ALLMÄNNA VILLKOR FÖR DATARÄDDNINGSTJÄNSTER
Läs dessa villkor noga innan du skickar din Beställningsorder till oss. Dessa villkor beskriver vilka vi är, hur vi kommer att tillhandahålla Tjänsterna till dig, hur du och vi kan ändra eller avsluta Avtalet, hur eventuella problem hanteras och annan viktig information.
1 DESSA ALLMÄNNA VILLKOR
1.1 Dessa villkor (”Villkor”) reglerar leveransen av Dataräddningstjänster från IBAS Ontrack AB, nedan ”Ibas Ontrack”, med registrerat säte i Uppsala, Box 1005, 753 20, organisationsnummer 556536-9740.
1.2 Vår Tjänstebeskrivning för dataräddningstjänster samt Databehandlingsavtalet (DPA), som reglerar behandlingen av personuppgifter inom ramen för tillhandahållandet av vår tjänst, är en del av dessa Villkor. För mer information om funktionerna och begränsningarna i vår dataräddningstjänst, läs vår tjänstebeskrivning. Dataskyddsförordningen reglerar behandlingen av personuppgifter som tillhandahålls Ibas Ontrack av kunden i samband med dataräddning.
1.3 För information om hur vi, som ansvarig part, samlar in, behandlar och lagrar personuppgifter, se vår integritetspolicy.
1.4 Kundens, eller tredje parts villkor, är uttryckligen undantagna och ska inte tillämpas. Dessa allmänna villkor för tjänstebeskrivningen och dataskyddsförordningen ska också gälla för alla framtida affärsrelationer, även om de inte uttryckligen avtalas igen.
1.5 Tjänsterna tillhandahålls huvudsakligen i vårt laboratorium för dataräddning i Norge. Ibas Ontrack har anläggningar för dataräddning på flera platser i Europa och USA. Vid behov ger du härmed Ibas Ontrack tillgång till data på lagringsenheter från vilken Ibas Ontrack-anläggning som helst, inklusive USA och Storbritannien, för att Ontrack ska kunna tillhandahålla tjänsterna. Vänligen se punkt 6.4.
2 KONTAKTUPPGIFTER
2.1 Så här kontaktar du oss. Du kan kontakta oss genom att ringa vår kundtjänst på telefonnummer 018 10 44 40, skriva till oss på adressen Ibas Ontrack AB, Box 1005, 753 20 Uppsala, eller sända epost till: swrecovery@ontrack.com.
3 TOLKNING
3.1 I dessa Villkor gäller följande definitioner:
3.1 I dessa Villkor gäller följande definitioner:
(a) ”Företagskund” avser en kund som representerar sin affärsverksamhet, sin bransch eller sitt yrke, till exempel enskilda näringsidkare, handelsbolag, aktiebolag eller myndigheter.
(b) "Konfidentiell information" avser all information som avslöjas eller kommuniceras av en part till den andra parten inom ramen för affärsrelationen och där den mottagande parten hade en berättigad förväntan, baserat på en märkning av den relevanta informationen som konfidentiell eller i god tro baserat på informationens natur, att den avslöjande parten hade ett särskilt skyddsvärt intresse av att hålla den relevanta informationen konfidentiell.
(c) "Konsument" avser varje fysisk person som anlitar Ibas Ontrack för ändamål som till övervägande del varken är kommersiella eller egenföretagare.
(d) "Avtal" definieras i punkt 4.4.
(e) "Kund" avser både en företagskund och en konsument.
(f) "Data" avser data i elektronisk form av alla slag, inklusive "personuppgifter" enligt definitionen i den allmänna dataskyddsförordningen EU 2016/679 och/eller lokala dataskyddslagar.
(g) "Enheter" avser din lagringsmedia och, om tillämpligt, din mobiltelefon eller surfplatta.
(h) "Avgift" avser den avgift som du ska betala för Tjänsterna enligt vad som anges i det relevanta Erbjudandet.
(i) "Lagringsmedia" avser media såsom hårddiskar, USB-minnen, SSD, minneskretsar, band eller andra databärare.
(j) "Erbjudande" och "Godkännande" definieras i punkterna 4.3 och 4.4.
(k) "Tjänstebeskrivning" avser de specifika processer som används av Ontrack och som beskrivs på följande länk: https://www.ontrack.com/sv-se/legal/data-recovery-villkor#beskrivning , som bland annat anger omfattningen och begränsningarna för de dataräddningstjänster vi tillhandahåller.
(l) "Dataräddningstjänster" (eller kort "Tjänster") avser de tjänster som ska tillhandahållas av oss till dig enligt beskrivningen i punkterna 4 (Beställningsprocessen) och 6 (Våra dataräddningstjänster) i dessa Villkor samt i Tjänstebeskrivningen.
(m) "Webbplats" avser vår webbplats på www.ontrack.com/sv-se/
(n) "Backup Media" betyder en Ibas Ontrack-datalagringsenhet på vilken återställda data lagras i krypterad form. Detta är vanligtvis en USB-hårddisk.
4 BESTÄLLNINGSPROCESS (erbjudande och accept)
4.1 Efter en inledande telefonkonsultation, inlämning av en beställning via vår webbplats eller e-postkorrespondens förser du oss med din utrustning. Vid standard dataräddning utförs först en utvärdering/analys, som definieras i vår tjänstebeskrivning. Beroende på typ av enhet och typ av skada kan utvärderingen utföras kostnadsfritt (med undantag för mobiltelefoner, surfplattor och flashmedia, öppnade hårddiskar, raderade eller formaterade media samt vatten- och brandskador), om inte annat överenskommits under beställningsprocessen. Därefter kommer vi att tillhandahålla Utvärderingen (samt andra dataräddningstjänster, om tillämpligt) i enlighet med tjänstebeskrivningen. När det gäller mobiltelefoner, surfplattor, öppnade hårddiskar och flashmedia, samt vid vissa typer av skador eller om utvärderingen inte ger någon information om en möjlig dataräddning, kommer vi att utföra en diagnos mot en avgift. I detta fall kommer du att få en länk till ett erbjudande om att utföra en fördjupad diagnos, som du måste godkänna elektroniskt för att ge oss i uppdrag att utföra tjänsten.
4.2 Efter utvärderingen/analysen, eller den avgiftsbelagda fördjupade diagnosen, får du en översikt över det väntade resultatet från en genomförd dataräddning. Då en fördjupad diagnos genomförts kommer du att få information om vilka filer som troligen kan återställas. För en förklaring av kategorierna för bedömningen samt det exakta förfarandet, se vår Tjänstebeskrivning. Baserat på bedömningen kommer du att få ett erbjudande om fast pris för dataräddning (erbjudande om dataräddning). Du kan vanligtvis välja mellan olika servicenivåer i erbjudandet avseende dataräddning, vilka beskrivs mer detaljerat i vår Tjänstebeskrivning.
4.3 När du har fått vår offert på dataräddning har du följande alternativ: (i) godkänna beställningen elektroniskt ("offert"), (ii) begära att vi returnerar dina enheter mot kostnad, eller (iii) begära att vi permanent raderar dina data och/eller förstör dina enheter; i det senare fallet är vi skyldiga och har rätt att utföra raderingen/förstöringen utan dröjsmål. Om vi inte mottar en beställning, raderingsinstruktion eller begäran om att returnera din utrustning inom 14 (fjorton) kalenderdagar från dagen för erbjudandet, skickar vi dig en påminnelse via e-post och ber dig berätta för oss hur vi ska gå vidare i enlighet med ovanstående alternativ. Om du inte svarar på denna påminnelse kommer vi att skicka ytterligare 2 (två) påminnelser med 2 (två) veckors intervall. Om du återigen inte svarar på dessa påminnelser och instruerar oss om hur vi ska gå vidare med din utrustning, kommer vi att göra oss av med din utrustning (inklusive dina uppgifter) i enlighet med tillämplig lag.
4.4 Vi accepterar din beställning (dvs. ditt erbjudande i enlighet med punkt 4.3) genom att skicka dig en orderbekräftelse via e-post ("Accept"), vilket skapar ett juridiskt bindande avtal mellan dig och oss ("Avtal"), som innehåller alla bestämmelser i enlighet med Erbjudandet, Tjänstebeskrivningen, DPA och dessa Villkor. Vi kommer att tilldela din beställning ett beställningsnummer. Det hjälper oss om du kan ge oss ordernumret när du kontaktar oss.
5 SKICKA SKADADE LAGRINGSMEDIER OCH ENHETER OCH RETURNERA LAGRINGSMEDIER OCH ENHETER SAMT SÄKERHETSKOPIOR
5.1 Du har följande alternativ för att förse oss med dina enheter: (i) du kan lämna ditt lagringsmedia personligen till oss under öppettiderna (förhandsanmälan krävs); (ii) du kan ordna en kurirtjänst som du väljer på egen bekostnad; eller (iii) du kan lämna ditt lagringsmedia på något av våra inlämningsställen (en lista över inlämningsställen finns online på https://www.ontrack.com/sv-se/kontakt och, om detta alternativ väljs, kommer Ibas Ontrack att förse dig med paketeringsinstruktioner för dina enheter. Alternativt erbjuder Ibas Ontrack en upphämtningstjänst från tredje part genom att välja alternativet "Upphämtning och leverans" under beställningsprocessen. Ibas Ibas Ontrack skickar dig frakthandlingar tillsammans med paketeringsinstruktioner och informerar dig om den plats där du kan lämna din sändning för upphämtning av tredjepartsleverantören.
5.2 Vi tar endast emot dina databärare och - med undantag för de enheter som definieras ovan - ingen komplett hårdvara (t.ex. bärbara datorer och stationära datorer). Vänligen ta bort dina databärare (hårddisk, SSD, etc.) från din hårdvara. Mobiltelefoner eller surfplattor är undantagna från detta.
5.3 Alla lagringsmedier ska packas i enlighet med instruktionerna på https://www.ontrack.com/sv-se/artiklar/paketeringstips eftersom Ibas Ontrack inte ansvarar för eventuella skador på din utrustning under transport om paketen är felaktigt packade eller om emballaget är bristfälligt.
