Condiciones Servicios De Recuperación De Datos

Actualizado: 09 junio 2021

CONDICIONES DE LOS SERVICIOS DE RECUPERACIÓN DE DATOS DE ONTRACK

1 CONDICIONES

1.1 Estas condiciones ("Condiciones") rigen la prestación de servicios de recuperación de datos por parte de KLDiscovery Ontrack Limited (registrada en Inglaterra, con número 02669766, Global House, 1 Ashley Avenue, Epsom, KT18 5AD y que opera como "Ontrack"). Le rogamos que lea atentamente estas condiciones antes de enviarnos su pedido. Estas Condiciones le indican quiénes somos, cómo le prestaremos los Servicios, cómo usted y nosotros podemos modificar o rescindir el Contrato, qué hacer si hay un problema y otra información importante.

2 DATOS DE CONTACTO

2.1 Cómo ponerse en contacto con nosotros. Puede ponerse en contacto con nosotros llamando a nuestro equipo de atención al cliente al número + 34 900 112 012, escribiéndonos a Ontrack, C. Anabel Segura 7, 28108 Alcobendas, Madrid, o poniéndose en contacto con uno de nuestros representantes en nuestra plataforma de "Chat en vivo" disponible en nuestra página web.

3 INTERPRETACIÓN

3.1 En estas Condiciones se aplicarán las siguientes definiciones:

(a) "Cliente comercial" significa un cliente que actúa con fines empresariales, comerciales o profesionales, incluyendo, sin limitación, un empresario individual, sociedad, sociedad limitada o autoridad pública;

(b) "Información confidencial" significa toda la información confidencial (independientemente de cómo se registre o se conserve) revelada por cualquiera de las partes a la otra en relación con los Servicios, incluyendo, pero sin limitarse a, sus Datos, nuestros Datos y cualquier información que pueda ser considerada confidencial por cualquiera de las partes;

(c) "Cliente consumidor" significa un cliente que es un individuo que no actúa con fines empresariales, comerciales o profesionales (excluyendo, para evitar dudas, cualquier Cliente comercial);

(d) "Contrato" significa lo definido en la cláusula 4.4;

(e) "Datos" significa los datos en formato electrónico de cualquier descripción, incluidos los "datos personales" según la definición del Reglamento General de Protección de Datos UE 2016/679 y/o la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales;

(f) "Equipo" significa sus Medios y, en su caso, el Teléfono Móvil;

(g) "Precio" significa el precio que debe pagar por los Servicios, según lo establecido en el correspondiente Presupuesto;

(h) "Medios" significa los medios de almacenamiento como discos duros, unidades USB, ordenadores portátiles, ordenadores u otros dispositivos;

(i) "Teléfono móvil" significa cualquier teléfono móvil;

(j) "Pedido" significa lo definido en la cláusula 4.3;

(k) "Presupuesto" significa lo definido en la Cláusula 4.1;

(l) "Descripciones del Servicio" significa los procesos específicos empleados por Ontrack, tal y como se describen en el siguiente enlace www.ontrack.com/pt-pt/condiciones-servicios/recuperacion-datos#descripcion-servicios, que establecen, entre otras cosas, las limitaciones del servicio, los niveles de servicio y las expectativas;

(m) "Servicios" los servicios de recuperación de datos que le prestaremos, tal y como se describen en las cláusulas 4 (Proceso de pedido) y 5 (Servicios) de estas Condiciones; y

(n) "Página web" significa nuestra página web en www.ontrack.com/pt-pt o cualquier otra página web que utilicemos para llevar a cabo nuestra actividad.

