Termini e condizioni generali per i servizi di recupero dati ONTRACK
Si prega di leggere attentamente i presenti T&C prima di inviare l'ordine. I presenti T&C indicano chi siamo, come forniamo i servizi all'utente, come l'utente e noi possiamo modificare o terminare il contratto, cosa fare in caso di problemi e altre informazioni importanti.
1. I PRESENTI TERMINI E CONDIZIONI
1.1 Le presenti Condizioni Generali ("CG") regolano la fornitura di servizi di recupero dati da parte di KLDiscovery Ontrack GmbH, di seguito denominata "Ontrack", con sede legale in Hanns-Klemm-Straße 5, 71034 Böblingen, Germania, iscritta al Registro delle Imprese di Stoccarda con HRB 244142.
1.2 La Descrizione dei Servizi di Recupero Dati e il Contratto per il trattamento dei Dati personali, (DPA) che regola il trattamento dei dati personali nell'ambito della fornitura del nostro servizio, sono parte integrante delle presenti CG. Per ulteriori informazioni sulle funzioni e le limitazioni del nostro servizio di recupero dati, si prega di leggere la descrizione del servizio. L'Accordo sul trattamento dei dati regola il trattamento dei dati personali forniti a Ontrack dal cliente per il recupero dei dati.
1.3 Per informazioni su come noi, in qualità di responsabili del trattamento, raccogliamo, elaboriamo e conserviamo i dati personali, si prega di consultare la nostra informativa sulla privacy.
1.4 Le condizioni generali di contratto del cliente o di terzi sono esplicitamente escluse e non trovano applicazione. Le presenti CG, la descrizione dei servizi e il DPA si applicano anche a tutti i futuri rapporti commerciali, anche se non sono state nuovamente concordate espressamente.
1.5 I servizi sono forniti principalmente nel nostro laboratorio in Svizzera. Ontrack dispone di strutture e sedi tecniche in Europa e negli Stati Uniti. Se necessario, altre strutture di Ontrack in Europa, compreso il Regno Unito, o negli Stati Uniti, possono accedere ai dati sui dispositivi di archiviazione per consentire la fornitura dei servizi. Si prega di fare riferimento alla sezione 6.4.
2. PERSONA DI CONTATTO
2.1 Come raggiungerci. Potete contattarci chiamando il nostro servizio clienti al numero +41 (0)44 877 30 90, scrivendoci alla nostra sede o all'indirizzo di servizio Hertistrasse 25, CH-8304 Wallisellen, Svizzera o inviandoci un'e-mail a info@ontrack.com
3. INTERPRETAZIONE
3.1 Le seguenti definizioni si applicano alle presenti CG:
(a) Un "cliente Business” è una persona fisica o giuridica o una società di persone con capacità giuridica che, al momento della stipula di un accordo vincolante, agisce nell'esercizio della sua attività commerciale o professionale indipendente.
(b) Per "informazioni riservate" si intendono tutte le informazioni divulgate o comunicate da una parte all'altra nel corso del rapporto commerciale e quando la parte ricevente, in ragione del fatto che le informazioni sono contrassegnate come riservate o in buona fede a causa della natura delle informazioni, dovrebbe presumere che la parte comunicante abbia un particolare interesse meritevole di protezione a mantenere le informazioni riservate.
(c) Per "Consumatore" si intende una persona fisica che stipula un accordo vincolante per scopi prevalentemente estranei alla propria attività commerciale o professionale.
(d) Il "Contratto" è definito nella clausola 4.4.
(e) Per "cliente" si intende sia un cliente Business che un Consumatore.
(f) "Dati": dati in forma elettronica di qualsiasi tipo, compresi i dati personali ai sensi del Regolamento generale sulla protezione dei dati UE 2016/679.
(g) Per "Dispositivi" si intende il vostro supporto di memorizzazione e, se del caso, il vostro telefono cellulare o tablet.
(h) "Corrispettivo" indica il corrispettivo dovuto dall'utente per i Servizi, come indicato nella relativa Proposta.
(i) Per "supporti di memorizzazione" si intendono supporti quali dischi rigidi, unità USB, SSD, chip di memoria, nastri o altri supporti di dati.
(j) "Offerta" e "Accettazione" sono definite nelle Clausole 4.3 e 4.4.
(k) "Descrizione del servizio": i processi specifici utilizzati da Ontrack e descritti al seguente link: https://www.ontrack.com/it-ch/informazioni-legali/recupero-dati-termini-condizioni#descrizione che definisce, tra l'altro, l'ambito e le limitazioni dei servizi di recupero dati da noi forniti.
(l) Per "Servizi di recupero dati" (o "Servizi" in breve) si intendono i servizi da noi forniti al cliente come descritto nelle Sezioni 4 (Processo di ordine) e 6 (I nostri servizi di recupero dati) delle presenti CGV e nella Descrizione del servizio.
(m) "Sito web" indica il nostro sito web all'indirizzo www.ontrack.com
(n) Per "supporto di backup" si intende un supporto dati di Ontrack su cui sono memorizzati i dati ripristinati in forma criptata. Di solito si tratta di un disco rigido USB.
4. PROCESSO D’ORDINE (offerta e accettazione)
4.1 Dopo una prima consultazione telefonica, l'invio di un modulo online tramite il nostro sito web o una corrispondenza via e-mail, potrete fornirci i vostri dispositivi. Nel caso del recupero dati standard, il primo passo è una valutazione, definita nella Descrizione dei Servizi. A seconda del dispositivo e del tipo di danno subito, la valutazione è gratuita (ad eccezione di telefoni cellulari, tablet e unità flash, dischi rigidi aperti, supporti cancellati o formattati e danneggiati da acqua e incendio), a meno che non sia stato concordato diversamente durante il processo di ordine. La valutazione (ed eventuali altri servizi di recupero dati) viene effettuata in base alla descrizione del servizio. Per telefoni cellulari, tablet, dischi rigidi aperti e supporti flash, nonché per alcuni tipi di danni o se la valutazione non fornisce informazioni su un possibile recupero dei dati, effettueremo una diagnosi a pagamento. In questo caso, riceverete da parte nostra un link ad un'offerta di diagnosi, che dovrete autorizzare elettronicamente per procedere all’ordine.
4.2 Dopo la valutazione o la diagnosi a pagamento, riceverete l’esito del grado di successo del recupero dei dati. In caso di diagnosi, riceverete informazioni sui file che potrebbero essere recuperati. Per una spiegazione delle categorie di valutazione e della procedura esatta, consultare la Descrizione del Servizio. In caso di valutazione, riceverete contemporaneamente un'offerta a prezzo fisso per il recupero dei dati (offerta di recupero dati). Di solito è possibile scegliere tra diversi livelli di servizio nell'offerta di recupero dati, descritti più dettagliatamente nella Descrizione del Servizio.
4.3 Una volta ricevuto il nostro preventivo di recupero dati, avete le seguenti opzioni: (i) autorizzare elettronicamente il preventivo ("Preventivo"); (ii) richiederci di restituire i vostri Dispositivi dietro pagamento di un corrispettivo; oppure (iii) richiederci di cancellare definitivamente i vostri dati e/o distruggere i vostri Dispositivi, nel qual caso siamo obbligati e autorizzati a eseguire immediatamente la cancellazione/distruzione. Se non riceviamo un ordine, una richiesta di cancellazione o una richiesta di restituzione dei dispositivi entro 14 (quattordici) giorni di calendario dalla data dell'offerta, vi invieremo un promemoria via e-mail e vi chiederemo di farci sapere come dobbiamo procedere in base alle opzioni di cui sopra. Se non risponderete a questo promemoria, vi invieremo altri 2 (due) promemoria ogni 2 (due) settimane. Se ancora una volta non risponderete a questi solleciti e non ci darete istruzioni su come procedere con i vostri dispositivi, smaltiremo i vostri dispositivi (compresi i vostri dati) in conformità alla normativa vigente.
4.4 Prendiamo in carico il vostro ordine (ovvero la vostra offerta ai sensi della clausola 4.3) inviandovi una conferma d'ordine via e-mail ("Accettazione"), con la quale viene stipulato un contratto giuridicamente vincolante tra voi e noi ("Contratto"), che contiene tutte le disposizioni conformi all'offerta, alla Descrizione del Servizio, alle CGU e alle presenti CGV. Al vostro ordine verrà assegnato un numero d'ordineda comunicarci quando ci contatterete.
5. INVIO E RESTITUZIONE DEI SUPPORTI E DEI DISPOSITIVI DI ARCHIVIAZIONE DANNEGGIATI E DEI SUPPORTI DI BACKUP
5.1 Il cliente ha a disposizione le seguenti opzioni per mettere a disposizione i suoi dispositivi: (i) può consegnare i supporti di memorizzazione di persona presso i nostri locali durante gli orari di apertura (è necessaria la registrazione preliminare); (ii) può commissionare un servizio di corriere di sua scelta a proprie spese o (ii) può consegnare i dispositivi presso uno dei nostri punti di consegna (un elenco dei punti di consegna è disponibile su Internet all'indirizzo https://www.ontrack.com/it-ch/contatti - Punti di riconsegna locali in Svizzera) e, se si sceglie questa opzione, Ontrack fornirà le istruzioni per l'imballaggio dei dispositivi. In alternativa, Ontrack offre un servizio di ritiro da parte di terzi, selezionando l'opzione "Ritiro e consegna" durante il processo d'ordine. Ontrack vi invierà un'etichetta di spedizione per il vostro pacco insieme alle istruzioni di imballaggio e vi informerà del luogo in cui potrete consegnare i vostri supporti per il ritiro da parte del corriere.
5.2 Accettiamo solo i vostri supporti di memorizzazione e - ad eccezione dei dispositivi definiti sopra - non l'hardware completo (ad es. laptop e desktop). Si prega di rimuovere i supporti di memorizzazione (disco rigido, SSD, ecc.) dall'hardware. Sono esclusi i telefoni cellulari o i tablet.
5.3 Tutti i supporti di memorizzazione devono essere spediti in conformità con le istruzioni riportate su https://www.ontrack.com/it-ch/recupero-dati/spedizione-supporto in quanto Ontrack non si assume alcuna responsabilità per eventuali danni ai dispositivi durante il trasporto se le confezioni sono imballate in modo non corretto.
