du har modtaget vores tilbud på datagendannelse, har du følgende muligheder: (i) acceptere ordren elektronisk ("tilbud"), (ii) anmode om, at vi returnerer dine enheder til kostpris, eller (iii) anmode om, at vi permanent sletter dine data og/eller destruerer dine enheder; i sidstnævnte tilfælde er vi forpligtet og berettiget til at udføre sletningen/destruktionen uden forsinkelse. Hvis vi ikke modtager en ordre, sletteinstruktion eller anmodning om at returnere dit udstyr inden for 14 (fjorten) kalenderdage fra datoen for tilbuddet, sender vi dig en påmindelses-e-mail, hvor du bliver bedt om at fortælle os, hvordan vi skal fortsætte i overensstemmelse med ovenstående muligheder. Hvis du ikke reagerer på denne påmindelse, sender vi dig 2 (to) yderligere påmindelser med 2 (to) ugers mellemrum. Hvis du igen ikke reagerer på disse påmindelser og instruerer os i, hvordan vi skal gå videre med dit udstyr, bortskaffer vi dit udstyr (inklusive dine data) i overensstemmelse med gældende lovgivning.

4.4 Vi accepterer din ordre (dvs. dit tilbud i overensstemmelse med punkt 4.3) ved at sende dig en e-mail med ordrebekræftelse ("Accept"), som vil skabe en juridisk bindende kontrakt mellem dig og os ("Kontrakt"), der indeholder alle bestemmelser i overensstemmelse med Tilbuddet, Servicebeskrivelsen, DPA og disse Vilkår. Vi tildeler et ordrenummer til din ordre. Det vil hjælpe os, hvis du kan give os ordrenummeret, når du kontakter os.

5. SENDE BESKADIGEDE LAGRINGSMEDIER OG -ENHEDER OG RETURNERE LAGRINGSMEDIER OG -ENHEDER OG SIKKERHEDSKOPIER

5.1 Du har følgende muligheder for at give os dine drev: (i) du kan levere dine lagringsmedier til os personligt i åbningstiden (forudgående varsel påkrævet); (ii) du kan arrangere en kurertjeneste efter eget valg for egen regning; eller (iii) du kan levere dine lagringsmedier til et af vores afleveringssteder (en liste over afleveringssteder er tilgængelig online på https://www.ontrack.com/da-dk/kontakt, og hvis denne mulighed vælges, vil Ibas Ontrack give dig instruktioner om pakning af dine drev. Alternativt tilbyder Ibas Ontrack en tredjeparts afhentningsservice ved at vælge muligheden "Afhentning og levering" under bestillingsprocessen. Ibas Ontrack sender dig forsendelsesdokumenter sammen med pakkeinstruktioner og informerer dig om det sted, hvor du kan aflevere din forsendelse til afhentning hos tredjepartsudbyderen.

5.2 Vi accepterer kun dine databærere og - med undtagelse af de enheder, der er defineret ovenfor - ingen komplet hardware (f.eks. bærbare og stationære computere). Fjern venligst dine databærere (HDD, SSD osv.) fra din hardware. Mobiltelefoner og tablets er ikke omfattet af dette.  

5.3 Alle lagringsmedier skal pakkes i overensstemmelse med anvisningerne på https://www.ontrack.com/da-dk/artikler/pakketips, da Ibas Ontrack ikke er ansvarlig for eventuelle skader på dit udstyr under transport, hvis pakkerne er pakket forkert, eller hvis emballagen er defekt.

5.4 Efter diagnose eller datagendannelse (se punkt 4) sender vi dine gendannede data til din adresse ved hjælp af en kurertjeneste. Forsendelsen af dine gendannede data sker til kostpris, medmindre andet er aftalt, når du bestiller datagendannelse. Kontakt venligst Ibas Ontrack, før du afslutter din ordre, hvis du ikke ønsker, at Ibas Ontrack skal returnere din backup via kurer.

Du kan også bruge en kurertjeneste efter eget valg for egen regning eller afhente dine reddede data personligt på vores datagendannelseslaboratorium (efter separat aftale).

5.5 Omkostningerne ved returnering af dit udstyr er baseret på, hvad der er aftalt i det respektive tilbud. Du vil blive informeret om de nøjagtige omkostninger under bestillingsprocessen.

6. VORES DATAGENDANNELSESTJENESTER

6.1 Til gengæld for din betaling af gebyret vil vi levere tjenesterne med den største omhu og kompetence. Vores datagendannelsestjenester omfatter typisk følgende tjenester: Evaluering/analyse og/eller dybdegående diagnose og - om muligt - datagendannelse.

For en detaljeret beskrivelse af disse tjenester, se venligst vores tjenestebeskrivelse. Servicebeskrivelsen er en del af disse generelle vilkår og betingelser.

6.2 Når vi undersøger drevene, vil vi tage rimelige forholdsregler for at afgøre: (i) hvilke data på drevene, der kan reddes; (ii) hvilke skader på drevene og/eller datastrukturer, der kan identificeres; (iii) hvor mange data (hvis nogen) på drevene, der sandsynligvis kan reddes; og (iv) for at informere dig om de forventede resultater af redningen af data fra drevene. Vores datagendannelsestjenester kan omfatte datagendannelse af data i laboratoriet, gennem levering af softwareløsninger og, for virksomhedskunder, gennem Remote Data Recovery (RDR).

6.3 Vi vil gøre os rimelige anstrengelser for at: (i) redde dine data og give dig de data, vi har reddet, på et krypteret lagermedie; eller (ii) udføre andre tjenester, som vi skriftligt har aftalt med dig at levere, såsom at slette data fra lagermediet.

6.4 Vi leverer de fleste af vores tjenester i Ibas Ontracks datagendannelseslaboratorium, der ligger på Fjellgata 2, 2212 Kongsvinger, Norge. Datagendannelse af mobiltelefoner og tablets udføres i et af Ibas Ontracks europæiske datagendannelseslaboratorier for mobiltelefoner. Vi kan også sende din enhed til et søsterselskab i Europa. I overensstemmelse med afsnit 1.5 kan vi også være nødt til at få fjernadgang til dine data uden for Det Europæiske Økonomiske Samarbejdsområde for at levere tjenesterne.

6.5 På tidspunktet for kontraktens indgåelse kan vi kun anslå, hvornår din datagendannelse sandsynligvis vil være afsluttet. Det er ikke muligt at give en specifik dato for en afsluttet datagendannelse på grund af tjenesternes karakter. Du vil dog blive informeret om den anslåede færdiggørelsesdato under leveringen af tjenesten. Når du modtager din sikkerhedskopi med dine gendannede data fra Ibas Ontrack, beder vi dig om straks at kontrollere sikkerhedskopien (USB-harddisk eller anden lagerenhed) for teknisk funktionalitet. Ibas Ontrack kan kun genskabe dine gendannede data i tilfælde af en fejl i leveringsmediet inden for vores dataopbevaringsperiode for dine gendannede personoplysninger som angivet i Ibas Ontrack-databehandlingsaftale.

6.6 Bemærk, at vi ikke accepterer alle Apple-produkter til datagendannelse. Vores datagendannelsestjenester omfatter normalt ikke datagendannelse fra Apple iMac-enheder eller iPhones/iPads efter en fabriksnulstilling. Kontakt venligst vores kundeservice, før du indsender Apple-produkter.

6.7 For nogle tjenester kan vi kræve visse oplysninger fra dig, såsom brugernavne, adgangskoder eller pinkoder. Hvis du ikke giver disse oplysninger inden for en rimelig tid efter vores anmodning, eller hvis du giver ufuldstændige eller forkerte oplysninger, kan vi opkræve et ekstra gebyr på et rimeligt beløb for at kompensere os for det ekstra arbejde, dette medfører. Vi er ikke ansvarlige for forsinkelser eller delvis manglende levering af tjenesterne, hvis dette skyldes, at du ikke har givet os de nødvendige oplysninger.

6.8 Vi kan være nødt til at suspendere leveringen af tjenesten for at (i) løse tekniske problemer eller foretage tekniske ændringer eller (ii) opdatere tjenesten for at afspejle ændringer i relevante love og regler. Vi kan også suspendere leveringen af tjenesterne, hvis du ikke betaler efter at vi har underrettet dig om dette.