4 PROCESO DE PEDIDO

4.1 Para la recuperación de datos estándar, tras una consulta telefónica inicial, el envío de un formulario en línea a través de nuestro sitio web o el correo electrónico, usted nos enviará su Equipo para que lo evaluemos. Haremos todo lo posible para: (a) examinar el Equipo para determinar (i) qué Datos son accesibles en el Equipo: (ii) la causa de cualquier daño en el Equipo y/o los Datos en el Equipo; (iii) la cantidad de Datos (si los hay) que probablemente se puedan recuperar en el Equipo; (iv) si usted ha enviado un Teléfono Móvil roto, si es posible una reparación de su Teléfono Móvil y qué hardware, si lo hay, necesita ser reparado o reemplazado para restaurar cualquier funcionalidad del Teléfono Móvil ("Evaluación gratuita"); (b) informarle de los resultados de nuestra Evaluación gratuita. Le proporcionaremos un presupuesto que establezca el alcance de los Servicios y la Tarifa aplicable ("Presupuesto"). Todos los Servicios se prestarán de acuerdo con las Descripciones de los Servicios.

4.2 En el caso de otros Servicios, como la recuperación remota de datos ("RDR"), en la que usted no nos entrega ningún Equipo, o la desmagnetización, el Presupuesto consistirá en el trabajo que se espera haga Ontrack para realizar los Servicios.

4.3 Una vez recibido nuestro Presupuesto, usted podrá, a su elección (i) aceptar y firmar la solicitud de servicio o la declaración de trabajo para presentar un pedido de nuestros Servicios ("Pedido"); (ii) presentar una solicitud para que le devolvamos su Equipo (si procede), cuyos gastos de envío acepta pagar; o (iii) presentar una solicitud para que destruyamos su Equipo, en cuyo caso se nos permitirá destruir inmediatamente su Equipo. Si no recibimos un Pedido o una solicitud de devolución de su Equipo en un plazo de 90 (noventa) días naturales a partir de la fecha del Presupuesto, nos desharemos de su Equipo de acuerdo con la legislación aplicable.

4.4 La aceptación de su Pedido tendrá lugar cuando le enviemos por correo electrónico la confirmación de nuestra aceptación, momento en el que se establecerá un contrato legalmente vinculante entre usted y nosotros, regido por las presentes Condiciones ("Contrato"). Le asignaremos un número a su Pedido. Nos ayudará si nos indica el número de pedido siempre que se ponga en contacto con nosotros.

5 NUESTROS SERVICIOS

5.1 En consideración a su pago del Precio, prestaremos los Servicios con un cuidado y habilidad razonables. Tras un Pedido, haremos todo lo posible para: (i) recuperar, replicar, reconstruir, proporcionar acceso, convertir, recuperar y devolverle los Datos recuperados en un disco duro encriptado o una memoria USB (u otro disco duro proporcionado por usted); (ii) si es necesario, reparar el Teléfono Móvil; y (iii) llevar a cabo otros servicios que hayamos acordado realizar para usted por escrito, como la desmagnetización o el RDR. Cuando reciba de Ontrack el disco duro o la memoria USB con sus datos recuperados, le instamos a que compruebe inmediatamente la funcionalidad técnica del disco duro o de la memoria USB. Ontrack sólo puede reemplazar sus datos recuperados en caso de fallo del dispositivo de entrega dentro de nuestro período de retención de datos para sus datos personales recuperados según el Acuerdo de Tratamiento de Datos de Ontrack.

5.2 Recuperación de datos a distancia. Cuando desee que Ontrack realice una recuperación de datos para aquellas ocasiones en las que no sea necesario enviar ningún Equipo, Ontrack podrá realizar una recuperación de datos remota. Para ello, deberá descargar e instalar el software cliente RDR de Ontrack a través del enlace proporcionado por Ontrack. Una vez instalado, el cliente permite al usuario conectarse a Ontrack a través de una conexión cifrada a Internet. La conexión RDR sólo es utilizada por Ontrack para controlar las herramientas de recuperación de Ontrack directamente en la máquina del cliente. Sus datos no serán transferidos a Ontrack durante este proceso.