5.4 Dopo la diagnosi o il recupero (vedi punto 4), invieremo i supporti di backup al vostro indirizzo utilizzando un servizio di spedizioni. La consegna dei supporti di backup è solitamente gratuita per l'utente, salvo accordi contrattuali diversi. Si prega di contattare Ontrack prima di finalizzare l'ordine se non si desidera che Ontrack restituisca i supporti di backup tramite corriere.È inoltre possibile utilizzare un servizio di corriere di propria scelta a proprie spese o ritirare personalmente i supporti di backup presso i nostri locali di servizio durante gli orari di apertura (previo accordo).
5.5 I costi di restituzione dei dispositivi si basano sulle informazioni contenute nella rispettiva offerta. I costi esatti vi saranno comunicati durante il processo di ordine. In alternativa alla richiesta di restituzione dei dispositivi, potete anche chiederci di cancellare irreversibilmente i vostri dati sui dispositivi originali e/o di distruggere i vostri dispositivi. In questo caso, siamo obbligati e autorizzati a eseguire la cancellazione/distruzione. In assenza di istruzioni su cosa fare dei vostri dispositivi originali, vi invieremo un promemoria via e-mail e vi chiederemo di comunicarci come dobbiamo procedere in base alle opzioni di cui sopra. Se non rispondete a questo sollecito, vi invieremo altri 2 (due) solleciti ogni 2 (due) settimane. Se ancora una volta non rispondete a questi solleciti e non verranno fornite istruzioni su come procedere con i vostri dispositivi, gli stessi verranno smaltiti (compresi i vostri dati) in conformità alla normativa vigente.
6. I NOSTRI SERVIZI DI RECUPERO DATI
6.1 A fronte del pagamento della Tariffa, forniremo i Servizi con la dovuta cura e competenza. I nostri servizi di recupero dati includono generalmente i seguenti servizi: Valutazione e/o diagnosi e, ove possibile, recupero dei dati.
Per una descrizione dettagliata di questi servizi, si prega di fare riferimento alla nostra Descrizione dei Servizi. La Descrizione dei Servizi è parte integrante delle presenti CG.
6.2 Nell'esaminare i dispositivi adotteremo ragionevoli precauzioni per determinare quanto segue: (i) quali dati sui dispositivi sono accessibili e recuperabili; (ii) quali danni ai dispositivi e/o alle strutture dei dati possono essere identificati; (iii) quanti dati (se ve ne sono) sui dispositivi sono probabilmente recuperabili; e (iv) vi informeremo dei risultati attesi dal recupero dei dati dai dispositivi. I nostri servizi di recupero dati possono includere il recupero dei dati in laboratorio, attraverso la fornitura di soluzioni software e, per i clienti aziendali, attraverso il recupero dei dati da remoto.
6.3 Ci impegneremo in modo ragionevole per: (i) recuperare i dati dell'utente e renderli disponibili su un supporto di backup crittografato; o (ii) eseguire qualsiasi altro servizio che abbiamo concordato per iscritto con l'utente, come la cancellazione dei dati sul supporto di memorizzazione.
6.4 Forniamo la maggior parte dei nostri servizi presso gli uffici di KLDiscovery Ontrack (Svizzera) GmbH a 8304 Wallisellen, Svizzera. Tuttavia, possiamo anche inviare il vostro dispositivo a una società affiliata situata nello Spazio economico europeo (SEE). Il recupero dei dati di telefoni cellulari e tablet viene effettuato in un laboratorio specializzato in telefonia mobile di Ontrack. In base alla clausola 1.5, possiamo anche accedere da remoto ai dati dell'utente al di fuori dello Spazio economico europeo (SEE) per eseguire i servizi.
6.5 Alla sottoscrizione del contratto, possiamo solo stimare il momento in cui il recupero dei dati dovrebbe essere completato. Data la natura dei servizi non è possibilefornire i servizi di recupero dati entro date specifiche. Tuttavia, il cliente verrà informato della data di termine prevista durante la fornitura del servizio. Quando riceverà da Ontrack il supporto di backup con i dati recuperati, la preghiamo di verificare immediatamente la funzionalità tecnica del supporto di backup (disco rigido USB o altro dispositivo di archiviazione). Ontrack può fornire una copia dei dati recuperati solo in caso di guasto del supporto di backup entro il periodo di conservazione dei dati recuperati, in conformità con l'Accordo sul trattamento dei dati di Ontrack.
6.6 Si noti che non tutti i prodotti Apple possono essere elegibili per il recupero dati. I nostri servizi di recupero dati non possono essere erogati solitamente per dispositivi Apple iMac o iPhone/iPad dopo un reset di fabbrica. Contattare il nostro servizio clienti prima di inviare i prodotti Apple.
6.7 Per alcuni Servizi, potremmo richiedere all'utente determinate informazioni, come nomi utente, password o codici di accesso. Se l'utente non fornisce tali informazioni entro un tempo ragionevole dalla nostra richiesta, o se fornisce informazioni incomplete o errate, potremmo addebitare un costo aggiuntivo di importo ragionevole per compensare il lavoro supplementare richiesto. Non saremo responsabili nel caso in cui i Servizi vengano forniti in ritardo o in parte non vengano forniti affatto, se ciò è dovuto alla mancata fornitura delle informazioni richieste da parte dell'utente.
6.8 Potremmo dover sospendere la fornitura dei Servizi per (i) risolvere problemi tecnici o apportare modifiche tecniche o (ii) aggiornare i Servizi per tenere conto di modifiche alle leggi e ai requisiti normativi pertinenti. Potremmo inoltre sospendere la fornitura dei Servizi in caso di mancato pagamento da parte dell'utente, previo apposito avviso.
6.9 Lo svolgimento, da parte di Ontrack, dei Servizi richiesti non deve essere in alcun modo inteso come una garanzia della riuscita degli interventi stessi, della possibilità che i Dati del Cliente siano in tutto o in parte recuperabili e utilizzabili, del fatto che il Telefono Cellulare, se è questo il caso, sia di nuovo utilizzabile, ovvero che sia possibile ottenere qualunque altro risultato dai Servizi svolti.
6.10 La seguente disposizione si applica solo ai clienti che sono clienti business:
Recupero dati da remoto. Con il recupero dati remoto (RDR), stabiliamo una connessione alla rete interna del cliente. Non ci viene consegnato alcun dispositivo. In caso di RDR, il cliente riceverà da noi un link a un'offerta di diagnosi, che dovrà autorizzare elettronicamente in caso di incarico. Dopo la diagnosi, riceverete i dettagli dei file probabilmente recuperabili. Su questa base, vi invieremo un'offerta a prezzo fisso per il recupero dei dati (offerta di recupero dati). Di solito è possibile scegliere tra diversi livelli di servizio nell'offerta di recupero dati, descritti in modo più dettagliato nella Descrizione el Servizio.
Per il recupero remoto dei dati, è necessario scaricare e installare il software Ontrack RDR client dal link fornito da Ontrack. Una volta installato, il client RDR consente all'utente di connettersi a Ontrack tramite una connessione Internet crittografata. La connessione RDR viene utilizzata esclusivamente da Ontrack per eseguire gli strumenti di recupero Ontrack direttamente sul computer del cliente. Ontrack utilizza la connessione RDR per archiviare gli Ontrack Recovery Tools sul computer del cliente in una cartella protetta. I vostri dati non saranno trasferiti a Ontrack durante questo processo. Una volta completata la RDR, gli Ontrack Recovery Tools vengono eliminati dal computer del cliente.
Ontrack garantisce che il Software Client RDR, (a) è privo di codice di programma o istruzioni di programma che sono intenzionalmente progettati per interrompere, disabilitare, danneggiare, interferire con o altrimenti influenzare negativamente i programmi, i file o le operazioni del computer; e (b) non contiene alcun altro codice dannoso o nocivo tipicamente indicato come virus o descritto con termini simili, tra cui trojan horse, worm o backdoor.
7. DIRITTI DI PROPRIETA' INTELLETTUALE
7.1 I Dispositivi e i Dati dell'utente rimarranno sempre di proprietà dell'utente e noi non avremo alcun diritto di proprietà, di utilizzo o di altro tipo su di essi, se non il diritto di possedere e utilizzare i Dispositivi e i Dati dell'utente per fornire i Servizi. L'utente conserva tutti i diritti di proprietà intellettuale sui propri Dati.
7.2 Tutti i diritti di proprietà intellettuale relativi alla fornitura dei Servizi rimarranno a Ontrack, compreso lo sviluppo, la creazione e la fornitura dei Servizi, le invenzioni, le opere d'autore, i metodi, i processi e il know-how utilizzati per sviluppare o incorporare i Servizi, insieme a qualsiasi hardware, firmware, piattaforme, software e qualsiasi modifica, miglioramento, nuove caratteristiche o funzionalità create o utilizzate da Ontrack come parte dei Servizi.
8. DIRITTO DI RECESSO
8.1 La presente clausola si applica solo ai consumatori.
8.2 Il cliente ha il diritto di recedere dal contratto entro quattordici giorni senza fornire alcuna motivazione. Il termine di cancellazione è di quattordici giorni dalla data di sottoscrizione del contratto. È possibile recedere in qualsiasi momento durante il periodo di valutazione.
8.3 Per esercitare il diritto di recesso, l'utente deve informare Ontrack della sua decisione di recedere dal presente contratto mediante una dichiarazione chiara (ad esempio, tramite lettera inviata per posta, fax, e-mail o telefono):
(a) Per e-mail: info@ontrack.com;
(b) Per telefono: +49 7031 644 0;
(c) Per posta: KLDiscovery Ontrack GmbH, Hanns-Klemm-Str. 5, 71034 Böblingen, Germania.
8.4 È inoltre possibile utilizzare il modulo di cancellazione esemplificativo riportato alla fine delle presenti CGV. L'efficacia della cancellazione non dipende dall'utilizzo del modulo di cancellazione. Vi invieremo una conferma di ricezione della vostra cancellazione (ad esempio via e-mail).
8.5 Per rispettare la scadenza prevista per la cancellazione, è sufficiente inviare una richiesta in tal senso, come indicato nel presente Articolo entro il termine previsto per il recesso.
8.6 In caso di recesso dal contratto, Ontrack rimborserà tutti i pagamenti ricevuti in tempi ragionevolmente brevi e in ogni caso non oltre il termine di 14 giorni dalla data di ricevimento della comunicazione di recesso. Autorizzando elettronicamente il preventivo (sezione 4.3), si autorizza espressamente Ontrack a iniziare immediatamente i servizi. In caso di recesso dopo l'inizio dei servizi, l'utente dovrà pagare un indennizzo per il valore dei servizi forniti fino a quel momento. Una volta forniti tutti i servizi, non è più possibile recedere dal contratto, anche se il termine di recesso non è ancora scaduto.