5.4 Efter diagnos eller dataräddning (se punkt 4) kommer vi att skicka dina räddade data till din adress med hjälp av en kurirtjänst. Sändningen av dina räddade data sker till självkostnadspris om inte annat avtalats vid beställningen av dataräddning. Kontakta Ibas Ontrack innan du slutför beställningen om du inte vill att Ibas Ontrack ska returnera din säkerhetskopia via kurir. Du kan också använda en kurirtjänst som du väljer på egen bekostnad, eller hämta dina räddade data personligen på vårt dataräddningslabb (efter separat överenskommelse).
5.5 Kostnaderna för att returnera din utrustning baseras på vad som avtalats i respektive erbjudande. Du kommer att informeras om de exakta kostnaderna under beställningsprocessen.
6 VÅRA TJÄNSTER FÖR DATARÄDDNING
6.1 I utbyte mot din betalning av avgiften kommer vi att tillhandahålla tjänsterna med största möjliga omsorg och kompetens. Våra tjänster för dataräddning inkluderar vanligtvis följande tjänster: Utvärdering/analys och /eller fördjupad diagnos samt - om möjligt - dataräddning.
För en detaljerad beskrivning av dessa tjänster, se vår tjänstebeskrivning. Tjänstebeskrivningen är en del av dessa allmänna villkor.
6.2 När vi undersöker enheterna kommer vi att vidta rimliga försiktighetsåtgärder för att fastställa: (i) vilka data på enheterna som kan räddas; (ii) vilka skador på enheterna och/eller datastrukturerna som kan identifieras; (iii) hur mycket data (om någon) på enheterna som sannolikt kan räddas; och (iv) att informera dig om de förväntade resultaten från räddningen av data från enheterna. Våra tjänster för dataräddning kan omfatta dataräddning av data i laboratoriet, genom tillhandahållande av programvarulösningar och, för företagskunder, genom dataräddning på distans, Remote Data Recovery (RDR).
6.3 Vi kommer att göra rimliga ansträngningar för att: (i) rädda dina data och förse dig med de data vi räddat på ett krypterat lagringsmedium; eller (ii) utföra andra tjänster som vi skriftligen har kommit överens med dig om att tillhandahålla, såsom att radera data från lagringsmediet.
6.4 Vi tillhandahåller de flesta av våra tjänster i Ibas Ontracks dataräddningslaboratorium med adress Fjellgata 2, 2212 Kongsvinger, Norge. Dataräddning av mobiltelefoner och surfplattor utförs i ett av Ibas Ontracks europeiska dataräddningslabb för mobiltelefoner. Vi kan också skicka din enhet till ett systerföretag i Europa. I linje med punkt 1.5 kan vi också behöva fjärråtkomst till dina data utanför Europeiska ekonomiska samarbetsområdet för att tillhandahålla tjänsterna.
6.5 Vid tidpunkten för avtalets ingående kan vi endast uppskatta den tidpunkt då din dataräddning sannolikt kommer att vara slutförd. Det är inte möjligt att ange ett specifikt datum för en slutförd dataräddning på grund av tjänsternas natur. Du kommer dock att informeras om det beräknade slutdatumet under tillhandahållandet av tjänsten. När du får din säkerhetskopia som innehåller dina återställda data från Ibas Ontrack, ber vi dig att omedelbart kontrollera säkerhetskopian (USB-hårddisk eller annan lagringsenhet) för teknisk funktionalitet. Ibas Ontrack kan endast återskapa dina återställda data i händelse av ett fel på leveransmediet inom vår datalagringsperiod för dina återställda personuppgifter enligt vad som anges i Ibas Ontracks personuppgiftsbiträdesavtal.
6.6 Vänligen notera att vi inte accepterar alla Apple-produkter för dataräddning. Våra tjänster för dataräddning inkluderar vanligtvis inte dataräddning från Apple iMac-enheter eller iPhones/iPads efter en fabriksåterställning. Kontakta vår kundtjänst innan du skickar in Apple-produkter.
6.7 För vissa Tjänster kan vi behöva viss information från dig, till exempel användarnamn, lösenord eller åtkomstkoder. Om du inte tillhandahåller denna information inom rimlig tid efter vår begäran, eller om du tillhandahåller ofullständig eller felaktig information, kan vi ta ut en extra avgift på ett rimligt belopp för att kompensera oss för det extra arbete som detta orsakar. Vi ansvarar inte för förseningar eller delvis utebliven leverans av Tjänsterna om detta beror på att du inte har försett oss med den information som krävs.
6.8 Vi kan behöva avbryta tillhandahållandet av tjänsten för att (i) lösa tekniska problem eller göra tekniska ändringar eller (ii) uppdatera tjänsten för att återspegla ändringar i relevanta lagar och förordningar. Vi kan också avbryta tillhandahållandet av tjänsterna om du inte betalar efter att ha meddelat dig.
6.9 Vi garanterar inte att samtliga data kan räddas inom ramen för tjänsten. I synnerhet garanterar vi inte att alla eller någon del av dina data kommer att kunna räddas eller användas, att mobiltelefonen eller surfplattan, om relevant, kan användas i enlighet med dess ursprungliga syfte eller att vi kommer att uppnå något annat särskilt resultat.
6.10 Följande bestämmelse gäller endast för kunder som är företagskunder:
Fjärrstyrd dataräddning. Med Remote Data Recovery (RDR) ansluter vi till kunden via internat. All kommunikation är krypterad. Inga enheter skickas till oss. Vid en RDR får du en länk från oss till en diagnosoffert, som du måste godkänna elektroniskt för att vi ska kunna utföra uppdraget. Efter diagnosen får du information om vilka filer som sannolikt kan räddas. Baserat på detta får du en offert med fast pris för dataräddning (offert för dataräddning). Du kan vanligtvis välja mellan olika servicenivåer i erbjudandet om dataräddning, som beskrivs mer detaljerat i vår tjänstebeskrivning.
För dataräddning på distans måste du ladda ner och installera programvaran Ibas Ontrack RDR client via den länk som tillhandahålls av Ibas Ontrack. När RDR client har installerats kan användaren ansluta till Ibas Ontrack via en krypterad internetanslutning. RDR-anslutningen används av Ibas Ontrack enbart för att köra Ibas Ontracks dataräddningsprogram direkt på kundens dator. Ibas Ontrack använder RDR-anslutningen för att lagra Ibas Ontracks dataräddningsverktyg på kundens dator i en dold mapp. Kundens data kommer inte att överföras till Ibas Ontrack under denna process. När RDR tjänsten är slutförd raderas Ibas Ontracks dataräddningsverktyg från kundens dator.
Ibas Ontrack garanterar att RDR client programvaran (a) är fri från programkod eller programinstruktioner som avsiktligt utformats för att avbryta, inaktivera, skada, störa eller på annat sätt negativt påverka datorprogram, filer eller operationer; och (b) inte innehåller annan skadlig kod som vanligtvis kallas virus eller beskrivs med liknande termer inklusive trojansk häst eller bakdörr.
7 IMMATERIELLA RÄTTIGHETER
7.1 Din utrustning och dina data förblir alltid din egendom och vi har ingen äganderätt, nyttjanderätt eller andra rättigheter till dem annat än rätten att inneha och använda din utrustning och dina data för att tillhandahålla tjänsterna. Du behåller alla immateriella rättigheter som du har till dina data.
7.2 Alla immateriella rättigheter relaterade till utförandet av dataräddningstjänsterna ska förbli hos Ibas Ontrack, inklusive utveckling, skapande och tillhandahållande av tjänsterna, uppfinningar, upphovsrättsskyddade verk, metoder, processer och know-how som används för att utveckla eller utföra tjänsterna, tillsammans med all hårdvara, firmware, plattformar, programvara och alla ändringar, förbättringar, nya egenskaper eller funktioner som skapas eller används av Ibas Ontrack som en del av tjänsterna.
8 RÄTT TILL UPPSÄGNING
8.1 Denna klausul gäller endast för konsumenter.
8.2. Under utvärderingen kan du när som helst avbryta. Om du gör en beställning, inklusive eventuell diagnos, har du rätt att inom fjorton dagar ångra dig från detta avtal utan att ange något skäl. Ångerfristen är fjorton dagar från den dag då avtalet ingicks.
8.3. För att utöva din ångerrätt måste du meddela Ibas Ontrack genom ett tydligt uttalande (till exempel genom brev skickat per post, fax, e-post eller telefon) om ditt beslut att frånträda detta avtal:
Via e-post: swrecovery@ontrack.com
Via telefon: 018-10 44 40
Per post: Ibas Ontrack AB, Box 1005, 75320 Uppsala
8.4. Du kan också använda det standardformulär för återkallelse som finns i slutet av dessa allmänna villkor. Genomförandet av din återkallelse är inte beroende av att du använder denna modell för återkallelseformulär. Vi kommer att skicka en bekräftelse på mottagandet av din återkallelse utan dröjsmål (till exempel via e-post).
8.5. För att utnyttja ångerfristen är det tillräckligt att du skickar meddelandet om att du ångrar dig enligt ångerrätten före utgången av ångerfristen.
8.6. Om du häver avtalet måste Ibas Ontrack återbetala alla betalningar som Ibas Ontrack mottagit från dig till dig utan onödigt dröjsmål och senast fjorton dagar från den dag då Ibas Ontrack mottog meddelandet om din hävning av detta avtal. Genom att elektroniskt godkänna vår begäran om förslag (punkt 4.3) ger du oss uttryckligt tillstånd att omedelbart påbörja Tjänsterna. I händelse av en återkallelse efter att tjänsterna har påbörjats kommer du att vara skyldig att betala ersättning för värdet av de tjänster som tillhandahållits fram till den tidpunkten. När vi har tillhandahållit tjänsterna i sin helhet kan du inte längre återkalla avtalet, även om återkallelseperioden ännu inte har löpt ut.
8.7. För återbetalningen använder vi samma betalningsmedel som du använde för den ursprungliga transaktionen, såvida inte annat uttryckligen överenskommits med dig. Du kommer under inga omständigheter att debiteras för återbetalningen.