5.3 Desmagnetización. Ontrack colocará su equipo en una unidad de desmagnetización, que es una máquina que codifica de forma efectiva y segura los datos magnéticos contenidos en el equipo. Tras el proceso de desmagnetización, los datos ya no son legibles y se destruyen de forma segura.

5.4 Reparaciónde teléfonos móviles. El servicio principal que ofrecemos será la recuperación de los Datos del Teléfono Móvil y no ofrecemos una reparación independiente del Teléfono Móvil. Cuando sea posible una reparación, repararemos y restableceremos la funcionalidad del Teléfono Móvil para que pueda utilizarlo en condiciones de uso normales.

5.5 Se le informará de la fecha estimada de finalización de los Servicios durante el proceso de Pedido. Los costes de devolución del Equipo serán los establecidos en el correspondiente Presupuesto. Para algunos Servicios, es posible que necesitemos cierta información suya, como nombres de usuario, contraseñas y/o códigos de acceso. Si no proporciona esta información en un plazo razonable tras nuestra solicitud, o si proporciona información incompleta o incorrecta, podremos realizar un cargo adicional de una suma razonable para compensar cualquier trabajo extra que se requiera. No seremos responsables de suministrar los Servicios con retraso o de no suministrar alguna parte de los mismos si ello se debe a que usted no nos ha facilitado la información que necesitamos.

5.6 Es posible que tengamos que suspender la prestación de los Servicios para: (i) solucionar problemas técnicos o realizar cambios técnicos; (ii) actualizar los Servicios para reflejar los cambios legislativos y los requisitos reglamentarios pertinentes; (iii) realizar cambios en los Servicios a petición suya. También podemos suspender la prestación de los Servicios si usted no paga.

5.7 Aunque utilicemos reparaciones aprobadas por el fabricante del equipo original, no ofrecemos ninguna garantía de que los Servicios sean coherentes con cualquier garantía ofrecida por el fabricante del equipo original. Nuestra prestación de Servicios no debe tomarse, bajo ninguna circunstancia, como una garantía de que los Servicios serán exitosos, de que todos o algunos de sus Datos son recuperables o serán utilizables, de que el Teléfono Móvil podrá ser utilizado o de que lograremos cualquier otro resultado específico.

5.8 Ontrack garantiza que el software cliente de RDR (a) está libre de código de programa o instrucciones de programación diseñadas intencionadamente para interrumpir, inutilizar, dañar, interferir o afectar negativamente a programas informáticos, archivos de datos u operaciones; y (b) no contiene ningún otro código malicioso o dañino descrito típicamente como virus o por términos similares, incluyendo troyanos, gusanos o puertas traseras.

6 DERECHOS DE PROPIEDAD INTELECTUAL

6.1 Su Equipo y Datos seguirán siendo en todo momento de su propiedad, y nosotros no tendremos ningún derecho, título o interés sobre ellos (excepto el derecho a la posesión y uso de su Equipo y Datos para prestar los Servicios). Nosotros conservamos todos los derechos, títulos e intereses sobre la prestación de los Servicios, incluyendo cualquier mejora o perfeccionamiento de los mismos

7 DERECHOS DE FINALIZACIÓN DEL CONTRATO (CLIENTES CONSUMIDORES)

7.1 La presente cláusula 7 se aplica exclusivamente a nuestros contratos con clientes consumidores. Tras la realización de un Pedido, usted tiene el derecho legal de cambiar de opinión. Estos derechos, en virtud del Reglamento de Contratos de Consumo (Información, Cancelación y Cargos Adicionales) de 2013, se explican con más detalle a continuación.