8.7 Per il rimborso, utilizzeremo lo stesso mezzo di pagamento utilizzato per la transazione originale, a meno che non sia stato espressamente concordato diversamente con l'utente. In nessun caso vi sarà addebitato alcun costo per il rimborso.
9. NESSUN DIRITTO DI RECESSO PER I CLIENTI COMMERCIALI
9.1 La disposizione di cui alla Sezione 8 non si applica ai clienti commerciali.
10. DIRITTI DI RISOLUZIONE
10.1 Fatti salvi gli altri diritti, il rapporto di servizio può essere risolto da una delle parti del contratto per giusta causa e senza preavviso, se sussistono fatti in base ai quali non ci si può ragionevolmente aspettare che la parte che ha terminato il rapporto contrattuale continui fino alla cessazione concordata del rapporto contrattuale, tenendo conto di tutte le circostanze del singolo caso e soppesando gli interessi di entrambe le parti del contratto, in particolare se:
(a) una parte (i) viola in modo sostanziale e irrimediabile una qualsiasi clausola del Contratto; o (ii) se tale violazione è rimediabile, non pone rimedio a tale violazione entro un periodo di 7 (sette) giorni dalla richiesta scritta alla parte di porvi rimedio; o (iii) viola ripetutamente il Contratto (incluse le presenti CG); o
(b) (diritto di Ontrack di rescindere): il Cliente non paga la tariffa per i Servizi di Recupero Dati alla scadenza; e/o
(c) una parte cessa (o minaccia di cessare) di svolgere la propria attività in tutto o in parte, viene nominato un liquidatore, un curatore fallimentare o un curatore amministrativo nei suoi confronti o in qualsiasi parte della sua impresa o dei suoi beni, o viene liquidata (tranne che ai fini di una proposta di fusione o ricostruzione solvente in cui la società risultante assume tutte le passività), o un tribunale competente emette un provvedimento di insolvenza, liquidazione o simile, o la parte si accorda con i propri creditori, non è in grado di pagare i propri debiti alla scadenza. in cui la società risultante si assume tutte le passività), o un tribunale di giurisdizione competente emette un provvedimento di insolvenza, liquidazione o simile, o la parte fa un concordato con i suoi creditori, non è in grado di pagare i suoi debiti alla scadenza o, se una persona fisica, diventa insolvente.
10.2 Noi (Ontrack) possiamo rescindere il Contratto se, eseguendo il Contratto, violiamo le leggi sulle esportazioni e sulle sanzioni relative ai rapporti con determinate società e persone, come stabilito dalla Commissione Europea o da altre autorità nazionali, compresi gli Stati Uniti. L'utente accetta di fornire una prova di identità su nostra richiesta allo scopo di verificare l'applicabilità delle normative sulle esportazioni e sulle sanzioni applicabili.
10.3 Se la risoluzione avviene per un motivo non imputabile a Ontrack, il cliente è tenuto a pagare il compenso concordato per tutti i servizi di recupero dati forniti da Ontrack fino alla data effettiva della risuluzione stessa.
11. GARANZIE E RICONOSCIMENTI DA PARTE DEL CLIENTE
11.1 Il Cliente dichiara e garantisce che (i) di essere legalmente in grado di stipulare contratti vincolanti; (ii) di avere piena autorità, potere e capacità di accettare le presenti Condizioni e, nel caso di Clienti Business, di avere i poteri necessari per concludere il Contratto;; (iii) tutte le informazioni che ci fornisce in relazione al suo ordine sono vere, accurate, complete e non fuorvianti; (iv) è il proprietario dei dispositivi o ha l'autorizzazione del proprietario dei dispositivi a fornirci i Servizi; (v) non viola alcun obbligo o diritto di terzi a fornirci i suoi dispositivi o i suoi Dati; (vi) non viola alcun obbligo o diritto di terzi a consegnarci i suoi dispositivi o i suoi Dati; (vii) di essere legalmente autorizzato a fornire l'accesso ai dati; (viii) i dispositivi non contengono alcun materiale (come i dati) che possa violare i diritti di proprietà intellettuale di terzi; e (ix) i dispositivi non contengono alcun materiale (come i dati) che violi qualsiasi legge applicabile.
11.2 Ci riserviamo il diritto (e voi riconoscete che ne abbiamo il diritto) di richiedere prove documentali della vostra proprietà, autorizzazione o diritto legale di commissionare i Servizi e di sospendere o non iniziare i Servizi in assenza di tali prove. Accettate di fornirci, su richiesta, la prova della vostra identità in modo da poter verificare l'applicabilità delle norme applicabili in materia di esportazione e di sanzioni in conformità alla clausola 10.2.
11.3 Il Cliente riconosce e accetta come condizione del Contratto che i suoi dispositivi e/o i suoi Dati possono essere danneggiati prima della ricezione degli stessi e che i nostri sforzi per completare i Servizi possono comportare la distruzione o ulteriori danni ai suoi dispositivi e/o ai suoi Dati. Adotteremo una cura ragionevole nell'esecuzione dei Servizi, ma non saremo responsabili di eventuali danni esistenti o aggiuntivi che potrebbero verificarsi ai dispositivi o ai dati dell'utente durante l'esecuzione dei Servizi. La disposizione di cui alla clausola 13 non è influenzata da ciò.
12. PREZZO E PAGAMENTO
12.1 Il prezzo dei servizi è quello indicato nella rispettiva offerta (IVA inclusa, se applicabile). Il pagamento può essere effettuato tramite addebito diretto SEPA, bonifico bancario o carta di credito, o per i clienti business anche tramite ordine su conto (numero d'ordine).
12.2 In caso di bonifico bancario anticipato, mandato di addebito diretto Sepa o pagamento con carta di credito, il corrispettivo deve essere sempre pagato prima dell'inizio dei servizi (pagamento anticipato) o, se del caso, al momento specificato nell'accordo di pagamento separato concluso con Ontrack. In caso di mancato pagamento di qualsiasi importo dovuto a Ontrack in base al contratto, Ontrack potrà trattenere i dispositivi e i dati fino al completo pagamento. In caso di cancellazione, ritardo nel pagamento o mancato pagamento, riceverete un primo sollecito (via SMS) dopo la scadenza del pagamento. Se il pagamento non viene ricevuto dopo il primo sollecito, riceverete un ulteriore sollecito prima che ci riserviamo il diritto di consegnare il credito alla nostra agenzia di recupero crediti. Ci riserviamo inoltre il diritto di addebitare gli interessi di mora o di avanzare ulteriori richieste.
12.3 In caso di pagamento con carta di credito, Ontrack invierà un link a una piattaforma di pagamento sicura di terze parti per autorizzare e completare il processo di pagamento una volta completato il lavoro ma prima dell'invio del supporto di backup.
12.4 I clienti business riceveranno una fattura. Se il cliente non salda completamente la fattura entro il periodo di pagamento concordato, gli invieremo un sollecito . Se il pagamento non viene ricevuto dopo il primo sollecito, riceverete un ulteriore sollecito prima di affidare il credito alla nostra agenzia di recupero crediti. In caso di ritardo nel pagamento, possiamo addebitare gli interessi di mora al tasso consentito dalla legge. Ci riserviamo il diritto di far valere ulteriori diritti (ad esempio, per i danni causati dalla mora).
13. LIMITAZIONE DI RESPONSABILITÀ
13.1 Sono escluse le richieste di risarcimento danni da parte del cliente, ad eccezione delle richieste di risarcimento danni da parte del cliente derivanti da lesioni alla vita, all'incolumità fisica o alla salute o dalla violazione di obblighi contrattuali essenziali (obblighi cardinali), nonché la responsabilità per altri danni basati su una violazione intenzionale o gravemente negligente degli obblighi da parte di Ontrack o dei rappresentanti legali o agenti vicari di Ontrack. Gli obblighi contrattuali essenziali sono quelli il cui adempimento è necessario per raggiungere l'obiettivo del contratto.
13.2 In caso di violazione degli obblighi contrattuali materiali, Ontrack è responsabile solo per i danni prevedibili tipici del contratto, se questi sono stati causati per semplice negligenza (cioè non per negligenza grave o dolo), a meno che le richieste di risarcimento del cliente non si basino su lesioni alla vita, all'integrità fisica o alla salute. Ontrack è responsabile nei confronti dei clienti business solo fino a un importo massimo di 20.000 euro, a meno che il danno non sia stato causato intenzionalmente o per grave negligenza o ci sia una responsabilità per lesioni alla vita, al corpo o alla salute. Lei (cliente business) riconosce e concorda con noi (Ontrack) che il suddetto importo massimo di responsabilità supera il danno prevedibile tipico del contratto.
13.3 Nonostante la disposizione di cui alla clausola 13.1, non accettiamo alcuna responsabilità per danni fisici o di altro tipo o per la distruzione dei vostri dispositivi e dei vostri dati o per la decadenza delle garanzie in relazione ai vostri dispositivi nel corso della fornitura dei nostri servizi, se tali danni, distruzione, deterioramento o decadenza derivano dall'esecuzione dei servizi in conformità al presente contratto. Questo non si applica ai danni causati da una violazione dolosa o gravemente negligente del dovere da parte di Ontrack o dei nostri rappresentanti legali o agenti vicari.
13.4 Sebbene ci impegneremo in modo ragionevole a prenderci cura dei dispositivi o dei Dati dell'utente mentre sono in nostro possesso, non saremo responsabili nei confronti dell'utente se i dispositivi o i Dati dell'utente vengono persi, distrutti, danneggiati o altrimenti corrotti a causa della normale usura o a causa della natura dei Servizi senza alcuna colpa da parte nostra.
13.5 Nessuna delle parti sarà responsabile nei confronti dell'altra, per contratto, illecito (inclusa la negligenza), violazione di obblighi di legge o altro, derivante da o in relazione alle presenti CG o a qualsiasi Contratto, per qualsiasi perdita o danno indiretto o consequenziale, perdita di profitto, perdita di entrate o perdita di affari.
13.6 Utilizzo di corrieri. In conformità alle disposizioni della Sezione 5, Ontrack sarà responsabile solo per l'importo del risarcimento offerto dal corriere terzo se i supporti di memorizzazione originali sono stati inviati da un corriere terzo incaricato da Ontrack. I termini e le condizioni del corriere terzo sono https://www.dhl.de/de/geschaeftskunden/express/infos-knowhow/downloads.html#agb o https://www.dhl.de/de/geschaeftskunden/paket/rund-um-den-versand/agb.html.
