Generelle vilkår og betingelser for Ibas ONTRACK-datarekonstruksjonstjenester
Vennligst les disse vilkårene nøye før du sender bestillingen din til oss. Disse vilkårene forteller deg hvem vi er, hvordan vi leverer tjenestene til deg, hvordan du og vi kan endre eller avslutte kontrakten, hva du skal gjøre hvis det oppstår problemer og annen viktig informasjon.
1. DISSE VILKÅRENE
1.1 Disse vilkårene ("Vilkårene") regulerer leveransen av varer og tjenester fra Ibas Ontrack AS, heretter kalt "Ontrack", med forretningsadresse i Fjellgata 2, 2212 Kongsvinger, Norge, registrert i Brønøysund Handelsregisteret under organisasjonsnummer 916 791 208.
1.2 Tjenestebeskrivelsen vår for datarekonstruksjonstjenester samt databehandleravtalen, som regulerer behandlingen av personopplysninger i forbindelse med levering av tjenesten vår, er en del av disse vilkårene. Hvis du vil ha mer informasjon om funksjonene og begrensningene i datarekonstruksjonstjenesten vår, kan du lese tjenestebeskrivelsen vår. Personvernforordningen regulerer behandlingen av personopplysninger som kunden oppgir til Ontrack i forbindelse med datarekonstruksjon.
1.3 For informasjon om hvordan vi som ansvarlig part samler inn, behandler og lagrer personopplysninger, se vår personvernerklæring.
1.4 Kundens eller tredjeparters vilkår og betingelser er uttrykkelig utelukket og gjelder ikke. Disse vilkårene og betingelsene for tjenestebeskrivelsen og personvernforordningen gjelder også for alle fremtidige forretningsforbindelser, selv om de ikke er uttrykkelig avtalt på nytt.
1.5 Tjenestene leveres hovedsakelig i vårt laboratorium i Norge. Ontrack har tekniske anlegg og lokasjoner i Europa og USA. Hvis det er nødvendig, gir du herved Ontrack tilgang til data på lagringsenheter fra et hvilket som helst Ontrack-lokasjon, inkludert Storbritannia og USA, for at Ontrack skal kunne levere tjenestene. Se punkt 6.4.
2. KONTAKTINFORMASJON
2.1 Hvordan kontakte oss. Du kan nå oss ved å ringe vår kundeservice på +47 62810100, skrive til oss på vår registrerte kontoradresse eller sende oss en e-post på nor.recovery@ontrack.com
3. TOLKNING
3.1 I disse Vilkårene gjelder følgende definisjoner:
(a) "Bedriftskunde" betyr en kunde som handler på vegne av et foretak, en bransje eller en profesjon. Herunder, et enkeltpersonforetak, et ansvarlig selskap, et aksjeselskap eller en offentlig myndighet;
(b) "Taushetsbelagte Opplysninger" betyr alle opplysninger som den ene Parten utleverer eller kommuniserer til den andre Parten i løpet av Forretningsforholdet, og hvor den mottakende Parten hadde en berettiget forventning, basert på en merking av de relevante opplysningene som konfidensielle eller i god tro basert på opplysningenes art, om at den utleverende Parten hadde en særlig beskyttelsesverdig interesse i å holde de relevante opplysningene konfidensielle.
(c) "Forbruker" betyr enhver fysisk person som inngår en juridisk transaksjon for formål som hovedsakelig verken er kommersielle eller næringsdrivende.
(d) "Kontrakt" har den betydning som er angitt i punkt 4.4;
(e) "Kunde" betyr en Bedriftskunde og/eller en Forbruker;
(f) "Data" betyr data i elektronisk form av enhver art, inkludert "personopplysninger" som definert i EUs personvernforordning (EU 2016/679) og/eller lokale personvernlover;
(g) "Enheter" betyr lagringsmediene dine og, hvis aktuelt, mobiltelefonen eller nettbrettet ditt.
(h) "Gebyr" betyr gebyret du skal betale for Tjenestene som angitt i det aktuelle Tilbudet.
(i) "Lagringsmedier" betyr medier som harddisker, USB-enheter, SSD, minnebrikker, bånd eller andre databærere.
(j) "Tilbud" og "Aksept" er definert i punkt 4.3 og 4.4.
(k) "Tjenestebeskrivelse" betyr de spesifikke prosessene som brukes av Ontrack og som er beskrevet på følgende lenke: https://www.ontrack.com/nb-no/legal/data-recovery-vilkaar#beskrivelse, som blant annet beskriver omfanget og begrensningene for datarekonstruksjonstjenestene vi tilbyr.
(l) "datarekonstruksjonstjenester" (forkortet "tjenester") menes de tjenestene vi leverer til deg som beskrevet i punkt 4 (bestillingsprosessen) og 6 (våre datarekonstruksjonstjenester) i disse vilkårene og i Tjenestebeskrivelsen.
(m) "Nettside" betyr nettstedet vårt på www.ontrack.com eller www.ibas.com.
(n) "Backupmedium" menes en Ontrack-lagrinsmedium som de rekonstruerte dataene er lagret på i kryptert form. Dette er vanligvis en USB-harddisk.
4. BESTILLINGSPROSESSEN (tilbud og aksept)
4.1 Etter en innledende telefonkonsultasjon, innsending av et elektronisk skjema via nettstedet vårt eller e-postkorrespondanse, leverer du utstyret ditt til oss. Ved standard datarekonstruksjon gjennomføres først en evaluering, som er definert i tjenestebeskrivelsen vår. Avhengig av type enhet og type skade kan evalueringen være gratis (med unntak av mobiltelefoner, nettbrett og flash-medier, åpnede harddisker, slettede eller formaterte medier samt vann- og brannskader), med mindre annet er avtalt under bestillingsprosessen. Deretter utfører vi evalueringen (og eventuelt andre datarekonstruksjonstjenester) i henhold til tjenestebeskrivelsen. Når det gjelder mobiltelefoner, nettbrett, åpnede harddisker og flash-medier, samt ved visse typer skader eller hvis evalueringen ikke gir noen informasjon om mulig datarekonstruksjon, vil vi utføre en diagnose mot betaling. I så fall vil du motta en lenke til et tilbud om å utføre en diagnose, som du må godkjenne elektronisk for å gi oss i oppdrag å utføre tjenesten.
4.2 Etter evalueringen eller den avgiftsbelagte diagnosen får du en oversikt over i hvilken grad en datarekonstruksjon kan være vellykket. Ved en diagnose får du informasjon om hvilke filer som sannsynligvis kan rekonstrueres. Du finner en forklaring av vurderingskategoriene og den nøyaktige fremgangsmåten i tjenestebeskrivelsen vår. Basert på vurderingen vil du motta et fast pristilbud for datarekonstruksjonen (tilbud på datarekonstruksjon). Du kan vanligvis velge mellom ulike tjenestenivåer i tilbudet om datarekonstruksjon, som er nærmere beskrevet i tjenestebeskrivelsen vår.
4.3 Når du mottar vårt tilbud på datarekonstruksjon, har du følgende valg: (i) godkjenne bestillingen ("tilbud") elektronisk, (ii) be oss om å returnere enhetene dine mot betaling, eller (iii) be oss om å slette dataene dine og/eller destruere enhetene dine; i sistnevnte tilfelle er vi forpliktet til og har rett til å utføre slettingen/destruksjonen uten forsinkelse. Hvis vi ikke mottar en bestilling, en sletteinstruks eller en forespørsel om å returnere utstyret ditt innen 14 (fjorten) kalenderdager fra tilbudsdatoen, sender vi deg en påminnelse via e-post og ber deg om å fortelle oss hvordan du skal gå frem i henhold til alternativene ovenfor. Hvis du ikke svarer på denne påminnelsen, sender vi deg ytterligere 2 (to) påminnelser med 2 (to) ukers mellomrom. Hvis du igjen unnlater å svare på disse påminnelsene og instruere oss om hva vi skal gjøre med utstyret ditt, vil vi avhende utstyret ditt (inkludert dataene dine) i samsvar med gjeldende lovgivning.
4.4 Vi aksepterer bestillingen din (dvs. tilbudet ditt i henhold til punkt 4.3) ved å sende deg en ordrebekreftelse per e-post ("Aksept"), som skaper en juridisk bindende kontrakt mellom deg og oss ("Kontrakt"), som inneholder alle bestemmelser i henhold til Tilbudet, Tjenestebeskrivelsen, Personvernforordningen og disse Vilkårene. Vi tildeler bestillingen din et ordrenummer. Det vil hjelpe oss hvis du kan oppgi ordrenummeret når du kontakter oss.
5. SENDING AV SKADEDE LAGRINGSMEDIER OG -ENHETER OG RETUR AV LAGRINGSMEDIER OG -ENHETER OG SIKKERHETSKOPIERINGSMEDIER
5.1 Du har følgende alternativer for å levere enhetene dine til oss: (i) du kan levere lagringsmediene dine personlig i våre forretningslokaler i åpningstiden (forhåndsvarsel kreves); (ii) du kan ordne en budtjeneste etter eget valg for egen regning; eller (ii) du kan levere lagringsmediene dine på et av våre innleveringssteder (en liste over innleveringssteder finner du på https://www.ontrack.com/nb-no/kontakt - Lokale innleveringssteder i Norge), og hvis du velger dette alternativet, vil Ontrack gi deg instruksjoner om emballering av enhetene dine. Alternativt tilbyr Ontrack en tredjeparts hentingstjeneste ved å velge alternativet "Henting og levering" under bestillingsprosessen. Ontrack sender deg en forsendelsesetikett for pakken din sammen med pakkeinstruksjoner og informerer deg om hvor du kan levere mediene dine for henting av tredjepartsbudet.
5.2 Vi tar kun imot databærere og - med unntak av de enhetene som er definert ovenfor - ikke komplett maskinvare (f.eks. bærbare og stasjonære datamaskiner). Vennligst fjern databærerne (harddisk, SSD osv.) fra maskinvaren. Mobiltelefoner og nettbrett er ikke omfattet av dette.
5.3 Alle lagringsmedier skal pakkes i samsvar med instruksjonene på https://www.ontrack.com/nb-no/artikler/pakketips, da Ontrack ikke kan holdes ansvarlig for eventuelle skader på utstyret ditt under transport hvis pakkene er feilpakket.