9 INGEN ÅNGERRÄTT FÖR FÖRETAGSKUNDER
9.1 Bestämmelsen i punkt 8 gäller inte för företagskunder.
10 UPPSÄGNINGSRÄTT
10.1 Oaktat andra rättigheter får tjänsteförhållandet sägas upp av endera avtalsparten på goda grunder utan iakttagande av uppsägningstid om det föreligger omständigheter på grund av vilka den uppsägande parten, med beaktande av alla omständigheter i det enskilda fallet och med avvägning av båda avtalsparternas intressen, inte rimligen kan förväntas fortsätta avtalsförhållandet fram till avtalat upphörande av avtalsförhållandet, särskilt om:
a) endera parten (i) väsentligt bryter mot ett villkor i avtalet på ett sätt som inte kan avhjälpas; eller (ii) om ett sådant brott kan avhjälpas, underlåter att avhjälpa ett sådant brott inom en period av 7 (sju) dagar efter att parten har fått ett skriftligt meddelande om att avhjälpa det; eller (iii) upprepade gånger bryter mot avtalet (inklusive dessa Allmänna Villkor); eller
b) (Ibas Ontracks rätt till uppsägning): Kunden underlåter att betala ersättningen för Dataräddningstjänsterna vid förfallodagen; och/eller
(c) en part upphör (eller hotar att upphöra) att bedriva verksamhet helt eller delvis, eller en likvidator, förvaltare eller administrativ förvaltare utses för den eller någon del av dess företag eller tillgångar, eller den upplöses (utom i syfte att föreslå en solvent fusion eller rekonstruktion där den resulterande enheten tar över alla skulder), eller en behörig domstol utfärdar ett beslut om insolvens, likvidation eller liknande beslut, eller parten ingår en överenskommelse med sina fordringsägare, den är oförmögen att betala sina skulder när de förfaller eller, om en enskild person blir insolvent.
10.2 Vi (Ibas Ontrack) kan säga upp avtalet om vi, genom att fullgöra avtalet, kan bryta mot tillämpliga export- och sanktionslagar som rör affärer med vissa företag och personer som fastställts av Europeiska kommissionen eller andra nationella myndigheter, inklusive USA. Du samtycker till att, på vår begäran, tillhandahålla identitetsbevis i syfte att verifiera tillämpligheten av tillämpliga export- och sanktionslagar.
10.3 Om uppsägningen sker av en anledning som Ibas Ontrack inte är ansvarig för, är Kunden skyldig att betala den avtalade ersättningen för alla dataräddningstjänster som Ibas Ontrack tillhandahåller fram till dess att uppsägningen träder i kraft.
11 GARANTIER OCH GODKÄNNANDE AV KUNDEN
11.1 Du bekräftar och garanterar oss att (i) du har juridisk befogenhet att ingå bindande avtal; (ii) du är fullt auktoriserad, bemyndigad och har rätt att godkänna dessa Villkor och, om du är en företagskund, har erforderliga behörighet att ingå avtalet; (iii) all information du tillhandahåller oss i samband med din beställning är sann, korrekt, fullständig och inte vilseledande; (iv) du äger Utrustningen eller har tillstånd från utrustningens ägare för oss att tillhandahålla Tjänsterna; (v) det inte strider mot någon skyldighet eller rättighet för någon tredje part att du överlämnar din utrustning eller data till oss; (vi) det inte strider mot någon tillämplig lag att du överlämnar din utrustning eller data till oss; (vii) du har laglig rätt att ge tillgång till data; (viii) din utrustning inte innehåller något material (såsom data) som kan kränka någon tredje parts immateriella rättigheter; och (ix) din utrustning inte innehåller något material (såsom data) som kränker någon tillämplig lag.
11.2 Vi förbehåller oss rätten (och du bekräftar härmed att vi har rätt) att begära dokumentation som styrker ditt ägande, tillstånd eller juridiska rätt att auktorisera Tjänsterna och att avbryta eller inte påbörja Tjänsterna om sådan dokumentation saknas. Du samtycker till att på begäran förse oss med identitetshandlingar för att vi ska kunna verifiera tillämpligheten av eventuella tillämpliga export- och sanktionsbestämmelser i enlighet med punkt 10.2.
11.3 Du bekräftar och accepterar härmed som ett villkor för Avtalet att din Utrustning och/eller Data kan vara skadad innan vi tar emot den och att våra ansträngningar att slutföra Tjänsterna kan resultera i förstörelse eller ytterligare skada på din Utrustning och/eller Data. Vi kommer att använda rimlig försiktighet vid utförandet av Tjänsterna men ansvarar inte för någon befintlig eller ytterligare skada som kan uppstå på din Utrustning eller Data under utförandet av Tjänsterna. Detta påverkar inte bestämmelserna i punkt 13.
12 PRIS OCH BETALNING
12.1 Priset för tjänsterna är den avgift som anges i respektive Erbjudande (inklusive moms, i förekommande fall). Betalning kan ske genom autogiro, banköverföring eller kreditkort, eller för företagskunder även genom beställning på konto (ordernummer).
12.2 Vid kontant betalning, förskottsbetalning, autogiro eller kreditkortsbetalning ska avgiften i allmänhet betalas innan Tjänsterna påbörjas (förskottsbetalning) eller, om tillämpligt, vid den tidpunkt som anges i det betalningsavtal som ingås separat med Ibas Ontrack. Om du inte betalar något belopp som ska betalas till oss enligt Avtalet, får vi behålla Utrustningen och Data tills full betalning har erlagts. Vid inställd, försenad eller utebliven betalning kommer du att få en första påminnelse efter förfallodagen. Om betalning inte erhållits efter den första påminnelsen kommer du att få ytterligare en påminnelse innan vi förbehåller oss rätten att överlämna fordran till vår inkassobyrå. Vi förbehåller oss vidare rätten att kräva dröjsmålsränta eller utfärda ytterligare krav.
12.3 Vid kreditkortsbetalning kommer Ibas Ontrack att skicka dig en betalningslänk till en säker betalningsplattform från tredje part för att godkänna betalningen och slutföra betalningsprocessen efter att arbetet har slutförts men innan säkerhetskopian skickas till dig.
12.4 Företagskunder kommer att få en faktura. Om du inte betalar fakturan i sin helhet inom den avtalade betalningsperioden skickar vi dig en påminnelse (textform). Om betalning inte sker efter den första påminnelsen får du ytterligare en påminnelse innan vi lämnar över fordran till vår inkassobyrå. Vid försenad betalning debiterar vi dröjsmålsränta enligt gällande lag. Vi förbehåller oss rätten att göra ytterligare krav gällande (till exempel för skador som orsakats av dröjsmål).
13 BEGRÄNSNING AV ANSVAR
13.1 Vi utesluter eller begränsar inte på något sätt vårt ansvar gentemot dig där det är olagligt att göra det. Detta inkluderar vårt ansvar för dödsfall eller personskada orsakad av vår vårdslöshet eller vårdslöshet från våra anställda, agenter eller underleverantörer; för bedrägeri eller bedräglig felaktig framställning; och för Konsumenter, för brott mot dina lagliga rättigheter i förhållande till tjänsterna och för defekta tjänster enligt gällande konsumentlagstiftning.
13.2 Om inget annat följer av bestämmelserna i punkt 13 ska vår totala ansvarsskyldighet gentemot dig, oavsett om den grundas inom eller utom avtal (inklusive försummelse), vid brott mot lagstadgad skyldighet eller på annat sätt, som uppstår inom eller i samband med ett Avtal begränsas till: (i) vid brott mot sekretesskyldighet, dataskydd eller immateriella rättigheter, det högre värdet av SEK 230000 eller värdet av Avgiften enligt tillämpligt kontrakt; eller (ii) i alla övriga fall, värdet av det Avgiften som ska betalas enligt Avtalet.
13.3 Utan att det påverkar tillämpningen av punkt 13.1 ovan är vi inte ansvariga för någon fysisk eller annan skada på eller förstörelse av din utrustning och dina data eller för förverkande av några garantier i förhållande till din utrustning under tillhandahållandet av våra tjänster om sådan skada, förstörelse, försämring eller förverkande uppstår som ett resultat av utförandet av tjänsterna i enlighet med detta avtal. Detta gäller inte för skada som orsakats av Ibas Ontracks eller våra juridiska företrädares avsiktliga eller grovt försumliga brott mot sina skyldigheter.
13.4 Även om vi kommer att göra rimliga ansträngningar för att ta hand om din utrustning eller data medan den är i vår besittning, är vi inte ansvariga gentemot dig om din utrustning eller data förloras, förstörs, skadas eller på annat sätt skadas genom normalt slitage eller på grund av Tjänsternas natur utan att vi är skyldiga till det.
13.5 Ingen av parterna ska vara ansvarig gentemot den andra, vare sig på grund av avtal, skadestånd (inklusive försumlighet), brott mot lagstadgad skyldighet eller på annat sätt, som uppstår ur eller i samband med dessa Villkor eller något Avtal, för någon indirekt eller följdmässig förlust eller skada, förlust av vinst, förlust av intäkter eller förlust av verksamhet.
13.6 Användning av transportföretag/kurirer. I överensstämmelse med bestämmelserna i punkt 5, i händelse av att Originaldatamediet skickas av en tredjepartskurir som anlitats av Ibas Ontrack, ska Ibas Ontrack endast vara ansvarigt i den utsträckning som den ersättning som erbjuds av tredjepartskuriren. Tredjepartskurirens villkor och bestämmelser är https://www.dhl.com/se-sv/home/fotnot/anvandarvillkor.html
14 SKADESTÅND
14.1 Du ska hålla Ibas Ontrack skadeslöst mot alla anspråk från tredje part som riktas mot oss till följd av ditt olagliga beteende. Denna skadeslöshet gäller i synnerhet anspråk på grund av brott mot dataskydds-, konkurrens- eller upphovsrättslagar.
14.2 Om dina uppgifter enligt punkt 11.1 helt eller delvis inte är korrekta, ska du hålla Ibas Ontrack skadeslöst från alla krav från tredje part som inte skulle ha funnits om dina uppgifter hade varit korrekta.
14.2 Du håller Ibas Ontrack skadeslöst från alla krav från tredje part som baseras på det faktum att du inte är den (enda) ägaren av enheterna och dess data, att din behörighet att förfoga över enheterna och data på annat sätt är begränsad eller att data samlades in, skapades, lagrades eller på annat sätt behandlades i strid med tredje parts rättigheter eller på ett olagligt sätt.