14. ESENZIONE
14.1 L'utente dovrà risarcire Ontrack da qualsiasi rivendicazione di terzi che venga fatta valere nei nostri confronti a causa del suo comportamento illegale. L'indennizzo si applica in particolare ai reclami dovuti alla violazione delle norme sulla protezione dei dati, sulla concorrenza o sul copyright.
14.2 Nel caso in cui le vostre dichiarazioni ai sensi della clausola 11.1 non siano vere in tutto o in parte, dovrete indennizzare Ontrack da tutte le rivendicazioni di terzi che non esisterebbero se le vostre dichiarazioni fossero state vere.
14.3 L'utente manleva Ontrack da richieste di risarcimento da parte di terzi basate sul fatto che l'utente non è l'(unico) proprietario dei dispositivi e dei dati sui dispositivi in questione, il suo potere di disporre dei dispositivi e dei dati è altrimenti limitato o i dati sono stati raccolti, creati, memorizzati o altrimenti trattati in violazione di diritti di terzi o comunque in modo illegale.
14.4 L'esonero di responsabilità ai sensi della presente clausola 14 comprende non solo il risarcimento dei danni, ma anche le multe e le spese legali ragionevoli e comprovate (compresi i costi dell'azione legale e della difesa).
15. PROTEZIONE DEI DATI
15.1 Le informazioni sulla protezione dei dati sono disponibili sul nostro sito web al seguente link: https://www.ontrack.com/it-ch/informazioni-legali/informativa-privacy.
16. COME TRATTIAMO I DATI PERSONALI (DATI RECUPERATI)
16.1 Ontrack elabora i dati personali dei clienti nel corso del recupero dei dati applicando il nostro Accordo sul trattamento dei dati personali (DPA).
17. INFORMAZIONI RISERVATE
17.1 La parte cedente ha un interesse di riservatezza sulle Informazioni riservate comunicate alla parte ricevente. La parte ricevente si impegna pertanto a trattare le Informazioni riservate trasmesse o rese accessibili in altro modo come strettamente riservate e a non renderle accessibili a terzi, in tutto o in parte, a meno che la parte cedente non abbia dato il proprio consenso preventivo scritto alla divulgazione a terzi e che questi ultimi si siano impegnati a mantenere la riservatezza in modo corrispondente alle presenti CG.
17.2 Gli obblighi di riservatezza non si estenderanno alle Informazioni riservate per le quali la parte ricevente può dimostrare che (a) erano già note alla parte ricevente prima della divulgazione, o (b) erano già di dominio pubblico, pubblicamente note e liberamente accessibili al momento della divulgazione alla parte ricevente, o lo sono diventate in seguito, o (c) lo sono diventate dopo la divulgazione senza colpa della parte ricevente senza violazione delle presenti CGC, o (d) sono sostanzialmente equivalenti alle informazioni (d) sono sostanzialmente equivalenti alle informazioni divulgate o rese disponibili alla parte ricevente in qualsiasi momento da una terza parte autorizzata o (e) sono state sviluppate dalla parte ricevente indipendentemente dalle Informazioni riservate o (f) sono state espressamente rilasciate per la divulgazione dalla parte fornitrice per iscritto in anticipo o (g) il loro possesso, la loro detenzione o la loro conoscenza violano le leggi penali applicabili o (h) devono essere divulgate a causa di un ordine ufficiale o giudiziario vincolante o di disposizioni legali obbligatorie.
18. ALTRE DISPOSIZIONI IMPORTANTI
18.1 Il presente contratto è stipulato tra voi e noi. Nessun'altro soggetto ha il diritto di far valere i suoi termini. Ciascuna clausola delle presenti Condizioni ha efficacia singolarmente. Se un tribunale o un'autorità competente decide che uno qualsiasi di questi termini è illegale o inapplicabile, i termini rimanenti rimarranno in vigore a tutti gli effetti. Il fatto che Ontrack non reagisca subito a eventuali violazioni del Contratto commesse dal Cliente non pregiudica in alcun modo il suo diritto di intraprendere azioni nei confronti del Cliente stesso in un momento successivo,nella misura consentita dalla legge applicabile.
18.2 Possiamo modificare i Servizi per tenere conto delle modifiche alle leggi e ai requisiti normativi pertinenti e per apportare piccole modifiche e miglioramenti tecnici, ad esempio per affrontare una minaccia alla sicurezza. Tali modifiche non influiranno sull'utilizzo dei Servizi da parte dell'utente. Inoltre, potremmo apportare altre modifiche sostanziali ai presenti T&C o ai Servizi, ma in tal caso ve lo comunicheremo in anticipo e potrete risolvere il Contratto prima che le modifiche entrino in vigore e ricevere un rimborso per i Servizi pagati ma non ricevuti.
18.3 Se l'utente si trova nell'Unione Europea, può presentare reclami tramite la piattaforma di risoluzione delle controversie online dell'Unione Europea (la "Piattaforma"), che consente di risolvere le controversie online. Per ulteriori informazioni, si prega di visitare la Piattaforma all'indirizzo https://ec.europa.eu/consumers/odr/main/. Ontrack non intende utilizzare la Piattaforma per risolvere le controversie e lei accetta che Ontrack non ha alcun obbligo di utilizzare la Piattaforma per risolvere le controversie.
18.4 Clienti business: Le CG e tutte le questioni che sorgono in relazione alla fornitura dei Servizi da parte nostra sono disciplinate dal diritto tedesco. In caso di controversia, saranno competenti i tribunali ordinari della Germania.
18.5 Clienti Consumatori: Le CG e tutte le questioni derivanti dalla fornitura dei Servizi da parte nostra saranno disciplinate esclusivamente dal diritto svizzero, con esclusione delle norme di conflitto di leggi della Convenzione delle Nazioni Unite sui contratti di vendita internazionale di beni mobili dell'11 aprile 1980 ("Convenzione di Vienna"), della Convenzione dell'Aia e del diritto internazionale privato, fatte salve le disposizioni di legge obbligatorie. Sono competenti i tribunali ordinari della Germania. Sono fatte salve le disposizioni di legge nazionali del luogo di residenza del cliente che si discostano da quanto sopra e che si applicano ai contratti con i consumatori e quindi al cliente in quanto consumatore.
Valido dal 1° Luglio 2024
ALLEGATO
Esempio di modulo di recesso
(Se si desidera annullare il contratto, si prega di compilare e restituire il presente modulo).
A
KLDiscovery Ontrack GmbH,
Hanns-Klemm-Strasse 5
71034 Böblingen
Telefono +49 7031 644 0,
E-mail info@ontrack.de
Oggetto: Recesso dal contratto di servizio
Con la presente dichiaro/iamo (*) di recedere dal mio/nostro (*) contratto per la fornitura del seguente servizio (*),
Ordinato il (*)/ricevuto il (*),
Nome del/i consumatore/i,
Indirizzo del/i consumatore/i,
Numero cliente Ontrack,
Firma del/i consumatore/i (solo se il presente modulo viene presentato in forma cartacea),
data
_______________________
(*) Cancellare la dicitura appropriata.
Descrizione dei servizi di Recupero Dati di Ontrack
1. Il processo di recupero dei dati, il servizio di Ontrack e limitazioni
a) I servizi di recupero dati si svolgono in diverse fasi:
- Valutazione- si veda la sezione 2 qui di seguito -; o/e
- Diagnosi - si veda la sezione 3 qui di seguito -; e
- Recupero dei dati dopo la Valutazione o la Diagnosisi veda la sezione 4 qui di seguito -, o Recupero dei dati da remotoRDR per i clienti aziendali - si veda la sezione 5 qui di seguito.
b) Ontrack recupererà il maggior numero possibile di dati da uno o più dispositivi danneggiati adottando le misure appropriate. Ontrack non esegue test di usabilità o compatibilità su alcun software applicativo.
c) È possibile che i dati cancellati e/o danneggiati non possano essere letti anche utilizzando gli strumenti e le tecnologie di Ontrack. Pertanto, Ontrack non può garantire che i dati su dispositivi danneggiati possano essere recuperati, riparati o letti.
d) Ontrack esamina i dispositivi per determinare quali danni devono essere superati per recuperare i dati e le strutture di dati tali da poterli leggere e utilizzare nuovamente nelle rispettive applicazioni. A tal fine, Ontrack applica i più elevati standard tecnici e processi proprietari, nonché strumenti software e hardware. A causa della natura del lavoro di Ontrack su dati o dispositivi danneggiati, esiste un rischio generale che i dati presenti sui dispositivi danneggiati possano essere parzialmente o completamente persi o distrutti.
e) Il Cliente riconosce che permane il rischio che:
-
qualora i dati esistenti non possano più essere recuperati, altri dati potrebbero andare persi;
-
i dati recuperati non possano essere utilizzati dal Cliente;
-
il contenuto informativo salvato nei dispositivi dei dati possa essere distrutto in tutto o in parte; e
-
i dispositivi su cui erano memorizzati i dati, il software e gli altri elementi forniti possano essere danneggiati, inutilizzabili o distrutti.
2. Valutazione
a) La Valutazione è una verifica iniziale da parte di un tecnico esperto in recupero dati che determina i danni visibili sul dispositivo per fornire una stima della quantità di dati che si prevede di recuperare. La valutazione può essere effettuata su HDD, SSD e sistemi RAID/NAS. Sono esclusi dalla valutazionetelefoni cellulari, tablet e dispositivi flash, nonché dispositivi con dati cancellati, danni causati da acqua e fuoco e dispositivi di archiviazione già aperti. Durante la valutazione, il dispositivo del Cliente viene collegato ai nostri sistemi proprietari e, se necessario, aperto. Durante la valutazione non vengono copiati/backuppati (create immagini) o analizzati ulteriormente i dati. Non viene prodotto alcun elenco di dati recuperabili o indicazione di quali file possono essere recuperati. Ontrack non fornisce un rapporto separato sui danni.
b) Ontrack informerà il Cliente dopo la valutazione se (i) il recupero dei dati è fattibile, (ii) è necessaria un'ulteriore Diagnosi a pagamento per determinare le opzioni di recupero dei dati, compresa la quantità di dati probabilmente recuperabili (vedere la sezione 3); (iii) oppure il recupero dei dati non può essere eseguito da Ontrack in queste circostanze.
c) La stima del probabile successo di un recupero dei dati dopo la Valutazione viene effettuata sulla base delle seguenti classificazioni:
- Eccellente - Prevediamo che il 95-100% dei dati possa essere recuperato con successo.
- Buono - Prevediamoche il 75-100% dei dati possa essere recuperato con successo.
- Parzialmente recuperabile – Prevediamo che una piccola parte dei dati possa essere recuperata, fino al 50%.