5.4 Etter diagnostisering eller rekonstruksjon (se punkt 4) sender vi sikkerhetskopimediene til adressen din ved hjelp av en anerkjent kurertjeneste. Forsendelsen av sikkerhetskopimediene har en fraktkot på 375 NOK (inkl. Mva.), med mindre annet er avtalt i kontrakten. Ta kontakt med Ontrack før du fullfører bestillingen hvis du ikke ønsker at Ontrack skal returnere sikkerhetskopiene med bud. Du kan også bruke en budtjeneste etter eget valg for egen regning, for eksempel, eller hente sikkerhetskopimediene personlig i våre forretningslokaler i åpningstiden (etter avtale).
5.5 Kostnadene for retur av utstyret ditt er basert på informasjonen i det respektive tilbudet. Du vil bli informert om de nøyaktige kostnadene i løpet av bestillingsprosessen.
6. VÅRE TJENESTER FOR DATAREKONSTRUKSJON
6.1 Til gjengjeld for din betaling av gebyret vil vi levere tjenestene med rimelig omhu og dyktighet. Våre tjenester for datarekonstruksjon omfatter vanligvis følgende tjenester: Evaluering og/eller diagnose samt - om mulig - rekonstruksjon av data. Du finner en detaljert beskrivelse av disse tjenestene i vår tjenestebeskrivelse. Tjenestebeskrivelsen er en del av disse vilkårene.
6.2 Når vi undersøker enhetene, vil vi ta rimelige forholdsregler for å avgjøre: (i) hvilke data på enhetene som er tilgjengelige og kan rekonstrueres, (ii) hvilke skader på enhetene og/eller datastrukturer som kan identifiseres, (iii) hvor mye data (om noen) på enhetene som sannsynligvis kan rekonstrueres, og (iv) gi deg råd om de forventede resultatene av å rekonstruere data fra enhetene. Våre tjenester for datarekonstruksjon kan omfatte datarekonstruksjon i laboratoriet, ved hjelp av programvareløsninger og, for bedriftskunder, ved hjelp av ekstern(RDR) datarekonstruksjon.
6.3 Vi vil gjøre det vi med rimelighet kan for å: (i) rekonstruere dataene dine og gi deg de rekonstruerte dataene på et kryptert sikkerhetskopimedium, eller (ii) utføre andre tjenester som vi har avtalt skriftlig med deg, for eksempel å slette dataene fra lagringsmediet.
6.4 Vi leverer de fleste av våre tjenester i lokalene til Ibas Ontrack AS i 2012 Kongsvinger, Norge. Vi kan imidlertid også sende enheten din til et søsterselskap i EØS-området eller Storbritannia og Irland. Datagjenoppretting av mobiltelefoner og nettbrett utføres i et av Ontracks europeiske ekspertsentre for mobiltelefoner. I tråd med punkt 1.5 kan vi også være nødt til å få tilgang til dataene dine eksternt utenfor Europa for å kunne levere tjenestene.
6.5 På tidspunktet for kontraktsinngåelsen kan vi bare anslå tidspunktet for når datarekonstruksjonen sannsynligvis vil være fullført. På grunn av tjenestenes art er det ikke mulig å oppgi en spesifikk dato for når datarekonstruksjonen er fullført. Du vil imidlertid bli informert om den estimerte fullføringsdatoen under leveringen av tjenesten. Når du mottar sikkerhetskopimediet som inneholder de rekonstruerte dataene fra Ontrack, ber vi deg umiddelbart sjekke at sikkerhetskopimediet (USB-harddisk eller annen lagringsenhet) fungerer teknisk. Ontrack kan bare reprodusere dine rekonstruerte data i tilfelle feil på sikkerhetskopimediet innenfor vår datalagringsperiode for dine rekonstruerte personopplysninger som angitt i Ontracks databehandleravtale.
6.6 Vær oppmerksom på at vi ikke godtar alle Apple-produkter for datarekonstruksjon. Våre tjenester for datarekonstruksjon omfatter vanligvis ikke datarekonstruksjon fra Apple iMac-enheter eller iPhones/iPads etter en fabrikktilbakestilling. Ta kontakt med vår kundeservice før du sender inn Apple-produkter.
6.7 For enkelte tjenester kan vi kreve visse opplysninger fra deg, for eksempel brukernavn, passord eller tilgangskoder. Hvis du ikke oppgir disse opplysningene innen rimelig tid etter at vi har bedt om det, eller hvis du oppgir ufullstendige eller uriktige opplysninger, kan vi kreve et rimelig tillegg som kompensasjon for det ekstra arbeidet dette medfører. Vi er ikke ansvarlige for forsinkelser eller delvis manglende levering av tjenestene dersom dette skyldes at du ikke har gitt oss den nødvendige informasjonen.
6.8 Vi kan bli nødt til å stanse leveringen av tjenesten for å (i) løse tekniske problemer eller gjøre tekniske endringer eller (ii) oppdatere tjenesten for å gjenspeile endringer i relevante lover og forskrifter. Vi kan også stanse leveringen av tjenestene hvis du ikke betaler etter at vi har gitt deg varsel.
6.9 Vi garanterer ingen suksess innenfor rammen av vår tjenesteyting. Spesielt garanterer vi ikke at alle eller deler av dataene dine vil kunne rekonstrueres eller brukes, at mobiltelefonen eller nettbrettet, hvis relevant, kan brukes i samsvar med det opprinnelige formålet, eller at vi vil oppnå noe annet bestemt resultat.
6.10 Følgende bestemmelse gjelder kun for kunder som er bedriftskunder:
Ekstern datarekonstruksjon. Ved Remote Data Recovery (RDR) kobler vi oss til kundens interne nettverk. Ingen enheter sendes til oss. Ved RDR mottar du en lenke fra oss til et diagnosetilbud, som du må godkjenne elektronisk hvis vi skal utføre oppdraget. Etter diagnosen vil du motta informasjon om hvilke filer som sannsynligvis kan rekonstrueres. På bakgrunn av dette får du et fastpristilbud på datarekonstruksjon (tilbud på datarekonstruksjon). Du kan vanligvis velge mellom ulike servicenivåer i tilbudet om datarekonstruksjon, som er nærmere beskrevet i vår tjenestebeskrivelse.
For ekstern datarekonstruksjon må du laste ned og installere Ontrack RDR-kundeprogramvaren fra lenken du får fra Ontrack. Når RDR-kundeprogramvaren er installert, kan brukeren koble seg til Ontrack via en kryptert internettforbindelse. RDR-tilkoblingen brukes av Ontrack utelukkende til å kjøre Ontracks rekonstruksjonsverktøy direkte på kundens datamaskin. Ontrack bruker RDR-tilkoblingen til å lagre Ontrack Recovery Tools på kundens datamaskin i en beskyttet mappe. Dine data overføres ikke til Ontrack under denne prosessen. Når RDR er fullført, slettes Ontrack Recovery Tools fra kundens datamaskin.
Ontrack garanterer at RDR-kundeprogramvaren (a) er fri for programkode eller programinstruksjoner som bevisst er utformet for å avbryte, deaktivere, skade, forstyrre eller på annen måte negativt påvirke dataprogrammer, filer eller operasjoner, og (b) ikke inneholder annen ondsinnet eller skadelig kode som vanligvis kalles virus eller beskrives med lignende begreper, inkludert trojansk hest, orm eller bakdør.
7. IMMATERIELLE RETTIGHETER
7.1 Ditt utstyr og dine data forblir alltid din eiendom, og vi har ingen eier-, bruks- eller andre rettigheter til dem, bortsett fra retten til å besitte og bruke ditt utstyr og dine data til å levere tjenestene. Du beholder alle immaterielle rettigheter du har til dataene dine.
7.2 Alle immaterielle rettigheter knyttet til levering av tjenestene skal forbli hos Ontrack, inkludert utvikling, opprettelse og levering av tjenestene, oppfinnelser, opphavsrettsbeskyttede verk, metoder, prosesser og kunnskap som brukes til å utvikle eller omfatte tjenestene, sammen med all maskinvare, fastvare, plattformer, programvare og eventuelle modifikasjoner, forbedringer, nye funksjoner eller funksjonalitet opprettet eller brukt av Ontrack som en del av tjenestene ("KLD-IP").
8. TILBAKEKALLINGSRETT
8.1 Dette punkt 8 gjelder kun for forbrukere.
8.2 Du kan når som helst avbryte evalueringen. Hvis du legger inn en bestilling, inkludert eventuelle diagnoser, har du rett til å trekke deg fra denne kontrakten innen fjorten dager uten å oppgi noen grunn. Angrerettsfristen er fjorten dager fra den dagen kontrakten ble inngått.
8.3 For å utøve din angrerett må du varsle Ontrack ved hjelp av en tydelig erklæring (f.eks. ved brev sendt per post, faks, e-post eller telefon) om din beslutning om å trekke deg fra denne kontrakten:
På e-post: nor.recovery@ontrack.com;
På telefon: +47 62810100
per post: Ibas Ontrack AS, Fjellgata 2, 2212 Kongsvinger
8.4 Du kan også bruke angrerettskjemaet i slutten av disse vilkårene. Gyldigheten av angreretten din er ikke avhengig av at du bruker dette angrerettsskjemaet. Vi sender deg en bekreftelse på at vi har mottatt angreretten din uten forsinkelse (f.eks. via e-post).
8.5 For å overholde angrefristen er det tilstrekkelig at du sender meldingen om utøvelse av angreretten før utløpet av angrefristen.
8.6 Hvis du kansellerer kontrakten, må Ontrack returnere alle betalinger Ontrack har mottatt fra deg uten unødig forsinkelse og senest fjorten dager fra den dagen Ontrack mottar melding om din kansellering av denne kontrakten. Ved å godkjenne vår forespørsel om tilbud elektronisk (punkt 4.3), gir du oss uttrykkelig tillatelse til å påbegynne tjenestene umiddelbart. Ved en eventuell oppsigelse etter at tjenestene er påbegynt, vil du være forpliktet til å betale kompensasjon for verdien av tjenestene som er levert frem til dette tidspunktet. Når vi har levert tjenestene i sin helhet, kan du ikke lenger trekke tilbake avtalen, selv om angrefristen ennå ikke er utløpt.