6.9 Vi garanterer ikke, at alle data kan gendannes under tjenesten. I særdeleshed garanterer vi ikke, at alle eller nogen del af dine data kan gendannes eller bruges, at mobiltelefonen eller tabletten, hvis relevant, kan bruges i overensstemmelse med dens oprindelige formål, eller at vi vil opnå noget andet bestemt resultat.

6.10 Følgende bestemmelse gælder kun for kunder, der er erhvervskunder:

Gendannelse af data via fjernadgang. Med Remote Data Recovery (RDR) opretter vi forbindelse til kunden via internettet. Al kommunikation er krypteret. Ingen enheder sendes til os. Under en RDR vil du modtage et link fra os til et diagnostisk tilbud, som du skal godkende elektronisk, for at vi kan udføre opgaven. Efter diagnosen får du oplysninger om, hvilke filer der sandsynligvis kan gendannes. På baggrund af dette modtager du et fast pristilbud på datagendannelse (datagendannelsestilbud). Du kan normalt vælge mellem forskellige serviceniveauer i datagendannelsestilbuddet, som er beskrevet mere detaljeret i vores servicebeskrivelse.

Til fjerngendannelse af data skal du downloade og installere Ibas Ontrack RDR-klientsoftwaren via det link, som Ibas Ontrack stiller til rådighed. Når RDR-klienten er installeret, kan brugeren oprette forbindelse til Ibas Ontrack via en krypteret internetforbindelse. RDR-forbindelsen bruges udelukkende af Ibas Ontrack til at køre Ibas Ontrack-datagendannelsessoftwaren direkte på kundens computer. Ibas Ontrack bruger RDR-forbindelsen til at gemme Ibas Ontracks datagendannelsesværktøjer på kundens computer i en skjult mappe. Kundens data vil ikke blive overført til Ibas Ontrack under denne proces. Når RDR-tjenesten er afsluttet, slettes Ibas Ontracks datagendannelsesværktøj fra kundens computer.

Ibas Ontrack garanterer, at RDR-klientsoftwaren (a) er fri for programkode eller programinstruktioner, der med vilje er designet til at afbryde, deaktivere, beskadige, forstyrre eller på anden måde påvirke computerprogrammer, filer eller operationer negativt; og (b) ikke indeholder anden ondsindet kode, der almindeligvis er kendt som vira eller beskrevet med lignende udtryk, herunder trojansk hest eller bagdør.

7. INTELLEKTUELLE EJENDOMSRETTIGHEDER

7.1 Dit udstyr og dine data forbliver til enhver tid din ejendom, og vi har ingen ejendomsret, brugsret eller andre rettigheder til dem ud over retten til at besidde og bruge dit udstyr og dine data til at levere tjenesterne. Du bevarer alle intellektuelle ejendomsrettigheder, du har til dine data.

7.2 Alle intellektuelle ejendomsrettigheder i forbindelse med udførelsen af datagendannelsestjenesterne forbliver hos Ibas Ontrack, herunder udvikling, oprettelse og levering af tjenesterne, opfindelser, ophavsretligt beskyttede værker, metoder, processer og knowhow, der bruges til at udvikle eller udføre tjenesterne, sammen med al hardware, firmware, platforme, software og eventuelle ændringer, forbedringer, nye funktioner eller funktioner oprettet eller brugt af Ibas Ontrack som en del af tjenesterne.

8. RET TIL ANNULLERING

8.1 Denne klausul gælder kun for forbrugere.

8.2 Under evalueringen kan du til enhver tid annullere. Hvis du afgiver en ordre, herunder en diagnose, har du ret til at trække dig ud af denne kontrakt inden for fjorten dage uden at angive nogen grund. Annulleringsperioden er fjorten dage fra den dag, hvor kontrakten blev indgået.

8.3 For at udøve din fortrydelsesret skal du underrette Ibas Ontrack ved en tydelig erklæring (f.eks. et brev sendt med posten, en fax, en e-mail eller en telefon) om din beslutning om at fortryde denne aftale:

(a) Via e-mail: dkrecovery@ontrack.com

(b) På telefon: +45 70 22 34 00

(c) Med posten: Ibas Ontrack ApS, co/Regus Center, Christians Brygge 28, 1559 København V

8.4 Du kan også bruge det standard fortrydelsesformular, der er tilgængelig i slutningen af disse generelle vilkår og betingelser. Gennemførelsen af din annullering er ikke afhængig af, at du bruger dette standard annulleringsformular. Vi sender dig straks en bekræftelse på modtagelsen af din afbestilling (f.eks. via e-mail).

8.5 For at gøre brug af fortrydelsesfristen er det tilstrækkeligt, at du sender meddelelsen om fortrydelse i henhold til fortrydelsesretten inden udløbet af fortrydelsesfristen.

8.6 Hvis du annullerer denne aftale, skal Ibas Ontrack refundere dig alle betalinger, som Ibas Ontrack har modtaget fra dig, uden unødig forsinkelse og senest 14 dage fra den dato, hvor Ibas Ontrack modtager meddelelse om din annullering af denne aftale. Ved elektronisk at acceptere vores anmodning om forslag (paragraf 4.3) giver du os udtrykkeligt tilladelse til at påbegynde tjenesterne med det samme. I tilfælde af en annullering, efter at tjenesterne er påbegyndt, vil du være forpligtet til at betale kompensation for værdien af de tjenester, der er leveret indtil dette tidspunkt. Når vi har leveret tjenesterne fuldt ud, kan du ikke længere annullere kontrakten, selv om annulleringsperioden endnu ikke er udløbet.

8.7 Ved tilbagebetaling benytter vi samme betalingsmiddel, som du benyttede ved den oprindelige transaktion, medmindre andet udtrykkeligt er aftalt med dig. Du vil under ingen omstændigheder blive opkrævet betaling for tilbagebetalingen.

9. INGEN FORTRYDELSESRET FOR ERHVERVSKUNDER

9.1 Bestemmelsen i punkt 8 gælder ikke for erhvervskunder

10. FORTRYDELSESRET

10.1 Uafhængig af andre rettigheder kan tjenesteforholdet opsiges af begge kontraktparter med saglig grund uden at overholde en opsigelsesperiode, hvis der er omstændigheder som gør, at den opsigende part under hensyntagen til alle omstændigheder i det enkelte tilfælde og afvejning af begge kontraktparters interesser, ikke med rimelighed kan forventes at fortsætte kontraktforholdet indtil den aftalte afslutning af kontraktforholdet, især hvis:

(a) en af parterne (i) væsentligt misligholder et vilkår i aftalen på en måde, der ikke kan udbedres; eller (ii) hvis en sådan misligholdelse kan udbedres, undlader at udbedre en sådan misligholdelse inden for en periode på 7 (syv) dage efter at have modtaget skriftlig meddelelse om at udbedre; eller (iii) gentagne gange misligholder aftalen (herunder disse generelle vilkår og betingelser); eller

(b) (Ibas Ontracks fortrydelsesret): Kunden undlader at betale gebyret for datagendannelsestjenesterne ved forfald; og/eller

(c) en part ophører (eller truer med at ophøre) med at drive virksomhed helt eller delvist, eller der udpeges en likvidator, administrator eller kurator med hensyn til den eller en del af dens virksomhed eller aktiver, eller den opløses (bortset fra med henblik på at foreslå en solvent fusion eller rekonstruktion, hvor den resulterende enhed påtager sig alle forpligtelser), eller en kompetent domstol afsiger kendelse om insolvens, likvidation eller lignende, eller parten indgår en ordning med sine kreditorer, den er ude af stand til at betale sin gæld, når den forfalder, eller, i tilfælde af en person, den bliver insolvent.

10.2 Vi (Ibas Ontrack) kan opsige aftalen, hvis vi i forbindelse med udførelsen af aftalen kan være i strid med gældende eksport- og sanktionslove vedrørende forretning med visse virksomheder og personer som bestemt af Europa-Kommissionen eller andre nationale myndigheder, herunder USA. Du accepterer på vores anmodning at fremlægge identitetsbevis med henblik på at verificere anvendeligheden af gældende eksport- og sanktionslove.  