- Complesso - A causa della complessità del danno, non possiamo ancora fornire una percentuale esatta di recuperabilità dei dati. Pertanto, in questo caso consigliamo di effettuare la Diagnosi estesa.
- Non recuperabile - Non è possibile accedere ai dati sul dispositivo.
d) La valutazione delle probabilità di successo di un recupero dei dati in base alla classificazione di cui sopra non garantisce il raggiungimento delle percentuali elencate nella sezione 2 lettera c), in quanto né i danni fisici né quelli strutturali dei dati vengono riparati nella fase di Valutazione.
e) Se richiesto dal Cliente, Ontrack può, dopo la Valutazione, effettuare una Diagnosi, a pagamento, che include, ove possibile, la creazione di un elenco di Verifile, che può determinare con maggiore precisione la quantità di dati da recuperare (vedere la sezione 3 di seguito). Si noti che non è sempre possibile fornire un elenco di file nel caso in cui non sia possibile recuperare alcun dato.
f) Se il Cliente effettua un ordine per la Diagnosi o il Recupero dei dati sulla base dei risultati della Valutazione (vedere la sezione 4 di seguito), Ontrack eseguirà il servizio applicabile, sia di Diagnostiche di Recupero dei dati.
g) Il Cliente può decidere di non eseguire il Recupero dati o la Diagnosi dopo la Valutazione. Se il Cliente lo desidera, i dispositivi gli verranno restituiti per il corrispettivo specificato nel modulo di preventivo. In caso contrario, i dispositivi saranno smaltiti in modo sicuro.
h) Si prega di notare che le procedure applicate in fase di Vautazione possono danneggiare l'apparecchiatura del Cliente.
3.Diagnosi
a) Per il recupero dei dati da smartphone, tablet o dispositivi flash o in caso di danni specifici ai dati, Ontrack offre una Diagnosi a pagamento (e non una valutazione). Tuttavia, Ontrack può consigliare di effettuare la Diagnosi anche dopo aver effettuato la Valutazione, soprattutto in caso di danni complessi. La Diagnosi può essere richiesta anche senza l’attivazione della Valutazione.
b) La Diagnosi determinerà il tipo e l'entità del danno subito dai dati, le reali possibilità di recupero dei dati dai dispositivi forniti dal Cliente e la quantità di file/dati che potrebbero essere recuperabili. Ontrack fornirà al Cliente l'accesso a una piattaforma proprietaria che consentirà al Cliente di monitorare lo stato della lavorazione e di fornire al Cliente un elenco finale dei file (Verifile) se il recupero dei dati è possibile. In alcuni casi, Ontrack potrebbe non essere in grado di accedere ai dati e quindi di fornire un elenco di file (Verifile).
c) I file contenuti nell’elenco (Verifile) vengono identificati in relazione alla loro prevista utilizzabilità, con indicazione semaforica
- Verde - I dati molto probabilmente saranno in grado di funzionare/aprirsi nei rispettivi programmi applicativi.
- Giallo - I dati o i file sono parzialmente corrotti - ciò potrebbe comportare l’impossibilità di aprire e modificare i file nei rispettivi programmi applicativi. È possibile che i file danneggiati possano essere riparati - ma questo non rientra nell’offerta di recupero dati. Il referente commerciale di Ontrack può contattare direttamente l'utente se tale servizio può essere fornito da Ontrack nel caso specifico.
- Rosso - I dati o i file sono danneggiati - con ogni probabilità ciò comporterà l’impossibilità di aprire e modificare i file nei rispettivi programmi applicativi.
d) Nell’ambito della Diagnosi, Ontrack non è in grado di garantire l'utilizzabilità dei dati con le rispettive applicazioni dei clienti. Gli ingegneri di Ontrack forniranno indicazioni sullo stato generale dei dati recuperati, tuttavia queste previsioni non possono essere garantite in presenza di altri danni che non possono essere identificati. Questo vale in particolare per i file di database di qualsiasi tipo. L'importazione dei set di dati, l’intervento necessario alla pulizia di tali setsecondo lo stato dell'arte del rispettivo software e applicazione di database e il coinvolgimento di ulteriori esperti sono di esclusiva responsabilità del Cliente. Ontrack supporterà il Cliente e i suoi incaricati per quanto possibile.
e) Esistono particolari scenari di perdita dati in cui le indicazioni semaforichenell'elenco dei file (Verifile) non hanno alcun significato. In caso di danni strutturali così gravi, Ontrack non garantisce la funzionalità dei file. Se questo caso esiste, viene indicato nel risultato della Diagnosi.
f) La Diagnosi viene effettuata nel laboratorio di Ontrack. Di solito inviamo i telefoni cellulari e i tablet a uno dei centri europei di Ontrack specializzati in gestione dei telefoni cellulari.
g) A seconda del tipo di dispositivo, la Diagnosi può comportare il trasferimento dei dati su un altro dispositivo di memorizzazione e la distruzione del dispositivo originale del Cliente.
h) Se il Cliente effettua un ordine per il Recupero dei dati sulla base dei risultati della Diagnosi (vedere la sezione 4 di seguito), Ontrack eseguirà il recupero dei dati.
i) Il Cliente può decidere di non eseguire il Recupero dei dati dopo la Diagnosi. Su richiesta del Cliente, i dispositivi originali saranno restituiti per il corrispettivo specificato nel Modulo di offerta. In caso contrario, i dispositivi saranno smaltiti in modo sicuro.
4) Recupero dei dati dopo la Diagnosio la Valutazione
a) Offerta di Recupero dei dati dopo la Valutazione
Il risultato della Valutazione viene inviato insieme a un'offerta per il Recupero dei dati. Viene trasmessa solo la valutazione di successo prevista Eccellente/Buono/Parziale/Complesso.
Il preventivo per il Recupero dei dati contiene il prezzo del recupero dei dati in relazione ai livelli di servizio (vedi paragrafo c.), che indicano il tempo di elaborazione per il rispettivo processo di recupero dei dati e viene inviato al Cliente come descritto nelle nostre Condizioni Generali di Fornitura dei Servizi Ontrack.
b.) Offerta per il Recupero dei dati dopo la Diagnosi
Dopo la Diagnosi, Ontrack invierà al Cliente la lista Verifile, ove possibile, e informerà il Cliente sulla durata del processo di recupero dati e sui costi del servizio. Il Cliente riceverà un preventivo di Recupero dati come descritto nei nostri Termini e Condizioni, che includerà il prezzo del recupero dati in relazione ai Livelli di Servizio (vedere paragrafo c.) che indicano il tempo di elaborazione del rispettivo processo di recupero dati.
c.) Livelli di servizio
Per l'ordine di recupero dati, il Cliente può scegliere tra i seguenti livelli di servizio a seconda dell'urgenza:
- Servizio Emergency
Il recupero dati sarà svolto subito dopo il ricevimento dell’ordine, 24 ore al giorno.
- Servizio Express
Il recupero dati sarà svolto subito dopo il ricevimento dell’ordine, dal lunedì al venerdì, dalle 8.00 alle 18.00. La durata del processo di recupero dei dati è solitamente di 3-5 giorni lavorativi.
- Servizio Standard
Il dispositivo sarà sottoposto a intervento, dopo il ricevimento dell’ordine, dal lunedì al venerdì, dalle 9.00 alle 18.00. La lavorazione richiede in genere 7-10 giorni lavorativi.
- Servizio Economy
Il dispostivo sarà sottoposto a intervento, dopo ricevimento dell’ordine, dal lunedì al venerdì, dalle 9.00 alle 18.00. La lavorazione richiede in genere 20 giorni lavorativi.
d.) Accettazione del Recupero dei dati
Il Cliente accetta l'offerta di recupero dati come descritto nelle nostreCondizioni Generali di Fornitura di Servizi Ontrack.
Se il Cliente decide di non effettuare il Recupero dei dati sulla base dei risultati della Valutazioneo dell'elenco dei file (Verifile), l'ordine si considera annullato. Su richiesta del Cliente, i dispositivi saranno restituiti per il corrispettivo indicato nel modulo di offerta. In caso contrario, i dispositivi saranno smaltiti in modo sicuro.
e) Esecuzione del Recupero dei dati
Se il Cliente effettua un ordine per il Recupero dei dati sulla base del preventivo di Recupero dei dati dopo aver esaminato i risultati della Valutazione e/o i risultati dellaDiagnsoi, Ontrack eseguirà il recupero dei dati.
Il Cliente riceve i dati recuperabili da Ontrack. Dopo la Diagnosi, generalmente si tratta dei dati mostrati nell'elenco dei file (Verifile).
I dati recuperati da Ontrack vengono memorizzati su un dispositivo di archiviazione esterno e inviati al Cliente. Oltre al dispoitivo separato contenente i dati recuperati, Ontrack può restituire il dispositivo danneggiato se richiesto dal Cliente al momento dell'ordine di recupero dati, previo pagamento delle spese di spedizione specificate.
Su richiesta del Cliente, Ontrack può cancellare gratuitamente i dati dal dispositivo lavorato e/o smaltirlo in conformità alle normative vigenti.
f) Variazioni sul risultato del Recupero dei dati
Nel caso in cui la quantità di dati recuperati sia significativamente inferiore alla quantità di dati recuperabili stimata nellaValutazione , se non è stato precedentemente ordinato un elenco dei file, ne verrà fornito uno al Cliente senza alcun costo aggiuntivo per aiutarlo a decidere se procedere con la fase di recupero. Se è stato precedentemente ordinato e fornito un elenco dei file, il referente commerciale si metterà in contatto con il Cliente per discutere i risultati e le opzioni e per il recupero dei dati.
5 Servizio di recupero dati a distanza RDR
a) RDR® è l'acronimo di Remote Data Recovery™ ("RDR"). RDR è una tecnologia brevettata che consente agli ingegneri di Ontrack di eseguire un recupero dati di qualità da laboratorio direttamente sul server, sul desktop o sul laptop del Cliente tramite una connessione Internet. L'unico requisito è che il disco sia funzionante. L'RDR di Ontrack è costituito da tre componenti principali:
i) Comunicazione con il Cliente: il Cliente avvia una connessione a un server RDR di Ontrack utilizzando il software RDR Customer appositamente sviluppato. L'RDR Customer funziona con i sistemi operativi più comuni. Le unità da recuperare non devono necessariamente appartenere a un particolare sistema operativo.
ii) Server RDR: Ontrack dispone di diversi server in tutto il mondo.
iii) Workstation RDR: Viene utilizzata dai tecnici di Ontrack per controllare in remoto gli strumenti sul computer del Cliente e recuperare i dati del Cliente.
b) Per prima cosa, il Cliente scarica la versione RDR Customer appropriata e la installa sul server, sul desktop o sul laptop che verrà utilizzato per il recupero. Successivamente, il software Ontrack Customer si connette come connessione TCP/IP in uscita dalla sede del Cliente al server Ontrack, creando un tunnel o una connessione punto-punto attraverso Internet. Poiché è probabile che la connessione utilizzi una connessione web, può passare attraverso la maggior parte dei firewall senza ulteriori requisiti di configurazione. La sicurezza dei dati è fondamentale grazie al protocollo di comunicazione proprietario di Ontrack, ai pacchetti criptati e alle strutture sicure di Ontrack.