8.7 For tilbakebetaling bruker vi samme betalingsmiddel som du brukte for den opprinnelige transaksjonen, med mindre annet er uttrykkelig avtalt med deg. Du vil ikke i noe tilfelle bli belastet for tilbakebetalingen.
9. INGEN ANGRERETT FOR BEDRIFTSKUNDER
9.1 Bestemmelsen i punkt 8 gjelder ikke for bedriftskunder.
10. OPPSIGELSESRETT
10.1 Uavhengig av andre rettigheter kan tjenesteforholdet sies opp av en av avtalepartene av saklig grunn uten å overholde en oppsigelsesfrist dersom det foreligger forhold som gjør at den oppsigende part, tatt i betraktning alle omstendigheter i det enkelte tilfellet og under avveining av begge avtaleparters interesser, ikke med rimelighet kan forventes å fortsette avtaleforholdet frem til avtalt opphør av avtaleforholdet, særlig hvis:
a) en av partene (i) vesentlig misligholder et vilkår i kontrakten på en måte som ikke kan avhjelpes, eller (ii) hvis et slikt mislighold kan avhjelpes, unnlater å avhjelpe misligholdet innen en periode på 7 (syv) dager etter at parten har fått skriftlig varsel om å avhjelpe det, eller (iii) gjentatte ganger misligholder kontrakten (inkludert disse vilkårene), eller
b) (Ontracks oppsigelsesrett): kunden unnlater å betale vederlaget for datarekonstruksjonstjenestene ved forfall; og/eller
c) en part helt eller delvis opphører (eller truer med å opphøre) med å drive virksomhet, eller det utnevnes en likvidator, bobestyrer eller forvalter for parten eller en del av virksomheten eller eiendelene, eller parten oppløses (med mindre det er i forbindelse med en foreslått solvent fusjon eller rekonstruksjon der den resulterende enheten overtar alle forpliktelser), eller en kompetent domstol utsteder en ordre om insolvens, likvidasjon eller lignende ordre, eller parten inngår et forlik med sine kreditorer, parten er ute av stand til å betale sin gjeld etter hvert som den forfaller, eller, hvis en person blir insolvent.
10.2 Vi (Ontrack) kan si opp kontrakten hvis vi, ved å oppfylle kontrakten, kan bryte gjeldende eksport- og sanksjonslover knyttet til handel med visse selskaper og personer som fastsatt av EU-kommisjonen eller andre nasjonale myndigheter, inkludert USA. Du samtykker i å fremlegge identitetsbevis på forespørsel fra oss med det formål å verifisere om gjeldende eksport- og sanksjonslovgivning gjelder.
10.3 Hvis oppsigelsen skyldes en årsak som Ontrack ikke er ansvarlig for, er kunden forpliktet til å betale det avtalte vederlaget for alle datarekonstruksjonstjenester levert av Ontrack frem til oppsigelsen trer i kraft.
11. GARANTIER OG BEKREFTELSE FRA KUNDEN
11.1 Du erkjenner og garanterer overfor oss at (i) du er juridisk i stand til å inngå bindende kontrakter; (ii) du er fullt ut autorisert, bemyndiget og berettiget til å godta disse Vilkårene og, hvis du er en bedriftskunde, har riktig juridisk myndighet til å inngå kontrakten; (iii) all informasjon du gir oss i forbindelse med bestillingen din er sann, nøyaktig, fullstendig og ikke villedende; (iv) du eier utstyret eller har tillatelse fra eieren av utstyret til at vi kan levere Tjenestene; (v) det er ikke i strid med noen tredjeparts forpliktelser eller rettigheter at du overleverer utstyret eller dataene dine til oss; (vi) det er ikke i strid med gjeldende lov at du overleverer utstyret eller dataene dine til oss; (vii) du har juridisk rett til å gi tilgang til dataene; (viii) utstyret ditt inneholder ikke materiale (for eksempel data) som kan krenke tredjeparts immaterielle rettigheter; og (ix) utstyret ditt inneholder ikke materiale (for eksempel data) som krenker gjeldende lov.
11.2 Vi forbeholder oss retten til (og du erkjenner herved at vi har rett til) å be om dokumentasjon på ditt eierskap, din tillatelse eller juridiske rett til å autorisere tjenestene, og til å stanse eller ikke starte tjenestene dersom slik dokumentasjon ikke foreligger. Du samtykker i å gi oss identitetsdokumentasjon på forespørsel, slik at vi kan verifisere om gjeldende eksport- og sanksjonsbestemmelser gjelder i samsvar med punkt 10.2.
11.3 Du erkjenner og aksepterer herved som en betingelse for kontrakten at utstyret og/eller dataene dine kan bli skadet før vi mottar dem, og at våre anstrengelser for å fullføre tjenestene kan føre til ødeleggelse eller ytterligere skade på utstyret og/eller dataene dine. Vi vil utvise rimelig forsiktighet når vi utfører tjenestene, men vi er ikke ansvarlige for eksisterende eller ytterligere skader som kan oppstå på utstyret eller dataene dine under utførelsen av tjenestene. Dette påvirker ikke bestemmelsene i punkt 13.
12. PRIS OG BETALING
12.1 Prisen for tjenestene er det gebyret som er oppgitt i det respektive tilbudet (inkludert MVA, der det er relevant). Betaling kan skje ved bankoverføring eller kredittkort, betaling via mobiltelefon, eller for bedriftskunder også ved bestilling på konto (ordrenummer).
12.2 Ved forskuddsbetaling med bankoverføring eller kredittkort skal gebyret vanligvis betales før tjenestene påbegynnes (forskuddsbetaling) eller, hvis aktuelt, på det tidspunktet som er angitt i betalingsavtalen som er inngått separat med Ontrack. Hvis du unnlater å betale et beløp som du skylder oss i henhold til avtalen, kan vi beholde utstyret og dataene inntil hele beløpet er betalt. Ved kansellert, forsinket eller manglende betaling vil du motta en første påminnelse (tekstmelding) etter forfall. Hvis betaling ikke er mottatt etter den første påminnelsen, vil du motta en ny påminnelse før vi forbeholder oss retten til å overlate kravet til vårt inkassobyrå. Vi forbeholder oss også retten til å kreve forsinkelsesrenter eller fremsette ytterligere krav.
12.3 Ved betaling med kredittkort sender Ontrack deg en betalingslenke til en sikker tredjeparts betalingsplattform for å godkjenne betalingen og fullføre betalingsprosessen etter at arbeidet er fullført, men før sikkerhetskopien sendes til deg.
12.4 Bedriftskunder vil motta en faktura. Hvis du ikke betaler fakturaen i sin helhet innen den avtalte betalingsfristen, sender vi deg en påminnelse (e-post). Dersom betaling ikke er mottatt etter første purring, vil du motta en ny purring før vi overlater kravet til vårt inkassobyrå. Ved forsinket betaling vil vi kreve forsinkelsesrenter etter lovens satser. Vi forbeholder oss retten til å gjøre ytterligere krav gjeldende (f.eks. for skader som skyldes mislighold).
13. ANSVARSBEGRENSNING
13.1 Erstatningskrav fra kunden er utelukket. Unntatt fra dette er erstatningskrav fra kunden som følge av skade på liv, legeme eller helse eller som følge av brudd på vesentlige kontraktsforpliktelser, samt ansvar for andre skader basert på forsettlig eller grovt uaktsomt pliktbrudd fra Ontrack eller Ontracks juridiske representanter eller stedfortredere. Med vesentlige kontraktsforpliktelser menes forpliktelser som er nødvendige for å oppnå formålet med kontrakten.
13.2 I tilfelle brudd på vesentlige kontraktsforpliktelser skal Ontrack bare være ansvarlig for den påregnelige skaden som er typisk for kontrakten, hvis en slik skade bare skyldes simpel uaktsomhet (dvs. ikke grov uaktsomhet eller forsettlig forsømmelse), unntatt i tilfelle erstatningskrav fra kunden som følge av skade på liv, kropp eller helse. Når det gjelder bedriftskunder, skal Ontrack i alle tilfeller bare være ansvarlig opp til et maksimumsbeløp på NOK 235 000, med mindre skaden ble forårsaket forsettlig eller ved grov uaktsomhet, eller det foreligger ansvar for skade på liv, kropp eller helse. Du (bedriftskunden) erkjenner og er enig med oss (Ontrack) i at det nevnte maksimale ansvarsbeløpet overstiger den påregnelige skaden som er typisk for kontrakten. Ontracks ansvar overfor personkunder er begrenset i samsvar med gjeldende ufravikelig lovgivning.
13.3 Uten at det berører punkt 13.1 ovenfor, er vi ikke ansvarlige for fysisk eller annen skade på eller ødeleggelse av utstyret ditt og dataene dine eller for bortfall av garantier i forbindelse med utstyret ditt i løpet av leveringen av tjenestene våre hvis slik skade, ødeleggelse, forringelse eller bortfall oppstår som følge av utførelsen av tjenestene i samsvar med denne avtalen. Dette gjelder ikke skader som er forårsaket av Ontracks eller våre juridiske representanters eller agenters forsettlige eller grovt uaktsomme pliktbrudd.
13.4 Selv om vi vil gjøre alt vi kan for å ta vare på utstyret eller dataene dine mens de er i vår besittelse, er vi ikke ansvarlige overfor deg hvis utstyret eller dataene dine går tapt, ødelegges, skades eller på annen måte skades som følge av normal slitasje eller på grunn av tjenestenes art uten at det er vår feil.
13.5 Ingen av partene skal være ansvarlig overfor den andre parten, verken i kontrakt, erstatningssak (inkludert uaktsomhet), brudd på lovbestemte plikter eller på annen måte, som oppstår som følge av eller i forbindelse med disse vilkårene eller en kontrakt, for indirekte tap eller skade, tap av fortjeneste, tap av inntekter eller tap av virksomhet.