10.3 Hvis opsigelsen sker af en grund, som Ibas Ontrack ikke er ansvarlig for, er kunden forpligtet til at betale det aftalte vederlag for alle datagendannelsestjenester, der leveres af Ibas Ontrack, indtil opsigelsen træder i kraft.

11. GARANTIER OG GODKENDELSE FRA KUNDEN

11.1 Du bekræfter og garanterer over for os, at (i) du har juridisk bemyndigelse til at indgå bindende kontrakter; (ii) du er fuldt autoriseret, bemyndiget og berettiget til at acceptere disse vilkår og, hvis du er en erhvervskunde, har den nødvendige bemyndigelse til at indgå kontrakten; (iii) alle oplysninger, du giver os i forbindelse med din ordre, er sande, nøjagtige, fuldstændige og ikke vildledende; (iv) du ejer udstyret eller har tilladelse fra ejeren af udstyret til, at vi leverer tjenesterne; (v) det ikke er i strid med en forpligtelse eller rettighed over for en tredjepart, at du leverer dit udstyr til os; (vi) det ikke er i strid med gældende lovgivning, at du leverer dit udstyr til os; (vi) det ikke er i strid med gældende lovgivning, at du leverer dit udstyr til os. (v) det er ikke i strid med nogen forpligtelse eller rettighed for nogen tredjepart, at du leverer dit udstyr eller dine data til os; (vi) det er ikke i strid med nogen gældende lov, at du leverer dit udstyr eller dine data til os; (vii) du har den juridiske ret til at give adgang til dataene; (viii) dit udstyr indeholder ikke noget materiale (såsom data), der kan krænke nogen tredjeparts immaterielle rettigheder; og (ix) dit udstyr indeholder ikke noget materiale (såsom data), der overtræder nogen gældende lov.

11.2 Vi forbeholder os ret til (og du anerkender hermed, at vi har ret til) at anmode om dokumentation, der beviser dit ejerskab, din autorisation eller din juridiske ret til at autorisere tjenesterne og til at suspendere eller ikke påbegynde tjenesterne i mangel af sådan dokumentation. Du accepterer at give os identifikationsdokumenter efter anmodning, så vi kan verificere anvendeligheden af eventuelle gældende eksport- og sanktionsbestemmelser i overensstemmelse med afsnit 10.2.  

11.3 Du anerkender og accepterer hermed som en betingelse for kontrakten, at dit udstyr og/eller dine data kan blive beskadiget, før vi modtager dem, og at vores bestræbelser på at gennemføre tjenesterne kan resultere i ødelæggelse eller yderligere beskadigelse af dit udstyr og/eller dine data. Vi vil udvise rimelig omhu ved udførelsen af tjenesterne, men er ikke ansvarlige for eksisterende eller yderligere skader, der måtte opstå på dit udstyr eller dine data under udførelsen af tjenesterne. Dette berører ikke bestemmelserne i paragraf 13.

12. PRIS OG BETALING

12.1 Prisen for tjenesterne er det gebyr, der er angivet i det respektive tilbud (inklusive moms, hvor det er relevant). Betaling kan ske ved direkte debitering, bankoverførsel eller kreditkort, eller for erhvervskunder også ved ordre på konto (ordrenummer).  

12.2 I tilfælde af kontant betaling, forudbetaling, direkte debitering eller kreditkortbetaling skal gebyret generelt betales, før tjenesterne påbegyndes (forudbetaling) eller, hvis det er relevant, på det tidspunkt, der er angivet i betalingsaftalen, der er indgået separat med Ibas Ontrack. Hvis du undlader at betale noget beløb til os i henhold til aftalen, kan vi beholde udstyret og dataene, indtil fuld betaling er foretaget. I tilfælde af annullering, forsinkelse eller manglende betaling vil du modtage en første påmindelse efter forfaldsdatoen. Hvis betaling ikke modtages efter den første påmindelse, vil du modtage endnu en påmindelse, før vi forbeholder os ret til at overdrage kravet til vores inkassobureau. Vi forbeholder os desuden ret til at opkræve renter på forsinkede betalinger eller udstede yderligere krav.

12.3 I tilfælde af kreditkortbetaling vil Ibas Ontrack sende dig et betalingslink til en sikker tredjeparts betalingsplatform for at godkende betalingen og gennemføre betalingsprocessen, efter at arbejdet er afsluttet, men før backup'en sendes til dig.

12.4 Erhvervskunder vil modtage en faktura. Hvis du ikke betaler hele fakturaen inden for den aftalte betalingsfrist, sender vi dig en rykker (sms). Hvis du ikke betaler efter den første påmindelse, modtager du endnu en påmindelse, før vi overdrager gælden til vores inkassobureau. I tilfælde af forsinket betaling opkræver vi morarenter i overensstemmelse med gældende lovgivning. Vi forbeholder os ret til at fremsætte yderligere krav (f.eks. for skader forårsaget af forsinkelse).

13. BEGRÆNSNING AF ANSVAR

13.1 Vi udelukker eller begrænser ikke på nogen måde vores ansvar over for dig, hvor det er ulovligt at gøre det. Dette omfatter vores ansvar for dødsfald eller personskade forårsaget af vores uagtsomhed eller vores medarbejderes, agenters eller underleverandørers uagtsomhed; for bedrageri eller svigagtig vildledning; og for forbrugere, for overtrædelse af dine juridiske rettigheder i forhold til tjenesterne og for defekte tjenester i henhold til gældende forbrugerlovgivning.

13.2 Med forbehold for bestemmelserne i punkt 13 er vores samlede ansvar over for dig, uanset om det opstår i kontrakt eller erstatning (herunder uagtsomhed), for overtrædelse af lovpligtig pligt eller andet, der opstår under eller i forbindelse med en kontrakt, begrænset til: (i) i tilfælde af overtrædelse af fortrolighed, databeskyttelse eller intellektuelle ejendomsrettigheder, et maksimumsbeløb på DKK 90.000 eller værdien af gebyret i henhold til den gældende kontrakt; eller (ii) i alle andre tilfælde, værdien af det gebyr, der skal betales i henhold til kontrakten.

13.3 Med forbehold for punkt 13.1 ovenfor er vi ikke ansvarlige for nogen fysisk eller anden skade på eller ødelæggelse af dit udstyr og dine data eller for bortfald af garantier i forhold til dit udstyr under levering af vores tjenester, hvis en sådan skade, ødelæggelse, forringelse eller bortfald opstår som følge af udførelsen af tjenesterne i overensstemmelse med denne aftale. Dette gælder ikke for skader, der er forårsaget af forsætlig eller groft uagtsom pligtforsømmelse fra Ibas Ontrack eller vores juridiske repræsentanter.

13.4 Selvom vi vil gøre os rimelige bestræbelser på at passe på dit udstyr eller dine data, mens det er i vores besiddelse, er vi ikke ansvarlige over for dig, hvis dit udstyr eller dine data går tabt, ødelægges, beskadiges eller på anden måde forringes på grund af normal slitage eller på grund af tjenesternes art uden vores skyld.

13.5 Ingen af parterne skal være ansvarlige over for den anden part, uanset om det er i kontrakt, erstatning (herunder uagtsomhed), overtrædelse af lovpligtig pligt eller andet, der opstår som følge af eller i forbindelse med disse vilkår eller enhver aftale, for indirekte tab eller følgeskader, tab af fortjeneste, tab af indtægter eller tab af forretning.

13.6 Brug af transportører/kurerer. I overensstemmelse med bestemmelserne i afsnit 5 skal Ibas Ontrack i tilfælde af, at det originale datamedium sendes af en tredjepartskurér, der er engageret af Ibas Ontrack, kun være ansvarlig for omfanget af den kompensation, der tilbydes af tredjepartskuréren. Vilkårene og betingelserne for tredjepartskureren er https://www.dhl.com/dk-da/home/sidefod/anvendelsesvilkar.html

14. Skadeserstatning

14.1 Du skal holde Ibas Ontrack skadesløs for alle krav fra tredjeparter, der rejses mod os som følge af din ulovlige adfærd. Denne skadesløsholdelse gælder især for krav, der opstår som følge af overtrædelser af databeskyttelses-, konkurrence- eller ophavsretslove.

