CONDICIONES GENERALES DE LOS SERVICIOS DE RECUPERACIÓN DE DATOS DE ONTRACK
1. CONDICIONES
1.1. Estas condiciones ("Condiciones") rigen la prestación de servicios de recuperación de datos a usted por parte de KLDiscovery Ontrack Limited (registrada en Inglaterra, con número 02669766, Nexus, 25 Farringdon Street, London, EC4A 4AB y que opera como "Ontrack"). Le rogamos que lea atentamente estas condiciones antes de enviarnos su pedido. Estas Condiciones le indican quiénes somos, cómo le prestaremos los Servicios, cómo usted y nosotros podemos modificar o rescindir el Contrato, qué hacer si hay un problema y otra información importante.
1.2 Nuestra Descripción del servicio para los servicios de recuperación de datos, así como el Acuerdo de procesamiento de datos (APD), que regula el procesamiento de datos personales en el ámbito de la prestación de nuestro servicio, forman parte de estas Condiciones. Para más información sobre las características y limitaciones de nuestro servicio de recuperación de datos, lea nuestra descripción del servicio. El APD regula el tratamiento de los datos personales facilitados a Ontrack por el cliente con fines de recuperación de datos.
1.3 Para obtener información sobre cómo nosotros, como responsables, recopilamos, procesamos y almacenamos los datos personales, consulte nuestra política de privacidad.
1.4 Los términos y condiciones del cliente o de terceros quedan explícitamente excluidos y no serán de aplicación. Estos Términos y Condiciones, Descripción del Servicio y APD también se aplicarán a todas las relaciones comerciales futuras, incluso si no se acuerdan expresamente de nuevo.
1.5 Los servicios se prestan principalmente en nuestros laboratorios de Inglaterra y Francia. Ontrack dispone de instalaciones técnicas y emplazamientos en Europa y Estados Unidos. En caso necesario, usted concede a Ontrack acceso a los datos de los dispositivos de almacenamiento desde cualquier instalación de Ontrack, incluidos los Estados Unidos de América, para que Ontrack pueda prestar los servicios. Consulte la cláusula 6.3.
2. DATOS DE CONTACTO
2.1 Cómo ponerse en contacto con nosotros. Puede ponerse en contacto con nosotros llamando a nuestro equipo de atención al cliente al número + 34 900 112 012, escribiéndonos a Ontrack, Pº del Club Deportivo, 1, edif. 4, 1ª planta, 28223, Pozuelo de Alarcón, Madrid, España.
3. INTERPRETACIÓN
3.1 En estas Condiciones se aplicarán las siguientes definiciones:
(a) " Cliente comercial" significa un cliente que actúa con el propósito de su negocio, comercio o profesión incluyendo, sin limitación, un comerciante individual, sociedad, sociedad limitada o autoridad pública;
(b) "Soporte de copia de seguridad": soporte de datos de Ontrack en el que se almacenan de forma cifrada los datos recuperados. Normalmente se trata de un disco duro USB;
(c) "Información confidencial" significa cualquier información revelada o comunicada por una parte a la otra parte en el curso de la relación comercial y con respecto a la cual la parte receptora tenía una expectativa legítima, basada en una calificación de la información en cuestión como confidencial o de buena fe basada en la naturaleza de la información, de que la parte reveladora tenía un interés especial protegible en mantener confidencial la información en cuestión;
(d) “Cliente consumidor” significa un cliente que es un individuo que no actúa con fines empresariales, comerciales o profesionales (excluyendo, para evitar dudas, cualquier Cliente comercial);
(e) "Contrato" significa lo definido en la cláusula 4.4;
(f) "Cliente" se refiere tanto a un cliente profesional como a un cliente consumidor;
(g) "Datos" significa los datos en formato electrónico de cualquier descripción, incluidos los "datos personales" según la definición del Reglamento General de Protección de Datos UE 2016/679 y/o la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales;
(h) "Equipo" significa sus Medios y en su caso, el Teléfono Móvil;
(i) "Tarifa" la tarifa que debe pagar por los Servicios, tal y como se establece en el Presupuesto correspondiente;
(j) "Medios" significa los medios de almacenamiento como discos duros, unidades USB, SSD, chips de memoria, cintas u otros soportes de datos;
(k) "Pedido" y "Presupuesto" son los términos definidos en las cláusulas 4.5 y 4.1;
(l) "Descripciones del servicio" significa los procesos específicos empleados por Ontrack, tal y como se describen con más detalle en el siguiente enlace https://www.ontrack.com/es-es/legislacion/condiciones-recuperacion-de-datos#descripcion, que establecen, entre otras cosas, las limitaciones del servicio, los niveles de servicio y las expectativas;
(m) "Servicios" los servicios de recuperación de datos que le prestaremos, tal y como se describen en las cláusulas 4 (Proceso de pedido) y 5 (Servicios) de estas Condiciones; y
(n) "Página web" significa nuestra página web en https://www.ontrack.com/en-gb, https://www.ontrack.com/es-es o cualquier otra página web que utilicemos para llevar a cabo nuestra actividad.
4. PROCESO DE PEDIDO (Oferta y pedido)
4.1 Tras una consulta telefónica inicial, el envío de un formulario en línea a través de nuestro sitio web o correspondencia por correo electrónico, usted nos enviará su Equipo. En el caso de una recuperación de datos estándar, primero se realiza una Evaluación, que se define en nuestra Descripción del servicio. Haremos todo lo posible para: (a) examinar el Equipo para determinar (i) qué Datos son accesibles en el Equipo; (ii) la causa de cualquier daño en el Equipo y/o los Datos en el Equipo; (iii) la cantidad de Datos (si los hay) que probablemente se puedan recuperar en el Equipo; (“Evaluación"); (b) informarle de los resultados de nuestra Evaluación. Para casos complejos, teléfonos móviles, tabletas, discos duros abiertos y soportes flash, así como en el caso de determinados tipos de daños o si la Evaluación no proporciona ninguna información sobre una posible recuperación de datos, se le ofrecerá un diagnóstico debido a la complejidad potencial de la recuperación de datos (en conjunto, el "Presupuesto"). En este caso, recibirá un enlace a una oferta para realizar el servicio de Diagnóstico, que deberá autorizar electrónicamente, para encargarnos la prestación del servicio. Todos los Servicios se prestarán de acuerdo con las Descripciones de los Servicios.
4.2 Tras la evaluación o el diagnóstico con cargo, recibirá un resumen de evaluación sobre el grado de éxito que podría tener una recuperación de datos. En el caso de un diagnóstico, recibirá información sobre los archivos que probablemente puedan recuperarse. Para obtener una explicación de las categorías de la evaluación, así como el procedimiento exacto, consulte nuestra Descripción del servicio. Basándose en la evaluación, recibirá una oferta de precio fijo para la recuperación de datos (oferta de recuperación de datos). Normalmente puede elegir entre diferentes niveles de servicio en la oferta de recuperación de datos, que se describen con más detalle en nuestra Descripción del servicio.
4.3 En el caso de otros Servicios, como la recuperación remota de datos ("RDR"), en la que usted no nos entrega ningún Equipo, o la desmagnetización, el Presupuesto consistirá en el trabajo que se espera haga Ontrack para realizar los Servicios.
4.4 Una vez recibido nuestro Presupuesto, usted podrá, a su elección (i) aceptar y firmar la solicitud de servicio o la declaración de trabajo para presentar un pedido de nuestros Servicios ("Pedido"); (ii) presentar una solicitud para que le devolvamos su Equipo (si procede), cuyos gastos de envío acepta pagar; o (iii) presentar una solicitud para que destruyamos su Equipo, en cuyo caso se nos permitirá destruir inmediatamente su Equipo. Si no recibimos un Pedido o una solicitud de devolución de su Equipo en un plazo de 90 (noventa) días naturales a partir de la fecha del Presupuesto, nos desharemos de su Equipo de acuerdo con la legislación aplicable.
4.5 La aceptación de su Pedido tendrá lugar cuando le enviemos por correo electrónico la confirmación de nuestra aceptación, momento en el que se establecerá un contrato legalmente vinculante entre usted y nosotros, regido por las presentes Condiciones ("Contrato"), incluida la Descripción del Servicio y la APD. Le asignaremos un número a su Pedido. Nos ayudará si nos indica el número de pedido siempre que se ponga en contacto con nosotros.
5. ENVÍO DE SOPORTES Y DISPOSITIVOS DE ALMACENAMIENTO DAÑADOS Y DEVOLUCIÓN DE SOPORTES Y DISPOSITIVOS DE ALMACENAMIENTO Y SOPORTES DE COPIA DE SEGURIDAD
5.1 Dispone de las siguientes opciones para entregarnos sus dispositivos: (i) puede entregar sus Soportes de Almacenamiento en persona en nuestros locales comerciales durante el horario de apertura (previo aviso); (ii) puede contratar un servicio de mensajería de su elección corriendo usted con los gastos; si elige esta opción, Ontrack le facilitará las instrucciones de embalaje de sus Dispositivos. Como alternativa, Ontrack ofrece un servicio de recogida a cargo de terceros seleccionando la opción "Recogida y entrega" durante el proceso de pedido. Ontrack le enviará una etiqueta de envío para su paquete junto con las instrucciones de embalaje y le informará del lugar donde puede dejar sus soportes para que los recoja el servicio de mensajería de terceros.
5.2 Todos los soportes de almacenamiento deben embalarse de acuerdo con las instrucciones de https://www.ontrack.com/es-es/articulos/instrucciones-envio-del-material ya que Ontrack no se hace responsable de los daños que pueda sufrir su equipo durante el transporte si los paquetes se embalan de forma incorrecta.
5.3 Tras el diagnóstico o la restauración (véase el apartado 6), le enviaremos sus soportes de copia de seguridad a su dirección mediante un servicio de mensajería reconocido. Póngase en contacto con Ontrack antes de finalizar el pedido si no desea que Ontrack le envíe sus soportes de copia de seguridad por mensajería. También puede utilizar, por ejemplo, un servicio de mensajería de su elección que corra por su cuenta.