13.6 Bruk av kurerer. I samsvar med bestemmelsene i punkt 5 skal Ontrack, i tilfelle det originale datamediet sendes av en tredjeparts kurer som er engasjert av Ontrack, kun være ansvarlig i den grad tredjeparts kurer tilbyr kompensasjon. Vilkårene og betingelsene til tredjepartsbudet er (https://www.dhl.com/no-no/home/bunntekst/vilkpr-for-bruk.html).
14. SKADESLØSHOLDELSE
14.1 Du skal holde Ontrack skadesløs for eventuelle krav fra tredjeparter som rettes mot oss som følge av din ulovlige atferd. Denne skadesløsholdelsen gjelder spesielt for krav om brudd på lover om databeskyttelse, konkurranse eller opphavsrett.
14.2 Hvis dine erklæringer i henhold til punkt 11.1 helt eller delvis ikke er korrekte, skal du holde Ontrack skadesløs for alle krav fra tredjeparter som ikke ville ha oppstått hvis dine erklæringer hadde vært korrekte.
14.3 Du holder Ontrack skadesløs mot ethvert krav fra tredjepart basert på det faktum at du ikke er (eneste) eier av enhetene og dataene, at din myndighet til å disponere over enhetene og dataene på annen måte er begrenset, eller at dataene ble samlet inn, opprettet, lagret eller på annen måte behandlet i strid med tredjeparts rettigheter eller på en ulovlig måte.
14.4 I tillegg til skadeserstatning skal skadesløsholdelsen i henhold til dette punkt 14 omfatte bøter samt påviste rimelige saksomkostninger (inkludert kostnader til rettsforfølgelse og forsvar).
15. PERSONVERN
15.1 Informasjon om personvern finner du på følgende lenke på nettstedet vårt: https://www.ontrack.com/nb-no/legal/privacy-policy.
16. HVORDAN VI BEHANDLER PERSONOPPLYSNINGER (REKONSTRUERTE DATA)
16.1 I den grad Ontrack behandler personopplysninger for deg som kunde i forbindelse med datarekonstruksjon, gjelder vår databehandleravtale, som er tilgjengelig på https://www.ontrack.com/nb-no/legal/data-recovery-vilkaar#dpa.
17. KONFIDENSIELL INFORMASJON
17.1 Den overdragende parten har en konfidensiell interesse i den konfidensielle informasjonen som overleveres til den mottakende parten. Den mottakende parten forplikter seg derfor til å behandle den konfidensielle informasjonen som er gitt til den eller på annen måte gjort tilgjengelig for den, strengt konfidensielt og til ikke å gjøre den tilgjengelig for tredjeparter, verken helt eller delvis, med mindre den overdragende parten på forhånd har gitt sitt skriftlige samtykke til utlevering til tredjeparter og tredjeparten har forpliktet seg til å opprettholde konfidensialiteten på en måte som er i samsvar med disse vilkårene.
17.2 Konfidensialitetsforpliktelsene omfatter ikke konfidensiell informasjon som den mottakende parten kan påvise at (a) den allerede var kjent for den mottakende parten før kommunikasjonen, eller (b) den allerede var offentlig kjent, offentlig tilgjengelig og fritt tilgjengelig på tidspunktet for kommunikasjonen til den mottakende parten, eller deretter ble det, eller (c) den ble offentlig kjent etter kommunikasjonen uten at den mottakende parten har gjort noe galt, uten at dette er i strid med disse vilkårene, eller (d) den er i det vesentlige den samme som informasjon som på et hvilket som helst tidspunkt ble offentliggjort eller gjort tilgjengelig for den mottakende parten av en autorisert tredjepart, eller (e) den ble utviklet av den mottakende parten uavhengig av den konfidensielle informasjonen, eller (f) den har blitt uttrykkelig godkjent skriftlig på forhånd av den avgivende parten for offentliggjøring, eller (g) besittelse av, kjennskap til eller besittelse av den er i strid med gjeldende straffelovgivning, eller (h) den må offentliggjøres i henhold til en bindende statlig eller rettslig ordre eller et ufravikelig lovkrav.
18. ANDRE VIKTIGE VILKÅR
18.1 Denne kontrakten er mellom deg og oss. Ingen annen person har rett til å håndheve vilkårene. Hver klausul i disse vilkårene gjelder separat. Hvis en domstol eller relevant myndighet bestemmer at noen av klausulene er ulovlige og/eller ikke kan håndheves, vil de resterende klausulene fortsatt være i full kraft. Hvis vi ikke iverksetter umiddelbare tiltak mot deg i forbindelse med brudd på denne kontrakten, vil dette ikke hindre oss i å gjøre det senere, i den grad det er i samsvar med gjeldende lov.
18.2 Vi kan justere tjenestene for å gjenspeile endringer i relevante lover og forskrifter og for å gjøre mindre tekniske justeringer og forbedringer, for eksempel for å håndtere en sikkerhetstrussel. Disse endringene vil ikke påvirke din bruk av tjenestene. I tillegg kan vi gjøre andre vesentlige endringer i disse Vilkårene eller Tjenestene, men hvis dette skjer, vil vi varsle deg på forhånd, og du kan da si opp Kontrakten før endringene trer i kraft og motta refusjon for eventuelle Tjenester du har betalt for, men ikke mottatt.
18.3 Hvis du er bosatt i EU, kan du sende inn klager via EUs online tvisteløsningsplattform ("plattformen"), som gjør det mulig å løse tvister online. Du finner mer informasjon på plattformen på https://ec.europa.eu/consumers/odr/main/. Ontrack har ikke til hensikt å bruke plattformen til å avgjøre tvister, og du godtar at Ontrack ikke er forpliktet til å bruke plattformen til å løse eventuelle tvister.
18.4 Vilkårene og alle forhold som oppstår i forbindelse med vår levering av tjenestene skal reguleres av norsk lov. I tilfelle en tvist skal de ordinære domstolene i Norge ha jurisdiksjon.
Gyldig fra 1 november 2023
________________________
BILAG
Eksempel på avbestillingsskjema
(Hvis du ønsker å kansellere kontrakten, må du fylle ut og returnere dette skjemaet).
Til
Ibas Ontrack AS
Fjellgata 2
2212 Kongsvinger
Tlf. +47 62810100
E-post noe.recovery@ontrack.com
Emne: Oppsigelse av tjenestekontrakten
Jeg/vi (*) erklærer herved at jeg/vi (*) trekker meg/oss (*) fra min/vår (*) kontrakt om levering av følgende tjeneste (*),
Bestilt den (*)/mottatt den (*),
Navn på forbrukeren/forbrukerne,
Forbrukerens/forbrukernes adresse,
Ontrack-kundenummer,
Forbrukerens/forbrukernes dato og underskrift (kun hvis dette skjemaet sendes inn i papirform),
_______________________________
(*) Stryk det som ikke er relevant.
Ibas Ontrack datarekonstruksjon - Tjenestebeskrivelse
1. Datarekonstruksjon prosess, Ibas Ontracks tjenester og begrensninger
a) Datarekonstruksjon gjennomføres i flere mulige trinn:
- Evaluering - se punkt 2 nedenfor -; eller/og
- Diagnose - se punkt 3 nedenfor -; og
- Datarekonstruksjon etter evaluering eller diagnose – se punkt 4 nedenfor -, eller RDR Remote datarekonstruksjon for bedrifstkunder - se punkt 5 nedenfor.
b) Ibas Ontrack vil rekonstruere så mye data som mulig fra en eller flere skadede lagringsmedier ved hjelp av egnede tiltak. Ibas Ontrack tester ikke brukervennlighet eller kompatibilitet mot applikasjonsprogramvarer eller kunden driftsmiljøer.
c) Det er mulig at slettede og/eller skadede data ikke kan leses selv ved bruk av Ibas sine verktøy og teknologi. Derfor kan ikke Ibas Ontrack garantere at data på skadede lagringsmedier kan gjenopprettes, repareres eller leses.
d) Ibas Ontrack vil undersøke lagringsmedia for å finne ut hva slags skader det er for å rekonstruere data og datastrukturer slik at de sannsynligvis vil være lesbare og brukbare igjen i kundens egnede applikasjoner. For å gjøre dette bruker Ibas Ontrack de høyeste tekniske standarder og proprietære prosesseser, samt programvare og hardware verktøy. På grunn av arten av Ibas Ontracks arbeid med skadede data eller lagringsmedier, er det en generell risiko for at gjenværende data på det skadede lagringsmediet kan tapes eller ødelegges helt eller delvis.
e) Kunden anerkjenner at det er en risiko for at:
- ytterligere data mistes når eksisterende data ikke lenger kan gjenopprettes,
- rekonstruerte data ikke kan brukes av kunden
- informasjonsinnholdet i lagringsmediene vil bli helt eller delvis ødelagt; og
- lagringsmedier, programvarer og andre elementer skades, blir ubrukelige eller ødelegges
2. Evaluering
a) Evaluering er en innledende vurdering av en erfaren datarekonstruksjonsingeniør som evaluerer hvilken skade som kan sees på lagringsmedia for å gi et estimat på mengden av data som kan forventes å bli rekonstruert. Evalueringen kan benyttes for HDD- og SDD-harddisker. Unntatt fra evalueringen er blant annet, mobiltelefoner, nettbrett og flash-medier, samt medier med slettede data, vann- og brannskader og lagringsmedier som allerede er åpnet. Under evalueringen kobles kundens lagringsmedia til Ibas Ontracks egne proprietære systemer og åpnes om nødvendig. I evalueringen blir ingen data kopiert/sikkerhetskopiert (imaged) eller videre analysert. Det produseres ingen liste over rekonstruerbare datasett eller indikasjon på hvilke filer som kan rekonstrueres. Ibas Ontrack gir ikke en skaderapport etter evalueringen.
b) Ibas Ontrack vil informere kunden etter evalueringen om (i) datarekonstruksjon er mulig, (ii) en ytterligere avgiftsbelagt diagnose er nødvendig for å avdekke om en rekonstruksjon kan tilbys samt alternativene for datarekonstruksjon inkludert mengden av data som sannsynligvis kan rekonstrueres (se punkt 3); (iii) eller at skadeomfanget er så omfattende at en datarekonstruksjon ikke kan utføres av Ibas Ontrack.
c) En vurdering av sannsynlig suksess av datarekonstruksjon etter evalueringen er laget på grunnlag av følgende klassiferinger:
- Ekselent – Ibas Ontrack forventer et meget godt resultat hvor 95-100% av rådataene kan rekonstrueres
- Bra - Ibas Ontrack forventer et bra resultat hvor 75-100% av rådataene kan rekonstrueres
- Delvis rekonstruerbar - Ibas Ontrack forventer at opp til 50% av rådata kan rekonstrueres.