14.2 Hvis dine oplysninger i henhold til paragraf 11.1 er helt eller delvist ukorrekte, skal du holde Ibas Ontrack skadesløs for alle tredjepartskrav, der ikke ville have eksisteret, hvis dine oplysninger havde været korrekte.

14.2 Du holder Ibas Ontrack skadesløs for alle krav fra tredjeparter baseret på det faktum, at du ikke er den (eneste) ejer af enhederne og deres data, at din tilladelse til at disponere over enhederne og dataene på anden måde er begrænset, eller at data blev indsamlet, oprettet, opbevaret eller på anden måde behandlet i strid med tredjeparters rettigheder eller på en ulovlig måde.

14.3 Ud over skadeserstatning skal erstatningen i henhold til dette punkt 14 omfatte bøder og dokumenterede rimelige sagsomkostninger (herunder eventuelle sagsomkostninger og forsvarsomkostninger).

15. DATABESKYTTELSE

15.1 Oplysninger om databeskyttelse kan findes på følgende link på vores hjemmeside: https://www.ontrack.com/da-dk/legal/privacy-policy

16. HVORDAN VI BEHANDLER PERSONDATA (REDDET DATA)

16.1 I det omfang Ibas Ontrack behandler personoplysninger for dig som kunde i forbindelse med dataredning, gælder vores databehandleraftale, som er tilgængelig på https://www.ontrack.com/da-dk/legal/data-recovery-servicevilkaar#dpa.

17. FORTROLIGE OPLYSNINGER

17.1 Den udleverende part har en fortrolighedsinteresse i de fortrolige oplysninger, der udleveres til den modtagende part. Den modtagende part forpligter sig derfor til at behandle de fortrolige oplysninger, der leveres eller på anden måde stilles til rådighed for den, som strengt fortrolige og ikke stille dem til rådighed for tredjeparter, hverken helt eller delvist, medmindre den leverende part har givet sit forudgående skriftlige samtykke til, at de videregives til tredjeparter, og tredjeparten har forpligtet sig til at opretholde deres fortrolighed på en måde, der er i overensstemmelse med disse betingelser.

17.2 Fortrolighedskravene gælder ikke for Fortrolige Oplysninger, for hvilke den Modtagende Part kan påvise, at (a) de allerede var kendt af den Modtagende Part før meddelelsen, eller (b) de allerede var offentlige, offentligt tilgængelige og frit tilgængelige på tidspunktet for meddelelsen til den Modtagende Part eller blev det efterfølgende, eller (c) de blev offentligt kendt efter kommunikationen, uden udførte fejl fra den Modtagende Parts side, og uden overtrædelse af disse Betingelser eller (d) det er i det væsentlige det samme som de oplysninger, der til enhver tid er videregivet til eller stillet til rådighed for den modtagende part af en autoriseret tredjepart, eller (e) det er blevet udviklet af den modtagende part uafhængigt af de fortrolige oplysninger, eller (f) det er blevet udtrykkeligt skriftligt godkendt på forhånd af den videregivende part til videregivelse, eller (g) dets besiddelse, besiddelse eller viden overtræder enhver gældende straffelov, eller (h) det kræves videregivet af en bindende statslig eller retslig kendelse eller ufravigeligt lovkrav.

18. ANDRE VIGTIGE BETINGELSER

18.1 Denne aftale er mellem dig og os. Ingen anden person har ret til at håndhæve dens vilkår. Hver paragraf i disse vilkår gælder separat. Hvis en domstol eller relevant myndighed beslutter, at nogle af dem er ulovlige og/eller ikke kan håndhæves, vil de resterende klausuler forblive i fuld kraft og virkning. Hvis vi ikke straks skrider til handling over for dig på grund af din overtrædelse af denne aftale, forhindrer det os ikke i at gøre det senere, i det omfang det er i overensstemmelse med gældende lov.

18.2 Vi kan justere tjenesterne for at afspejle ændringer i relevante love og myndighedskrav og for at foretage mindre tekniske justeringer og forbedringer, for eksempel for at imødegå en sikkerhedstrussel. Disse ændringer vil ikke påvirke din brug af tjenesterne. Derudover kan vi foretage andre væsentlige ændringer af disse vilkår og betingelser eller tjenesterne, men hvis vi gør det, vil vi underrette dig på forhånd, og du kan opsige aftalen, før ændringerne træder i kraft, og modtage en refusion for eventuelle tjenester, der er betalt for, men ikke modtaget.

18.3 Hvis du er bosiddende i Den Europæiske Union, kan du indsende klager via Den Europæiske Unions Online Dispute Resolution Platform ("Platformen"), som gør det muligt at løse tvister online. For mere information, besøg venligst platformen på https://ec.europa.eu/consumers/odr/main/ Ibas Ontrack har ikke til hensigt at bruge platformen til at løse tvister, og du accepterer, at Ibas Ontrack ikke er forpligtet til at bruge platformen til at løse eventuelle tvister.

18.4 Disse generelle vilkår og betingelser er underlagt dansk lov, og hver part underkaster sig de dansk domstoles eksklusive jurisdiktion, medmindre gældende forbrugerlovgivning bestemmer andet.

Gyldig fra 1. Juli 2024

Formular til afbestilling

(Udfyld og indsend kun denne formular, hvis du ønsker at opsige aftalen)

Til: Ibas Ontrack ApS, co/Regus Center, Christians Brygge 28, 1559 København V

Om: Opsigelse af servicekontrakter

Jeg/vi meddeler hermed, at jeg/vi ønsker at annullere min/vores kontrakt om salg af følgende varer/levering af følgende tjenesteydelser,

Bestilt den [*]/modtaget den [*],

Navn på forbruger(e),

Adresse på forbruger(e),

Forbrugerens/forbrugernes underskrift (kun hvis denne formular indsendes i fysisk form),

Dato

_______________________

(*) Slet, hvis det er relevant.

Ibas Ontrack datarekonstruktion - Tjenestebeskrivelse 

1. Datarekonstruktionsproses, Ibas Ontracks tjenester og begrænsninger 

a) Datarekonstruktion udføres i flere mulige trin: 

• Evaluering - se punkt 2 nedenfor -; eller/og 
• Diagnose - se punkt 3 nedenfor -; og 
• Datarekonstruktion efter evaluering eller diagnose - se punkt 4 nedenfor - eller RDR Remote datarekonstruktion for erhvervskunder - se punkt 5 nedenfor. 

b) Ibas Ontrack vil rekonstruere så meget data som muligt fra et eller flere beskadigede lagringsmedier ved hjælp af passende tiltag. Ibas Ontrack tester ikke anvendelighed eller kompatibilitet med applikationssoftware eller kundeoperativmiljøer. 

c) Det er muligt, at slettede og/eller beskadigede data ikke kan læses, selv ved brug af Ibas Ontracks værktøjer og teknologi. Derfor kan Ibas Ontrack ikke garantere, at data på beskadigede lagringsmedier kan gendannes, repareres eller læses. 

d) Ibas Ontrack vil undersøge lagringsmedierne for at finde ud af, hvilke skader der er tale om for at rekonstruere data og datastrukturer, så de sandsynligvis kan læses og bruges igen i kundens egnede applikationer. For at gøre dette bruger Ibas Ontrack de højeste tekniske standarder og proprietære processer samt software- og hardwareværktøjer. Grundet karakteren af ​​Ibas Ontracks arbejde med beskadigede data eller lagringsmedier er der en generel risiko for, at resterende data på det beskadigede lagringsmedie kan gå tabt eller helt eller delvist blive ødelagt. 

e) Kunden anerkender, at der er risiko for, at: 

• yderligere data går tabt, når eksisterende data ikke længere kan gendannes, 
• rekonstruerede data kan ikke bruges af kunden, 
• lagringsmediets informationsindhold vil blive helt eller delvist ødelagt; og 
• lagringsmedier, software og andre elementer er beskadiget, gjort ubrugelige eller ødelagt 