14.3 Utöver skadestånd ska ersättningen enligt denna punkt 14 omfatta böter samt styrkta skäliga kostnader för förfarandet (inklusive eventuella rättegångskostnader och försvarskostnader).
15 DATASKYDD
15.1 Information om dataskydd finns på följande länk på vår webbplats: www.ontrack.com/sv-se/legal/privacy-policy
16 HUR VI BEHANDLAR PERSONUPPGIFTER (RÄDDADE DATA)
16.1 I den mån Ibas Ontrack behandlar personuppgifter för dig som kund i samband med räddning av data gäller vårt personuppgiftsbiträdesavtal, som finns tillgängligt på www.ontrack.com/sv-se/legal/data-recovery-villkor#dpa
17 KONFIDENTIELL INFORMATION
17.1 Den överlåtande parten har ett sekretessintresse i den Konfidentiella Information som lämnas ut till den mottagande parten. Den mottagande parten åtar sig därför att behandla den Konfidentiella information som tillhandahålls eller på annat sätt görs tillgänglig för den som strikt konfidentiell och att inte göra den tillgänglig för tredje part, varken helt eller delvis, såvida inte den tillhandahållande parten har gett sitt skriftliga förhandsgodkännande till att den lämnas ut till tredje part och tredje part har åtagit sig att upprätthålla sekretessen på ett sätt som överensstämmer med dessa Villkor.
17. 2 Sekretesskraven gäller inte Konfidentiell information för vilken den Mottagande parten kan visa att (a) den redan var känd för den Mottagande parten före meddelandet, eller (b) den redan var offentlig, offentlig och fritt tillgänglig vid tidpunkten för meddelandet till den Mottagande parten, eller därefter blev det, eller (c) den blev offentlig efter meddelandet utan att den Mottagande parten gjort något fel och utan brott mot dessa Villkor, eller (d) den i allt väsentligt är densamma som den information som en behörig tredje part när som helst har lämnat ut eller gjort tillgänglig för den mottagande parten, eller (e) den har utvecklats av den mottagande parten oberoende av den konfidentiella informationen, eller (f) den har uttryckligen godkänts skriftligen i förväg av den tillhandahållande parten för utlämnande, eller (g) dess innehav, besittning eller kunskap bryter mot någon tillämplig strafflag, eller (h) den måste lämnas ut enligt ett bindande regeringsbeslut eller rättsligt beslut eller tvingande lagkrav.
18 ANDRA VIKTIGA VILLKOR
18.1 Detta Avtal gäller mellan dig och oss. Ingen annan person har rätt att verkställa dess villkor. Varje klausul i dessa Villkor gäller separat. Om en domstol eller relevant myndighet beslutar att någon av dem är olaglig och/eller inte kan verkställas, kommer de återstående klausulerna att förbli i full kraft och effekt. Om vi inte vidtar omedelbara åtgärder mot dig med anledning av ditt brott mot detta avtal, kommer detta inte att hindra oss från att göra det senare, i den utsträckning detta är i enlighet med tillämplig lag.
18.2 Vi kan komma att justera Tjänsterna för att återspegla ändringar i relevanta lagar och myndighetskrav och för att göra mindre tekniska justeringar och förbättringar, till exempel för att hantera ett säkerhetshot. Dessa ändringar kommer inte att påverka din användning av Tjänsterna. Dessutom kan vi göra andra väsentliga ändringar av dessa allmänna villkor eller tjänsterna, men om detta sker kommer vi att meddela dig i förväg och du kan då säga upp avtalet innan ändringarna träder i kraft och få en återbetalning för eventuella tjänster som betalats men inte mottagits.
18.3 Om du är bosatt i Europeiska unionen kan du lämna in klagomål via Europeiska unionens plattform för tvistlösning online ("Plattformen"), som gör det möjligt att lösa tvister online. För mer information, besök plattformen på https://webgate.ec.europa.eu/odr/. Ibas Ontrack har inte för avsikt att använda plattformen för att lösa tvister och du accepterar att Ibas Ontrack inte är skyldigt att använda plattformen för att lösa några tvister.
18.4 Dessa allmänna villkor regleras av svensk lagstiftning och varje part underkastar sig de svenska domstolarnas exklusiva jurisdiktion, om inte tillämplig konsumentlagstiftning föreskriver något annat.
Gäller från 1 april 2024
Avbokningsformulär
(Fyll i och skicka in detta formulär bara om du vill avsluta Avtalet)
Till |
Ibas Ontrack AB, Box 1005, 753 20 Uppsala. |
Jag/vi meddelar härmed att jag/vi vill avbryta mitt/vårt avtal om försäljning av följande varor/för leverans av följande tjänst: |
Beställt den [*]/mottaget den [*], |
|
Konsumenten/konsumenternas namn |
|
Konsumenten/konsumenternas adress: |
|
Konsumenten/konsumenternas underskrift (endast om denna blankett skickas in i fysisk form): |
|
Datum: |
Tjänstebeskrivning för Ibas Ontracks dataräddningstjänster
1. Dataåterställningsprocessen, Ibas Ontracks tjänst och begränsningar
a) Dataåterställningstjänster utförs i flera steg:
- Felsökning – se avsnitt 2 nedan -; eller/och
- Diagnosen – se avsnitt 3 nedan -; och
- Dataåterställning efter felsökning eller diagnos – se avsnitt 4 nedan -, eller ”Remote Data Recovery” (RDR) för företagskunder – se avsnitt 5 nedan.
b) Ibas Ontrack kommer att återställa så mycket data som möjligt från ett eller flera skadade lagringsmedia genom att vidta lämpliga åtgärder. Ibas Ontrack testar inte användbarhet eller kompatibilitet i någon mjukvara eller i kundens specifika driftmiljöer.
c) Det är möjligt att raderad och/eller korrupt data inte kan läsas även när man använder Ibas Ontracks verktyg och teknologier. Därför kan Ibas Ontrack inte garantera att data på skadade media kan återställas, repareras eller läsas.
d) Ibas Ontrack kommer att undersöka media för att avgöra vilken skada som måste åtgärdas för att återställa data och datastrukturer till den punkt där de sannolikt kommer att läsas och användas igen i sina respektive applikationer. För att göra detta tillämpar Ibas Ontrack de högsta tekniska standarderna och proprietära processer, såväl som mjukvara och hårdvaruverktyg. På grund av arten av Ibas Ontracks arbete med skadade data eller media finns det en generell risk att eventuell kvarvarande data på det skadade mediet kan gå förlorad helt eller delvis förloras eller förstöras.
e) Kunden medger att det kvarstår en risk att:
- när befintliga data inte längre kan återställas kan ytterligare data gå förlorade;
- återställda data inte kan användas av kunden;
- informationsinnehållet i databärarna kan förstöras helt eller delvis; och
- de tillhandahållna databärarna, programvaran och andra föremål kan vara skadade, oanvändbara eller förstörda.
2. Flelsökning
a) Felsökningen är en första bedömning av en erfaren ingenjör som avgör vilken skada som kan ses på media för att uppskatta mängden data som kan förväntas kunna återställas. Felsökningen kan användas för hårddiskar, SDD:er och RAID/NAS-system. Undantagna från felsökningen är bland annat mobiltelefoner, surfplattor och flashmedia samt media med raderade data, vatten- och brandskador samt lagringsmedia som redan har öppnats eller där tidigare räddningsförsök har gjorts. Under felsökningen kopplas kundens databärare till våra egna proprietära system och öppnas vid behov. Under felsökningen kopieras/säkerhetskopieras ingen data eller analyseras vidare. Ingen lista över återställningsbara datamängder eller indikationer på vilka filer som kan återställas skapas. Ibas Ontrack tillhandahåller inte en fristående skaderapport.
b) Ibas Ontrack kommer att informera kunden efter felsökningen om (i) en dataåterställning är möjlig direkt, (ii) en ytterligare avgiftsbelagd diagnos krävs för att fastställa alternativen för dataåterställning inklusive mängden data som sannolikt kan återställas (se avsnitt 3); (iii) eller en dataåterställning inte kan utföras av Ibas Ontrack under omständigheterna.
c) En bedömning av den sannolika framgången för en dataåterställning efter felsökningen görs på grundval av följande klassificeringar:
- Utmärkt – Vi bedömer att 95 - 100 % av din data kan återställas.
- Bra – Vi bedömer att 75 - 100 % av din data kan återställas.
- Delvis återställningsbar – Vi uppskattar att upp till 50 % av dina data kan återställas.
- Komplext – På grund av skadans komplexitet kan vi ännu inte ge ett svar på vad som kan återställes. Vi rekommenderar därför en diagnos.
- Kan inte återställas – Vi kan inte återskapa någon data.
d) Bedömningen av chanserna att lyckas med en dataåterställning baserat på ovanstående klassificering är ingen garanti för att procentsatserna som anges i avsnitt 2 c) kommer att uppfyllas, eftersom varken fysiska eller datastrukturella skador repareras i en utvärdering.
e) På kundens begäran kan Ibas Ontrack, efter utvärderingen, utföra en diagnos mot en avgift. Denna diagnos inkluderar, där det är möjligt, framställande av en ”Verifile” fillista, som mer exakt kan bestämma mängden data som kan återställas (se avsnitt 3 nedan). Observera att det inte alltid är möjligt att tillhandahålla en fillista i händelse av att ingen data kan återställas.
f) Om kunden lägger en beställning för diagnos eller dataåterställning baserat på resultaten av utvärderingen (se avsnitt 4 nedan), kommer Ibas Ontrack att utföra den tillämpliga tjänsten, antingen diagnos eller dataåterställning.
g) Kunden kan besluta att inte utföra dataåterställning eller diagnos efter utvärderingen. Om kunden så önskar kommer mediet att returneras till kunden mot den avgift som anges i offertformuläret. Annars kommer mediet att kasseras på ett säkert sätt efter en karantäntid på 90 dagar.
h) Observera att det arbeta som utförs under felsökningen kan skada kundens utrustning.