- Kompleks – På grunn av skadens kompleksit, gir ikke evalueringen tilstrekkelig informasjon og grunnlag for å kunne tilby en datarekonstruksjon. Derfor anbefaler vi en full diagnose som vil gi svar på om en datarekonstruksjon er mulig samt en oversikt over hva som kan rekonstrueres.
- Kan ikke rekonstrueres - Ibas Ontrack kan ikke rekonstruere data fra denne enheten.
d) Vurderingen av sjansene for suksess for en datarekonstruksjon basert på klassifiseringen ovenfor er ingen garanti for at de oppførte prosentene i punkt 2.c) vil bli oppfylt, ettersom verken fysiske eller datastrukturelle skader repareras i en evaluering.
e) Hvis kunden anmoder om dette, kan Ibas Ontrack, etter evalueringen, utføre en avgiftsbelagt diagnose, som inkluderer, der det er mulig, opprettelsen av Verifile (filliste), som kan vise mengden av data som estimeres å kunne rekonstrueres (se punkt 3 nedenfor). Vær oppmerksom på at det ikke alltid er mulig å gi en filliste i tilfelle ingen data kan rekonstrueres
f) Hvis kunden, på grunnlag av resultatene fra evalueringen, legger inn bestillingen for diagnosen eller datarekonstruksjon (se punkt 4 nedenfor), vil Ibas Ontrack utføre enten diagnosen eller datarekonstruksjon.
g) Kunden kan bestemme seg for ikke å utføre datarekonstruksjonen eller diagnosen etter evalueringen. Hvis kunden anmoder om dette, vil enheten bli returnert til kunden for gebyret som er vist i tilbudsskjemaet. Ellers vil enheten(e) bli slettet og demontert etter 90 dagers karantene. Brukbare deler vil være tilgjengelig for senere rekonstruksjoner, resten deponeres i henhold til gjeldende forskrifter
h) Vær oppmerkson på at behandling under evalueringen kan skade kundens utstyr.
3. Diagnose
a) For rekonstruksjon av data på smarttelefoner, nettbrett eller flash-medier eller i tilfelle spesifikke dataskader, tilbyr Ibas Ontrack en avgiftsbelagd diagnose (og ikke evaluering). Ibas Ontrack kan også anbefale en diagnose etter at evalueringen er utført, spesielt ved kompleks skade. Diagnosen kan også bes om uten evalueringen.
b) Diagnosen vil avdekke typen og omfanget av skaden, samt en eksakt beskrivelse av mulighetene for en datarekonstruksjon på lagringsmedia levert av kunden og mengden av filer/data som sannsynligvis kan rekonstrueres. Ibas Ontrack vil gi kunden tilgang til en proprietær plattform som lar kunden spore statusen samt gi kunden en filliste (Verifile) hvis datarekonstruksjon er mulig. I noen tilfeller, kan Ibas Ontrack ikke få tilgang til data og kan derfor ikke levere en filliste (Verifile).
c) Filliste (Verifile) inneholder en indikasjon på kvaliten av dataene, da det gjelder brukbarheten i trafikklyssystemet:
- Grønn – dataene vil mest sannsynlig virke eller åpne seg i den respektive applikasjonen.
- Gul – dataene eller filene er delvis skadet – dette kan bety at filene ikke kan åpnes og redigeres i den respektive applikasjonen. Det kan være mulig å reparere de skadede filene, men Ibas Ontrack tilbyr ikke reparasjon. Ibas Ontrack kan kontakte deg direkte dersom slik tjeneste kan tilbys av Ibas Ontrack i det tilfellet.
- Rød – dataene eller filer er korrupte – det vil antagelig resultere i at filene ikke kan åpnes og redigeres i den respektive applikasjonen
d) Det er ikke mulig for Ibas Ontrack å garantere brukbarheten av data med kunden sin respektive applikasjoner som en del av diagnosen. Ibas Ontrack ingeniører vil gi veiledning til den generelle statusen til rekonstruerte data, men disse antagelsene kan imidlertid ikke garanteres på grunn av andre årsaker til skade som ikke kan identifiseres. Dette gjelder i det spesielle tilfellet for databasefiler av alle typer. Importen av datasettene I henhold til den nyeste teknologien til den respektive databaseprogramvaren og applikasjonen og konsultasjon av ytterligere eksperter er kundens eget ansvar. Ibas Ontrack vil støtte kunden og oppdragsentreprenører så langt det er mulig.
e) Det er spesielle datatapsituasjoner der fargene i fillisten (Verifile) ikke har noen betydning. Ved slike alvorlige strukturelle skader garanterer ikke Ibas Ontrack for funksjonaliteten til filene. Hvis et slikt tilfelle eksisterer, er dette angitt i diagnoseresultat.
f) Diagnose utføres i Ibas Ontrack sin laboratorium. Vi sender vanligvis mobiltelefoner og nettbrett til et av Ontracks europeiske ekspertsentre for mobiltelefoner.
g) Avhengig av type lagringsmedia, kan diagnosen føre til overføring av data til et annet lagringsmedium og den opprinnelige enheten skades ytteligere.
h) Dersom Kunden legger inn en bestilling for datarekonstruksjon basert på resultatene av diagnosen (se punkt 4 nedenfor), vil Ibas Ontrack utføre datarekonstruksjon.
i) Kunde kan velge may decide not to perform the data recovery after the diagnosis. At the request of the Customer, the Customer's media will then be returned to the Customer for the fee specified in the Quotation Form. Otherwise, the media will be securely disposed of.
j) Kunde kan velge å ikke utføre datarekonstruksjon etter diagnosen. På forespørsel fra Kunden vil kundens medier deretter bli returnert til kunden for gebyret spesifisert i tilbudsskjemaet. Ellers vil enheten(e) bli slettet og demontert etter 90 dagers karantene. Brukbare deler vil være tilgjengelig for senere rekonstruksjoner, resten deponeres i henhold til gjeldende forskrifter.
4. Datarekonstruksjon etter diagnosen eller evalueringen
a) Tilbud på datarekonstruksjon etter evalueringen
Evalueringsresultater blir sendt sammen med et tilbud på datarekonstruksjon. Bare den forventede suksessvurderingen Ekselent/Bra/Delvis/Kompleks blir overført.
Tilbud på datarekonstruksjon inneholder datarekonstruksjonspris i forhold til tjenestenivåene (se punkt c.), som viser behandlingstiden den respektive datarekonstruksjonsprosessen og sendes til kunden som beskrevet i vår salgs og leveringsbetingelser.
b) Tilbud på datarekonstruksjon etter diagnosen
Etter diagnosen vil Ibas Ontrack sende Verifile listen til kunden, der det er mulig, og informere kunden om hvor lang tid datarekonstruksjonprosessen kan ta og hva kostnadene for en datarekonstruksjon vil bli. Kunden vil motta et datarekonstruksjonstilbud som beskrevet i våre vilkår og betingelser, som vil inkludere datarekonstruksjonsprisen i forhold til tjenestenivåene (se punkt c.) som angir behandlingstiden for den respektive datarekonstruksjonsprosessen.
c) Tjenestenivåer
Ved bestilling av datarekonstruksjon kan kunden velge mellom følgende tjenestenivåer basert på hvor mye det haster:
- Emergency
Oppdraget starter umiddelbart etter mottak av bestilling og pågår kontinuerlig(24/7) til oppdraget er fullført.
- Express
Oppdraget starter umiddelbart etter mottak av bestilling, fra mandag til fredag mellom 08:00 og 16:00. Normal behandlingstid er 3-5 dager.
- Standard
Oppdraget utføres innenfor normal arbeidstid, fra mandag til fredag mellom 08:00 og 16:00. Normal behandlingstid er 7-10 virkedager.
- Economy
Oppdraget utføres innenfor normal arbeidstid, fra mandag til fredag mellom 08:00 og 16:00. Normal behandlingstid er opp til 20 virkedager.
- Home
Oppdraget utføres innenfor normal arbeidstid, fra mandag til fredag mellom 08:00 og 16:00. Normal behandlingstid er opp til 30 virkedager.
d) Bestilling av data rekonstruksjon
Kunden godtar tilbudet om datarekonstruksjon som beskrevet i våre salgs og leveringsbetingelser.
Hvis kunden bestemmer seg for ikke å utføre datarekonstruksjonen på grunnlag av evalueringsresultatene eller fillisten (verifle), anses bestillingen som kansellert. På kundens forespørsel vil datamediet bli returnert til kunden for det gebyret som er spesifisert i tilbudsskjemaet. Ellers vil enheten(e) bli slettet og demontert etter 90 dagers karantene. Brukbare deler vil være tilgjengelig for senere rekonstruksjoner, resten deponeres i henhold til gjeldende forskrifter
e) Gjennomføring av datarekonstruksjonen
Hvis kunden legger inn en bestilling for datarekonstruksjon basert på tilbudet for datarekonstruksjon etter å ha gjennomgått resultatene av evalueringen eller/og diagnosen, vil Ibas Ontrack utføre datarekonstruksjonen. Kunden mottar dataene som kunne rekonstrueres av Ibas Ontrack. Etter en diagnose er dette vanligvis dataene som vises i fillisten (Verifile).
Dataene som rekonstrueres av Ibas Ontrack lagres på en bærbar lagringsenhet og sendes til kunden. I tillegg til det leveranse mediet som inneholder de rekonstruerte dataene, kan Ibas Ontrack returnere det skadede mediet hvis kunden ber om det på tidspunktet for bestilling av datarekonstruksjon, med forbehold om betaling av returfrakt spesifisert i tilbudet. På kundens forespørsel, etter 90 dagers karantene, vil enheten(e) bli slettet og demontert. Brukbare deler vil være tilgjengelig for senere ombygginger, resten deponeres i henhold til gjeldende forskrifter
f) Avvik i resultatet for datarekonstruksjon
I tilfelle mengden av rekonstruerte data er betydelig mindre enn mengden rekonstruerbare data anslått i evalueringen, der ingen filliste tidligere er bestilt, vil en filliste(Verifile) bli gitt til kunden uten ekstra kostnad for å hjelpe med beslutningen om å fortsette med rekonstruksjonen. Hvis en diagnose tidligere har blitt bestilt og levert, vil en kunderepresentant ta kontakt med kunden for å diskutere resultatene og kundenes alternativer for datarekonstruksjon.