RDR protegge i dati dei clienti attraverso una connessione RDR in quattro modi:
1. connessione diretta al server RDR: Il software del Cliente utilizza una connessione TCP diretta dal computer del Cliente al server RDR di Ontrack. RDR non utilizza un prodotto di hosting di terze parti.
2. crittografia: il collegamento di comunicazione utilizza una crittografia a 256 bit su tutti i pacchetti.
3. Protocollo proprietario: Le comunicazioni di RDR utilizzano un protocollo proprietario, ma non HTTP o altri protocolli comuni comprensibili ad altri.
4. Nessun dato del Cliente viene trasmesso attraverso la connessione: la connessione RDR viene utilizzata solo dal tecnico Ontrack per controllare a distanza le utility Ontrack direttamente sul computer del Cliente. Gli aggiornamenti delle schermate e i pacchetti di tastiera (screen updates and keyboard packets) vengono inviati attraverso la connessione, ma non i file di dati del Cliente. Il tecnico Ontrack controlla invece gli strumenti di riparazione della struttura del file system per rendere i dati accessibili al Cliente.
c) Non appena viene stabilita la connessione, inizia la Diagnosi o il processo di recupero, se è stato effettuato un ordine di Recupero dei dati.
Data ultimo aggiornamento: xxxx 2023
Ultimo aggiornamentio: Settembre 2023
Contratto per il Trattamento dei Dati Personali
Questo Contratto per il Trattamento dei Dati Personali è un supplemento alle Condizioni Generali di Contratto per i servizi di recupero dati Ontrack ("CGC") e si applica a: (i) KLDiscovery Ontrack GmbH, di seguito denominata "Ontrack", con sede legale in Hanns-Klemm-Strasse 5, 71034 Böblingen, iscritta al registro di commercio di Stoccarda con il numero HRB 244142; e (ii) il rispettivo Cliente che ordina i servizi di recupero dati ai sensi delle CGC.
Le parti hanno concordato che i termini e le condizioni del presente Contratto per il Trattamento dei Dati Personali si applicano al Trattamento dei Dati Personali (come definito di seguito) necessari per consentire a Ontrack di fornire i Servizi di recupero dati al Cliente interessato.
I. Definizioni
Per questo Contratto per il Trattamento dei Dati Personali:
|
Titolare del Trattamento
|
ha il significato assegnato a questo termine nel Diritto sulla Protezione dei Dati;
|
|
Responsabile del Trattamento
|
ha il significato assegnato a questo termine nel Diritto sulla Protezione dei Dati;
|
|
Diritto sulla Protezione dei Dati
|
significa il Diritto sulla Protezione dei Dati vigente, in ogni caso, vincolante per il Cliente, Ontrack e/o in relazione agli specifici Servizi di recupero dati, vale a dire: (i) la legge svizzera federale sulla protezione dei dati (LPD); (ii) la legge federale tedesca sulla protezione dei dati (iii) il RGPD e/o eventuali disposizioni legislative o regolamentari nazionali corrispondenti o equivalenti; e (iv) negli Stati membri dell'Unione Europea, tutte le disposizioni legislative o regolamentari che recepiscono il RGPD, in ogni caso nella misura in cui la legge pertinente sia direttamente applicabile al Trattamento specifico.
|
|
Persona Interessata
|
ha il significato dato al termine nel Diritto sulla Protezione dei Dati;
|
|
Richiesta della Persona Interessata
|
è una richiesta da parte di un interessato di esercitare i diritti dell'interessato secondo il Diritto sulla Protezione dei Dati;
|
|
LPD
|
indica la legge federale sulla protezione dei dati (RS 253.1);
|
|
RGPD
|
indica il regolamento generale sulla protezione dei dati (UE) 2016/679;
|
|
Dati Personali
|
ha il significato dato al termine nel Diritto sulla Protezione dei Dati e comprende tutti i Dati Personali forniti dal Cliente a Ontrack;
|
|
Violazioni dei Dati Personali
|
significa una violazione della sicurezza che si traduce nella distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati Personali;
|
|
Personale
|
significa qualsiasi dipendente attuale, passato o futuro, consulente, lavoratore dell'agenzia, lavoratore temporaneo, tirocinante, altro dipendente non permanente, appaltatore, distaccato o altro lavoratore;
|
|
Trattamento
|
ha il significato dato a questo termine nel Diritto sulla Protezione dei Dati (e i termini correlati come trattare hanno significati corrispondenti);
|
|
Sub-responsabile del Trattamento
|
indica qualsiasi altro Responsabile del Trattamento ingaggiato da Ontrack per eseguire l'ordine del Cliente per l'esecuzione delle attività di Trattamento in relazione ai dati protetti. Ciò non include i servizi accessori come i servizi di telecomunicazione, i servizi postali/trasporto, i servizi di manutenzione o di supporto agli utenti o lo smaltimento di supporti di dati e documenti cartacei e altre misure basate su software o hardware, nella misura in cui tali Sub-responsabili non hanno accesso ai Dati Personali.
|
|
Autorità di Controllo
|
significa qualsiasi agenzia locale, nazionale o multinazionale, organismo, autorità, parlamento, persona pubblica o giuridica, o qualsiasi governo o corporazione, autorità di regolamentazione o di controllo, commissione o altro organismo responsabile dell'amministrazione della legge sulla protezione dei dati.
|
II. Disposizioni sul Trattamento dei dati
1 Responsabile del Trattamento e Titolare del Trattamento
1.1 Le parti concordano che per quanto riguarda i dati protetti, il cliente è il Titolare e Ontrack è il Responsabile del Trattamento. Il Cliente è l'unico responsabile dell'accuratezza, della qualità, dell'integrità e dell'affidabilità di tutti i dati protetti e dei mezzi con cui il cliente ha acquisito tali dati protetti.
1.2 Il Cliente garantisce e dichiara che: (i) tutti i dati protetti utilizzati in connessione con i servizi di recupero dati ai sensi dei termini saranno conformi a tutti gli effetti con la legge sulla protezione dei dati; (ii) tutte le istruzioni fornite a Ontrack in relazione ai dati protetti saranno sempre conformi alla legge sulla protezione dei dati; (iii) ha ottenuto tutti i consensi necessari dal soggetto interessato i cui Dati Personali sono inclusi nei dati protetti o altrimenti ha il permesso legale appropriato per fornire i Dati Personali a Ontrack; e (iv) sarà conforme ai termini del presente Contratto per il Trattamento dei Dati Personali.
1.3 Ontrack garantisce e dichiara che: (i) i dati protetti saranno trattati solo nella misura richiesta nel contesto delle CGC; e (ii) i dati protetti saranno trattati in conformità alle istruzioni documentate del Cliente e ai requisiti del Diritto sulla Protezione dei Dati; (iii) informa prontamente il Cliente se Ontrack ritiene che le istruzioni del Cliente violino il Diritto sulla Protezione dei Dati o se Ontrack non è in grado di rispettare le istruzioni del Cliente per quanto riguarda il Trattamento dei dati protetti (sia a causa di un cambiamento nel Diritto sulla Protezione dei Dati o un cambiamento nelle istruzioni del Cliente); e (iv) rispetta i termini del presente Contratto per il Trattamento dei Dati Personali.
1.4 Le categorie di Dati Personali e le categorie di persone interessate sono note al Cliente e sono specificate per il Responsabile del Trattamento se ciò è necessario nell'ambito del mandato. Nel caso del recupero dei dati, la conoscenza del contenuto dei dati del cliente non è di solito pertinente o necessaria per il Responsabile del Trattamento. Le seguenti categorie di Dati Personali in particolare sono trattate nell'ambito del Trattamento commissionato:
Nomi; dati di contatto professionali e privati (numeri di telefono, indirizzi e-mail); indirizzi professionali e privati; posizione e funzione nell'azienda; fotografie; informazioni contenute nella corrispondenza commerciale; messaggi di testo inviati tramite instant messenger; voci del calendario.
I Dati Personali interessati sono quelli delle seguenti categorie di persone:
I clienti del Cliente; i dipendenti del Cliente; i partner commerciali del Cliente; i familiari dei dipendenti o dei partner commerciali del Cliente; altri soggetti i cui Dati Personali sono conservati nei registri del Cliente.
I Dati Personali saranno trattati come segue: Raccolta, memorizzazione, modifica, recupero, archiviazione e cancellazione.
2 Istruzioni e informazioni sul Trattamento
2.1 Il Trattamento dei dati protetti che Ontrack deve eseguire in base al presente Contratto per il Trattamento dei Dati Personali include il Trattamento necessario per Ontrack per fornire i Servizi di recupero dei dati.
3 Misure tecniche e organizzative
3.1 Ontrack attuerà e manterrà, a proprie spese e sforzo, adeguate misure tecniche e organizzative in relazione al Trattamento e alla sicurezza dei dati protetti in conformità con il Diritto sulla Protezione dei Dati, in particolare gli articoli 32-34 del RGDP. Ontrack assicura che queste misure tecniche e organizzative sono adeguate ai rischi particolari derivanti dal Trattamento, in particolare per proteggere i dati del cliente dalla distruzione accidentale o illegale, perdita, alterazione, divulgazione o accesso non autorizzati.
4 Impiego del Personale e dei Sub-responsabili del Trattamento
4.1 Ad eccezione di quanto stabilito nella clausola 4.2, Ontrack non assumerà un Sub-responsabile per svolgere qualsiasi attività di Trattamento in relazione ai dati protetti senza il preventivo consenso scritto del Cliente. Se viene dato il consenso, Ontrack, prima della divulgazione ad un Sub-responsabile approvato, procurerà un Contratto scritto con il Sub-responsabile equivalente a quelli stabiliti nel presente Contratto. Si riconosce ed accetta che, nonostante qualsiasi cosa in contrario nel presente Contratto, Ontrack sarà pienamente responsabile nei confronti del Cliente per l'esecuzione degli obblighi di ciascun Sub-responsabile. Ontrack notificherà al Cliente qualsiasi cambiamento previsto relativo alle aggiunte o sostituzioni di tali Sub-Responsabili e fornirà al Cliente una ragionevole opportunità di opporsi a tali cambiamenti o sostituzioni per giusta causa.