5.4 Los costes de devolución de su equipo se basan en la información de la oferta correspondiente. Se le informará de los costes exactos durante el proceso de pedido.
6. NUESTROS SERVICIOS
6.1 A cambio del pago de la Tarifa, prestaremos los Servicios con la diligencia y destreza razonables. Para una descripción detallada de los servicios, consulte nuestra Descripción del Servicio. La Descripción del Servicio forma parte de las presentes Condiciones. Haremos todo lo razonablemente posible para: (i) restaurar sus Datos y proporcionarle los Datos restaurados en un Medio de Copia de Seguridad cifrado; o (ii) prestar cualquier otro Servicio que hayamos acordado con usted por escrito, como borrar los Datos del medio de almacenamiento.
6.2 Al examinar los dispositivos, tomaremos las precauciones razonables para determinar: (i) qué datos de los dispositivos son accesibles y recuperables; (ii) qué daños en los dispositivos y/o estructuras de datos pueden identificarse; (iii) qué cantidad de datos (en su caso) de los dispositivos es probable que puedan recuperarse; y (iv) asesorarle sobre los resultados esperados de la recuperación de datos de los dispositivos. Nuestros servicios de recuperación de datos pueden incluir la recuperación de datos en el laboratorio, mediante el suministro de soluciones de software y, para clientes empresariales, mediante la recuperación remota de datos.
6.3 Prestamos la mayoría de nuestros servicios en las instalaciones de KLDiscovery Ontrack Sarl, 2 impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413, Francia. No obstante, también podemos enviar su dispositivo a una empresa asociada situada en el Espacio Económico Europeo o en el Reino Unido de Gran Bretaña e Irlanda. De conformidad con la cláusula 1.5, también podremos vernos obligados a acceder a sus datos de forma remota desde fuera del Reino Unido o del Espacio Económico Europeo para prestar los Servicios.
6.4 Reparación de teléfonos móviles. El servicio principal que ofrecemos será la recuperación de los Datos del teléfono móvil y no ofrecemos una reparación de teléfono móvil independiente. En algunos casos, el trabajo requerido para una recuperación de datos puede resultar en la reparación parcial o temporal del teléfono móvil. En tales casos, esto puede resultar en la restauración de la funcionalidad del teléfono móvil para que pueda utilizarlo en condiciones normales de uso, pero Ontrack no ofrece ninguna garantía con respecto a tales reparaciones.
6.5 Desmagnetización. Ontrack colocará su equipo en una unidad de desmagnetización, que es una máquina que codifica de forma efectiva y segura los datos magnéticos contenidos en el equipo. Tras el proceso de desmagnetización, los datos dejarán de ser legibles y se destruirán de forma segura.
6.5 Recuperación Remota de Datos - aplicable sólo a clientes empresariales. Con la Recuperación Remota de Datos (RDR), se aplicarán las Condiciones anteriores. Ontrack exigirá al cliente que se conecte a su red interna. No se enviarán dispositivos al laboratorio de Ontrack, a menos que así se solicite. Para la recuperación remota de datos, el cliente deberá descargar e instalar el software Ontrack RDR cliente desde el enlace facilitado por Ontrack. Una vez instalado, el cliente RDR permite al usuario conectarse a Ontrack a través de una conexión cifrada a Internet. Ontrack utiliza la conexión RDR únicamente para ejecutar las herramientas de recuperación de Ontrack directamente en el ordenador del cliente. Ontrack utiliza la conexión RDR para almacenar las herramientas de recuperación de Ontrack en el ordenador del cliente, en una carpeta protegida. Sus datos no se transmitirán a Ontrack durante este proceso. Una vez finalizado el RDR, las herramientas de recuperación de Ontrack se eliminan del ordenador del cliente. Ontrack garantiza que el software cliente de RDR (a) está libre de código de programa o instrucciones de programación diseñadas intencionadamente para interrumpir, inutilizar, dañar, interferir o afectar negativamente a programas informáticos, archivos de datos u operaciones; y (b) no contiene ningún otro código malicioso o dañino descrito típicamente como virus o por términos similares, incluyendo troyanos, gusanos o puertas traseras.
6.6 En el momento de formalizar el Contrato, sólo podemos estimar el momento en que es probable que se complete la recuperación de sus datos. Debido a la naturaleza de los Servicios, no es posible proporcionar una fecha concreta para la finalización de la Recuperación de Datos. No obstante, se le informará de la fecha estimada de finalización durante la prestación del servicio. Cuando reciba de Ontrack el soporte de copia de seguridad que contiene los datos recuperados, le rogamos que compruebe inmediatamente el funcionamiento técnico del soporte de copia de seguridad (disco duro USB u otro dispositivo de almacenamiento). Ontrack sólo podrá reproducir sus datos recuperados en caso de fallo del soporte de copia de seguridad dentro de nuestro período de conservación de sus datos personales recuperados, tal como se establece en el Acuerdo de Procesamiento de Datos de Ontrack. Los costes de devolución del Equipo serán los establecidos en el Presupuesto correspondiente.
6.7 Para algunos Servicios, es posible que necesitemos que nos facilite cierta información, como nombres de usuario, contraseñas y/o códigos de acceso. Si no nos facilita esta información en un plazo razonable tras nuestra solicitud, o si nos facilita información incompleta o incorrecta, podremos cobrarle una cantidad adicional razonable para compensarnos por el trabajo adicional que se requiera como consecuencia de ello. No seremos responsables de suministrar los Servicios con retraso o de no suministrar alguna parte de los mismos si ello se debe a que usted no nos ha facilitado la información que necesitamos.
6.8 Es posible que tengamos que suspender la prestación de los Servicios para: (i) solucionar problemas técnicos o realizar cambios técnicos; (ii) actualizar los Servicios para reflejar cambios en las leyes y requisitos normativos pertinentes; (iii) realizar cambios en los Servicios a petición suya. También podremos suspender el suministro de los Servicios si usted no paga tras habérselo notificado.
6.9 Aunque utilizamos reparaciones aprobadas por el fabricante del equipo original, no ofrecemos ninguna garantía de que los Servicios se ajusten a cualquier garantía ofrecida por el fabricante del equipo original. Nuestra prestación de los Servicios no debe considerarse, bajo ninguna circunstancia, una garantía de que los Servicios vayan a tener éxito, de que todos o parte de sus Datos sean recuperables o utilizables, de que el dispositivo pueda ser utilizado o de que vayamos a conseguir cualquier otro resultado concreto. En el marco de la prestación de nuestros servicios no se garantiza el éxito.
6.10 Tenga en cuenta que es posible que no aceptemos todos los productos Apple para la recuperación de datos. Nuestros servicios de recuperación de datos no suelen incluir la recuperación de datos de iPhones/iPads tras un restablecimiento de fábrica. En caso de pérdida de datos de un iMac, en la mayoría de los casos será necesario retirar el dispositivo de almacenamiento del iMac antes de enviarlo a nuestras instalaciones de Ontrack. Póngase en contacto con nuestro equipo de atención al cliente antes de enviar productos Apple, ya que un representante de Ontrack podrá darle instrucciones o recomendaciones para su caso.
7. DERECHOS DE PROPIEDAD INTELECTUAL
7.1 Su Equipo y Datos seguirán siendo en todo momento de su propiedad, y nosotros no tendremos ningún derecho, título o interés sobre ellos (excepto el derecho a la posesión y uso de su Equipo y Datos para prestar los Servicios). Usted conserva todos los derechos de propiedad intelectual que tenga sobre sus datos.
7.2 Todos los derechos de propiedad intelectual relacionados con la prestación de los Servicios seguirán perteneciendo a Ontrack, incluidos el desarrollo, la creación y la prestación de los Servicios, las invenciones, las obras protegidas por derechos de autor, los métodos, los procesos y los conocimientos técnicos utilizados para desarrollar o comprender los Servicios, junto con cualquier hardware, firmware, plataforma, software y cualquier modificación, mejora, nueva característica o funcionalidad creada o utilizada por Ontrack como parte de los Servicios ("KLD-PI")..
8. DERECHOS DE FINALIZACIÓN DEL CONTRATO (CLIENTES CONSUMIDORES)
8.1 La presente cláusula 8 se aplica exclusivamente a nuestros contratos con clientes consumidores. Tras la realización de un Pedido, usted tiene el derecho legal de cambiar de opinión. Estos derechos, en virtud del Reglamento de Contratos de Consumo (Información, Cancelación y Cargos Adicionales) de 2013, se explican con más detalle a continuación.
8.2 Si realiza un Pedido, puede cancelarlo dentro de los 14 (catorce) días siguientes al día en que le enviemos un correo electrónico para confirmar que aceptamos su Pedido. Sin embargo, una vez que hayamos completado los Servicios, no podrá cambiar de opinión, incluso si el período sigue en curso. Al realizar un Pedido, nos autoriza expresamente a iniciar los Servicios de forma inmediata. Si cancela después de que hayamos iniciado los Servicios, deberá pagarnos los Servicios prestados hasta el momento en que nos comunique que ha cambiado de opinión. Le indicaremos cuál será el importe tras la solicitud de cancelación.
8.3 Para cancelar el Pedido, puede hacerlo a través de uno de los siguientes métodos de comunicación proporcionando su número de Pedido, nombre, dirección y solicitud de cancelación:
(a) Teléfono o correo electrónico. Llame al servicio de atención al cliente al +34 900 112 012 o envíenos un correo electrónico a essales@kldiscovery.com;
(b) Por correo postal. Escríbanos a Ontrack Nexus, 25 Farringdon Street, London, EC4A 4AB; o
(c) Por Formulario de Cancelación: rellene y envíenos un formulario de cancelación en el formato del modelo de formulario de cancelación incluido como anexo a estas Condiciones.