5 RDR Remote DataRecovery Tjeneste
a) RDR® er en forkortelse for Remote Data Recovery™ ("RDR"). RDR er en patentert technologi, som lar Ibas Ontracks ingeniører utføre en datarekonstruksjon av laboratoriekvalitet direkte på kundens server, stasjonær eller bærbare PC via en internettforbindelse. Det eneste kravet er at lagringsenheten er fysisk ok. Ibas Ontracks RDR består av tre hovedkomponenter:
ii) Kommunikasjon med kunde: Kunden initierer en tilkobling til en Ontrack RDR-server ved å bruke den spesialutviklede RDR-programvaren. RDR- programmvaren fungerer mot alle typer windows instalasjoner. Diskene/volumene som skal rekonstrueres trenger ikke å være fra et bestemt operativsystem.
ii) RDR-server: Ontrack har flere RDR serverere rundt om i verden.
iii) RDR-arbeidsstasjon: Den brukes av Ibas Ontrack-ingeniører til å fjernstyre verktøyene på kundens maskin og gjenopprette kundens data.
b) Først laster kunden ned den riktige RDR-klient vesjonen og installerer den på serveren, stasjonær eller bærbar datamaskin som skal brukes til rekonstruksjonen. Deretter kobles Ontrack klient-programvaren som en utgående TCP/IP-tilkobling fra kundens plassering til Ontrack-serveren, og skaper en tunnel eller punkt-til-punkt-tilkobling over Internett. Siden tilkoblingen sannsynligvis vil bruke en nettforbindelse, kan den passere gjennom de fleste brannmurer uten ytterligere konfigurasjonskrav. Datasikkerhet er overordnet på grunn av Ontracks proprietære kommunikasjonsprotokoll, krypterte pakker og sikre Ontrack-fasiliteter
RDR beskytter kundedata via RDR-tilkoblingen på fire måter:
- direkte tilkobling til RDR-serveren: Kundeprogramvaren bruker en direkte TCP-tilkobling fra kundens datamaskin til Ontrack RDR-serveren. RDR bruker ikke et tredjeparts hosting produkt.
- kryptering: Konunikajons linken benytter 256 bit kryptering på alle pakker.
- Proprietær protokoll: RDR-kommunikasjon bruker en proprietær protokoll, men ikke HTTP eller vanlige protokoller som andre vil forstå.
- ingen kundedata overføres over forbindelsen: RDR-forbindelsen brukes kun av Ontrack-ingeniøren til å fjernstyre Ontrack-verktøy direkte på kundens maskin. Kun skjermoppdateringer og tastaturpakker sendes over tilkoblingen, men ikke faktiske kundedata. Ontrack-ingeniøren benytter rekostruksjons verktøyene for filsystemstrukturer for å rekonstruere kunde data og gjøre de tilgjengelige for kunden.
c) Så snart tilkoblingen er opprettet og oppdraget er bestilt, starter enten diagnosen, eller rekonstruksjonsprosessen.
Status: November 2023
Databehandleravtale
Denne databehandlingsavtalen er en del av de generelle vilkårene og betingelsene for Ontracks datarekonstruksjonstjenester og gjelder for: (i) Ibas Ontrack AS med registrert kontoradresse på Fjellgata 2, 2212 Kongsvinger, Norway ("Ontrack"); og (ii) den aktuelle kunden som bestiller Ontracks datarekonstruksjonstjenester i henhold til de gjeldende forretningsvilkårene for tjenesten ("vilkårene"). Partene har avtalt at vilkårene i denne Databehandleravtalen skal gjelde for Behandlingen av Personopplysninger (som definert nedenfor) som er nødvendige for at Ontrack skal kunne utføre tjenestene for den aktuelle Kunden.
Definisjoner
I denne Databehandleravtalen:
Ansatte |
alle nåværende, tidligere eller fremtidige ansatte, konsulenter, midlertidig ansatte, innleid arbeidskraft, praktikanter, andre ansatte uten fast ansettelse, leverandører, utlånte ansatte eller annet personale; |
Behandling |
skal ha samme betydning som angitt i Gjeldende lovgivning (og beslektede begrep, slik som behandle, har tilsvarende betydninger); |
Behandlingsansvarlig |
skal ha samme betydning som angitt i Gjeldende lovgivning; |
Brudd på personopplysningssikkerheten |
betyr ethvert brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av, eller tilgang til, Personopplysninger; |
Databehandler |
skal ha samme betydning som angitt i Gjeldende lovgivning; |
Den registrerte |
skal ha samme betydning som angitt i Gjeldende lovgivning; |
Forespørsel fra den registrerte |
betyr en forespørsel fra den registrerte om å utøve rettigheter den registrerte har under Gjeldende lovgivning; |
GDPR |
betyr EUs Generelle Personvernsforordning (EU) 2016/679; |
Gjeldende lovgivning |
betyr all gjeldene personvernlovgivning som er bindende for Kunden, Ontrack og/eller i forhold til tjenestene, inkludert: (i) GDPR og/eller eventuelle tilsvarende nasjonale lover eller forskrifter; og (ii) i EU-stater, alle relevante lover og forskrifter som påvirker eller tilsvarer GDPR. |
Personopplysninger |
har samme betydning som angitt i Gjeldende lovgivning; |
Tilsynsmyndighet |
betyr alle lokale, nasjonale eller multinasjonale organ, avdelinger, tjenestemenn, parlamenter, statlige eller lovbestemte autoritetspersoner eller alle offisielle eller faglige organ, regulatoriske myndigheter eller tilsynsmyndigheter, styrer eller andre organ ansvarlige for å forvalte Gjeldende lovgivning: og |
Underleverandør |
betyr en annen databehandler engasjert av Ontrack på vegne av den annen Part for å utføre behandlingsaktiviteter med hensyn til Data. |
Bestemmelser vedrørende databehandling
1. Databehandler og behandlingsansvarlig
1.1 Partene er enige om at med hensyn til Personopplysninger skal Kunden være Behandlingsansvarlig og Ontrack Databehandler. Det bekreftes at Kunden alene har ansvar for Personopplysningenes nøyaktighet, kvalitet, integritet og pålitelighet, og hvordan Personopplysningene innhentes.
1.2 Kunden garanterer og innestår for at (i) alle Personopplysninger som benyttes i forbindelse med tjenestene i henhold til Avtalen overholder Gjeldende lovgivning i alle henseender; (ii) alle instrukser gitt til Ontrack i forbindelse med Personopplysninger til enhver tid er i samsvar med Gjeldende lovgivning; (iii) at den har innhentet alle nødvendige samtykker fra De registrerte eller at den ellers har det nødvendige rettslige grunnlaget for å kunne gi Personopplysningene til Ontrack; og (iv) at den vil overholde vilkårene i denne Databehandleravtalen.
1.3 Ontrack garanterer og innestår for at de vil: (i) behandle Personopplysninger bare i den grad det er nødvendig i forbindelse med Avtalen; og (ii) behandle Personopplysninger i henhold til Kundens dokumenterte instrukser og kravene i Gjeldende lovgivning; (iii) umiddelbart informere Kunden hvis Ontrack anser at Kundens instrukser bryter Gjeldende lovgivning, og/eller hvis Ontrack ikke er i stand til å etterleve Kundens instrukser med hensyn til Behandlingen av Personopplysninger (om det er et resultat av en lovendring, eller en endring i Kundens instrukser); og (iv) oppfylle vilkårene i denne Databehandleravtalen.
1.4 Innenfor rammen av den bestilte behandlingen skal alle opplysninger som kunden overleverer, behandles. Kategoriene av personopplysninger og kategoriene av registrerte er kjent for kunden og er spesifisert for databehandleren hvis dette er nødvendig i forbindelse med bestillingen. Når det gjelder datagjenvinning, er det vanligvis ikke relevant for databehandleren å kjenne til innholdet i kundeopplysningene.
2. Instrukser og beskrivelse av behandlingen
2.1 Behandlingen av Personopplysninger som utføres av Ontrack under denne Databehandleravtalen omfatter Behandling som er nødvendig for at Ontrack skal kunne utføre tjenestene.
3. Tekniske og organisatoriske tiltak
3.1 Ontrack skal treffe og opprettholde, for egen regning, egnede tekniske og organisatoriske tiltak i forbindelse med Behandlingen og sikkerheten til Personopplysningene i henhold til Gjeldende lovgivning, og spesielt i henhold til GDPR artikkel 32-34. Ontrack skal sørge for at slike tekniske og organisatoriske tiltak er tilpasset de spesielle risikoene Behandlingsaktivitetene representerer, spesielt for å beskytte Personopplysningene mot utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering, eller tilgang.
3.2 Ontracks tekniske og organisatoriske tiltak på datoen for denne databehandleravtalen er beskrevet i vedlegg 2.
4. Bruk av Ansatte og Underleverandører
4.1 Kunden godtar at Ontrack benytter Underleverandører. På forespørsel fra Kunden skal Ontrack oppgi Underleverandørenes identitet og lokalisering. Før Ontrack gir opplysninger videre til slike godkjente Underleverandører skal Ontrack ha på plass en skriftlig avtale med Underleverandøren som oppstiller tilsvarende forpliktelser som i Databehandleravtalen. Uten hensyntagen til det som er i strid med Databehandleravtalen, bekreftes og aksepteres det at Ontrack er fullt ansvarlig overfor Kunden for oppfyllelse av Underleverandørens forpliktelser. Ontrack skal informere Kunden om eventuelle planlagte utskiftninger av og endringer i Underleverandører og gi Kunden en rimelig mulighet til å, på rimelig grunnlag, motsette seg slike endringer eller utskiftninger.