3. Diagnos
a) För återställning av data på smartphones, surfplattor eller flashmedia eller vid specifika dataskador erbjuder Ibas Ontrack en avgiftsbelagd diagnos (och inte en felsökning). Ibas Ontrack kan dock också rekommendera en diagnos efter att felsökning har utförts, särskilt vid komplex skada. En diagnos kan också begäras utan felsökning.
b) Diagnosen kommer att bestämma typen och omfattningen av dataskadan, den exakta bestämningen av möjligheterna till dataåterställning på de databärare som tillhandahålls av kunden och mängden filer/data som sannolikt kan återställas. Ibas Ontrack kommer att ge kunden tillgång till en egenutvecklad plattform som gör det möjligt för kunden att spåra status samt förse kunden med en fillista (”Verifile”) om dataåterställning är möjlig. I vissa fall kanske Ibas Ontrack inte kan komma åt data och därför inte kunna tillhandahålla en fillista (”Verifile”).
c) Fillistan (“Verifile”) innehåller en indikation på kvaliteten på datan när det gäller dess användbarhet:
- Grön – data kommer med största sannolikhet att fungera eller öppnas i respektive applikation.
- Gul – data eller filer är delvis skadade – detta kan innebära att filerna inte kan öppnas och redigeras i respektive applikation. Det är möjligt att de skadade filerna kan repareras. En sådan tjänst erbjuds dock i allmänhet inte av Ibas Ontrack. Ibas Ontracks kundtjänst kan kontakta dig direkt om sådan tjänst kan tillhandahållas av Ibas Ontrack i det specifika fallet.
- Röd – data eller filer är korrupta – detta betyder förmodligen att filerna inte kan öppnas och redigeras i respektive applikation.
d) Det är inte möjligt för Ibas Ontrack att garantera användbarheten av data med kundens respektive applikationer som en del av diagnosen. Ibas Ontracks ingenjörer kommer att ge vägledning till den övergripande statusen för återställda data, men dessa förutsägelser kan inte garanteras på grund av andra orsaker till skada som inte kan identifieras. Detta gäller i specialfallet databasfiler av alla slag. Importen av datamängderna, arbetet med att rengöra datamängderna i enlighet med den senaste tekniken för respektive databasprogramvara och applikation samt konsultation av ytterligare experter är kundens ansvar. Ibas Ontrack kommer att stödja kunden så långt det är möjligt.
e) Det finns speciella dataförlustscenarier där färgerna i fillistan (”Verifile”) inte har någon betydelse. I fallet med sådana allvarliga strukturella skador garanterar Ibas Ontrack inte filernas funktionalitet. Om så är fallet anges detta i diagnosresultatet.
f) Diagnosen görs i Ibas Ontracks laboratorium. Vi skickar vanligtvis mobiltelefoner och surfplattor till ett av Ibas Ontracks europeiska expertcenter för mobiltelefoner.
g) Beroende på typen av media kan diagnosen leda till överföring av data till ett annat lagringsmedium och att den ursprungliga enheten skadas ytterligare.
h) Om kunden lägger en beställning för dataåterställning baserat på resultatet av diagnosen (se avsnitt 4 nedan), kommer Ibas Ontrack att utföra dataåterställningen.
g) Kunden kan besluta att inte utföra dataåterställningen efter diagnosen. På begäran av kunden kommer kundens media sedan att returneras till kunden mot den avgift som anges i offertformuläret. Annars kommer mediet att kasseras på ett säkert sätt efter 90 dagars karantän.
4) Dataåterställning efter diagnos eller felsökning
a) Erbjudande för dataåterställning efter felsökning
Resultatet av felsökning skickas tillsammans med ett erbjudande om dataåterställning. Endast de förväntade resultaten Utmärkt/Bra/Delvis/Komplex presenteras.
Offerten för dataåterställning innehåller dataåterställningspriset i förhållande till servicenivåerna (se stycke c.), som visar leveranstiden för respektive servicenivå och skickas till kunden enligt beskrivningen i våra allmänna avtalsvillkor.
b.) Erbjudande för dataåterställning efter diagnos
Efter diagnosen kommer Ibas Ontrack att skicka ”Verifile”-listan till kunden, där så är möjligt, och informera kunden om hur lång tid dataåterställningsprocessen kan ta och vad kostnaderna för dataåterställningen kommer att vara. Kunden kommer att få en offert för dataåterställning enligt beskrivningen i våra villkor, som kommer att inkludera dataåterställningspriset i förhållande till de servicenivåer (se stycke c.) som anger leveranstiderna för respektive dataåterställningsprocess.
c.) Servicenivåer
För beställningen kan kunden välja mellan följande servicenivåer beroende på hur brådskande det är:
- Emergency service
Uppdraget startas direkt och arbetet fortlöper oavbrutet tills resultatet är klart.
- Prioriterad service
Uppdraget startar omedelbart efter mottagandet och fortlöper under ordinarie arbetstid, måndag till fredag 8:00 - 17:00. Leveranstiden är normalt 3 - 5 arbetsdagar.
- Standardservice
Uppdraget utförs under ordinarie arbetstid. Leveranstiden är normalt 7 - 10 arbetsdagar.
- Ekonomiservice
Uppdraget utförs under ordinarie arbetstid. Leveranstiden är normalt upp till 20 arbetsdagar.
- Home
Uppdraget utförs under ordinarie arbetstid. Leveranstiden är normalt upp till 30 arbetsdagar.
d.) Beställning av dataåterställning
Kunden accepterar erbjudandet om dataåterställning enligt beskrivningen i våra allmänna villkor.
Om kunden beslutar sig för att inte utföra dataåterställningen på grundval av utvärderingsresultaten eller fillistan (”Verifile”), anses beställningen vara annullerad. På kundens begäran kommer datamediet att returneras till kunden mot den avgift som anges i beställningsformuläret. Annars kommer mediet att kasseras på ett säkert sätt efter 90 dagars karantän.
e) Utförande av dataåterställningen
Om kunden lägger en beställning på dataåterställning baserat på offerten för dataåterställning efter att ha granskat resultaten av utvärderingen eller/och diagnostikresultaten, kommer Ibas Ontrack att utföra dataåterställningen. Kunden får den data som kunde återställas av Ibas Ontrack. Efter en diagnos är detta vanligtvis de uppgifter som visas i fillistan (”Verifile”).
Data som återställs av Ibas Ontrack lagras på en bärbar lagrinsenhet och skickas till kunden. Utöver det separata mediet som innehåller återställda data, kan Ibas Ontrack returnera det skadade mediet om kunden begär det vid tidpunkten för beställningen av dataåterställningen, mot betalning av returfraktavgiften som anges där. På kundens begäran kan Ibas Ontrack radera uppgifterna på databäraren kostnadsfritt och/eller göra sig av med databäraren efter 90 dagars karantän.
f) Avvikelser i dataåterställningsresultatet
I händelse av att mängden återställda data är betydligt mindre än mängden återställda data som uppskattades i utvärderingen kommer en fillista att tillhandahållas kunden utan extra kostnad för att underlätta beslutet om fortsatt arbete. Om en fillista tidigare har beställts och tillhandahållits kommer en kundrepresentant att kontakta kunden för att diskutera resultaten och kundernas alternativ för dataåterställningen.
5 RDR Remote Data Recovery Service
a) RDR® står för “Remote Data Recovery™” (“RDR”). RDR är en patenterad teknologi som tillåter Ibas Ontrack-ingenjörer att utföra en dataåterställning av labbkvalitet direkt på kundens server, stationära eller bärbara dator via en internetanslutning. Det enda kravet är att disken fungerar. Ibas Ontracks RDR består av tre huvudkomponenter:
i) RDR Windows Client: Kunden initierar en anslutning till en Ibas Ontrack RDR-server med hjälp av programvaran RDR Windows Client. Klienten fungerar med Windows operativsystem. Enheterna som ska återställas behöver inte tillhöra ett visst operativsystem.
ii) RDR Server: Ibas Ontrack har flera serverplatser runt om i världen.
iii) RDR-arbetsstation: Den används av Ibas Ontrack-ingenjörer för att fjärrstyra verktygen på kundens maskin och återställa kundens data.
b) Först laddar kunden ner RDR Windows Client och installerar den på servern, stationära eller bärbara datorn som kommer att användas för återställningen. Därefter ansluter Ibas Ontrack till RDR Windows Client som en utgående TCP/IP-anslutning från kunden till Ibas Ontrack-servern, vilket skapar en krypterad tunnel över internet. Eftersom anslutningen sannolikt använder en webbanslutning kan den passera genom de flesta brandväggar utan några ytterligare konfigurationskrav. Datasäkerhet är av största vikt tack vare Ibas Ontracks proprietära kommunkationsprotokoll, krypterade paket och säkra Ibas Ontrack-faciliteter.
RDR skyddar kunddata via en RDR-anslutning på fyra sätt:
1. Direkt anslutning till RDR-servern: kundens programvara använder en direkt TCP-anslutning från kundens dator till Ibas Ontrack RDR-server. RDR använder inte någon mellanlagring från tredje part.
2. Kryptering: kommunikationslänken använder 256 bitars kryptering.
3. Proprietärt protokoll: RDR-kommunikation använder ett proprietärt protokoll, men inte HTTP eller något annat vanligt protokoll som andra skulle förstå.
4. Ingen kunddata överförs över anslutningen: RDR-anslutningen används endast av Ibas Ontrack-ingenjören för att fjärrstyra Ibas Ontrack-verktyg direkt på kundens maskin. Skärmuppdateringar och tangentbordspaket skickas över anslutningen, men inte faktiska kunddatafiler. I stället kontrollerar Ibas Ontrack-ingenjören verktygen för filsystemstruktur för att göra data tillgänglig för kunden.
c) Så snart anslutningen har upprättats, startar antingen diagnosen, eller så startar återställningsprocessen, om en beställning för dataåterställning görs.
Status: May 2023
Data Processing Agreement
Detta Databehandlingsavtal är en del av de allmänna villkoren för Ontrack Data Recovery Services och gäller (i) IBAS Ontrack AB (företagsnummer 556536-9740) med adress Box 1005, 751 40 Uppsala, Sverige (“Ontrack”); och (ii) den Kund som beställer Ontracks tjänster för dataräddning i överensstämmelse med affärsvillkoren (”Villkoren”).
Parterna har enats om att villkoren i detta Databehandlingsavtal ska tillämpas på behandlingen av de personuppgifter (enligt definition nedan) som krävs för att Ontrack ska kunna tillhandahålla tjänsterna till Kunden. .