7.2 Durante la Evaluación gratuita, puede cancelar el Pedido en cualquier momento. Si realiza un Pedido, puede cancelarlo dentro de los 14 (catorce) días siguientes al día en que le enviemos un correo electrónico para confirmar que aceptamos su Pedido. Sin embargo, una vez que hayamos completado los Servicios, no podrá cambiar de opinión, incluso si el período sigue en curso. Al realizar un Pedido, nos autoriza expresamente a iniciar los Servicios de forma inmediata. Si cancela después de que hayamos iniciado los Servicios, deberá pagarnos los Servicios prestados hasta el momento en que nos comunique que ha cambiado de opinión. Le indicaremos cuál será el importe tras la solicitud de cancelación.

Para cancelar el Pedido, puede hacerlo a través de uno de los siguientes métodos de comunicación proporcionando su número de Pedido, nombre, dirección y solicitud de cancelación:
(a) Teléfono o correo electrónico. Llame al servicio de atención al cliente al + 34 900 112 012 o envíenos un correo electrónico a ukinfo@ontrack.com;
(b) Por correo postal. Escríbanos a Ontrack, Anabel Segura 7, 28108 Alcobendas, Madrid; o
(c) Por Formulario de Cancelación: rellene y envíenos un formulario de cancelación en el formato del modelo de formulario de cancelación incluido como anexo a estas Condiciones.

8 DERECHOS DE CANCELACIÓN DEL CONTRATO (CLIENTES COMERCIALES)

8.1 La presente cláusula 8 se aplica exclusivamente a nuestros contratos con clientes comerciales. Tras un Pedido, usted no podrá rescindir los Servicios a menos que se establezca en la cláusula 9 siguiente.

9 DERECHOS DE RESCISIÓN MUTUA

9.1 Sin perjuicio de cualquier otro derecho disponible para cualquiera de las Partes, cada una de ellas podrá rescindir el Contrato con efecto inmediato mediante notificación por escrito si:
(a) cualquiera de las Partes comete un incumplimiento material de cualquiera de los términos del Contrato cuyo incumplimiento es irremediable o (si dicho incumplimiento es remediable) no remedia dicho incumplimiento dentro de un período de 7 (siete) días después de ser notificado por escrito para hacerlo o incumple repetidamente estas Condiciones. La falta de pago del Precio constituirá un incumplimiento material;
(b) cualquiera de las Partes cesa (o amenaza con cesar) su actividad comercial en su totalidad o en parte, se le nombre un liquidador, un síndico o un administrador judicial sobre cualquier parte de su empresa o sus activos, o se apruebe una resolución para su liquidación (que no sea a efectos de un plan de buena fe de fusión o reconstrucción solvente en el que la entidad resultante asuma todo el pasivo de la misma) o un tribunal de jurisdicción competente dicte una orden de administración o de liquidación o una orden similar, o se acoja a un acuerdo voluntario con sus acreedores, o no pueda pagar sus deudas a su vencimiento, o, si se trata de una persona física, se declare en quiebra.

9.2 Podremos rescindir el Contrato si, al ejecutarlo, pudiéramos infringir las leyes aplicables en materia de exportación y sanciones relativas a las relaciones con determinadas empresas y personas establecidas por la Comisión Europea u otras autoridades nacionales, incluidas las de Estados Unidos.

9.3 Tras la rescisión, usted será responsable de todas las cantidades que nos adeude, que serán pagaderas inmediatamente.

10 RECONOCIMIENTOS DEL CLIENTES

10.1 Por el presente, usted reconoce y nos garantiza que (i) tiene capacidad legal para celebrar contratos vinculantes; (ii) tiene plena autoridad, poder y capacidad para aceptar estas Condiciones y, si es un Cliente Comercial, tiene la autoridad legal apropiada para celebrar el Contrato; (iii) toda la información que nos proporciona en relación con su Pedido es verdadera, precisa, completa y no engañosa; (iv) es el propietario del Equipo y/o tiene el permiso del propietario del Equipo para que realicemos los Servicios; (v) el suministro de su Equipo y/o Datos a nosotros no infringirá ninguna obligación o derecho de terceros; (vi) el suministro de su Equipo y/o Datos a nosotros no infringirá ninguna ley aplicable; (vii) usted está legalmente autorizado a conceder acceso a los Datos; (viii) su Equipo no contiene ningún material (incluyendo, sin limitación, cualquier Dato) que pueda infringir los Derechos de Propiedad Intelectual de cualquier tercero; y (ix) su Equipo no contiene ningún material que infrinja la ley aplicable. Nos reservamos el derecho de solicitar pruebas documentales de su propiedad o derecho legal para autorizar los Servicios y de suspender o no comenzar los Servicios sin recibir dichas pruebas.