2. Evaluering  

a) Evaluering er en indledende vurdering af en erfaren datarekonstruktionsingeniør, som vurderer, hvilken skade der kan ses på lagringsmediet, for at give et skøn over mængden af ​​data, der kan forventes at blive rekonstrueret. Evalueringen kan bruges til HDD- og SDD-harddiske. Undtaget fra evalueringen er mobiltelefoner, tablets og flash-medier samt medier med slettede data, vand- og brandskader og lagringsmedier, der allerede er åbnet. Under evalueringen kobles kundens lagringsmedier til Ibas Ontracks egne proprietære systemer og åbnes evt. I evalueringen bliver ingen data kopieret/backupet (imaged) eller yderligere analyseret. Der produceres ingen liste over rekonstruerbare datasæt eller indikation af, hvilke filer der kan rekonstrueres. Ibas Ontrack afgiver ikke skadesrapport efter vurderingen. 

b) Ibas Ontrack vil efter evalueringen informere kunden om (i) datarekonstruktion er mulig, (ii) en yderligere afgiftspligtig diagnose er nødvendig for at afsløre om en rekonstruktion kan tilbydes samt mulighederne for datarekonstruktion inklusive mængden af ​​data der kan sandsynligvis rekonstrueres (se punkt 3); (iii) eller at skadens omfang er så omfattende, at en datarekonstruktion ikke kan udføres af Ibas Ontrack. 

c) En vurdering af den sandsynlige succes af datarekonstruktion efter evalueringen foretages på grundlag af følgende klassifikationer: 

• Fremragende - Ibas Ontrack forventer et rigtig godt resultat, hvor 95-100% af rådata kan rekonstrueres 
• Godt - Ibas Ontrack forventer et godt resultat, hvor 75-100% af rådata kan rekonstrueres 
• Delvist rekonstruerbar - Ibas Ontrack forventer, at op til 50 % af rådata kan rekonstrueres. 
• Kompleks – På grund af skadens kompleksitet giver vurderingen ikke tilstrækkelig information og begrundelse til at kunne tilbyde en datarekonstruktion. Vi anbefaler derfor en fuld diagnose, der vil give svar på, om en datarekonstruktion er mulig samt et overblik over, hvad der kan rekonstrueres. 
• Kan ikke rekonstrueres - Ibas Ontrack kan ikke rekonstruere data fra denne enhed. 

d) Vurderingen af ​​chancerne for succes for en datarekonstruktion baseret på klassificeringen ovenfor er ingen garanti for, at de anførte procentsatser i punkt 2.c) vil blive opfyldt, da hverken fysiske eller datastrukturelle skader repareres i en evaluering. 

e) Såfremt kunden anmoder herom, kan Ibas Ontrack efter evalueringen foretage en afgiftspligtig diagnose, som omfatter, hvor det er muligt, oprettelse af Verifilen (fillisten), som kan vise mængden af ​​data, der skønnes at kunne rekonstrueres. (se punkt 3 nedenfor). Bemærk venligst, at det ikke altid er muligt at levere en filliste, hvis ingen data kan rekonstrueres. 

f) Såfremt kunden på baggrund af resultaterne af evalueringen afgiver bestilling på diagnosen eller datarekonstruktionen (se punkt 4 nedenfor), vil Ibas Ontrack foretage enten diagnosen eller datarekonstruktionen. 

g) Kunden kan beslutte ikke at udføre datarekonstruktionen eller diagnosen efter evalueringen. Hvis kunden ønsker det, vil enheden blive returneret til kunden for det gebyr, der er vist i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktioner, resten deponeres efter gældende regler. 

h) Vær opmærksom på, at behandling under evalueringen kan skade kundens udstyr. 

3. Diagnose  

a) Til rekonstruktion af data på smartphones, tablets eller flashmedier eller i tilfælde af specifik dataskade tilbyder Ibas Ontrack en gebyrbaseret diagnose (og ikke evaluering). Ibas Ontrack kan også anbefale en diagnose efter at udredningen er foretaget, især ved komplekse skader. Diagnosen kan også rekvireres uden evalueringen. 

b) Diagnosen vil afsløre skadens art og omfang, samt en præcis beskrivelse af mulighederne for en datarekonstruktion på de lagringsmedier, som kunden har stillet til rådighed, og mængden af ​​filer/data, der sandsynligvis kan rekonstrueres. Ibas Ontrack vil give kunden adgang til en proprietær platform, der giver kunden mulighed for at spore status samt give kunden en filliste (Verifile), hvis datarekonstruktion er mulig. I nogle tilfælde kan Ibas Ontrack ikke få adgang til data og kan derfor ikke levere en filliste (Verifile). 

c) Filliste (Verifile) indeholder en indikation af kvaliteten af ​​dataene, da det drejer sig om anvendelighed i trafiklyssystemet: 

• Grøn – dataene vil højst sandsynligt fungere eller åbne i de respektive applikationer. 
• Gul – dataene eller filerne er delvist beskadiget – det kan betyde, at filerne ikke kan åbnes og redigeres i de respektive applikationer. Det kan være muligt at reparere de beskadigede filer, men Ibas Ontrack tilbyder ikke reparation. Ibas Ontrack kan kontakte dig direkte, hvis en sådan service i så fald kan tilbydes af Ibas Ontrack. 
• Rød – dataene eller filerne er korrupte – dette vil sandsynligvis resultere i, at filerne ikke kan åbnes og redigeres i de respektive applikationer. 

d) Det er ikke muligt for Ibas Ontrack at garantere brugbarheden af ​​data med kundens respektive applikationer som en del af diagnosen. Ibas Ontracks ingeniører vil give vejledning om den generelle status for rekonstruerede data, dog kan disse antagelser ikke garanteres på grund af andre skadesårsager, som ikke kan identificeres. Dette gælder i det særlige tilfælde for alle typer databasefiler. Importen af ​​datasættene i henhold til den nyeste teknologi af den respektive databasesoftware og applikation og konsultation af yderligere eksperter er kundens eget ansvar. Ibas Ontrack vil så vidt muligt støtte kunden og tredjeparteentrepenører. 

e) Der er særlige situationer med tab af data, hvor farverne i fillisten (Verifile) ikke har nogen betydning. I tilfælde af sådanne alvorlige strukturelle skader garanterer Ibas Ontrack ikke for filernes funktionalitet. Hvis et sådant tilfælde eksisterer, er dette angivet i diagnoseresultatet. 

f) Diagnosticering foretages i Ibas Ontracks laboratorium. Vi sender normalt mobiltelefoner og tablets til et af Ontracks europæiske mobiltelefonekspertisecentre. 

g) Afhængigt af typen af ​​lagringsmedie kan diagnosen føre til overførsel af data til et andet lagringsmedium, og den originale enhed kan blive yderligere beskadiget. 

h) Såfremt Kunden afgiver en ordre på datarekonstruktion baseret på resultaterne af diagnosen (se punkt 4 nedenfor), vil Ibas Ontrack foretage datarekonstruktion. 

  g) Kunden kan vælge kan beslutte ikke at udføre datarekonstruktion efter diagnosen. Efter anmodning fra Kunden vil Kundens medier herefter blive returneret til Kunden mod det gebyr, der er angivet i Tilbudsformularen. Ellers bortskaffes mediet sikkert. 

g) Kunden kan vælge ikke at foretage datarekonstruktion efter diagnosen. På Kundens anmodning vil Kundens medier herefter blive returneret til Kunden mod det gebyr, der er angivet i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktioner, resten deponeres efter gældende regler. 

4) Datarekonstruktion efter diagnosen eller evalueringen 

a) Tilbud om datarekonstruktion efter evalueringen 

Evalueringsresultater sendes sammen med tilbud om datarekonstruktion. Kun den forventede succesvurdering på Excellent/God/Delvis/Kompleks overføres. 