9. DERECHOS DE CANCELACIÓN DEL CONTRATO (CLIENTES COMERCIALES)
9.1 La presente cláusula 9 se aplica exclusivamente a nuestros contratos con clientes comerciales. Tras un Pedido, usted no podrá rescindir los Servicios a menos que se establezca en la cláusula 10 siguiente.
10. DERECHOS DE RESCISIÓN MUTUA
10.1 Sin perjuicio de cualquier otro derecho disponible para cualquiera de las Partes, cada una de ellas podrá rescindir el Contrato con efecto inmediato mediante notificación por escrito si:
(a) cualquiera de las Partes comete un incumplimiento material de cualquiera de los términos del Contrato cuyo incumplimiento es irremediable o (si dicho incumplimiento es remediable) no remedia dicho incumplimiento dentro de un período de 7 (siete) días después de ser notificado por escrito para hacerlo o incumple repetidamente estas Condiciones. La falta de pago del Precio constituirá un incumplimiento material; o
(b) cualquiera de las Partes cese (o amenace con cesar) la totalidad o parte de su actividad, se le nombre un liquidador, síndico o administrador judicial o sobre cualquier parte de su empresa o activos, o apruebe una resolución para su liquidación (salvo a efectos de un plan de buena fe de fusión o reconstrucción solvente en el que la entidad resultante asuma todos los pasivos de la misma) o un tribunal de jurisdicción competente dicte una orden de administración o liquidación o una orden similar, o llegue a un acuerdo voluntario con sus acreedores, o sea incapaz de pagar sus deudas a su vencimiento, o, si se trata de una persona física, se declare en quiebra; y/o
(c) (derecho de rescisión de Ontrack): el Cliente no paga la remuneración por los Servicios de Recuperación de Datos a su vencimiento.
10.2 Podremos rescindir el Contrato si, al ejecutarlo, pudiéramos infringir la legislación aplicable en materia de exportación y sanciones relativa a las relaciones con determinadas empresas y particulares establecida por la Comisión Europea u otras autoridades nacionales, incluidos los Estados Unidos. Usted se compromete a proporcionar, a petición nuestra, una prueba de identidad con el fin de verificar la aplicabilidad de la legislación aplicable en materia de exportación y sanciones.
10.3 Si la rescisión se produce por un motivo del que Ontrack no es responsable, el cliente estará obligado a pagar la remuneración acordada por todos los servicios de recuperación de datos prestados por Ontrack hasta que la rescisión surta efecto.
11. RECONOCIMIENTOS DEL CLIENTES
11.1 Por el presente, usted reconoce y nos garantiza que (i) tiene capacidad legal para celebrar contratos vinculantes; (ii) tiene plena autoridad, poder y capacidad para aceptar estas Condiciones y, si es un Cliente Comercial, tiene la autoridad legal apropiada para celebrar el Contrato; (iii) toda la información que nos proporciona en relación con su Pedido es verdadera, precisa, completa y no engañosa; (iv) es el propietario del Equipo y/o tiene el permiso del propietario del Equipo para que realicemos los Servicios; (v) el suministro de su Equipo y/o Datos a nosotros no infringirá ninguna obligación o derecho de terceros; (vi) el suministro de su Equipo y/o Datos a nosotros no infringirá ninguna ley aplicable; (vii) usted está legalmente autorizado a conceder acceso a los Datos; (viii) su Equipo no contiene ningún material (incluyendo, sin limitación, cualquier Dato) que pueda infringir los Derechos de Propiedad Intelectual de cualquier tercero; y (ix) su Equipo no contiene ningún material que infrinja la ley aplicable.
11.2 Nos reservamos el derecho de solicitar pruebas documentales de su propiedad o derecho legal para autorizar los Servicios y de suspender o no comenzar los Servicios sin recibir dichas pruebas. Usted se compromete a proporcionarnos pruebas documentales de identidad cuando se le soliciten para permitirnos verificar la aplicabilidad de cualquier normativa aplicable en materia de exportación y sanciones de conformidad con la cláusula 10.2.
11.3 Por la presente, usted reconoce que su Equipo y/o Datos pueden estar ya dañados antes de que los recibamos, y que nuestros esfuerzos para completar los Servicios pueden resultar en la destrucción de, o cualquier daño adicional a, su Equipo y/o Datos. Tomaremos todas las precauciones razonables en la prestación de los Servicios, pero, salvo lo especificado en la cláusula 13 de las presentes Condiciones, no asumiremos responsabilidad alguna por los daños existentes o adicionales que puedan producirse en sus Equipos y/o Datos durante nuestra prestación de los Servicios. Esto no afecta a lo dispuesto en la cláusula 13.
12. PRECIO Y PAGO
12.1 El precio de los Servicios será establecido en el correspondiente Presupuesto Se añadirá el IVA al tipo legal si procede y será a cargo del Cliente. El pago podrá efectuarse mediante transferencia bancaria o tarjeta de crédito, o, en el caso de clientes comerciales, también mediante pedido a cuenta (número de pedido).
12.2 En el caso de pagos mediante, transferencia bancaria anticipada o pago con tarjeta de crédito, la tarifa se abonará generalmente antes del inicio de los Servicios (pago anticipado) o, si procede, en el momento especificado en el acuerdo de pago suscrito por separado con Ontrack. En caso de impago de cualquier cantidad adeudada en virtud del Contrato, podremos retener el Equipo y los Datos hasta que se efectúe el pago íntegro. En caso de cancelación, retraso o impago, recibirá un primer recordatorio (en forma de texto) una vez vencido el plazo de pago. Si no se recibe el pago tras el primer recordatorio, recibirá otro antes de que nos reservemos el derecho a entregar la reclamación a nuestra agencia de cobros. Además, nos reservamos el derecho de reclamar intereses de demora o emitir nuevas reclamaciones.
12.3 Si paga con tarjeta de crédito/débito, Ontrack le enviará un enlace de pago a una plataforma de pago segura de terceros para que autorice el pago y complete el proceso de pago una vez finalizado el trabajo, pero antes de que se le envíen los soportes de copia de seguridad.
12.4 Los clientes comerciales recibirán una factura. Si no paga la totalidad de la factura en el plazo de pago acordado, le enviaremos un recordatorio (en forma de texto). Si no recibe el pago tras el primer recordatorio, recibirá otro antes de que pasemos la reclamación a nuestra agencia de cobros. En caso de demora en el pago, cobraremos intereses de demora al tipo legalmente permitido. Nos reservamos el derecho a hacer valer otras reclamaciones (por ejemplo, por daños y perjuicios causados por el impago).
12.5 Ontrack no proporcionará ningún Dato hasta que se haya efectuado el pago íntegro del Pedido correspondiente. Si no nos abona cualquier cantidad adeudada en virtud de las presentes Condiciones, podremos retener el Equipo y los Datos hasta que efectúe el pago íntegro. Si no efectúa el pago íntegro en un plazo de 90 (noventa) días naturales a partir de la fecha de vencimiento, podremos, sin responsabilidad alguna y sin consultarle, disponer de sus Equipos y/o Datos de conformidad con la legislación aplicable. Asimismo, le cobraremos intereses sobre el importe vencido a un tipo del 4% anual por encima del tipo básico de préstamo bancario vigente en cada momento. Estos intereses se devengarán diariamente desde la fecha de vencimiento hasta la fecha de pago efectivo del importe vencido, ya sea antes o después de la sentencia
13. NUESTRA RESPONSABILIDAD POR PÉRDIDAS O DAÑOS SUFRIDOS POR USTED
13.1 No aceptamos ninguna responsabilidad por la corrupción, daño físico o de otro tipo, o destrucción de su Equipo, sus Datos o cualquier otro equipo que pueda ocurrir, o la invalidación de cualquier garantía con respecto a su Equipo u otro equipo, ya sea: antes de que recibamos su Equipo, sus Datos u otro equipo; o en el curso de nuestra prestación de los Servicios, cuando dicho daño, destrucción, corrupción o invalidación surja de nuestra ejecución de los Servicios de acuerdo con estas Condiciones.
13.2 Aunque nos esforzaremos razonablemente por cuidar su Equipo o Datos mientras estén en nuestra posesión, no seremos responsables ante usted si alguno de sus Equipos o Datos se pierde, se destruye, se corrompe o se daña de otro modo por el uso y el desgaste normales
13.3 No excluimos ni limitamos en modo alguno nuestra responsabilidad ante usted cuando sea ilegal hacerlo. Esto incluye nuestra responsabilidad por muerte o lesiones personales causadas por nuestra negligencia o la de nuestros empleados, agentes o subcontratistas; por fraude o tergiversación fraudulenta; y para los Clientes Consumidores, por el incumplimiento de sus derechos legales en relación con los Servicios y por Servicios defectuosos según la Ley General para la Defensa de Consumidores y Usuarios.
13.4 Sin perjuicio de lo dispuesto en la presente cláusula 13, nuestra responsabilidad total ante el usuario, ya sea por contrato, agravio (incluida la negligencia), por incumplimiento de obligaciones legales o de otro modo, que surja en virtud de un Contrato o en relación con el mismo, se limitará a (i) en los casos de incumplimiento de la confidencialidad, la protección de datos o la propiedad intelectual, a la cantidad mayor de 10.000 libras esterlinas o el valor del Precio a pagar en virtud del Contrato aplicable; o (ii) en cualquier otro caso, el valor del Precio a pagar en virtud del Contrato.
13.5 Ninguna de las partes será responsable ante la otra, ya sea por contrato, agravio (incluida la negligencia), por incumplimiento de obligaciones legales, o de otro modo, que surja en virtud de estas Condiciones o de cualquier Contrato, por cualquier pérdida indirecta o consecuente, pérdida de beneficios o pérdida de ventas o negocios.