4.2 I Sub-responsabili approvati alla data del presente Contratto per il Trattamento dei Dati Personali sono elencati nell'allegato 1.
4.3 Ontrack garantirà l'affidabilità dei suoi dipendenti che hanno accesso ai Dati Personali e si assicurerà che essi li trattino solo quando strettamente necessario per i servizi di recupero dati, si assicurerà che siano consapevoli dei passi da compiere e delle misure da adottare nel Trattamento dei dati protetti in conformità con la legge sulla protezione dei dati, e si assicurerà che si siano impegnati a proteggere la riservatezza dei dati protetti, compreso un adeguato impegno di riservatezza (sia per contratto scritto o altro) in relazione ai dati protetti.
5 Assistenza per la conformità e Diritti del Cliente interessato
5.1 Ontrack trasmetterà prontamente al Cliente tutte le richieste che riceverà dalle Persone Interessate. Ontrack fornirà al Cliente l'assistenza ragionevole che il Cliente può ragionevolmente richiedere (tenendo conto della natura del Trattamento e le informazioni disponibili per Ontrack) per garantire il rispetto degli obblighi di protezione dei dati del Cliente in relazione a: (i) la sicurezza del Trattamento; (ii) le valutazioni d'impatto sulla protezione dei dati (come definito nel Diritto sulla Protezione dei Dati); (iii) la consultazione preventiva di un'Autorità di Controllo in relazione al Trattamento ad alto rischio; (iv) le notifiche all'Autorità di Controllo e/o le comunicazioni alle Persone Interessate da parte del Cliente in risposta a una Violazione dei Dati Personali; e (v) la gestione delle richieste delle Persone Interessate. Se tale supporto è sproporzionato in termini di tempo e risorse, il Cliente dovrà pagare le spese sostenute da Ontrack per fornire tale supporto.
6 Trasferimenti internazionali di dati
6.1 Il Cliente riconosce che, alla data del presente Accordo per il trattamento dei dati, Ontrack potrà trattare i dati personali nel Regno Unito, in Europa e negli Stati Uniti d'America durante la durata del presente Accordo.
6.2 Il Cliente riconosce che per quanto riguarda i Dati Personali soggetti al Data Protection Act 2018 (Regno Unito), Ontrack sarà autorizzata a trattare tutti o parte dei Dati Personali all'interno dello Spazio Economico Europeo ("SEE") ai sensi del paragrafo 5(1)(a) della Sch.21 del Data Protection Act 2018. Inoltre, il Regno Unito ha ricevuto dalla Commissione Europea una decisione di adeguatezza datata 28 giugno 2021, ai sensi dell'articolo 45(3) del GDPR, che conferma che i trasferimenti possono avvenire senza la necessità di ottenere ulteriori autorizzazioni ("Decisione di adeguatezza"). Nel caso in cui la Decisione di adeguatezza scada o sia altrimenti dichiarata non valida, le Parti inseriranno le Clausole contrattuali standard del Controllore e del Responsabile del trattamento dell'UE in vigore al momento applicabile per garantire il trattamento conforme dei Dati personali da parte di Ontrack nel Regno Unito.
6.3 Per quanto riguarda i trasferimenti di Dati Personali negli Stati Uniti d'America, le parti concordano che le Clausole Contrattuali Standard 2021 Controller to Processor (Modulo 2) approvate dalla Commissione Europea, con le modifiche applicabili richieste da S119A(1) del Data Protection Act 2018, e in conformità con i requisiti della Legge Federale Svizzera sulla Protezione dei Dati del 19 giugno 1992 ("FADP") e, dopo l'entrata in vigore, in conformità con l'art. 16(2)(d) del Codice Civile. 16, paragrafo 2, lettera d), della futura Legge federale sulla protezione dei dati riveduta del 25 settembre 2020 ("revDSG"), qui linkata, ("Clausole contrattuali standard") sono incorporate per riferimento nel presente Contratto di trattamento dei dati e che tutti i trasferimenti saranno soggetti ai termini delle Clausole contrattuali standard. Se le Clausole Contrattuali Standard vengono modificate, abrogate o sostituite dalla Commissione Europea o ai sensi delle leggi applicabili in materia di protezione dei dati, le Parti collaboreranno in buona fede per stipulare una versione aggiornata del meccanismo di trasferimento dei dati, o per negoziare una soluzione alternativa che consenta trasferimenti conformi di Dati Personali negli Stati Uniti d'America.
6.4 Ai sensi della presente clausola 6 "Trasferimenti internazionali di dati", il Cliente autorizza il trasferimento dei Dati personali negli Stati Uniti d'America. Il consenso del Cliente al trasferimento dei Dati Personali negli Stati Uniti d'America può essere ritirato in qualsiasi momento ma, in tal caso, il Cliente riconosce che Ontrack potrebbe non essere in grado di completare l'Ordine e/o eseguire i Servizi se il Cliente ritira il consenso al trasferimento dei Dati Personali.
7 Registri, informazioni e audit
7.1 Ontrack (i) crea, (ii) aggiorna e (ii) gestisce registrazioni complete e accurate di tutti i trattamenti dei dati protetti.
7.2 Ontrack concede al Cliente il diritto, durante il normale orario di lavoro e soggetto a ragionevoli obblighi di riservatezza, di ottenere per iscritto, con un periodo di risposta di almeno trenta (30) giorni, il diritto di accesso e copia di tali registri di Trattamento dei dati protetti e fornirà al Cliente tutta l'assistenza ragionevole nell'esercizio dei suoi diritti di controllo. Questo diritto di controllo non si estenderà ai Centri Dati di Terze Parti o ad altre Strutture di Terze Parti dove si trovano le strutture del server che permettono solo un'ispezione visiva e collaterale.
7.3 Ontrack fornirà prontamente al Cliente, su richiesta e a spese del Cliente, tutte le informazioni necessarie per consentire al Cliente di dimostrare il rispetto dei suoi obblighi ai sensi del Diritto sulla Protezione dei Dati, nella misura in cui Ontrack è in grado di fornire tali informazioni.
8 Notifica delle Violazioni
8.1 Nel caso di una Violazione dei Dati Personali che coinvolge dati protetti che possono rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, Ontrack, senza indebito ritardo, si impegna a (i) notificare al Cliente la Violazione dei Dati Personali; e (ii) fornire al Cliente i dettagli della Violazione dei Dati Personali.
9 Cancellazione o restituzione di Dati Personali e relative copie
9.1 Su richiesta scritta del Cliente o allo scadere dei periodi di conservazione interni, Ontrack cancellerà tutti i dati protetti o li restituirà al cliente nella forma ragionevolmente richiesta dal Cliente entro un tempo ragionevole dopo la prima delle due seguenti date: (i) la fine della fornitura dei servizi di recupero dei dati pertinenti ai sensi delle CGC relativi al Trattamento; o (ii) non appena il Trattamento dei dati protetti da parte di Ontrack non sia più necessario per garantire l'esecuzione da parte di Ontrack dei suoi obblighi ai sensi del presente contratto per il Trattamento dei Dati Personali, e dovrà cancellare le copie esistenti (a meno che la conservazione dei dati protetti sia richiesta dalla legge vigente e, in tal caso, Ontrack informerà il Cliente di tale necessità). Ontrack si assicurerà che i suoi Sub-responsabili adottino le stesse misure in relazione ai dati protetti.
9.2 Ontrack cancellerà tali dati protetti se i dati protetti rimangono in possesso o controllo di Ontrack per più di dodici (12) mesi senza istruzioni attive da parte del Cliente .
10 Esenzione
10.1 Ciascuna Parte (la "Parte indennizzante") è tenuta a risarcire e a tenere indenne, indenne l'altra Parte (la "Parte indennizzata") in relazione a qualsivoglia pretesa, domanda, azione, transazione, interesse, tassa, procedimento, spesa, perdita e danno subiti o imposti alla Parte indennizzata derivanti da o in relazione al mancato rispetto da parte della Parte indennizzante del presente Contratto per il Trattamento dei Dati Personali e/o alla violazione del Diritto sulla Protezione dei Dati.
11 Indennizzo e responsabilità
11.1 L'indennizzo e la responsabilità sono regolati dalle disposizioni pertinenti delle CGC.
12 Durata e disdetta del Contratto
12.1 A meno che non venga terminato di comune accordo tra le parti, il presente Contratto per il Trattamento dei dati ha inizio alla data in cui viene effettuato un ordine per i servizi di recupero dati ai sensi delle CGC e continuerà ad essere in vigore per tutto il tempo in cui Ontrack continua a trattare i dati protetti.
13 Legge applicabile e luogo di giurisdizione
Il presente Contratto per il Trattamento dei Dati Personali è soggetto alla legge e alla giurisdizione specificata nelle CGC.
Allegato 1 – Sub-responsabili e trasferimenti di dati
|
Prodotto o sistema aziendale Ontrack
|
Nome e sede del processore
|
|
Recupero dati (Società del gruppo)
|
KLDiscovery Ontrack Limited Nexus, 25 Farringdon Street, London, EC4A 4AB, United Kingdom
KLDiscovery Ontrack B.V. De Brand 22, 3823 LJ Amersfoort, Netherlands
Ibas Ontrack AS Fjellgata 2, 2212 Kongsvinger, Norway
KLDiscovery Ontrack GmbH Hanns-Klemm-Str. 5, 71034 Böblingen, Germany
KLDiscovery Ontrack Srl Gallarte (VA) Via Marsala 34/A CAP 21013, Italy
KLDiscovery Ontrack Sp. z o.o Katowice (40-082), ul. Jana III Sobieskiego 11, Poland
KLDiscovery Ontrack Sarl 2, impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413, France
KLDiscovery Ontrack (Switzerland) GmbH Hertistrasse 25, 8304 Wallisellen, Svizzera
KLDiscovery Ontrack, LLC 9023 Columbine Road, Eden Prairie, MN 55347, USA
|
Allegato 2 – Tecnico e organizzativo misure - generiche
Nota sul documento:
di seguito vengono riportate le misure tecniche e organizzative generali di KLDiscovery Ontrack GmbH. Le misure a disposizione vengono elencate in forma generica all'interno del presente documento. Nei limiti del necessario e del possibile, tali misure vengono sempre attuate.