Definitioner
I detta Databehandlingsavtal:
Personuppgiftsansvarig
|
har den betydelse som ges till den termen i dataskyddslagar;
|
Personuppgiftsbiträde
|
har den betydelse som ges till den termen i dataskyddslagar;
|
Dataskyddslagar
|
avser all tillämplig dataskyddslagstiftning som är tillämplig för Kunden, Ontrack och/eller i förhållande till tjänsterna, inklusive: (i) Data Protection Act 2018, inklusive den tillämpade GDPR; (ii) GDPR och/eller motsvarande eller likvärdiga nationella lagar eller förordningar; och (iii) i EU:s medlemsländer, alla relevanta lagar och förordningar som ger verkan till eller motsvarar GDPR;
|
Registrerad
|
har den betydelse som ges till den termen i Dataskyddslagar;
|
Förfrågan från Registrerad
|
avser en begäran från en Registrerad om att utöva den Registrerades rättigheter enligt Dataskyddslagar;
|
GDPR
|
avser Dataskyddsförordningen (den allmänna dataskyddsförordningen (EU) 2016/679);
|
Personuppgifter
|
har den betydelse som ges till den termen i dataskyddslagar och avser alla personuppgifter som tillhandahålls till Ontrack av Kunden;
|
Personuppgiftsincident
|
avser varje säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, otillåtet röjande eller otillåten åtkomst till personuppgifter;
|
Personal
|
avser varje nuvarande, tidigare eller blivande anställd, konsult, vikarie, inhyrd arbetare, praktikant, annan tillfälligt anställd, entreprenör, utstationerad anställd eller annan personal;
|
Behandling
|
har den betydelse som ges för den termen i Dataskyddslagar (besläktade termer såsom behandla har motsvarande betydelser);
|
Underbiträde
|
Underbiträde avser ett annat Personuppgiftsbiträde som anlitats av Ontrack för Kundens räkning för att utföra behandling av Personuppgifter för tjänster som är direkt relaterade till Tjänsten. Detta inkluderar inte tillhörande tjänster, såsom telekommunikationstjänster, post- / transporttjänster, underhålls- eller användarsupporttjänster eller bortskaffande av databärare och pappersdokument samt andra mjuk- eller hårdvarubaserade åtgärder
|
Tillsynsmyndighet
|
avser varje lokal, nationell eller multinationell instans, avdelning, tjänsteman, parlament, offentlig eller auktoriserad person eller regering eller yrkesorganisation, reglerande eller övervakande myndighet, styrelse eller annat organ som ansvarar för att administrera Dataskyddslagar.
|
Databehandlingsvillkor
1 Personuppgiftsbiträde och Personuppgiftsansvarigg
1.1 Avseende Personuppgifter är Parterna eniga om att Kunden ska vara Personuppgiftsansvarig och att Ontrack ska vara Personuppgiftsbiträde. Kunden ska ha ensamt ansvar för riktighet, kvalitet, integritet och tillförlitlighet hos alla Personuppgifter samt för sättet som sådana Personuppgifter inhämtats.
1.2 Kunden garanterar, intygar och åtar sig: (i) att alla Personuppgifter som används i samband med tjänsterna i enlighet med Villkoren i alla avseenden vara i enlighet med alla krav i Dataskyddslagar; (ii) att alla instruktioner som ges av Kunden till Ontrack avseende Personuppgifter alltid ska vara i enlighet med Dataskyddslagar; (iii) att man har erhållit alla nödvändiga samtycken från alla Registrerade vars personuppgifter behandlas, eller på annat sätt har tillämpligt lagligt tillstånd för att tillhandahålla Personuppgifterna till Ontrack; samt (iv) att man kommer att uppfylla villkoren i detta Databehandlingsavtal.
1.3 Ontrack garanterar, intygar och åtar sig: (i) att Behandla Personuppgifter endast i den mån det är nödvändigt i samband med Villkoren; och (ii) att behandla Personuppgifter i enlighet med Kundens dokumenterade instruktioner och kraven i Dataskyddslagar; (iii) att omedelbart informera Kunden om Ontrack anser att Kundens instruktioner är i strid med Dataskyddslagar eller om Ontrack inte kan följa Kundens instruktioner avseende behandlingen av Personuppgifter (på grund av att tillämplig lag eller Kundens instruktioner har förändrats); och (iv) att uppfylla villkoren i detta Databehandlingsavtal.
1.4 Inom ramen för den beställda behandlingen ska alla uppgifter som överlämnas av kunden behandlas. Kategorierna av personuppgifter och kategorierna av registrerade är kända för kunden och specificeras för processorn om detta är nödvändigt i samband med beställningen. När det gäller återvinning av uppgifter är kunskap om innehållet i kundens uppgifter vanligtvis inte relevant för personuppgiftsbiträdet.
2 Instruktioner och information om Behandling
2.1 Behandlingen av Personuppgifter som ska utföras av Ontrack enligt detta Databehandlingsavtal ska innefatta den Behandling som krävs för att Ontrack ska kunna tillhandahålla tjänsterna för dataåterställning.
3 Tekniska och organisatoriska åtgärder
3.1 Ontrack ska på egen kostnad implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder i samband med Behandling och säkerhet avseende Personuppgifter i enlighet med Dataskyddslagar och i synnerhet i enlighet med artiklarna 32–34 i GDPR. Ontrack ska se till att dessa tekniska och organisatoriska åtgärder är lämpliga för de särskilda risker som Behandlingen innebär, särskilt för att skydda Personuppgifter från oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt avslöjande eller obehörig åtkomst.
4 Använda Personal och Underbiträden
4.1 Förutom vad som anges i punkt 4.2 ska Ontrack inte anlita något Underbiträde för att utföra Behandling avseende Personuppgifter utan Kundens skriftliga förhandsmedgivande. Om sådant tillstånd skulle beviljas ska Ontrack, innan någon delning av Personuppgifter till ett godkänt Underbiträde, upprätta och ingå skriftliga villkor med Underbiträdet, som ska vara likvärdiga med de som anges i detta Databehandlingsavtal. Det är fastställt och accepterat att Ontrack, oaktat vad som anges i sådant avtal, gentemot Kunden ska fortsätta att vara helt ansvarig för att varje Underbiträde uppfyller sina skyldigheter. Ontrack ska informera Kunden om eventuella planerade ändringar avseende tillkomst eller utbyte av sådant Underbiträde och ge Kunden en rimlig möjlighet att på skäliga grunder invända mot sådana ändringar eller utbyten.
4.2 Godkända Underbiträden vid tidpunkten för detta Databehandlingsavtal anges i Annex 1.
4.3 Ontrack ska säkerställa att Personal med tillgång till Personuppgifter är tillförlitlig och behandlar Personuppgifter enbart om detta är absolut nödvändigt med tanke på tjänsterna, se till att denna Personal är fullt medveten om vilka åtgärder som krävs och ska vidtas vid behandling av Personuppgifter med hänsyn till Dataskyddslagar; samt säkerställa att denna Personal har samtyckt till att skydda sekretessen för de Skyddade uppgifterna, däribland genom sekretess (genom skriftligt avtal eller på annat sätt) avseende Personuppgifter.
5 Bistånd avseende Kundens regelefterlevnad och Registrerades rättigheter
5.1 Alla Förfrågningar från Registrerade som Ontrack tar emot ska omgående hänvisas till Kunden. Ontrack ska tillhandahålla sådant skäligt bistånd som Kunden rimligen kräver (med hänsyn till typen av Behandling och den information som Ontrack har tillgång till) till Kunden för att säkerställa efterlevnad av Kundens skyldigheter enligt Dataskyddslagar avseende: (i) Behandlingens säkerhet; (ii) konsekvensbedömningar (i enlighet med hur denna term definieras i Dataskyddslagarna); (iii) förhandssamråd med en tillsynsmyndighet avseende högriskbehandling; och (iv) meddelanden från Kunden till tillsynsmyndigheten och/eller Registrerade i samband med eventuella Personuppgiftsincidenter, såvida sådant bistånd inte är oproportionerligt tids- och resurskrävande för Ontrack, och varvid Kunden i sådant fall ska betala Ontrack ersättning för att tillhandahålla sådant bistånd.
6 Internationella överföringar
6.1 Kunden bekräftar att Ontrack, vid tidpunkten för detta databehandlingsavtal, kan behandla personuppgifter i Storbritannien, Europa och USA under avtalets löptid.
6.2 Kunden bekräftar att när det gäller personuppgifter som omfattas av Data Protection Act 2018 (Storbritannien), ska Ontrack tillåtas att behandla alla eller någon del av personuppgifterna inom Europeiska ekonomiska samarbetsområdet ("EES") enligt punkt 5(1)(a) i Sch.21 till Data Protection Act 2018. Dessutom har Förenade kungariket mottagit ett beslut om adekvat skyddsnivå daterat den 28 juni 2021 från Europeiska kommissionen i enlighet med artikel 45.3 i GDPR som bekräftar att överföringar kan ske utan behov av ytterligare tillstånd ("Beslut om adekvat skyddsnivå"). I händelse av att beslutet om adekvat skyddsnivå löper ut eller på annat sätt förklaras ogiltigt, ska parterna tillämpa de EU-standardavtalsklausuler för personuppgiftsbiträde som gäller vid den tillämpliga tidpunkten för att säkerställa att Ontrack i Storbritannien behandlar Personuppgifter i enlighet med gällande regler.
6.3 När det gäller överföringar av Personuppgifter till Amerikas förenta stater är parterna överens om att 2021 års standardavtalsklausuler för personuppgiftsansvarig (Modul 2) som godkänts av Europeiska kommissionen, med de tillämpliga ändringar som föreskrivs i S119A(1) i Data Protection Act 2018, och i enlighet med kraven i den schweiziska federala lagen om dataskydd av den 19 juni 1992 ("FADP") och, efter ikraftträdande, i enlighet med art. 16(2)(d) i dataskyddslagen. 16(2)(d) i den framtida reviderade federala lagen om dataskydd av den 25 september 2020 ("revDSG"), länkad här, ("standardavtalsklausuler") införlivas genom hänvisning i detta databehandlingsavtal och att alla överföringar ska omfattas av villkoren i standardavtalsklausulerna. Om Standardavtalsklausulerna ändras, upphävs eller ersätts av Europeiska kommissionen eller i enlighet med tillämpliga dataskyddslagar, ska Parterna samarbeta i god tro för att ingå en uppdaterad version av dataöverföringsmekanismen, eller för att förhandla fram en alternativ lösning för att möjliggöra kompatibla överföringar av Personuppgifter till Amerikas förenta stater.