13.6 Uso de mensajeros. De conformidad con lo dispuesto en el artículo 5, al recoger su Equipo antes del inicio de los Servicios, o al entregar los Datos recuperados y/o el Equipo original, subcontratamos dicho servicio a empresas de mensajería reconocidas a nivel nacional. Al aceptar que los utilicemos para los Servicios, usted acepta que cualquier pérdida o daño al Equipo o a los Datos estará expresamente sujeto a los términos y condiciones proporcionados por la empresa de mensajería, incluyendo las limitaciones de responsabilidad y los límites de indemnización. Por la presente, usted renuncia a todo derecho a presentar cualquier reclamación contra Ontrack por cualquier pérdida o daño a los Datos o al Equipo que se derive de la negligencia y/o el incumplimiento del contrato por parte de la empresa de mensajería, más allá de cualquier plan de compensación establecido por ellos.
14. INDEMNIZACIÓN
14.1 Usted nos indemnizará en su totalidad y nos mantendrá indemnes de todas las reclamaciones, costes, daños, responsabilidades, gastos (incluidos, sin limitación, los gastos legales), demandas y juicios que se nos adjudiquen o en los que incurramos o paguemos como resultado o en relación con todos y cada uno de sus actos, inacciones y/u omisiones relacionadas con el Contrato y estas Condiciones.
15. DATA PROTECTION
15.1 Para más información sobre cómo recopilamos, procesamos y conservamos sus datos personales, consulte nuestra Política de privacidad en el siguiente enlace de nuestro sitio web: https://www.ontrack.com/es-es/legislacion/politicia-privacidad
16. CÓMO TRATAMOS LOS DATOS PERSONALES (DATOS RECUPERADOS)
16.1 En la medida en que Ontrack procese datos personales para usted como cliente en el curso de la recuperación de datos, se aplicará nuestro Acuerdo de Procesamiento de Datos, que está disponible en https://www.ontrack.com/es-es/condiciones-servicios/recuperacion-datos#dpa
17. INFORMACIÓN CONFIDENCIAL
17.1 Cada parte se compromete a no revelar ninguna Información Confidencial de la otra parte a ningún tercero sin la autorización previa por escrito de la parte que revela la Información Confidencial y a (i) utilizar dicha Información Confidencial únicamente para el cumplimiento de sus obligaciones en virtud de estas Condiciones; (ii) utilizar los mismos métodos y el mismo grado de cuidado para evitar la divulgación de dicha Información Confidencial que utiliza para evitar la divulgación de su propia Información Confidencial y de propiedad, pero en ningún caso menos que un cuidado razonable; y (iii) divulgar la Información Confidencial a sus empleados y a terceros aprobados, únicamente en función de la necesidad de conocerla, siempre que todas estas personas estén sujetas a obligaciones de confidencialidad no menos onerosas que las establecidas en estas Condiciones.
17.2 Las obligaciones de confidencialidad no se aplicarán a ninguna Información Confidencial (i) que sea de dominio público sin culpa de la parte receptora; (ii) que fuera conocida por la parte receptora antes de recibirla de la otra parte; (iii) que sea revelada a la parte receptora por un tercero (que no sea empleado o agente de cualquiera de las partes) en circunstancias que dicha revelación no viole ninguna obligación de confidencialidad con la parte que revela la Información Confidencial; o (iv) que sea desarrollada independientemente por la parte receptora sin recurrir a la Información Confidencial.
18. OTRAS CONDICIONES IMPORTANTES
18.1 El presente Contrato se celebra entre usted y nosotros. Ninguna otra persona tendrá derecho a hacer valer ninguna de sus Condiciones. Cada uno de los apartados de estas Condiciones opera por separado. Si cualquier tribunal o autoridad pertinente decide que alguno de ellos es ilegal y/o inaplicable, los restantes párrafos seguirán teniendo plena vigencia. Si nos demoramos en tomar medidas contra usted por el incumplimiento de este contrato, esto no nos impedirá tomar medidas contra usted en una fecha posterior.
18.2 Podemos modificar los Servicios para reflejar los cambios en las leyes y los requisitos reglamentarios pertinentes y para realizar pequeños ajustes y mejoras técnicas, por ejemplo, para hacer frente a una amenaza de seguridad. Estos cambios no afectarán a su uso de los Servicios. Además, podemos realizar cambios más importantes en estas Condiciones o en los Servicios, pero si lo hacemos se lo notificaremos y podrá ponerse en contacto con nosotros para rescindir el Contrato antes de que los cambios entren en vigor y recibir un reembolso por los Servicios pagados, pero no prestados.
18.3 Además de cualquier otro derecho que tenga en virtud de la ley o la normativa, si reside en la Unión Europea, puede tener la opción de presentar reclamaciones en la plataforma de resolución de litigios en línea de la Unión Europea (la "Plataforma"), que facilita la resolución de litigios en línea. Para más información, visite la Plataforma en https://ec.europa.eu/consumers/odr/main/ Ontrack no tiene la intención de utilizar la Plataforma para la resolución de litigios y usted acepta que Ontrack no tiene ninguna obligación de utilizar la Plataforma para la resolución de litigios
18.4 Estas condiciones se rigen por la legislación inglesa y cada una de las partes podrá emprender acciones legales en los tribunales de Madrid.
Efectiva: Diciembre 2023
Descripción del servicio de recuperación de datos de Ontrack
1. El proceso de recuperación de datos, el servicio de Ontrack y sus limitaciones
a) Los servicios de recuperación de datos se llevan a cabo en varios pasos
- La evaluación -véase el apartado 2 a continuación-; o/y
- El Diagnóstico -véase el apartado 3; y/o
- Recuperación de datos tras evaluación o diagnóstico - véase la sección 4 más abajo -, o RDR Servicio de recuperación remota de datos para clientes empresariales - véase la sección 5 más abajo
b) Ontrack recuperará todos los datos posibles de uno o varios soportes dañados tomando las medidas oportunas. Ontrack no prueba la usabilidad ni la compatibilidad en ningún software de aplicación.
c) Es posible que los datos borrados y/o dañados no puedan leerse aunque se utilicen las herramientas y tecnologías de Ontrack. Por lo tanto, Ontrack no puede garantizar la recuperación, reparación o lectura de datos en soportes dañados.
d) Ontrack examinará los soportes para determinar qué daños deben superarse para recuperar los datos y las estructuras de datos hasta el punto en que sean susceptibles de ser leídos y utilizados de nuevo en sus respectivas aplicaciones. Para ello, Ontrack aplica los más altos estándares técnicos y procesos propios, así como herramientas de software y hardware. Debido a la naturaleza del trabajo de Ontrack con datos o soportes dañados, existe el riesgo general de que los datos restantes en el soporte dañado se pierdan o destruyan parcial o totalmente.
e) El cliente reconoce que sigue existiendo el riesgo de que:
- una vez que los datos existentes ya no pueden recuperarse, pueden perderse datos adicionales;
- los datos recuperados ya no pueden ser utilizados por el cliente;
- el contenido de información incorporado en los soportes de almacenamiento se destruye total o parcialmente; y
- los soportes de datos, programas informáticos y demás elementos suministrados pueden resultar dañados, inutilizables o destruidos.
2. Evaluación
a) La evaluación es una valoración inicial realizada por un ingeniero experto en recuperación de datos que determina los daños que pueden observarse en el soporte para ofrecer una estimación de la cantidad de datos que cabe esperar recuperar. La evaluación se puede utilizar para discos duros, discos SDD y sistemas RAID/NAS. Quedan excluidos del servicio de evaluación, entre otros, los teléfonos móviles, las tabletas y los soportes flash, así como los soportes con datos borrados, dañados por el agua o el fuego, y los soportes de almacenamiento que ya han sido abiertos. Durante la evaluación, el soporte de datos del cliente se conecta a nuestros propios sistemas propietarios y se abre si es necesario. En la evaluación no se copian/realizan copias de seguridad (imágenes) de los datos ni se analizan más a fondo. No se elabora ninguna lista de conjuntos de datos recuperables ni se indica qué archivos pueden recuperarse. Ontrack no proporciona un informe de daños independiente.
b) Tras la evaluación, Ontrack informará al cliente de si (i) la recuperación de los datos es admisible, (ii) es necesario realizar otro diagnóstico de pago para determinar las opciones de recuperación de los datos, incluida la cantidad de datos que probablemente puedan recuperarse (véase la sección 3), (iii) o si Ontrack no puede realizar una recuperación de los datos dadas las circunstancias.
c) La valoración del éxito probable de una recuperación de datos tras la Evaluación se realiza sobre la base de las siguientes clasificaciones:
- Excelente: esperamos que se recupere el 95-100% de los datos.
- Buena: Esperamos que se recupere el 75-100% de sus datos.
- Parcialmente recuperable: Estimamos que una pequeña parte de sus datos en bruto puede recuperarse en un rango de hasta el 50%.
- Complejo Debido: a la complejidad del fallo, aún no podemos dar un porcentaje exacto para la recuperabilidad de sus datos. Por lo tanto, en este caso recomendamos un diagnóstico ampliado.
- No recuperable: No podemos acceder a los datos de su soporte.
d) La evaluación de las posibilidades de éxito de una recuperación de datos basada en la clasificación anterior no garantiza que se cumplan los porcentajes enumerados en la letra c) de la sección 2, ya que ni los daños físicos ni los estructurales de los datos se reparan en una Evaluación.
e) Si el cliente lo solicita, Ontrack puede, tras la evaluación, llevar a cabo un diagnóstico, previo pago de una tarifa, que incluye, en la medida de lo posible, la creación de una lista de archivos Verifile, que puede determinar con mayor precisión la cantidad de datos que deben recuperarse (véase la sección 3 más abajo). Tenga en cuenta que no siempre es posible proporcionar una lista de archivos en caso de que no sea posible recuperar ningún dato.
f) Si el Cliente realiza un pedido de diagnóstico o recuperación de datos basado en los resultados de la Evaluación (véase la sección 3), Ontrack realizará el servicio aplicable, ya sea el diagnóstico (véase la sección 3) o la recuperación de datos (véase la sección 4).
g) El Cliente puede decidir no realizar la recuperación de datos o el diagnóstico después de la Evaluación, en cuyo caso el pedido estará completo. Si el Cliente así lo desea, se le devolverán los soportes por el importe especificado en el formulario de presupuesto. En caso contrario, los soportes se eliminarán de forma segura.
h) Tenga en cuenta que el procesamiento durante la evaluación puede dañar el equipo del cliente.