4.2 Godkjente underleverandører på datoen for denne Databehandleravtalen er angitt i vedlegg 1.
4.3 Ontrack skal sikre at Ansatte som har tilgang til Personopplysningene er pålitelige, og sørge for at behandling kun foregår når det er strengt nødvendig for tjenestene, at de er fullt klar over hvilke tiltak som må treffes og skrittene som må tas med hensyn til Gjeldende lovgivning når Personopplysningene behandles, og sørge for at de har forpliktet seg til å beskytte konfidensialiteten til Personopplysningene ved en egnet taushetserklæring (enten ved skriftlig avtale eller på annet vis).
5. Bistand med kundens etterlevelse og De registreres rettigheter
5.1 Ontrack skal straks videresende alle forespørsler fra De registrerte til Kunden. Ontrack skal yte slik rimelig bistand som Kunden med rimelighet krever (med hensyn til Behandlingens art og informasjon som er tilgjengelig for Ontrack) for å sikre overholdelse av Kundens forpliktelser i henhold til Gjeldende lovgivning med hensyn til: (i) sikkerheten til Behandlingen; (ii) vurdering av personvernkonsekvenser (slik begrepet er definert i Gjeldende lovgivning); (iii) forhåndskonsultasjon med en Tilsynsmyndighet angående høyrisikobehandling; og (iv) varsler til Tilsynsmyndigheten og/eller kommunikasjon til De registrerte fra Kunden som svar på eventuelle brudd på Personvernsikkerheten. Der slik bistand er uforholdsmessig sett opp mot Ontrack' tid og ressurser, skal Kunden betale Ontrack for å yte slik bistand.
6. Internasjonale dataoverføringer
6.1 Kunden erkjenner at Ontrack, på datoen for denne databehandleravtalen, kan behandle personopplysninger i Storbritannia, Europa og USA i løpet av avtalens løpetid.
6.2 Kunden erkjenner at når det gjelder personopplysninger som er underlagt Data Protection Act 2018 (Storbritannia), har Ontrack tillatelse til å behandle alle eller deler av personopplysningene innenfor Det europeiske økonomiske samarbeidsområdet ("EØS") i henhold til paragraf 5(1)(a) i Sch.21 i Data Protection Act 2018. I tillegg har Storbritannia mottatt en beslutning om tilstrekkelig beskyttelsesnivå datert 28. juni 2021 fra EU-kommisjonen i henhold til artikkel 45(3) i personvernforordningen, som bekrefter at overføringer kan finne sted uten at det er nødvendig å innhente ytterligere tillatelse ("beslutning om tilstrekkelig beskyttelsesnivå"). Hvis avgjørelsen om tilstrekkelig beskyttelsesnivå utløper eller på annen måte erklæres ugyldig, skal partene ta i bruk EUs standardkontraktsklausuler for behandlingsansvarlige til databehandlere som gjelder på det aktuelle tidspunktet for å sikre at Ontrack behandler personopplysninger i samsvar med regelverket i Storbritannia.
6.3 Når det gjelder overføring av personopplysninger til USA, er partene enige om at standardkontraktsbestemmelsene for 2021 mellom behandlingsansvarlig og databehandler (modul 2) som er godkjent av EU-kommisjonen, med gjeldende endringer i henhold til S119A(1) i databeskyttelsesloven 2018, og i samsvar med kravene i den sveitsiske føderale loven om databeskyttelse av 19. juni 1992 ("FADP") og, etter ikrafttredelse, i samsvar med art. 16(2)(d) i EUs personvernforordning. 16(2)(d) i den fremtidige reviderte føderale loven om databeskyttelse av 25. september 2020 ("revDSG"), lenket her, ("standardkontraktsklausuler") er innlemmet ved henvisning i denne databehandleravtalen, og at alle overføringer skal være underlagt vilkårene i standardkontraktsklausulene. Hvis standardkontraktsklausulene endres, oppheves eller erstattes av EU-kommisjonen eller i henhold til gjeldende personvernlovgivning, skal partene samarbeide i god tro for å inngå en oppdatert versjon av dataoverføringsmekanismen, eller for å forhandle frem en alternativ løsning for å muliggjøre overføringer av personopplysninger til USA i samsvar med regelverket.
6.4 På de vilkår som er angitt i dette punkt 6 "Internasjonale dataoverføringer", godkjenner kunden overføring av personopplysninger til USA. Kundens samtykke til overføring av personopplysninger til USA kan trekkes tilbake når som helst, men i så fall erkjenner kunden at Ontrack kanskje ikke kan fullføre bestillingen og/eller utføre tjenestene hvis kunden trekker tilbake samtykket til overføring av personopplysninger.
7. Protokoller, informasjon og revisjon
7.1 Ontrack skal opprette, og føre komplette og nøyaktige, protokoller over behandlingsaktiviteter.
7.2 Kunden har rett til å utføre revisjon av Ontrack, begrenset til én gang per kalenderår og med et skriftlig varsel på minimum 30 (tretti) dager. Revisjonen må gjennomføres i løpet av vanlig arbeidstid og er underlagt rimelige taushetserklæringer. Kunden skal få tilgang til å ta kopier av nevnte protokoller over behandlingsaktiviteter. Ontrack skal yte rimelig bistand når Kunden utøver revisjonsretten. Revisjonsretten skal ikke utvides til å gjelde eventuelle tredjepartsdatasentre eller andre tredjepartsfasiliteter som huser eventuelt serverutstyr, der kun visuell inspeksjon og inspeksjon med følge er tillatt.
7.3 Ontrack skal, på Kundens forespørsel og for Kundens regning, gi Kunden all informasjon som er nødvendig for å sette Kunden i stand til å bevise overholdelse av sine forpliktelser i samsvar med GDPR, i den grad Ontrack kan gi slik informasjon.
8. Varsel om brudd
8.1 Dersom det har vært et brudd på personopplysningssikkerheten og det er høy risiko for fysiske personers rettigheter og friheter, skal Ontrack, uten ugrunnet opphold: (i) varsle Kunden om bruddet på personopplysningssikkerheten; og (ii) gi Kunden nærmere informasjon om bruddet.
9. Sletting eller retur av Personopplysninger og kopier
9.1 På Kundens skriftlige forespørsel eller ved utløpet av interne oppbevaringsperioder skal Ontrack slette eller tilbakelevere alle til kunden alle Personopplysninger i det formatet Kunden forespør innen rimelig tid etter det tidligste av: (i) avslutningen av de relevante tjenestene knyttet til Behandling i henhold til Avtalen eller (ii) når Behandling av Personopplysningene ikke lenger er nødvendig for at Ontrack skal oppfylle Databehandleravtalen. I disse tilfellene skal også eksisterende kopier slettes (med mindre lagring kreves i henhold Gjeldende lovgivning, og i så fall skal Ontrack informere Kunden om slike krav). Ontrack skal sørge for at deres Underleverandører treffer de samme tiltakene med hensyn til Dataene..
9.2 Hvis Personopplysningene forblir i Ontrack' eie eller kontroll i en periode som er lengre enn 12 (tolv) måneder uten aktive instrukser fra Kunden, skal Ontrack slette Personopplysningene.
10. Skadesløsholdelse
10.1 Hver av partene skal holde den andre parten skadesløs fra alle krav, søksmål, forlik, renter, kostnader, prosesser, utgifter, tap og skader som oppstår eller påløpes, tildeles eller avtales betalt som følge av eller i forbindelse med partens manglende overholdelse av Databehandleravtalen og/eller brudd på Gjeldende lovgivning.
11. Ansvar
11.1 Hver Parts totale ansvar under Databehandleravtalen skal ikke under noen omstendighet overstige de kontraktsmessige begrensningene angitt og avtalt i Avtalen.
12. Varighet og opphør
12.1 Med mindre Partene er enige om at avtalen skal opphøre, trer Databehandleravtalen i kraft på den datoen tjenester bestilles i samsvar med Avtalen, og vil være gyldig så lenge Ontrack Behandler Personopplysninger.
13. Lovvalg
13.1 Denne Databehandleravtalen er underlagt lovvalgbestemmelsen i Avtalen.
Dato: 1 september 2023
Vedlegg 1 – Underleverandører og Overføringer
Ontrack-produkt eller forretningssystem |
Navn og plassering av prosessoren |
Datarekonstruksjon (konsernselskaper)
|
KLDiscovery Ontrack Limited Nexus, 25 Farringdon Street, London, EC4A 4AB, United Kingdom
KLDiscovery Ontrack B.V. De Brand 22, 3823 LJ Amersfoort, The Netherlands
Ibas Ontrack AS Fjellgata 2, 2212 Kongsvinger, Norway
KLDiscovery Ontrack GmbH Hanns-Klemm-Str. 5, 71034 Böblingen, Germany
KLDiscovery Ontrack Srl Gallarte (VA) Via Marsala 34/A CAP 21013, Italy
KLDiscovery Ontrack Sp. z o.o Katowice (40-082), ul. Jana III Sobieskiego 11, Poland
KLDiscovery Ontrack Sarl 2, impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413, France
KLDiscovery Ontrack (Switzerland) GmbH Hertistrasse 25, 8304 Wallisellen, Sveits
KLDiscovery Ontrack, LLC 9023 Columbine Road, Eden Prairie, MN 55347, USA
|
Vedlegg 2 - Tekniske og organisatoriske tiltak
Merknad til dokumentet:
De generelle tekniske og organisatoriske tiltakene til Ibas Ontrack er beskrevet her. De eksisterende tiltakene er oppført generisk i dette dokumentet. Disse tiltakene iverksettes der det er nødvendig og mulig
1. Konfidensialitet (Art. 32 para. 1 b GDPR)
Adgangskontroll
Ingen uautorisert tilgang til databehandlingsutstyr;
√ Innbruddsalarmsystem på plass
√ Bevegelsessensor inntrengningsdeteksjonssystem
√ Adgangskode for parkering (5 plasser)
√ Fysisk nøkkelbrikke for tilgang kontorareal (2etg) og kjeller
√ Ulike sikkerhetssoner med rollebasert tilgang implementert for ulike tilgangsautorisasjoner
√ Sterk dørsikkerhet (magnetisk dørlukker med automatisk lås)
√ Kvitteringsliste for nøkkelhåndtering
√ Strenge retningslinjer for håndtering av besøkende og eksternt personell
√ Besøkende kan kun være på kontoret når de er ledsaget
√ Besøksprotokoll med historikk
Systemtilgangskontroll
Ingen uautorisert tilgang til databehandlingssystemer;
√ Konsept for autorisasjon. Behovsbaserte tilgangsrettigheter
√ Sentral brukeradministrasjon
√ Siker passordprosedyre / passord policy
√ Kryptert brukerautentisering
√ Automatiske blokkeringsmekanismer etter mislykkede pålogggingsforsøk
√ To-faktor autentisering
√ Kryptering for filer og databærere
√ Bruk av brannmurer og virusbeskyttelse
√ Bruk av virtuelt privat nettverk (VPN)
√ Logging av tilganger og tilgangsforsøk
Datatilgangskontroll
Ingen uautorisert lesing, kopiering, modifikasjon eller fjerning i systemet;
√ Konsept for autorisasjon. Behovsbaserte tilgangsrettigheter for programmer og data
√ Sentral brukeradministrasjon
√ Automatisk utlogging ved inaktivitet etter en viss tidsperiode
√ Replikering på tvers av datasentre for sikker backup
√ Kryptering for filer og databærere der det er hensiktsmessig
√ Logging av tilganger og feil tilgangsforsøk
Separasjonskontroll
Separat behandling av data som samles inn til ulike formål;
√ Mulighet for flere klienter
√ Separasjon etter ulike formål sikres av ulike systemer/databaser
√ Separasjon av funksjoner for produksjon / test
√ Separasjon av miljøer for kunde- og forretningsdata
√ Ulik kryptering av dataposter for å sikre separasjon for ulike behandlingsformål
√ Implementering av definerte funksjoner i informasjonssystemene: Administrator, revisor, bruker.