6.4 På de villkor som anges i denna punkt 6 "Internationella dataöverföringar", godkänner Kunden överföringen av Personuppgifter till Amerikas Förenta Stater. Kundens samtycke till överföringen av Personuppgifter till USA kan återkallas när som helst, men i sådant fall bekräftar Kunden att Ontrack kanske inte kan slutföra Ordern och/eller utföra Tjänsterna om Kunden återkallar sitt samtycke till överföringen av Personuppgifter.
7 Dokumentation, information och granskning
7.1 Ontrack ska: (i) skapa; (ii) hålla uppdaterad; och (iii) upprätthålla fullständig och korrekt dokumentation avseende all Behandling av Personuppgifter.
7.2 Ontrack ska bevilja Kunden rätt till granskning högst en gång per kalenderår och med minst 30 (trettio) dagars skriftligt förhandsmeddelande, under normal kontorstid och under förutsättning att skäliga sekretessförpliktelser ingås, att tillgå och kopiera sådan dokumentation som avser Behandling av Personuppgifter, samt på alla skäliga sätt hjälpa Kunden att utöva sina granskningsrättigheter. Granskningsrätten ska inte omfatta något tredjepartsdatacenter eller någon annan tredjepartsanläggning där serverutrustning finns där bara visuell inspektion under övervakning är tillåten.
7.3 Ontrack ska på Kundens begäran och bekostnad omedelbart ge Kunden all information som krävs för att Kunden ska kunna visa att Kunden uppfyller sina skyldigheter enligt GDPR, i den mån som Ontrack kan tillhandahålla sådan information.
8 Notifiering om Personuppgiftsincident
8.1 Ontrack ska vid händelse av en Personuppgiftsincident som avser Personuppgifter utan onödigt dröjsmål: (i) meddela Kunden om Personuppgiftsincidenten; och (ii) förse Kunden med information om Personuppgiftsincidenten.
9 Radering eller återlämning av Personuppgifter och kopior
9.1 Ontrack ska på Kundens skriftliga begäran eller efter utgången av interna lagringsperioder antingen radera eller återlämna alla Personuppgifter till Kunden i sådan form som Kunden skäligen begär och inom skälig tid efter det av följande som tidigast infaller: (i) då tillhandahållande av relevanta dataräddningstjänster i enlighet med Villkoren avseende Behandling upphör; eller (ii) när Ontracks Behandling av eventuella Personuppgifter inte längre behövs för att Ontrack ska kunna utföra sina relevanta skyldigheter enligt detta Databehandlingsavtal, och radera befintliga kopior (såvida inte lagring av eventuella Personuppgifter krävs enligt tillämplig lag, och om så är fallet ska Ontrack informera Kunden om sådant krav). Ontrack ska säkerställa att Ontrack Underbiträde vidtar samma åtgärder avseende Personuppgifter.
9.2 Om Personuppgifter kvarstår i Ontracks besittning eller under Ontracks rådighet under en period som är längre än 12 (tolv) månader utan några aktiva instruktioner från Kunden, ska Ontrack radera sådana Personuppgifter.
10 Skadeslöshet
10.1 Varje part (den ”Skadeståndsskyldiga parten”) ska ersätta och hålla den andra Parten skadeslös (den ”Skadeståndsberättigade parten”) avseende alla anspråk, krav, åtgärder, uppgörelser, räntor, avgifter, förfaranden, kostnader, förluster och skador som åsamkats av, utdömts mot eller som enligt överenskommelse ska betalas av den Skadeståndsberättigade parten och som härrör från eller har samband med den Skadeståndsskyldiga partens bristande efterlevnad av detta Databehandlingsavtal och/eller överträdelser av Dataskyddslagar.
11 Ansvar
11.1 Den totala ersättningsskyldigheten för endera Parten enligt detta Databehandlingsavtal ska under inga omständigheter överskrida de avtalade gränser som anges i och har överenskommits i Villkoren.
12 Avtalstid och Uppsägning
12.1 Såvida inte detta Databehandlingsavtal sägs upp genom en överenskommelse mellan Parterna, ska Databehandlingsavtalet börja gälla den dag då tjänster beställs i enlighet med Villkoren och gälla så länge som Ontrack fortsätter att behandla Personuppgifter.
13 Lagval
13.1 Detta Databehandlingsavtal ska omfattas av villkoren i de lagvalsregler som anges i Villkoren.
Datum: 1 September 2023
Bilaga 1 – Underbiträde och överföringar
Ontrack produkt- eller affärssystem
|
Personuppgiftsbiträdets namn och adress
|
Dataåtervinning (Koncernföretag)
|
KLDiscovery Ontrack Limited Nexus, 25 Farringdon Street, London, EC4A 4AB, Storbritannien
KLDiscovery Ontrack B.V. De Brand 22, 3823 LJ Amersfoort, Nederländerna
Ibas Ontrack AS Fjellgata 2, 2212 Kongsvinger, Norge
KLDiscovery Ontrack GmbH Hanns-Klemm-Str. 5, 71034 Böblingen, Tyskland
KLDiscovery Ontrack Srl Gallarte (VA) Via Marsala 34/A CAP 21013, Italien
KLDiscovery Ontrack Sp. z o.o Katowice (40-082), ul. Jana III Sobieskiego 11, Polen
KLDiscovery Ontrack Sarl 2, impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413, Frankrike
KLDiscovery Ontrack (Switzerland) GmbH Hertistrasse 25, 8304 Wallisellen, Schweiz
KLDiscovery Ontrack, LLC 9023 Columbine Road, Eden Prairie, MN 55347, USA
|
Bilaga 2: Tekniskt och organisatoriskt Åtgärder
Notering om dokumentet:
KLDiscovery Ontracks allmänna tekniska och organisatoriska åtgärder beskrivs här. De befintliga åtgärderna förtecknas generiskt i detta dokument. Dessa åtgärder genomförs när det är nödvändigt och möjligt.
1. Konfidentialitet (artikel 32.1 b i GDPR)
Tillträdeskontroll
Ingen obehörig åtkomst till databehandlingsutrustning;
√ Låsning av servicepersonal som tilldelats sista ut-läget sätter igång larmet √ Bemannad reception under arbetstid
√ Access fob för rummen
√ Dörrsäkerhet (magnetisk dörrstängare, nyckelknippa)
√ Regler för hantering av besökare och extern personal
√ Besökare får endast vistas i kontorsutrymmen i sällskap av
√ Larmsystem / system för inbrottsdetektering
Systemåtkomstkontroll
Ingen obehörig åtkomst till databehandlingssystem;
√ Begrepp för auktorisering och behovsbaserade åtkomsträttigheter
√ Central användaradministration
√ Säkra lösenordsprocedurer/lösenordspolicy
√ Krypterad autentisering av användare
√ Automatiska blockeringsmekanismer efter misslyckade åtkomstförsök.
√ Tvåfaktorsautentisering
√ Kryptering av filer och databärare
√ Användning av brandväggar och virusskydd
√ Användning av virtuellt privat nätverk (VPN)
√ Loggning av åtkomster och åtkomstförsök (tillträde till rum, VPN, etc.)
Dataåtkomstkontroll
Ingen obehörig läsning, kopiering, ändring eller borttagning i systemet;
√ Behörighetskoncept och behovsbaserade åtkomsträttigheter för program och data.
√ Central användaradministration
√ Automatisk utloggning vid inaktivitet efter en viss tidsperiod.
√ Kryptering av filer och databärare
√ Loggning av åtkomster och felaktiga åtkomstförsök.
Kontroll av separation
Separat behandling av uppgifter som samlats in för olika ändamål;
√ Möjlighet till flera klienter
√ Separering enligt olika syften säkerställs genom olika system/databaser.
√ Uppdelning av funktioner för produktion/provning
√ Olika kryptering av dataregister för att säkerställa åtskillnad för olika behandlingsändamål.
√ Genomförande av definierade funktioner i informationssystemen: Administratör, revisor, användare.
√ Begrepp för auktorisering och behovsbaserade åtkomsträttigheter för program och data.
√ Användning av säkra processer som Challenge Response Procedures för att säkerställa en auktoriserad ansökan.
Pseudonymisering (artikel 32.1 a i GDPR, artikel 25.1 i GDPR)
Behandling av personuppgifter på ett sådant sätt att uppgifterna inte längre kan hänföras till en specifik registrerad utan ytterligare information, förutsatt att denna ytterligare information sparas separat och omfattas av lämpliga tekniska och organisatoriska åtgärder;
Parterna kommer överens om eventuell pseudonymisering i respektive beställning eller avtal.
2. Integritet (artikel 32.1 b i GDPR)
Överföringskontroll
Ingen obehörig läsning, kopiering, ändring eller borttagning under elektronisk överföring eller transport;
√ Begrepp som rör kryptering (kryptering av databärare, kryptering av filer).
√ Användning av digitala signaturer
√ Virtuella privata nätverk (VPN)
√ Avtal om orderbehandling med entreprenörer
√ Diskhantering och lagerkontroll via Business System
√ Utfärdande av databärare endast till behöriga mottagare (t.ex. orderkvitto, följedokument).
√ Definition av auktoriserade användare för tillgång till media
√ Förpacknings- och transportanvisningar (typ av transport, t.ex. i slutna behållare).
√ Direktinsamling, kurirservice, transport eskort
√ Separat försegling av konfidentiella databärare
√ Arrangemang för att göra kopior av uppgifter
√ Dokumentation av programmen för hämtning och överföring.
√ Säker dokumentförstöring och radering av data
√ Säker radering av data före utbyte och återanvändning av datamedia.
√ Bortskaffande av databärare genom avmagnetisering i enlighet med CESG Claims Tested Mark och därefter skickat till Stone Group Ltd för återvinning.