3. Diagnóstico
a) Para la recuperación de datos en smartphones, tabletas o soportes flash, o en caso de daños específicos en los datos, Ontrack ofrece un diagnóstico de pago (y no una Evaluación - véase el apartado 32 anterior). En todos los demás casos, Ontrack también puede recomendar un diagnóstico después de realizar la evaluación, especialmente en caso de daños complejos. También puede solicitarse un diagnóstico sin evaluación.
b) El diagnóstico determinará el tipo y el alcance del daño de los datos, la determinación exacta de las posibilidades de recuperación de datos en los soportes de datos proporcionados por el cliente y la cantidad de archivos/datos que probablemente puedan recuperarse. Ontrack proporcionará al cliente acceso a una plataforma propia que le permitirá hacer un seguimiento del estado, así como facilitarle una lista final de archivos (Verifile) si la recuperación de datos es posible. En algunos casos, es posible que Ontrack no pueda acceder a los datos y, por tanto, no pueda proporcionar una lista de archivos (Verifile).
c) La lista de ficheros (Verifile) contiene una indicación de la calidad de los datos en cuanto a su utilidad en el sistema de semáforos:
- Verde - lo más probable es que los datos funcionen o se abran en la aplicación correspondiente.
- Amarillo - los datos o archivos están parcialmente dañados - esto puede significar que los archivos no se pueden abrir y editar en la aplicación respectiva. Es posible que los archivos dañados puedan repararse. Es posible que Ontrack pueda prestar este servicio en algunas situaciones y, en tal caso, se pondrá en contacto directamente con el cliente.
- Rojo - los datos o archivos están dañados - esto significa probablemente que los archivos no pueden abrirse ni editarse en la aplicación respectiva.
d) Ontrack no puede garantizar el uso de los datos con las respectivas aplicaciones del cliente como parte del diagnóstico. Los ingenieros de Ontrack proporcionarán orientación sobre el estado general de los datos recuperados, sin embargo, estas predicciones no pueden garantizarse debido a otras causas de daños que no puedan identificarse. Esto se aplica en el caso especial de archivos de bases de datos de todo tipo. La importación de los conjuntos de datos, el esfuerzo para la limpieza de los conjuntos de datos de acuerdo con el estado de la técnica del software y la aplicación de base de datos respectiva y la consulta de otros expertos es responsabilidad exclusiva del cliente. Ontrack apoyará al cliente y a los contratistas encargados en la medida de lo posible.
e) Existen escenarios especiales de pérdida de datos en los que las declaraciones coloreadas en la lista de archivos (Verifile) no tienen ningún significado. En estos casos, Ontrack no garantiza la funcionalidad de los archivos. Si se da este caso, se indica en el resultado del diagnóstico.
f) El diagnóstico se realiza en el laboratorio de Ontrack.
g) Dependiendo del tipo de soporte, el diagnóstico puede dar lugar a la transferencia de datos a otro medio de almacenamiento y a la destrucción del dispositivo original del cliente.
h) Si el cliente realiza un pedido de recuperación de datos basado en los resultados del diagnóstico (véase la sección 4), Ontrack llevará a cabo la recuperación de datos.
g) El Cliente puede decidir no realizar la recuperación de datos tras el diagnóstico. A petición del Cliente, se le devolverán los soportes del Cliente por el importe especificado en el Formulario de presupuesto. En caso contrario, los soportes se eliminarán de forma segura.
4) Recuperación de datos tras un diagnóstico o evaluación
a.) Oferta de recuperación de datos tras la evaluación.
El resultado de la Evaluación se envía junto con una oferta de recuperación de datos. Sólo se transmite la calificación de éxito esperado Excelente/Bueno/Parcial/Complejo.
La oferta de recuperación de datos contiene el precio de recuperación de datos en relación con los niveles de servicio (véase el apartado c.), que muestran el tiempo de procesamiento para el respectivo proceso de recuperación de datos y se envía al cliente tal y como se describe en nuestras Condiciones.
b.) Oferta de recuperación de datos tras el diagnóstico
Tras el diagnóstico, Ontrack enviará al Cliente la lista de Verifle cuando sea posible, le informará de cuánto tiempo durará el proceso de recuperación de datos y cuáles serán los costes de la recuperación de datos. El Cliente recibirá un presupuesto de recuperación de datos tal y como se describe en nuestros Términos y Condiciones, que incluirá el precio de recuperación de datos en relación con los Niveles de Servicio (véase el apartado c.) que indican el tiempo de procesamiento para el proceso de recuperación de datos correspondiente.
c.) Niveles de servicio
Para el pedido de recuperación de datos, el cliente puede elegir entre los siguientes niveles de servicio en función de la urgencia:
- Servicio de urgencia
La tramitación tiene lugar inmediatamente después de la recepción del pedido, las 24 horas del día.
- Servicio prioritario
La tramitación tiene lugar inmediatamente después de la recepción del pedido, de lunes a viernes de 8.00 a 18.00 horas. La duración del proceso de recuperación de datos suele ser de 3 a 5 días laborables.
- Servicio estándar
El soporte de datos se procesa tras la recepción del pedido de lunes a viernes entre las 9.00 y las 17.00 horas. La duración del proceso de recuperación de datos suele ser de 7 a 10 días laborables.
- Servicio económico
El soporte de datos se procesa tras la recepción del pedido de lunes a viernes entre las 9:00 y las 17:00 horas. La duración del proceso de recuperación de datos suele ser de 30 días laborables.
d.) Aceptación de la recuperación de datos
El cliente acepta la oferta de recuperación de datos descrita en nuestras Condiciones.
Si el cliente decide no llevar a cabo la recuperación de datos sobre la base de los resultados de la evaluación o de la lista de archivos (Verifile), el pedido se considerará cancelado. A petición del cliente, se le devolverán los soportes de datos por el importe especificado en el formulario de oferta. En caso contrario, los soportes se eliminarán de forma segura.
e) Realización de la recuperación de datos
Si el cliente realiza un pedido de recuperación de datos basado en el presupuesto de recuperación de datos tras revisar los resultados de la Evaluación y/o los resultados del diagnóstico, Ontrack llevará a cabo la recuperación de datos.
El cliente recibe los datos recuperables por Ontrack. Tras el diagnóstico, suelen ser los datos que aparecen en la lista de archivos (Verifile).
Los datos recuperados por Ontrack se almacenan en un dispositivo de almacenamiento portátil y se envían al cliente. Además de los soportes separados que contienen los datos recuperados, Ontrack podrá devolver los soportes dañados si así lo solicita el Cliente en el momento de realizar el pedido de recuperación de datos, previo pago de la tarifa de envío de devolución especificada en el mismo.
A petición del Cliente, Ontrack podrá borrar los datos del soporte de datos y/o deshacerse del soporte de datos de acuerdo con la normativa aplicable.
f) Desviaciones en el resultado de la recuperación de datos
En caso de que la cantidad de datos recuperados sea significativamente inferior a la cantidad de datos recuperables estimada en la evaluación, y no se haya solicitado previamente un listado de archivos, se proporcionará uno al cliente sin coste adicional para ayudarle a tomar la decisión de continuar con la fase de recuperación. Si se ha solicitado y proporcionado previamente un listado de archivos, un representante del cliente se pondrá en contacto con el cliente para discutir los resultados y las opciones del cliente para la recuperación de datos.
5) RDR Servicio remoto de recuperación de datos
a) RDR® son las siglas de Remote Data Recovery™ ("RDR"). RDR es una tecnología patentada que permite a los ingenieros de Ontrack realizar una recuperación de datos con calidad de laboratorio directamente en el servidor, ordenador de sobremesa o portátil del cliente a través de una conexión a Internet. El único requisito es que el disco esté operativo. El RDR de Ontrack consta de tres componentes principales:
- Cliente de comunicación: el cliente inicia una conexión con un servidor RDR de Ontrack utilizando el software de cliente RDR especialmente desarrollado. El cliente RDR funciona con los sistemas operativos habituales. No es necesario que las unidades a recuperar pertenezcan a un sistema operativo concreto.
- Servidor RDR: Ontrack dispone de varios servidores en todo el mundo.
- Estación de trabajo RDR: La utilizan los ingenieros de Ontrack para controlar remotamente las herramientas en la máquina del cliente y recuperar los datos de éste.
b) En primer lugar, el cliente descarga la versión de cliente RDR adecuada y la instala en el servidor, ordenador de sobremesa o portátil que se utilizará para la recuperación. A continuación, el software Ontrack Client se conecta como una conexión TCP/IP saliente desde la ubicación del cliente al servidor Ontrack, creando un túnel o conexión punto a punto a través de Internet. Como es probable que la conexión utilice una conexión web, puede atravesar la mayoría de los cortafuegos sin ningún requisito de configuración adicional. La seguridad de los datos es primordial gracias al protocolo de comunicación propietario de Ontrack, los paquetes cifrados y las instalaciones seguras de Ontrack.
RDR protege los datos de los clientes a través de una conexión RDR de cuatro maneras:
- conexión directa con el servidor RDR: El software cliente utiliza una conexión TCP directa desde el ordenador del cliente al servidor Ontrack RDR. RDR no utiliza un producto de alojamiento de terceros.
- cifrado: el enlace de comunicación utiliza un cifrado de 256 bits en todos los paquetes.