1. Riservatezza (art. 32 par. 1 lett. b del GDPR)
Controllo di accesso
Non è ammesso alcun accesso non autorizzato ai sistemi di elaborazione dati.
- Sicurezza in fabbrica nell'edificio
- Personale autorizzato per il servizio di chiusura
- Reception con personale durante l'orario di lavoro
- Carte magnetiche per l'accesso
- Chip di accesso alle camere (documentazione nel sistema)
- Diverse zone di sicurezza con diverse autorizzazioni di accesso
- Sicurezza della porta (chiudiporta elettrico, lettore di chip)
- Chiave principale
- Controllo chiave/chip
- Regole per il trattamento dei visitatori e del personale esterno
- Elenco visitatori
- I visitatori possono accedere alle sale server solo se accompagnati
- Solo che per la computer forensics
- Personale competente ha accesso al laboratorio di informatica forense.
- Sistema di allarme / impianto antifurto
- Sistema video (sala server)
Controllo di accesso al sistema
Nessun accesso/utilizzo non autorizzato ai sistemi di elaborazione dati;
- Metodi di autorizzazione e diritti di accesso basati sulla necessità
- Amministrazione centrale degli utenti
- Sicurezza delle procedure di password/criteri di password
- Autenticazione utente crittografata
- Meccanismi di blocco automatico dopo tentativi di accesso errati
- Autenticazione a due fattori
- Crittografia per file e supporti dati
- Utilizzo di firewall e protezione antivirus
- Utilizzo della Virtual Private Network (VPN)
- Registrazione degli accessi e dei tentativi di accesso (accesso agli uffici, VPN, ecc.)
Controllo di accesso ai dati
Nessuna lettura, copia, modifica o rimozione non autorizzata all'interno del sistema.
- Metodi di autorizzazione e diritti di accesso basati sulle esigenze per programmi e dati
- Amministrazione centrale degli utenti
- Disconnessione automatica dopo un determinato periodo di inattività
- Crittografia per file e supporti dati
- Registrazione di accessi e tentativi di accesso errati
Controllo della separazione
Trattamento separato dei dati raccolti per differenti finalità.
- Funzionalità multi-mandante
- La separazione per finalità diverse è garantita da sistemi/database differenti
- Separazione delle funzioni per produzione/test
- Crittografia diversa dei set di dati al fine di garantire la separazione per diversi scopi di elaborazione
- Implementazione di funzioni definite nei sistemi informativi: amministratore, auditor, utente.
- Metodi di autorizzazione e diritti di accesso basati sulle necessità per programmi e dati
- Utilizzo di processi sicuri, ad es. di "Challenge Response Procedures" per garantire un'applicazione autorizzata
Pseudonimizzazione (art. 32 par. 1 lett. a del GDPR, art. 25 par. 1 del GDPR)
Il trattamento dei dati personali è realizzato in modo tale che gli stessi dati non siano più attribuibili a un utente specifico senza ricorrere a informazioni aggiuntive, purché tali informazioni siano archiviate separatamente e soggette a misure tecniche e organizzative adeguate.
La pseudonimizzazione è concordata tra le parti all'interno del rispettivo ordine o contratto.
2. Integrità (art. 32 par. 1 lett. b del GDPR)
- Concetti di crittografia (crittografia di supporti di dati, crittografia di file, crittografia di e-mail)
- Uso della firma digitale
- Reti private virtuali (VPN)
- Accordi di lavorazione su commissione con i contraenti
- Gestione dei supporti dati e controllo dell'inventario
- Uso regolamentato di supporti dati esterni come chiavette USB, dischi rigidi esterni, schede di memoria SD, ecc.
- Rilascio dei supporti dati solo ai destinatari autorizzati (ad es. ricevuta d'ordine, carta di accompagnamento).
- Determinazione degli utenti autorizzati per l'accesso al supporto dati
- Istruzioni per l'imballaggio e la spedizione (metodo di spedizione, ad esempio in contenitori sigillati)
- Raccolta diretta, servizio di corriere, accompagnamento al trasporto
- Blocco separato dei supporti di dati riservati
- Regolamento sulla realizzazione di copie di dati
- Documentazione dei programmi di recupero e trasmissione
- Distruzione sicura dei documenti e cancellazione dei dati
- Cancellazione sicura dei dati prima dello scambio e del riutilizzo del supporto dati
- Smaltimento del supporto dati secondo DIN66399
- Ingresso protetto al data center per le consegne in entrata e in uscita
Controllo dell'input
Stabilire se e da chi i dati personali sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati.
- Responsabilità definite a livello organizzativo per l'inserimento dei dati
- Concetto di autorizzazione basato sui ruoli
- Registrazione degli input (dati modificati, utenti che hanno modificato i dati)
- Proteggere i protocolli da accessi non autorizzati
- L'elaborazione dei supporti informatici forensi viene effettuata solo sulle copie di lavoro, mentre i supporti originali vengono conservati in una busta per le prove.
- Sistemi di valutazione dei protocolli
- Principio dei quattro occhi per i dati particolarmente sensibili
3. Disponibilità e resilienza (art. 32 par. 1 lett. b del GDPR)
Controllo della disponibilità
Protezione contro la distruzione o la perdita accidentale o intenzionale.
- Sistemi di rilevazione di fuoco e fumo
- Estintore per sala server
- Climatizzazione della sala server
- Monitoraggio della temperatura della sala server
- Utilizzo di sistemi RAID
- Concetti di backup e ripristino
- Test regolari di recupero dati
- Gruppo di continuità (UPS)
- Protezione dai virus
- Firewall
- Protezione contro il "codice maligno
- Canali di segnalazione definiti (anche con il fornitore di servizi)
- Piani di emergenza
Ripristino rapido (art. 32 par. 1 lett. c del GDPR).
- Concetti di backup e ripristino
- Garantire un rapido approvvigionamento di hardware da parte di acquisti/partner.
4. Procedura di riesame e valutazione periodica (art. 32 par. 1 lett. d del GDPR; art. 25 par. 1 del GDPR)
Gestione della protezione dei dati
- Sistema di gestione della protezione dei dati
- Impegno dei dipendenti alla riservatezza
- Politiche e concetti di sicurezza e protezione dei dati (tra cui politica di sicurezza delle informazioni, politica delle risorse umane, concetto di gestione della protezione dei dati, sintesi della sicurezza delle informazioni).
- Gestione della risposta agli incidenti, piani di emergenza
- Risikobewertung
- Notfallpläne
Impostazioni predefinite favorevoli alla protezione dei dati (art. 25 par. 2 del GDPR)
- Valutazione del rischio
- Piani di emergenza
Controllo degli ordini
Ai sensi dell'articolo 28 del GDPR, non viene effettuato alcun trattamento dei dati dell'ordine in assenza delle corrispondenti indicazioni del Cliente .
- Contratti per il trattamento commissionato (art. 28 DSGVO)
- Progettazione di contratti chiari con le aziende partner
- gestione formalizzata degli ordini
- Selezione rigorosa dei fornitori di servizi
- Trasporto sicuro del vettore dati da parte di fornitori di servizi appropriati
- Obbligo di condanna preventiva
- Controlli di follow-up
- Cancellazione sicura dei dati al termine del lavoro
- Processi standardizzati per l'elaborazione dei dati degli ordini
- Processo di gestione del cambiamento standard (secondo ITIL)
- Monitoraggio dei processi
5. Ulteriori commenti/riferimenti/documenti
- Certificazione di KLDiscovery Ontrack GmbH secondo la norma ISO 27001
- Certificazioni di terze parti (ad es. centri dati secondo la norma ISO 27001)
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.kldiscovery.com/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
|
Start date |
|
|
The Parties |
Exporter (who sends the Restricted Transfer) |
Importer (who receives the Restricted Transfer) |
|
Parties’ details |
Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order |
Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
|
Key Contact |
Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order |
Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
|
Signature (if required for the purposes of Section 2) |
Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order |
Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
|
Addendum EU SCCs |
The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
|
Ending this Addendum when the Approved Addendum changes |
Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG
Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen:
1. Die Vertragsparteien vereinbaren, den GDPR-Standard für alle Datenübermittlungen zu übernehmen.
2. Verweise auf die GDPR sind als Verweise auf das DSG (bzw. nach dessen Inkrafttreten auf das revFADP") zu verstehen.
3. Bis zum Inkrafttreten der revDSG sind auch die Daten von juristischen Personen durch diese DSGVO und das SCC geschützt.
4. Aufsichtsbehörde: (a) wenn die Datenübermittlung ausschließlich dem DSG oder dem revDSG unterliegt: die zuständige Aufsichtsbehörde ist der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ("EDÖB"); oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: die zuständige Aufsichtsbehörde ist der EDÖB für Datenübermittlungen, die unter das DSG oder die revDSG fallen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen, die unter die DSGVO fallen;
5. Anwendbares Recht für vertragliche Ansprüche nach Ziff. 17 SCC: (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Schweizer Recht; oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht; oder (c) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht.
6. Gerichtsstand für Klagen zwischen den Parteien gemäß Klausel 18 b SCC : (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Zürich, Schweiz; oder (b) wenn die Datenübermittlung sowohl unter die DSGVO als auch unter das DSG fällt: Stuttgart, Deutschland
Im Zusammenhang mit der gerichtlichen Zuständigkeit für Ansprüche, die sich aus diesem SCC ergeben, ist der Begriff "Mitgliedstaat" nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.
|
APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION
In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply:
1. The Parties agree to adopt the GDPR standard for all data transfers.
2. References to the GDPR are to be understood as references to the FADP (respectively, once it entered into force, to the “revFADP”).
3. Before the revFADP enters into force, data pertaining to legal entities are also protected by this DPA and the SCC.
4. Supervisory authority: (a) where the data transfer is exclusively subject to the FADP or revFADP: the competent supervisory authority is the Swiss Federal Data Protection and Information Commissioner (“FDPIC”); or (b) where the data transfer is subject to both the GDPR and the FADP: the competent supervisory authority is the FDPIC for data transfers governed by the FADP or revFADP, and the competent EU supervisory authority for data transfer governed by the GDPR;
5. Applicable law for contractual claims under Clause 17 SCC: (a) where the data transfer is exclusively subject to the FADP: Swiss law.; or (b) where the data transfer is subject to both the GDPR and the FADP: Irish law.
6. Place of jurisdiction for actions between the parties pursuant to Clause 18 b SCC : (a) where the data transfer is exclusively subject to the FADP: Zurich, Switzerland; or (b) where the data transfer is subject to both the GDPR and the FADP: Dublin, Ireland
In the context of jurisdiction for claims arising out of this SCC, the term “Member State” shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland).
|