√ Konsept for autorisasjon. Behovsbaserte tilgangsrettigheter for programmer og data
√ Bruk av sikre prosesser som Challenge Response-prosedyrer for å sikre en autorisert applikasjon
Pseudonymisering (Art. 32 para. 1 a GDPR; Art. 25 para. 1 GDPR)
Behandling av personopplysninger på en slik måte at opplysningene ikke lenger kan tilskrives et bestemt registrert individ uten tilleggsinformasjon, forutsatt at denne tilleggsinformasjonen oppbevares separat og er underlagt passende tekniske og organisatoriske tiltak;
Eventuell pseudonymisering avtales mellom partene i den respektive ordren eller kontrakten.
2. Integritet (Art. 32 para. 1 b GDPR)
Overføringskontroll
Ingen uautorisert lesing, kopiering, modifikasjon eller fjerning under elektronisk overføring eller transport;
√ Krypteringskonsepter (kryptering av databærere, kryptering av filer).
√ Bruk av digitale signaturer
√ Virtuelle private nettverk (VPN)
√ Utstedelse av databærere kun til autoriserte mottakere (f.eks. ordrekvittering, følgedokument)
√ Definisjon av autoriserte brukere for tilgang til datamedier
√ Pakke- og forsendelsesinstruksjoner (type forsendelse, f.eks. i lukkede beholdere)
√ Direkte henting, budtjeneste, transporteskorte
√ Separat forsegling av databærere med konfidensielt materiale
√ Rutiner for å lage kopier av data
√ Dokumentasjon av uthenting- og overføringsprogramm
√ Sikker dokument makulering og datasletting
√ Sikker sletting av data før forsendelse eller gjenbruk av et data medium
√ Sikret bygningsinngang for levering og retur
Inndatakontroll
Bestemme om og av hvem personopplysninger har blitt lagt inn, endret eller fjernet i databehandlingssystemer;
√ Definert organisisjon med ansvar for dataregistrering
√ Rollebasert autorisasjonskonsept
√ Logging av data input (Endring av data, hvilken bruker som endret data) i Business System.
√ Sikring av protokollene mot uautorisert tilgang
√ Behandling av Computer Forensics-medier skjer kun på arbeidskopier, originalmedier oppbevares i sikkerhetsrom
√ Protokollevalueringssystemer
√ Doble kontrollprinsipp for spesielt sensitive data (Standardprosess og Chain of Custody)
3. Tilgjengelighet og motstandskraft (Art. 32 para. 1 b GDPR)
Tilgjengelighetskontroll
Beskyttelse mot utilsiktet eller bevisst ødeleggelse eller tap;
√ Brann- og røykvarslingssystemer
√ Brannslukningsapparat for serverrom
√ Klimaanlegg i serverrommet
√ Overvåking av serverromstemperatur
√ Bruk av RAID-systemer
√ Konsept for sikkerhetskopiering og recovery
√ Regelmessig tester av backup
√ Avbruddsfri strømforsyning (UPS)
√ Virusbeskyttelse
√ Brannmur
√ Beskyttelse mot ondsinnet kode
√ Beredskapsplaner
Rask gjennoppbygging (Art. 32 para. 1 c GDPR);
√ Konsept for sikkerhetskopiering og recovery
√ Sikre rask innkjøp av maskinvare av innkjøp/partnere
4. Prosedyrer for regelmessig gjennomgang, vurdering og evaluering (Art. 32 para. 1 d GDPR; Art. 25 para. 1 GDPR)
Data-Personvern-Management / Data Protection Management
√ Kontrollsystem for databeskyttelse
√ Ansattes forpliktelse til konfidensialitet
√ Retningslinjer og konsepter for datasikkerhet og databeskyttelse (inkludert informasjonssikkerhetspolicy, HR-policy, databeskyttelsesadministrasjonskonsept, informasjonssikkerhetssammendrag)
Hendelse-respons-håndtering (beredskapsplaner)
√ Risikovurdering
√ Beredskapsplaner
Databeskyttelse ved design og standard (Art. 25 para. 2 GDPR)
√ Autorisasjonskonsepter
√ Need-to-know-policy
Ordrekontroll
Ingen bestilt databehandling i henhold til art. 28 DS-GVO uten tilsvarende instrukser fra oppdragsgiver;
√ Kontrakter for ordrebehandling (Art 28 GDPR)
√ Tydelig avtaleverk med partnerbedrifter
√ Formalisert ordrehåndtering
√ Strengt utvalg av tjenesteleverandører
√ Sikker transport av lagringsmedier med utvalgte tjenesteleverandører
√ Forpliktelse til forutgående domfellelse
√ Oppfølgingskontroller via Business System.
√ Sikker sletting av data etter at jobben er fullført/etter 30 dager eller under vilkår i kontrakten, eller ny instruks om sletting fra kunden.
√ Standardiserte prosesser for behandling av ordredata
√ Standard endringsadministrasjonsprosess (i henhold til ITIL)
√ Overvåking av prosessene
5. Ytterligere merknader / referanser / dokumenter
√ I tillegg gjelder de teknisk-organisatoriske tiltakene til de innleide databehandlerne
√ Sertifisering av Ibas KLDiscovery Ontrack i henhold til ISO 27001
√ Sertifisering av tredjeparter (i henhold til ISO 27001)
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.kldiscovery.com/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
|
Start date |
|
|
The Parties |
Exporter (who sends the Restricted Transfer) |
Importer (who receives the Restricted Transfer) |
|
Parties’ details |
Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order |
Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
|
Key Contact |
Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order |
Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
|
Signature (if required for the purposes of Section 2) |
Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order |
Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
|
Addendum EU SCCs |
The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
|
Ending this Addendum when the Approved Addendum changes |
Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG
Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen:
1. Die Vertragsparteien vereinbaren, den GDPR-Standard für alle Datenübermittlungen zu übernehmen.
2. Verweise auf die GDPR sind als Verweise auf das DSG (bzw. nach dessen Inkrafttreten auf das revFADP") zu verstehen.
3. Bis zum Inkrafttreten der revDSG sind auch die Daten von juristischen Personen durch diese DSGVO und das SCC geschützt.
4. Aufsichtsbehörde: (a) wenn die Datenübermittlung ausschließlich dem DSG oder dem revDSG unterliegt: die zuständige Aufsichtsbehörde ist der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ("EDÖB"); oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: die zuständige Aufsichtsbehörde ist der EDÖB für Datenübermittlungen, die unter das DSG oder die revDSG fallen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen, die unter die DSGVO fallen;
5. Anwendbares Recht für vertragliche Ansprüche nach Ziff. 17 SCC: (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Schweizer Recht; oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht; oder (c) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht.
6. Gerichtsstand für Klagen zwischen den Parteien gemäß Klausel 18 b SCC : (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Zürich, Schweiz; oder (b) wenn die Datenübermittlung sowohl unter die DSGVO als auch unter das DSG fällt: Stuttgart, Deutschland
Im Zusammenhang mit der gerichtlichen Zuständigkeit für Ansprüche, die sich aus diesem SCC ergeben, ist der Begriff "Mitgliedstaat" nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.
|
APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION
In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply:
1. The Parties agree to adopt the GDPR standard for all data transfers.
2. References to the GDPR are to be understood as references to the FADP (respectively, once it entered into force, to the “revFADP”).
3. Before the revFADP enters into force, data pertaining to legal entities are also protected by this DPA and the SCC.
4. Supervisory authority: (a) where the data transfer is exclusively subject to the FADP or revFADP: the competent supervisory authority is the Swiss Federal Data Protection and Information Commissioner (“FDPIC”); or (b) where the data transfer is subject to both the GDPR and the FADP: the competent supervisory authority is the FDPIC for data transfers governed by the FADP or revFADP, and the competent EU supervisory authority for data transfer governed by the GDPR;
5. Applicable law for contractual claims under Clause 17 SCC: (a) where the data transfer is exclusively subject to the FADP: Swiss law.; or (b) where the data transfer is subject to both the GDPR and the FADP: Irish law.
6. Place of jurisdiction for actions between the parties pursuant to Clause 18 b SCC : (a) where the data transfer is exclusively subject to the FADP: Zurich, Switzerland; or (b) where the data transfer is subject to both the GDPR and the FADP: Dublin, Ireland
In the context of jurisdiction for claims arising out of this SCC, the term “Member State” shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland).
|