- Protocolo propietario: Las comunicaciones RDR utilizan un protocolo propietario, pero no HTTP ni ningún otro protocolo común que otros entenderían.
- no se transmiten datos del cliente a través de la conexión: la conexión RDR sólo la utiliza el ingeniero de Ontrack para controlar a distancia las utilidades de Ontrack directamente en la máquina del cliente. A través de la conexión se envían actualizaciones de pantalla y paquetes de teclado, pero no archivos de datos reales del cliente. En su lugar, el ingeniero de Ontrack controla las herramientas de reparación de la estructura del sistema de archivos para que el cliente pueda acceder a los datos.
c) En cuanto se establece la conexión, comienza el diagnóstico o el proceso de recuperación si se ha cursado una orden de recuperación de datos.
Estado: Diciembre 2023
Actualizado: 01 Septiembre de 2023
Acuerdo de Tratamiento de Datos
Este Tratamiento de Datos forma parte de las Condiciones Generales de Uso de los Servicios de Recuperación de Datos de Ontrack y se aplica a: (i) KLDiscovery Ontrack Limited (número 02669766) y cuyo domicilio social se encuentra en Ontrack, Nexus, 25 Farringdon Street, London, EC4A 4AB (en adelante "Ontrack"); y (ii) el Cliente que realice un pedido de servicios de Ontrack de conformidad con las condiciones de servicio aplicables ("Condiciones").
Las Partes convienen en que los términos de este Tratamiento de Datos sean de aplicación a los Datos Personales que Ontrack recupere para Cliente en relación con los Servicios de Recuperación de Datos.
Definiciones
En este Anexo de Tratamiento de Datos:
|
Responsable del Tratamiento de Datos
|
tiene el significado dado a ese término (o al término ‘responsable del tratamiento’) en las Leyes de Protección de Datos;
|
|
Encargado del Tratamiento de Datos
|
tiene el significado dado a ese término (o al término ‘encargado del tratamiento’) en las Leyes de Protección de Datos;
|
|
Leyes de Protección de Datos
|
significa toda la legislación aplicable en materia de protección de datos que sea vinculante para el Cliente, Ontrack y/o en relación con los servicios, incluyendo: (i) la Ley de Protección de Datos de 2018, incluido el GDPR aplicado; (ii) el GDPR y/o cualquier ley o reglamento nacional correspondiente o equivalente; y (ii) en los estados miembros de la Unión Europea, todas las leyes o reglamentos pertinentes que den efecto al GDPR o se correspondan con él;
|
|
Interesado
|
tiene el significado dado a ese término en las Leyes de Protección de Datos;
|
|
Solicitud del Interesado
|
se refiere a una solicitud presentada por un Interesado para ejercer cualesquiera derechos que le correspondan en virtud de las Leyes de Protección de Datos;
|
|
GDPR
|
se refiere al Reglamento general de protección de datos (UE) 2016/679 y en la Ley 3/2018, de 5 de diciembre, sobre Protección de Datos Personales y Derechos Digitales;
|
|
Datos Personales
|
tiene el significado dado a ese término en las Leyes de Protección de Datos; y abarca todos los datos personales proporcionados a Ontrack por el Cliente;
|
|
Vulneración de Datos Personales
|
significa cualquier violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales, o la comunicación o acceso no autorizados a dichos datos;
|
|
Personal
|
se refiere a cualquier empleado, consultor, trabajador temporal, trabajador de agencia, becario, personal sin contrato fijo, contratista, trabajador adscrito u otro miembro del personal actual, anterior o futuro;
|
|
Tratamiento
|
tiene el significado dado a ese término en las Leyes de Protección de Datos (y los términos relacionados como “tratar” tienen significados correspondientes);
|
|
Subencargdo del Tratamiento
|
Subprocesador significa otro procesador de datos contratado por KLDiscovery Ontrack en nombre del cliente para llevar a cabo actividades de tratamiento con respecto a los datos para los servicios que se relacionan directamente con el servicio principal. Esto no incluye los servicios auxiliares, tales como servicios de telecomunicaciones, servicios postales / de transporte, servicios de mantenimiento o de apoyo al usuario o la eliminación de los soportes de datos y documentos en papel, así como otras acciones basadas en software o hardware;
|
|
Autoridad de Control
|
significa cualquier agencia, departamento, funcionario, parlamento local, nacional o internacional, persona pública o jurídica o cualquier organismo gubernamental o profesional, autoridad reguladora o de control, consejo u otro organismo encargado de la administración de las Leyes de Protección de Datos.
|
Disposiciones sobre Tratamiento de Datos.
1 Encargado del Tratamiento de Datos y Responsable del Tratamiento de Datos
1.1 Las Partes convienen en que, con respecto a los Datos Personales, Ontrack será el Encargado del Tratamiento de Datos y/o el Cliente o el Cliente, según proceda, será el Responsable del Tratamiento de Datos. Se reconoce que el Cliente o su Cliente serán los únicos responsables de la precisión, calidad, integridad y veracidad de cualesquiera Datos Personales, así como de los medios por los que adquiera dichos Datos Personales.
1.2 El Cliente garantiza, asevera y se compromete, y deberá obtener la garantía, aseveración y compromiso equivalentes por parte del Cliente, para que: (i) todos los Datos Personales utilizados en relación con los Servicios de Recuperación de Datos cumplan en todos los sentidos las Leyes de Protección de Datos; (ii) todas las instrucciones que se proporcionen a Ontrack en relación con los Datos Personales deberán ajustarse en todo momento a las Leyes de Protección de Datos; (iii) haya obtenido todas las autorizaciones necesarias de cualquier Interesado cuyos Datos Personales estén incluidos en los Datos Personales o tenga la autorización legal apropiada para proporcionar los Datos Personales a Ontrack; y (iv) cumpla las condiciones del presente Contrato de Tratamiento de Datos.
1.3 Ontrack garantiza, asevera y se compromete a: (i) tratar los Datos Personales solo en la medida en que sea necesaria para los Servicios de Recuperación de Datos; y (ii) tratar los Datos Personales de conformidad con las instrucciones documentadas del Cliente y lo dispuesto por las Leyes de Protección de Datos; (iii) informar inmediatamente al Cliente si Ontrack considera que las instrucciones del Cliente infringen las Leyes de Protección de Datos, o si Ontrack es incapaz de cumplir las instrucciones del Cliente en relación con el Tratamiento de los Datos Personales (ya sea como consecuencia de un cambio de la ley vigente o un cambio de las instrucciones del Cliente); y (iv) cumplir las condiciones del presente Contrato de Tratamiento de Datos.
1.4 En el marco del tratamiento encargado, se tratarán todos los datos transmitidos por el cliente. Las categorías de datos personales y las categorías de personas afectadas son conocidas por el cliente y se especifican al encargado del tratamiento si es necesario en el contexto del pedido. En el caso de la recuperación de datos, el conocimiento del contenido de los datos del cliente no suele ser relevante para el encargado del tratamiento.
2 Instrucciones y detalles del Tratamiento
2.1 El Tratamiento de los Datos Personales que lleve a cabo Ontrack de conformidad con el presente Contrato de Tratamiento de Datos implicará el Tratamiento tal y como se exige a Ontrack que preste los servicios de recuperación de datos.
3 Medidas Técnicas y Organizativas
3.1 Correrá por cuenta de Ontrack la implementación y mantenimiento de las medidas técnicas y organizativas apropiadas en relación con el Tratamiento y la seguridad de los Datos Personales en virtud de las Leyes de Protección de Datos y de conformidad con los artículos 32-34 del GDPR en particular. Ontrack garantizará que dichas medidas técnicas y organizativas sean apropiadas para los riesgos particulares que se derivan de sus actividades de Tratamiento, en particular para la protección de los Datos Personales en lo que se refiere a la destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizados a dichos datos.
3.2 Las medidas técnicas y organizativas de Ontrack en la fecha del presente Acuerdo sobre Tratamiento de Datos figuran en el Anexo 2.
4 Utilización de Personal y Subencargados del Tratamiento
4.1 Con excepción de lo dispuesto en la cláusula 4.2, Ontrack no recurrirá a ningún subencargado del tratamiento para llevar a cabo actividades de tratamiento en relación con los Datos del Personales sin la previa autorización por escrito del Cliente. En el supuesto de que se obtenga dicha autorización, antes de proceder a ninguna comunicación con algún subencargado del tratamiento aprobado, Ontrack pondrá por escrito las condiciones acordadas con el subencargado del tratamiento, que serán equivalentes a las establecidas en el presente Contrato. Se acepta y se reconoce que, sin perjuicio de que se estipule lo contrario en el presente Contrato, Ontrack seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada encargado del tratamiento. Ontrack informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de dichos subencargados del tratamiento, dando así al Cliente una oportunidad razonable de oponerse, mediante argumentos razonables, a dichos cambios o sustituciones.
4.2 Los subencargados del tratamiento aprobados en la fecha del presente Contrato figuran en el Anexo 1.
4.3 Ontrack garantizará la fiabilidad del Personal que tenga acceso a los Datos Personales, garantizará que su tratamiento se limita estrictamente a las necesidades de los servicios de recuperación de datos, garantizará que son plenamente conscientes de las medidas y pasos necesarios a la hora de tratar los Datos Personales habida cuenta de las Leyes de Protección de Datos, y garantizará que están comprometidos con la protección de la confidencialidad de los Datos del Personales, por cualquier medio (ya sea mediante contrato escrito u otro) en relación con los Datos del Negocio.