Tilbud på datarekonstruktion indeholder datarekonstruktionsprisen i forhold til serviceniveauerne (se punkt c.), som viser behandlingstiden for den respektive datarekonstruktionsproces og sendes til kunden som beskrevet i vores salgs- og leveringsbetingelser. 

b.) Tilbud på datarekonstruktion efter diagnosen 

Efter diagnosen sender Ibas Ontrack Verifile-listen til kunden, hvor det er muligt, og informerer kunden om, hvor lang tid datarekonstruktionsprocessen kan tage, og hvad omkostningerne ved en datarekonstruktion vil være. Kunden vil modtage et datarekonstruktionstilbud som beskrevet i vores handelsbetingelser, som vil indeholde datarekonstruktionsprisen i forhold til de serviceniveauer (se pkt. c.), som angiver behandlingstiden for den respektive datarekonstruktionsproces. 

c.) Tjenesteniveauer 

Ved bestilling af datarekonstruktion kan kunden vælge mellem følgende serviceniveauer baseret på hastergraden: 

• Emergency 
  Opgaven starter umiddelbart efter modtagelse af ordren og fortsætter løbende (24/7), indtil opgaven er afsluttet. 
• Express 
  Opgaven starter umiddelbart efter modtagelse af ordren, fra mandag til fredag ​​mellem 08:00 og 16:00. Normal behandlingstid er 3-5 hverdage. 
• Standard 
  Opgaven udføres indenfor normal arbejdstid, mandag til fredag ​​mellem 08.00 og 16.00. Normal behandlingstid er 7-10 hverdage. 
• Economy 
  Opgaven udføres indenfor normal arbejdstid, mandag til fredag ​​mellem 08.00 og 16.00. Normal behandlingstid er op til 20 hverdage. 
• Home 
  Opgaven udføres indenfor normal arbejdstid, mandag til fredag ​​mellem 08.00 og 16.00. Normal behandlingstid er op til 30 hverdage. 

d.) Bestilling af data rekonstruktion 

Kunden accepterer tilbuddet om datarekonstruktion som beskrevet i vores salgs- og leveringsbetingelser. 

Hvis kunden beslutter sig for ikke at udføre datarekonstruktionen baseret på evalueringsresultaterne eller fillisten (verifle), betragtes ordren som annulleret. På kundens anmodning returneres datamediet til kunden mod det gebyr, der er angivet i tilbudsformularen. Ellers vil enheden/enhederne blive slettet og demonteret efter 90 dages karantæne. Brugbare dele vil være tilgængelige til senere rekonstruktionerr, resten deponeres efter gældende regler. 

e) Gennemførelse af datarekonstruktionen  

Såfremt kunden afgiver en ordre på datarekonstruktion baseret på datarekonstruktionstilbuddet efter gennemgang af resultaterne af evalueringen og/eller diagnosen, vil Ibas Ontrack udføre datarekonstruktionen. Kunden modtager de data, der kunne rekonstrueres af Ibas Ontrack. Efter en diagnose er dette normalt de data, der vises i fillisten (Verifile). 

Data rekonstrueret af Ibas Ontrack gemmes på en bærbar lagringsenhed og sendes til kunden. Udover at det leverede medie indeholdende de rekonstruerede data, kan Ibas Ontrack returnere det beskadigede medie, hvis kunden anmoder om det ved bestilling af datarekonstruktion mod betaling af returfragt angivet i tilbuddet. På kundens anmodning, efter 90 dages karantæne, vil enheden/enhederne blive slettet og demonteret. Brugbare dele vil være tilgængelige til senere ombygninger, resten vil blive deponeret i henhold til gældende regler. 

f) Afvigelse i datarekonstruktionsresultatet 

I tilfælde af at mængden af ​​rekonstruerede data er væsentligt mindre end mængden af ​​rekonstruerbare data estimeret i evalueringen, hvor der ikke tidligere er bestilt en filliste, vil en filliste (Verifile) blive leveret til kunden uden ekstra omkostninger for at hjælpe med beslutningen om at gå videre med rekonstruktionen. Hvis der tidligere er bestilt og leveret en diagnostik, vil en kunderepræsentant kontakte kunden for at diskutere resultaterne og kundens muligheder for datagendannelse. 

5) RDR Remote Data Recovery Tjeneste 

a) RDR^® er en forkortelse for Remote Data Recovery™ ("RDR"). RDR er en patenteret teknologi, som gør det muligt for Ibas Ontracks ingeniører at udføre en datarekonstruktion af laboratoriekvalitet direkte på kundens server, desktop eller laptop via en internetforbindelse. Det eneste krav er, at lagringsenheden er fysisk i orden. Ibas Ontracks RDR består af tre hovedkomponenter: 

i) Kommunikation med kunde: Kunden initierer en forbindelse til en Ontrack RDR-server ved hjælp af den specialudviklede RDR-software. RDR-softwaren virker mod alle typer Windows-installationer. De diske/volumener, der skal rekonstrueres, behøver ikke at være fra et specifikt operativsystem. 

ii) RDR-server: Ontrack har flere RDR-servere rundt om i verden. 

iii) RDR-arbejdsstation: Den bruges af Ibas Ontrack-ingeniører til at fjernstyre værktøjerne på kundens maskine og gendanne kundens data. 

b) Først downloader kunden den relevante RDR-klientversion og installerer den på den server, stationære eller bærbare computer, der skal bruges til rekonstruktionen. Ontrack-klientsoftwaren forbinder derefter som en udgående TCP/IP-forbindelse fra kundens placering til Ontrack-serveren, hvilket skaber en tunnel eller punkt-til-punkt-forbindelse over internettet. Da forbindelsen sandsynligvis vil bruge en netværksforbindelse, kan den passere gennem de fleste firewalls uden yderligere konfigurationskrav. Datasikkerhed er altafgørende på grund af Ontracks proprietære kommunikationsprotokol, krypterede pakker og sikre Ontrack faciliteter. 

RDR beskytter kundedata via RDR-forbindelsen på fire måder: 

1. direkte forbindelse til RDR-serveren: Klientsoftwaren bruger en direkte TCP-forbindelse fra klientens computer til Ontrack RDR-serveren. RDR bruger ikke et tredjeparts hostingprodukt. 
2. kryptering: Kommunikations linjen benytter 256 bit kryptering på alle pakker. 
3. Proprietær protokol: RDR-kommunikation bruger en proprietær protokol, men ikke HTTP eller almindelige protokoller, som andre vil forstå. 
4. ingen kundedata overføres over forbindelsen: RDR-forbindelsen bruges kun af Ontrack-ingeniøren til at fjernstyre Ontrack-værktøjer direkte på kundens maskine. Kun skærmopdateringer og tastaturpakker sendes over forbindelsen, men ikke faktiske kundedata. Ontrack-ingeniøren bruger rekonstruktionsværktøjerne til filsystemstrukturer til at rekonstruere kundedata og gøre dem tilgængelige for kunden. 

c) Så snart forbindelsen er etableret, og opgaven er bestilt, starter enten diagnosen eller rekonstruktionsprocessen. 

Status: May 2023

Databehandleraftale

Denne databehandleraftale er en del af de generelle vilkår og betingelser for Ibas Ontrack Data Recovery Services og er gældende for: i) Ibas Ontrack ApS med hjemsted på adressenC/O Regus Center, Christians Brygge 28, 1559 København V (CVR-nr. 19626008) ("Ibas") og ii) den pågældende kunde, som afgiver en ordre på Ibas Ontracks datagendannelsestjenester ydelser i henhold til Forretningsbetingelserne. 

Det er mellem parterne aftalt, at vilkårene i denne databehandleraftale finder anvendelse på den behandling af personoplysninger (som defineret nedenfor), der er nødvendig for, at Ibas kan levere ydelserne til den pågældende kunde.   

Definitioner

I denne databehandleraftale anvendes følgende definerede udtryk:

Bestemmelser om databehandling

1. Databehandler og Dataansvarlig

1.1 Det er aftalt mellem parterne, at kunden er Dataansvarlig, og at Ibas er Databehandler for beskyttede oplysninger. Kunden bekræfter, at denne er eneansvarlig for rigtigheden, kvaliteten, integriteten og pålideligheden af alle beskyttede oplysninger og af de midler, hvormed kunden har indhentet beskyttede oplysninger.

1.2 Kunden erklærer og garanterer: i) at alle beskyttede oplysninger, som anvendes i forbindelse med ydelserne i henhold til Forretningsbetingelserne, i alle henseender overholder Databeskyttelseslovgivningen, ii) at enhver instruks, som kunden giver Ibas vedrørende beskyttede oplysninger, til enhver tid vil være i overensstemmelse med Databeskyttelseslovgivningen, iii) at kunden har indhentet ethvert nødvendigt samtykke fra registrerede, hvis Personoplysninger er beskyttede oplysninger, eller på anden måde har den fornødne juridiske hjemmel til at udlevere beskyttede oplysninger til Ibas, samt iv) at kunden vil overholde vilkårene i denne databehandleraftale. 