√ Säker tillgång till byggnaden för leverans och återlämning
Ingångskontroll
Fastställande av om och av vem personuppgifter har införts, ändrats eller tagits bort i databehandlingssystem;
√ Organisatoriskt definierade ansvarsområden för datainmatningar
√ Begreppet rollbaserad auktorisering
√ Loggning av inmatningar (ändrade uppgifter, användare som ändrat uppgifter) i affärssystemet.
√ Säkerställande av protokollen mot obehörig åtkomst.
√ Behandling av datorforensiska medier sker endast på arbetskopior, originalmedier förvaras i en bevisväska.
√ System för utvärdering av protokoll
√ Principen om dubbel kontroll för särskilt känsliga uppgifter (standardprocess och förvaringskedja).
3. Tillgänglighet och motståndskraft (artikel 32.1 b i GDPR)
Tillgänglighetskontroll
Skydd mot oavsiktlig eller avsiktlig förstörelse eller förlust;
√ System för brand-och rökdetektering
√ Brandsläckare för serverrum
√ Luftkonditionering av serverrummet
√ Användning av RAID-system
√ Koncept för säkerhetskopiering och återställning
√ Regelbundna tester för återställning av data
√ avbrottsfri strömförsörjning (UPS).
√ Skydd mot virus
√ Brandvägg
√ Skydd mot skadlig kod
√ definierade rapporteringskanaler (även med tjänsteleverantören)
√ Planer för nödsituationer
Snabb återställbart (artikel 32.1 c i GDPR);
√ Koncept för säkerhetskopiering och återställning
√ Se till att hårdvara anskaffas i tid genom inköp/partners.
4. Förfaranden för regelbunden översyn, bedömning och utvärdering (artikel 32.1 d i GDPR, artikel 25.1 i GDPR).
Data-Privacy-Management / Dataskyddsförvaltning
√ System för hantering av dataskydd
√ Anställdas engagemang för konfidentialitet
√ Riktlinjer och koncept för datasäkerhet och dataskydd (inklusive informationssäkerhetspolicy, personalpolicy, koncept för dataskyddsförvaltning, sammanfattning av informationssäkerheten).
Hantering av incidenter och reaktioner (beredskapsplaner)
√ Riskbedömning
√ Planer för nödsituationer
Dataskydd genom design och standard (artikel 25.2 i GDPR)
√ Begrepp för auktorisering
√ Policy som du behöver veta
Beställningskontroll
Ingen beställd databehandling i den mening som avses i art. 28 DS-GVO utan motsvarande instruktioner från kunden;
√ Avtal för orderbehandling (artikel 28 i GDPR)
√ Tydlig utformning av avtal med partnerföretag
√ Formaliserad orderhantering
√ Strikt urval av tjänsteleverantörer
√ Säker transport av datamedium genom lämpliga tjänsteleverantörer
√ Skyldighet att ha en tidigare fällande dom
√ Uppföljningskontroller via Business System.
√ Säker radering av uppgifter efter det att jobbet har slutförts/efter 30 dagar eller enligt villkoren i avtalet, eller enligt nya instruktioner från kunden om att radera uppgifter.
√ Standardiserade processer för behandling av beställningsuppgifter
√ Standardprocess för ändringshantering (enligt ITIL)
√ Övervakning av processerna
5. Ytterligare kommentarer / referenser / dokument
√ Dessutom gäller de tekniskt-organisatoriska åtgärderna för de underlevererade personuppgiftsbiträdena.
Data Processing Agreement 6.3
Standard Contractual Clauses
(Controller to Processor (Module Two)
SECTION I
Clause 1
Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)
have agreed to these standard contractual clauses (hereinafter: “Clauses”).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);
(iii) Clause 9(a), (c), (d) and (e);
(iv) Clause 12(a), (d) and (f);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b).
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4
Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
Clause 5
Hierarchy
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6
Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7
Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Instructions
(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
8.2 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
8.3 Transparency
On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
8.4 Accuracy
If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
8.5 Duration of processing and erasure or return of data
Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
8.6 Security of processing
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
8.7 Sensitive data
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
8.8 Onward transfers
The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:
(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.9 Documentation and compliance
(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.
Clause 10
Data subject rights
(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.
Clause 11
Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12
Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.
Clause 13
Supervision
(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,
submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)
15.1 Notification
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
15.2 Review of legality and data minimisation
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
SECTION IV – FINAL PROVISIONS
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
Clause 17
Governing law
These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of Ireland.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
APPENDIX
EXPLANATORY NOTE:
It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.
ANNEX I
LIST OF PARTIES
Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]
1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.
Address: Customer’s address stated in the Order
Contact person’s name, position and contact details: The customer that authorized the Order
Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…
Signature and date: as stated in the Order
Role (controller/processor): Controller
Data importer(s):
2. Name: KLDiscovery Ontrack, LLC
Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.
Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com
Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .
Signature and date: Data importer’s contact person stated above
Role (controller/processor): Processor
2. DESCRIPTION OF TRANSFER
Categories of data subjects whose personal data is transferred
Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.
Categories of personal data transferred
Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.
If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
One off, or as often as instructed by the data exporter.
Nature of the processing
The applicable Order content, mainly data recovery and connected services.
Purpose(s) of the data transfer and further processing
The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period
The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
./.
COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13
Supervisory Offices, depending on Data Exporter as defined in Clause 13:
https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
EXPLANATORY NOTE:
The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.
The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.
ANNEX III – LIST OF SUB-PROCESSORS
EXPLANATORY NOTE:
This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).
The controller has authorised the use of the following sub-processors:
- Name: None
Address: Not applicable.
Contact person’s name, position and contact details: Not applicable
Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.
ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS
In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:
Definitions
For the purposes of this Annex IV, the following definitions apply:
(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;
(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;
(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;
(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and
(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.
Supplementary Protections
1. No back doors
The data importer hereby confirms that:
(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;
(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and
(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:
(A) do not require the data importer to create or maintain any Back Doors; and
(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.
2. Enhanced audit rights
In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.
3. Notification and Transparency
To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.kldiscovery.com/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.
4. Obligation to Challenge
In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.
5. Obligation to Notify
In the event that the data importer receives a Disclosure Order, the data importer shall:
(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;
(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and
(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.
6. Policies and procedures
The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.
7. Disclosure of Records
The data importer shall create and maintain a written record of:
(i) each Disclosure Order; and
(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,
and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.
8. Standards
The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.
9. Policy Review
The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.
10. Onward Transfers
Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.
11. Compensation or other legal remedies
It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.
Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)
International Data Transfer Addendum to the EU Commission Standard Contractual Clauses
VERSION B1.0, in force 21 March 2022
ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.
Part 1: Tables
Table 1: Parties
|
Start date |
|
|
The Parties |
Exporter (who sends the Restricted Transfer) |
Importer (who receives the Restricted Transfer) |
|
Parties’ details |
Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order |
Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA |
|
Key Contact |
Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order |
Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com |
|
Signature (if required for the purposes of Section 2) |
Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order |
Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel |
Table 2: Selected SCCs, Modules and Selected Clauses
|
Addendum EU SCCs |
The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information. Date: The Date of the Order Reference (if any): Other identifier (if any): none |
Table 3: Appendix Information
“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC |
Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services |
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: As set out in the Data Processing Agreement which incorporates this Addendum. |
Annex III: List of Sub processors (Modules 2 and 3 only): As set out in the Data Processing Agreement which incorporates this Addendum. |
Table 4: Ending this Addendum when the Approved Addendum Changes
|
Ending this Addendum when the Approved Addendum changes |
Which Parties may end this Addendum as set out in Section 19: Importer Exporter |
Part 2: Mandatory Clauses
Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.
ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG
Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen:
1. Die Vertragsparteien vereinbaren, den GDPR-Standard für alle Datenübermittlungen zu übernehmen.
2. Verweise auf die GDPR sind als Verweise auf das DSG (bzw. nach dessen Inkrafttreten auf das revFADP") zu verstehen.
3. Bis zum Inkrafttreten der revDSG sind auch die Daten von juristischen Personen durch diese DSGVO und das SCC geschützt.
4. Aufsichtsbehörde: (a) wenn die Datenübermittlung ausschließlich dem DSG oder dem revDSG unterliegt: die zuständige Aufsichtsbehörde ist der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ("EDÖB"); oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: die zuständige Aufsichtsbehörde ist der EDÖB für Datenübermittlungen, die unter das DSG oder die revDSG fallen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen, die unter die DSGVO fallen;
5. Anwendbares Recht für vertragliche Ansprüche nach Ziff. 17 SCC: (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Schweizer Recht; oder (b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht; oder (c) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht.
6. Gerichtsstand für Klagen zwischen den Parteien gemäß Klausel 18 b SCC : (a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Zürich, Schweiz; oder (b) wenn die Datenübermittlung sowohl unter die DSGVO als auch unter das DSG fällt: Stuttgart, Deutschland
Im Zusammenhang mit der gerichtlichen Zuständigkeit für Ansprüche, die sich aus diesem SCC ergeben, ist der Begriff "Mitgliedstaat" nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.
|
APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION
In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply:
1. The Parties agree to adopt the GDPR standard for all data transfers.
2. References to the GDPR are to be understood as references to the FADP (respectively, once it entered into force, to the “revFADP”).
3. Before the revFADP enters into force, data pertaining to legal entities are also protected by this DPA and the SCC.
4. Supervisory authority: (a) where the data transfer is exclusively subject to the FADP or revFADP: the competent supervisory authority is the Swiss Federal Data Protection and Information Commissioner (“FDPIC”); or (b) where the data transfer is subject to both the GDPR and the FADP: the competent supervisory authority is the FDPIC for data transfers governed by the FADP or revFADP, and the competent EU supervisory authority for data transfer governed by the GDPR;
5. Applicable law for contractual claims under Clause 17 SCC: (a) where the data transfer is exclusively subject to the FADP: Swiss law.; or (b) where the data transfer is subject to both the GDPR and the FADP: Irish law.
6. Place of jurisdiction for actions between the parties pursuant to Clause 18 b SCC : (a) where the data transfer is exclusively subject to the FADP: Zurich, Switzerland; or (b) where the data transfer is subject to both the GDPR and the FADP: Dublin, Ireland
In the context of jurisdiction for claims arising out of this SCC, the term “Member State” shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland).
|