5 Asistencia con el Cumplimiento del Cliente y los Derechos del Interesado
5.1 Ontrack remitirá inmediatamente al Cliente todas las Solicitudes de Interesados que reciba. Ontrack proporcionará la asistencia razonable que el Cliente razonablemente solicite (teniendo en cuenta la naturaleza del Tratamiento y la información facilitada a Ontrack) para garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a: (i) la seguridad del Tratamiento; (ii) las evaluaciones de impacto relativas a la protección de datos (de acuerdo con su definición en las Leyes de Protección de Datos); (iii) la consulta previa a la Autoridad de Control con respecto al Tratamiento de alto riesgo; y (iv) notificaciones a la Autoridad de Control y/o comunicaciones a los Interesados por el Cliente en respuesta a cualquier violación de la seguridad de los datos personales, siempre que en el supuesto de que dicha asistencia sea desproporcionada en tiempo y recursos para Ontrack, el Cliente abone los honorarios de Ontrack por prestar dicha asistencia.
6 Transferencias internacionales de datos
6.1 El Cliente reconoce que, en la fecha del presente Acuerdo de procesamiento de datos, Ontrack podrá procesar datos personales en el Reino Unido, Europa y los Estados Unidos de América durante la vigencia del presente Acuerdo.
6.2 El Cliente reconoce que, con respecto a los datos personales sujetos a la Ley de Protección de Datos de 2018 (Reino Unido), Ontrack podrá procesar algunos o todos los datos personales dentro del Espacio Económico Europeo ("EEE") de conformidad con el artículo 21(5)(1)(a) de la Ley de Protección de Datos de 2018. Además, el Reino Unido ha recibido una decisión de adecuación con fecha de 28 de junio de 2021 de la Comisión Europea de conformidad con el artículo 45, apartado 3, del GDPR, que confirma que las transferencias pueden tener lugar sin necesidad de autorización adicional ("Decisión de Adecuación"). En caso de que la Decisión de Adecuación expire o sea declarada inválida, las Partes aplicarán las Cláusulas Contractuales Tipo de la UE entre Responsables del Tratamiento y Subcontratistas vigentes en el momento de la aplicación, para garantizar el cumplimiento del Tratamiento de Datos Personales de Ontrack en el Reino Unido.
6.3 Con respecto a las transferencias de Datos Personales a los Estados Unidos de América, las partes acuerdan que las Cláusulas Contractuales Tipo 2021 entre Responsable y Encargado del Tratamiento (Módulo 2) aprobadas por la Comisión Europea, con las modificaciones aplicables ordenadas por S119A(1) de la Ley de Protección de Datos de 2018 y de conformidad con los requisitos de la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 ("DPA") y tras su entrada en vigor, de conformidad con el Art. 16(2)(d) de la futura Ley Federal de Protección de Datos revisada de 25 de septiembre de 2020 ("revDSG"), vinculada aquí, ("Cláusulas Contractuales Estándar") se incorporan por referencia a este Acuerdo de Procesamiento de Datos y que todas las transferencias estarán sujetas a los términos de las Cláusulas Contractuales Estándar. En caso de que las Cláusulas Contractuales Tipo sean modificadas, derogadas o sustituidas por la Comisión Europea o en virtud de las Leyes de Protección de Datos aplicables, las Partes colaborarán de buena fe para suscribir una versión actualizada del Mecanismo de Transferencia de Datos o para negociar una solución alternativa que permita realizar transferencias de Datos Personales a los Estados Unidos de América que cumplan las normas.
6.4 El consentimiento del Cliente a la transferencia de Datos Personales a los Estados Unidos de América podrá retirarse en cualquier momento pero, en tal caso, el Cliente reconoce que Ontrack podría no estar en condiciones de completar el Pedido y/o prestar los Servicios si el Cliente retira su consentimiento a la transferencia de Datos Personales.
7 Registro, Información y Auditoría
7.1 Ontrack deberá: (i) crear; (ii) mantener actualizado; y (ii) llevar un registro completo y preciso de todos los Tratamientos de Datos del Personales.
7.2 Ontrack concederá al Cliente el derecho de auditoría, no más de una vez por año natural y mediante notificación escrita con 30 (treinta) días de antelación, durante las horas laborales normales y siempre que exista un compromiso razonable de confidencialidad, para acceder y hacer copias de los registros de actividades de datos, relativos al Tratamiento de Datos del Personales, y proporcionará toda la asistencia razonable al Cliente en el ejercicio de sus derechos de auditoría. Este derecho de auditoría no se hará extensivo a ningún centro de datos tercero u otras instalaciones de un tercero que aloje cualquier equipo de servidores donde solo se permitirá inspección visual y acompañada.
7.3 Ontrack, a petición del Cliente y por cuenta de este, facilitará de inmediato al Cliente toda la información necesaria para permitir al Cliente que demuestre el cumplimiento de sus obligaciones en virtud del GDPR, en la medida en que Ontrack sea capaz de facilitar dicha información.
8 Notificación del Incumplimiento
8.1 Por lo que se refiere a cualquier Incumplimiento en materia de Datos Personales, Ontrack procederá, sin demoras injustificadas, a: (i) notificar al Cliente el Incumplimiento en materia de Datos Personales; y (ii) facilitar al Cliente los detalles del Incumplimiento en materia de Datos Personales.
9 Supresión o devolución de Datos Personales y copias
9.1 Ontrack deberá, por petición escrita del Cliente o al expirar los periodos de conservación internos, ya sea suprimir o devolver todos los Datos Personales en la forma en que razonablemente lo solicite el Cliente en un plazo razonable de tiempo tras la primera de las siguientes acciones: (i) el final de la prestación de los correspondientes servicios de recuperación de datos de conformidad con las Condiciones relativas al Tratamiento; o (ii) una vez que ya no sea necesario el Tratamiento por Ontrack de los Datos Personales para la ejecución de sus correspondientes obligaciones en virtud del presente Contrato de Tratamiento de Datos, y suprima las copias existentes (a menos que la ley vigente exija el almacenamiento de cualesquiera Datos Personales y, si fuera así, Ontrack informará al Cliente sobre dicho requisito). Ontrack procurará que sus Subencargados del Tratamiento lleven a cabo las mismas acciones con respecto a los Datos del Personales.
9.2 En el supuesto de que los Datos Personales incluidos en cualesquiera Dispositivos sigan en posesión o control de Ontrack durante un período superior a 12 (doce) meses sin ninguna instrucción activa del Cliente, Ontrack borrará dichos Datos Personales y/o destruirá los Dispositivos.
10 Indemnización
10.1 Cada Parte (la “Parte Indemnizadora”) indemnizará y mantendrá indemnizada a la otra Parte (la “Parte Indemnizada”) en relación con todas las reclamaciones, peticiones, acciones, resoluciones, derechos, cargos, procedimientos, gastos, pérdidas y daños sufridos, contraídos, cargados o cuyo pago haya sido acordado por la Parte Indemnizada como resultado o consecuencia del incumplimiento de la Parte Indemnizadora en relación con el presente Anexo de Tratamiento de Datos y/o infracción de las Leyes de Protección de Datos.
11 Responsabilidad
11.1 La responsabilidad total de cualquiera de las Partes en virtud del presente Acuerdo de Tratamiento de Datos no superará en ningún caso los límites contractuales establecidos y acordados en las Condiciones.
12 Duración y Extinción
12.1 Salvo que se rescinda por acuerdo de las Partes, el presente Acuerdo de Tratamiento de Datos comenzará en la fecha en que se realice un pedido de servicios conforme a las Condiciones y continuará en vigor mientras Ontrack siga procesando Datos Protegidos.
13 Ley Aplicable
13.1 El presente Acuerdo de Tratamiento de Datos estará sujeto a los términos de la disposición de elección de la ley establecida en las Condiciones.
ANEXO 1 – Encargados del Tratamiento y transferencias
Producto o sistema empresarial Ontrack
|
Nombre y ubicación del transformador
|
Recuperación de datos (empresas del grupo) |
KLDiscovery Ontrack Limited Nexus, 25 Farringdon Street, London, EC4A 4AB, Reino Unido
KLDiscovery Ontrack B.V. De Brand 22, 3823 LJ Amersfoort, Países Bajos
Ibas Ontrack AS Fjellgata 2, 2212 Kongsvinger, Noruega
KLDiscovery Ontrack GmbH Hanns-Klemm-Str. 5, 71034 Böblingen, Alemania
KLDiscovery Ontrack Srl Gallarte (VA) Via Marsala 34/A CAP 21013, Italia
KLDiscovery Ontrack Sp. z o.o Katowice (40-082), ul. Jana III Sobieskiego 11, Polonia
KLDiscovery Ontrack Sarl 2, impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413, Francia
KLDiscovery Ontrack (Switzerland) GmbH Hertistrasse 25, 8304 Wallisellen, Suiza
KLDiscovery Ontrack, LLC 9023 Columbine Road, Eden Prairie, MN 55347, USA |
ANEXO 2 – Medidas técnico-organizativas.
Nota sobre el documento:
Aquí se describen las medidas técnicas y organizativas generales de KLDiscovery Ontrack Limited. Las medidas existentes se enumeran de forma genérica en este documento. Estas medidas se aplican siempre que sea necesario y posible.
1. Confidencialidad (Art. 32 párrafo 1 b GDPR).
Control de acceso.
Ningún acceso no autorizado a los equipos de procesamiento de datos;
- Seguridad del edificio a través de Nexus Security in situ (24/7).
- Recepción vigilada durante el horario laboral.
- Control de acceso a las habitaciones.
- Diferentes zonas de seguridad con diferentes autorizaciones de acceso.
- Seguridad en las puertas (cierrapuertas magnético, llavero).
- Llave maestra.
- Regulación llave/chip.
- Normas de trato con visitantes y personal externo.
- Lista de visitantes.
- Los visitantes sólo pueden estar en las salas de servidores si van acompañados.
- Sólo el personal responsable de la informática forense tiene acceso a la sala blanca y al laboratorio de ingeniería.
- Sistema de vídeo supervisado
Control de acceso al sistema
Prohibido el acceso no autorizado a los sistemas informáticos;
- Conceptos de autorización y derechos de acceso basados en las necesidades.
- Administración central de usuarios.