1.3 Ibas erklærer og garanterer: i) at Ibas alene vil behandle beskyttede oplysninger i det omfang, det er nødvendigt for at opfylde Forretningsbetingelserne, ii) at Ibas vil behandle beskyttede oplysninger efter dokumenteret instruks fra kunden og i overensstemmelse med kravene i Databeskyttelseslovgivningen, iii) at Ibas omgående vil orientere kunden, hvis kundens instruks efter Ibas' vurdering er i strid med Databeskyttelseslovgivningen, eller hvis Ibas ikke kan efterleve kundens instruks vedrørende Behandlingen af beskyttede oplysninger (uanset om dette skyldes ændringer i gældende lovgivning eller ændringer i kundens instruks), samt iv) at Ibas vil overholde vilkårene i denne databehandleraftale. 

1.4 Inden for rammerne af den bestilte behandling behandles alle data, der overdrages af kunden. Kategorierne af personoplysninger og kategorierne af registrerede er kendt af kunden og er specificeret for databehandleren, hvis dette er nødvendigt i forbindelse med ordren. I tilfælde af datagendannelse er kendskab til indholdet af kundens data normalt ikke relevant for databehandleren.

2. Instruks og oplysninger om Behandling

2.1 Ibas' Behandling af beskyttede oplysninger i henhold til denne databehandleraftale omfatter den Behandling, som er nødvendig for, at Ibas kan levere ydelserne.

3. Tekniske og organisatoriske foranstaltninger

3.1 Ibas skal for egen regning gennemføre og opretholde passende tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed for beskyttede oplysninger i overensstemmelse med Databeskyttelseslovgivningen og navnlig Databeskyttelsesforordningens artikel 32-34. Ibas skal sikre, at disse tekniske og organisatoriske foranstaltninger er passende i forhold til de særlige risici, som Ibas' behandlingsaktiviteter indebærer, særligt med henblik på at beskytte beskyttede oplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til disse oplysninger.

4. Brug af Personale og Underdatabehandlere

4.1 Ud over de i pkt. 4.2 omhandlede Underdatabehandlere må Ibas ikke gøre brug af Underdatabehandlere til at udføre behandlingsaktiviteter vedrørende kundeoplysninger uden forudgående skriftlig godkendelse fra kunden. Ved godkendelse skal Ibas, inden der videregives oplysninger til en godkendt Underdatabehandler, indgå en skriftlig aftale med Underdatabehandleren på vilkår svarende til vilkårene i denne databehandleraftale. Ibas erklærer, at Ibas forbliver fuldt ansvarlig over for kunden for opfyldelse af den enkelte Underdatabehandlers forpligtelser, uanset om andet måtte fremgå af denne aftale. Ibas skal underrette kunden om eventuelle planlagte ændringer i form af tilføjelse eller udskiftning af Underdatabehandlere og skal give kunden rimelig mulighed for at fremkomme med en sagligt begrundet indsigelse mod sådanne ændringer.  

4.2 Bilag 1 indeholder en liste over godkendte Underdatabehandlere pr. datoen for denne databehandleraftales ikrafttræden.

4.3 Ibas skal sikre, at det Personale, som har adgang til beskyttede oplysninger, er pålideligt og alene behandler oplysningerne, når dette er strengt nødvendigt for at kunne levere ydelserne, at Personalet har fuldt kendskab til de foranstaltninger, der skal træffes, og de skridt, der skal tages ved Behandling af beskyttede oplysninger i henhold til Databeskyttelseslovgivningen, samt at Personalet har forpligtet sig til at behandle beskyttede oplysninger med fortrolighed, herunder at være underlagt en passende tavshedspligt i forhold til beskyttede oplysninger (i henhold til en skriftlig aftale eller på anden måde).

5. Bistand til kunden med overholdelse af forpligtelser og registreredes rettigheder

5.1 Ibas skal omgående videresende alle anmodninger fra registrerede til kunden. Ibas skal efter anmodning fra kunden bistå kunden i rimeligt omfang (under hensyntagen til Behandlingens karakter og de oplysninger, der er til tilgængelige for Ibas) med at sikre overholdelse af kundens forpligtelser i medfør af Databeskyttelseslovgivningen i forhold til: i) behandlingssikkerhed, ii) konsekvensanalyser vedrørende databeskyttelse (som defineret i Databeskyttelseslovgivningen), iii) forudgående høring af Tilsynsmyndigheden vedrørende Behandling, som indebærer en høj risiko, samt iv) anmeldelser til Tilsynsmyndigheden og/eller underretninger fra kunden til registrerede om Brud På Persondatasikkerheden. Kunden skal dog betale vederlag til Ibas for bistanden, hvis denne er uforholdsmæssigt tids- og ressourcekrævende for Ibas. 

6. International overførsel af data

6.1 Kunden anerkender, at Ibas Ontrack på datoen for denne databehandlingsaftale kan behandle persondata i Storbritannien, Europa og USA i løbet af denne aftales løbetid.

6.2 Kunden anerkender, at med hensyn til personoplysninger, der er underlagt Data Protection Act 2018 (UK), skal Ibas Ontrack have tilladelse til at behandle alle eller en del af personoplysningerne inden for Det Europæiske Økonomiske Samarbejdsområde ("EØS") i henhold til paragraf 5(1)(a) i Sch.21 til Data Protection Act 2018. Derudover har Storbritannien modtaget en afgørelse om tilstrækkelighed dateret 28. juni 2021 fra Europa-Kommissionen i henhold til artikel 45, stk. 3, i GDPR, som bekræfter, at overførsler kan finde sted uden behov for yderligere tilladelse ("afgørelse om tilstrækkelighed"). I tilfælde af at afgørelsen om tilstrækkelighed udløber eller på anden måde erklæres ugyldig, skal parterne anvende EU's standardkontraktbestemmelser for dataansvarlige til databehandlere, der er gældende på det pågældende tidspunkt, for at sikre Ibas Ontracks behandling af personoplysninger i Storbritannien i overensstemmelse hermed.

6.3 Med hensyn til overførsler af personoplysninger til USA er parterne enige om, at 2021-standardkontraktbestemmelserne for dataansvarlige til databehandlere (modul 2), der er godkendt af Europa-Kommissionen, med de gældende ændringer, der er bemyndiget af S119A(1) i databeskyttelsesloven 2018, og i overensstemmelse med kravene i den schweiziske føderale lov om databeskyttelse af 19. juni 1992 ("FADP") og, efter ikrafttræden, i overensstemmelse med art. 16(2)(d) i databeskyttelsesloven. 16(2)(d) i den fremtidige reviderede føderale lov om databeskyttelse af 25. september 2020 ("revDSG"), som der linkes til her, ("standardkontraktbestemmelser") er indarbejdet ved henvisning i denne databehandlingsaftale, og at alle overførsler er underlagt betingelserne i standardkontraktbestemmelserne. Hvis standardkontraktbestemmelserne ændres, ophæves eller erstattes af Europa-Kommissionen eller i henhold til gældende databeskyttelseslove, skal parterne arbejde sammen i god tro for at indgå en opdateret version af dataoverførselsmekanismen eller for at forhandle en alternativ løsning for at muliggøre overensstemmende overførsler af personoplysninger til USA.

6.4 På de vilkår, der er angivet i dette punkt 6 "Internationale dataoverførsler", giver kunden tilladelse til overførsel af personoplysninger til USA.  Kundens samtykke til overførsel af personoplysninger til USA kan til enhver tid trækkes tilbage, men i et sådant tilfælde anerkender kunden, at Ibas Ontrack muligvis ikke er i stand til at gennemføre ordren og/eller udføre tjenesterne, hvis kunden trækker sit samtykke til overførslen af personoplysninger tilbage.

7. Fortegnelser, information og revision

7.1 Ibas skal: i) oprette, ii) løbende ajourføre og ii) vedligeholde fuldstændige og korrekte fortegnelser over al Behandling af beskyttede oplysninger. 