- Procedimientos de contraseña segura / política de contraseñas.
- Autenticación cifrada de usuarios.
- Mecanismos de bloqueo automático tras intentos de acceso fallidos.
- Autenticación de dos factores.
- Cifrado de archivos y soportes de datos.
- Uso de cortafuegos y protección antivirus.
- Uso de redes privadas virtuales (VPN).
- Registro de accesos e intentos de acceso (acceso a salas, VPN, etc.).
Control de acceso a los datos.
Prohibición de lectura, copia, modificación o eliminación no autorizadas dentro del sistema;
- Conceptos de autorización y derechos de acceso basados en las necesidades para programas y datos.
- Administración central de usuarios.
- Desconexión automática en caso de inactividad tras un determinado periodo de tiempo.
- Uso de sistemas de archivo rotativos y acceso controlado a las cintas de copia de seguridad.
- Cifrado de ficheros y soportes de datos.
- Registro de accesos e intentos de acceso incorrectos.
Control de separación.
Tratamiento por separado de los datos recogidos para fines diferentes;
- Capacidad multicliente.
- La separación en función de los distintos fines se garantiza mediante distintos sistemas/bases de datos.
- Separación de funciones para producción / prueba.
- Cifrado diferente de los registros de datos para garantizar la separación según los distintos fines de tratamiento.
- Implementación de funciones definidas en los sistemas de información: Administrador, auditor, usuario.
- Conceptos de autorización y derechos de acceso basados en las necesidades para programas y datos.
- Uso de procesos seguros, como los procedimientos de respuesta a desafíos, para garantizar una aplicación autorizada.
Pseudonimización (Art. 32 párrafo 1 a GDPR; Art. 25 párrafo 1 GDPR).
El tratamiento de datos personales de tal manera que los datos ya no puedan atribuirse a un sujeto de datos específico sin información adicional, siempre que esta información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas adecuadas;
Cualquier seudonimización se acuerda entre las partes en el respectivo pedido o contrato.
2. Integridad (Art. 32 párrafo 1 b GDPR).
Control de transferencias.
Ninguna lectura, copia, modificación o eliminación no autorizada durante la transmisión o el transporte electrónicos;
- Conceptos de cifrado (cifrado de soportes de datos, cifrado de archivos).
- Uso de firmas digitales.
- Redes privadas virtuales (VPN).
- Acuerdos sobre tramitación de pedidos con contratistas.
- Gestión de discos y control de inventario a través de Business System.
- Uso regulado de soportes de datos externos como memorias USB, discos duros externos.
- Emisión de soportes de datos sólo a destinatarios autorizados (por ejemplo, recibo de pedido, documento de acompañamiento).
- Definición de usuarios autorizados para el acceso a los soportes.
- Instrucciones de embalaje y envío (tipo de envío, por ejemplo, en contenedores cerrados).
- Recogida directa, servicio de mensajería, escolta de transporte.
- Precintado por separado de los soportes de datos confidenciales.
- Disposición para hacer copias de los datos.
- Documentación de los programas de recuperación y transmisión.
- Destrucción segura de documentos y borrado de datos.
- Eliminación segura de datos antes del intercambio y reutilización de soportes de datos.
- Eliminación del soporte de datos mediante desmagnetización conforme a la marca CESG Claims Tested Mark y posterior envío a Stone Group Ltd para su reciclado.
- Entrada segura de acceso al edificio para entrega y devolución.
Control de entrada.
Determinación de si se han introducido, modificado o eliminado datos personales en los sistemas de tratamiento de datos y quién lo ha hecho;
- Responsabilidades definidas por la organización para las entradas de datos.
- Concepto de autorización basada en funciones.
- Registro de entradas (datos modificados, usuarios que modificaron los datos) en el sistema empresarial.
- Aseguramiento de los protocolos contra accesos no autorizados.
- El procesamiento de soportes informáticos forenses sólo se realiza en copias de trabajo, los soportes originales se guardan en una bolsa de pruebas.
- Sistemas de evaluación de protocolos.
- Principio de doble control para datos especialmente sensibles (proceso estándar y cadena de custodia).
3. Disponibilidad y resiliencia (Art. 32 apartado 1 b GDPR).
Control de disponibilidad.
Protección contra la destrucción o pérdida accidental o deliberada;
- Sistemas de detección de incendios y humos.
- Extintor para la sala de servidores.
- Climatización de la sala de servidores.
- Control de la temperatura de la sala de servidores.
- Utilización de sistemas RAID.
- Conceptos de copia de seguridad y recuperación.
- Pruebas periódicas de recuperación de datos.
- Sistema de alimentación ininterrumpida (SAI).
- Protección antivirus.
- Cortafuegos (firewall).
- Protección contra códigos maliciosos.
- Canales de notificación definidos (también con el proveedor de servicios).
- Planes de emergencia.
Capacidad de recuperación rápida (Art. 32 apartado 1 c GDPR);
- Conceptos de copia de seguridad y recuperación.
- Garantizar la rápida adquisición de hardware por parte de los compradores/socios.
4. Procedimientos de revisión, valoración y evaluación periódicas (art. 32, apdo. 1 d del RGPD; art. 25, apdo. 1 del RGPD).
Gestión de la privacidad de los datos / Gestión de la protección de datos.
- Sistema de gestión de la protección de datos.
- Compromiso de los empleados con la confidencialidad.
- Directrices y conceptos sobre seguridad y protección de datos (incluida la política de seguridad de la información, la política de RRHH, el concepto de gestión de la protección de datos y el resumen de seguridad de la información).
Gestión de incidentes (planes de emergencia).
- Evaluación de riesgos.
- Planes de emergencia.
Protección de datos desde el diseño y por defecto (Art. 25 apartado 2 GDPR).
- Conceptos de autorización.
- Política de información necesaria.
Control de pedidos.
Ningún tratamiento de datos por encargo en el sentido del Art. 28 DS-GVO sin las correspondientes instrucciones del cliente;
- Contratos para el tratamiento de pedidos (Art 28 GDPR).
- Diseño claro de los contratos con las empresas asociadas.
- Gestión formalizada de los pedidos.
- Selección estricta de los proveedores de servicios.
- Transporte seguro de soportes de datos a través de proveedores de servicios adecuados.
- Obligación de condena previa.
- Controles de seguimiento a través del sistema empresarial.
- Supresión segura de los datos una vez finalizado el trabajo/después de 30 días o según las condiciones del contrato, o nueva instrucción de supresión por parte del cliente.
- Procesos estandarizados para el tratamiento de los datos del encargo.
- Proceso normalizado de gestión de cambios (según ITIL).
- Seguimiento de los procesos.
5. Otras observaciones / referencias / documentos.
- Además, se aplican las medidas técnico-organizativas de los procesadores de datos subcontratados.
- Certificación de KLDiscovery Ontrack según ISO 27001.
- Certificación de terceros (según ISO 27001).
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.kldiscovery.com/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
Start date
|
The Parties |
Exporter (who sends the Restricted Transfer) |
Importer (who receives the Restricted Transfer) |
|
Parties’ details |
Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order |
Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
|
Key Contact |
Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order |
Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
|
Signature (if required for the purposes of Section 2) |
Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order |
Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
Addendum EU SCCs |
The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
Ending this Addendum when the Approved Addendum changes |
Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG
Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen:
1. Die Vertragsparteien vereinbaren, den GDPR-Standard für alle Datenübermittlungen zu übernehmen.
2. Verweise auf die GDPR sind als Verweise auf das DSG (bzw. nach dessen Inkrafttreten auf das revFADP") zu verstehen.
3. Bis zum Inkrafttreten der revDSG sind auch die Daten von juristischen Personen durch diese DSGVO und das SCC geschützt.
4. Aufsichtsbehörde: (a) wenn die Datenübermittlung ausschließlich dem DSG oder dem revDSG unterliegt: die zuständige Aufsichtsbehörde ist der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ("EDÖB"); oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: die zuständige Aufsichtsbehörde ist der EDÖB für Datenübermittlungen, die unter das DSG oder die revDSG fallen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen, die unter die DSGVO fallen;
5. Anwendbares Recht für vertragliche Ansprüche nach Ziff. 17 SCC: (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Schweizer Recht; oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht; oder (c) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht.
6. Gerichtsstand für Klagen zwischen den Parteien gemäß Klausel 18 b SCC : (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Zürich, Schweiz; oder (b) wenn die Datenübermittlung sowohl unter die DSGVO als auch unter das DSG fällt: Stuttgart, Deutschland
Im Zusammenhang mit der gerichtlichen Zuständigkeit für Ansprüche, die sich aus diesem SCC ergeben, ist der Begriff "Mitgliedstaat" nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.
|
APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION
In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply:
1. The Parties agree to adopt the GDPR standard for all data transfers.
2. References to the GDPR are to be understood as references to the FADP (respectively, once it entered into force, to the “revFADP”).
3. Before the revFADP enters into force, data pertaining to legal entities are also protected by this DPA and the SCC.
4. Supervisory authority: (a) where the data transfer is exclusively subject to the FADP or revFADP: the competent supervisory authority is the Swiss Federal Data Protection and Information Commissioner (“FDPIC”); or (b) where the data transfer is subject to both the GDPR and the FADP: the competent supervisory authority is the FDPIC for data transfers governed by the FADP or revFADP, and the competent EU supervisory authority for data transfer governed by the GDPR;
5. Applicable law for contractual claims under Clause 17 SCC: (a) where the data transfer is exclusively subject to the FADP: Swiss law.; or (b) where the data transfer is subject to both the GDPR and the FADP: Irish law.
6. Place of jurisdiction for actions between the parties pursuant to Clause 18 b SCC : (a) where the data transfer is exclusively subject to the FADP: Zurich, Switzerland; or (b) where the data transfer is subject to both the GDPR and the FADP: Dublin, Ireland
In the context of jurisdiction for claims arising out of this SCC, the term “Member State” shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland).
|