7.2 Ibas skal give kunden adgang til at foretage revision højst én gang pr. kalenderår inden for normal kontortid med mindst 30 dages skriftligt varsel og forudsat, at kunden påtager sig at iagttage en rimelig grad af fortrolighed. Kunden får dermed adgang til og kan tage kopi af fortegnelserne over den foretagne Behandling af beskyttede oplysninger. Ibas skal bistå kunden i rimeligt omfang ved udøvelsen af denne ret til at foretage revision. Adgangen til revision omfatter ikke tredjemands datacentre eller øvrige faciliteter hos tredjemand, som forestår opbevaring af serverudstyr, hvor der alene kan foretages visuel inspektion under ledsagelse.

7.3 Ibas skal så vidt muligt efter kundens anmodning og for dennes regning omgående stille alle oplysninger, der er nødvendige for at kunne påvise, at Ibas opfylder sine forpligtelser i henhold til Databeskyttelsesforordningen, til rådighed for kunden.

8. Underretning om Brud På Persondatasikkerheden

8.1 I tilfælde af Brud På Persondatasikkerheden, der omfatter beskyttede oplysninger, skal Ibas uden unødig forsinkelse: i) underrette kunden om bruddet på persondatasikkerheden og ii) give kunden nærmere oplysninger om bruddet på persondatasikkerheden. 

9. Sletning eller tilbagelevering af Personoplysninger og kopier

9.1 Ibas skal, efter skriftlig anmodning fra kunden eller ved udløb af interne opbevaringsperioder, enten slette alle beskyttede oplysninger eller tilbagelevere alle beskyttede oplysninger til kunden i den form, som kunden med rimelighed måtte anmode om, herunder slette eksisterende kopier, inden for en rimelig periode: i) efter at de pågældende ydelser vedrørende datagendannelse, som Behandlingen er foretaget i forbindelse med, er blevet leveret i henhold til Forretningsbetingelserne, eller, hvis følgende tidspunkt indtræffer før, ii) når Ibas's Behandling af beskyttede oplysninger ikke længere er nødvendig for, at Ibas kan opfylde sine forpligtelser i henhold til denne databehandleraftale (medmindre gældende lovgivning stiller krav om opbevaring af beskyttede oplysninger, i hvilket tilfælde Ibas skal orientere kunden herom). Ibas skal sikre, at Ibas' Underdatabehandlere træffer samme foranstaltninger vedrørende beskyttede oplysninger. 

9.2 Ibas skal slette beskyttede oplysninger, som fortsat er i Ibas' besiddelse eller under Ibas' kontrol efter en periode på 12 måneder, medmindre dette skyldes, at kunden aktivt har givet instruks herom.     

10. Skadesløsholdelse 

10.1 Hver part (den "skadesløsholdende part") skal holde den anden part ("den skadesløsholdte part") skadesløs for alle krav, fordringer, søgsmål, forlig, sager af anden art, renter, gebyrer, udgifter, tab og erstatningsbeløb, som måtte blive gjort gældende mod den skadesløsholdte part, eller som denne måtte pådrage sig, blive pålagt at betale eller har accepteret at betale som følge af eller i forbindelse med den skadesløsholdende parts manglende overholdelse af denne databehandleraftale og/eller overtrædelse af Databeskyttelseslovgivningen.

11. Ansvar

11.1 Hver parts samlede ansvar i henhold til denne databehandleraftale kan i intet tilfælde overstige de i Forretningsbetingelserne fastlagte og aftalte beløbsgrænser. 

12. Varighed og ophør

12.1 Medmindre parterne ved enighed har bragt aftalen til ophør, træder denne databehandleraftale i kraft på den dato, hvor der afgives en ordre på ydelser i henhold til Forretningsbetingelserne, og aftalen er gældende, så længe Ibas fortsat behandler beskyttede oplysninger.

13.  Lovvalg

13.1 Denne databehandleraftale er omfattet af lovvalgsbestemmelsen i Forretningsbetingelserne.

Dato: 1. September 2023

Bilag 1 – Underdatabehandlere og overførsler

Data Processing Agreement 6.3
Standard Contractual Clauses

 (Controller to Processor (Module Two)

SECTION I

Clause 1

Purpose and scope

(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.

(b) The Parties:

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and

(ii)   the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)

have agreed to these standard contractual clauses (hereinafter: “Clauses”).

(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.

(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2

Effect and invariability of the Clauses

(a)  These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.

(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3

Third-party beneficiaries

(a)   Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);

(iii) Clause 9(a), (c), (d) and (e);

(iv) Clause 12(a), (d) and (f);

(v) Clause 13;

(vi) Clause 15.1(c), (d) and (e);

(vii) Clause 16(e);

(viii) Clause 18(a) and (b).

(b)   Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4

Interpretation

(a)   Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.

(c)   These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.

Clause 7

Docking clause

(a)   An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.

(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.

(c)   The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8

Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.

8.1 Instructions

(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.

(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.

(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:

(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;

(ii)   the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;

(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or

(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

(a)   The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.

(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.

(c)   The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.

(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.

(e)   The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.

(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.

(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.

(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.

(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

(a)   The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.

(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.

(c)   In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.

(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.

(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:

(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;

(ii)   refer the dispute to the competent courts within the meaning of Clause 18.

(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.

(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.

(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

(a)   Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.

(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.

(c)   Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.

(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.

(e)   Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.

(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.

(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Clause 13

Supervision

(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,

submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:

(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii)   the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;

(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.

(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.

(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.

(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

15.1 Notification

(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:

(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or

(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.

(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.

(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).

(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.

(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimisation

(a)   The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).

(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

(c)   The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

(a)   The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.

(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).

(c)   The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:

(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;

(ii) the data importer is in substantial or persistent breach of these Clauses; or

(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.

In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.

(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.

(e)   Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.

Clause 18

Choice of forum and jurisdiction

(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.

(b) The Parties agree that those shall be the courts of Ireland.

(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.

(d) The Parties agree to submit themselves to the jurisdiction of such courts.

APPENDIX

EXPLANATORY NOTE:

It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ANNEX I 

LIST OF PARTIES

Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]

1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.

Address: Customer’s address stated in the Order

Contact person’s name, position and contact details: The customer that authorized the Order

Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…

Signature and date: as stated in the Order

Role (controller/processor): Controller

Data importer(s):

2. Name: KLDiscovery Ontrack, LLC

Address:  9023 Columbine Road, Eden Prairie, MN 55347, USA. 

Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com

Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data . 

Signature and date:  Data importer’s contact person stated above

Role (controller/processor): Processor

2. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.

Categories of personal data transferred

Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

One off, or as often as instructed by the data exporter.

Nature of the processing

The applicable Order content, mainly data recovery and connected services.

Purpose(s) of the data transfer and further processing

The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

./.

COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

Supervisory Offices, depending on Data Exporter as defined in Clause 13:

https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm

ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

EXPLANATORY NOTE:

The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.

Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.

The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.

ANNEX III – LIST OF SUB-PROCESSORS

EXPLANATORY NOTE:

This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).

The controller has authorised the use of the following sub-processors:

1. Name:  None

Address: Not applicable.

Contact person’s name, position and contact details:  Not applicable

Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized):  Not applicable. 

ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS

In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:

Definitions

For the purposes of this Annex IV, the following definitions apply:

(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;

(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;

(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;

(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and

(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.

Supplementary Protections

1. No back doors

The data importer hereby confirms that:

(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;

(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and

(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:

(A) do not require the data importer to create or maintain any Back Doors; and

(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.

2. Enhanced audit rights

In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place.  The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.

3. Notification and Transparency

To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.kldiscovery.com/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order.  The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page. 

4. Obligation to Challenge

In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.

5. Obligation to Notify

In the event that the data importer receives a Disclosure Order, the data importer shall:

(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;

(ii)   to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and

(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter.  Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.

6. Policies and procedures

The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.

7. Disclosure of Records

The data importer shall create and maintain a written record of:

(i) each Disclosure Order; and

(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,

and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.

8. Standards

The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.

9. Policy Review

The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary. 

10. Onward Transfers

Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor.  Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter.  It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.

11. Compensation or other legal remedies

It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.

Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)

International Data Transfer Addendum to the EU Commission Standard Contractual Clauses

VERSION B1.0, in force 21 March 2022

ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.

Part 1: Tables

Table 1: Parties 

Part 2: Mandatory Clauses

Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.