10.2 Usted reconoce que su Equipo y/o Datos pueden estar ya dañados antes de que los recibamos, y que nuestros esfuerzos por completar los Servicios pueden resultar en la destrucción de, o cualquier otro daño a, su Equipo y/o Datos. Tendremos un cuidado razonable en la prestación de los Servicios, pero, salvo lo especificado en la Cláusula 12 de estas Condiciones, no asumiremos ninguna responsabilidad por los daños existentes o adicionales que puedan producirse en sus Equipos y/o Datos durante nuestra prestación de los Servicios.

11 PRECIO Y PAGO

11.1 El precio de los Servicios será establecido en el correspondiente Presupuesto. Se añadirá el IVA al tipo legal y, si procede, será a cargo del Cliente.

11.2 Cómo debe pagar. El pago puede realizarse en efectivo, con cheque, por domiciliación bancaria, por transferencia, con tarjeta de crédito/débito o con pago por móvil. Si paga con tarjeta de crédito/débito, Ontrack le enviará un enlace de pago a una plataforma de pago segura de terceros para completar el proceso de pago una vez finalizado el trabajo. Algunos servicios, como los listados de archivos (véase la descripción del servicio), se pagan antes de comenzar los servicios. En el caso de otros Servicios, una vez finalizado el Pedido, el pago debe realizarse a Ontrack antes de que se devuelvan los Datos recuperados. Los clientes comerciales que soliciten condiciones de crédito deberán pagar su factura dentro de los plazos acordados, siempre que proporcionen a Ontrack una aceptación firmada de nuestro pedido o una orden de compra válida.

11.3 Si no nos paga cualquier cantidad debida en virtud de estas Condiciones, podremos retener el Equipo y los Datos hasta que realice el pago completo. Si no efectúa el pago completo en un plazo de 90 (noventa) días naturales a partir de la fecha de vencimiento, podremos, sin responsabilidad alguna y sin consultarle más, disponer de su Equipo y/o Datos de acuerdo con la legislación aplicable. Asimismo, le cobraremos intereses sobre el importe vencido a un tipo del 4% anual por encima del tipo básico de préstamo de Barclays Bank (PLC) en cada momento. Estos intereses se devengarán diariamente desde la fecha de vencimiento hasta la fecha de pago efectivo del importe vencido, ya sea antes o después de la sentencia.

12 NUESTRA RESPONSABILIDAD POR PÉRDIDAS O DAÑOS SUFRIDOS POR USTED

12.1 No aceptamos ninguna responsabilidad por la corrupción, daño físico o de otro tipo, o destrucción de su Equipo, sus Datos o cualquier otro equipo que pueda ocurrir, o la invalidación de cualquier garantía con respecto a su Equipo u otro equipo, ya sea: antes de que recibamos su Equipo, sus Datos u otro equipo; o en el curso de nuestra prestación de los Servicios, cuando dicho daño, destrucción, corrupción o invalidación surja de nuestra ejecución de los Servicios de acuerdo con estas Condiciones.

12.2 Aunque nos esforzaremos razonablemente por cuidar su Equipo o Datos mientras estén en nuestra posesión, no seremos responsables ante usted si alguno de sus Equipos o Datos se pierde, se destruye, se corrompe o se daña de otro modo por el uso y el desgaste normales.

12.3 No excluimos ni limitamos en modo alguno nuestra responsabilidad ante usted cuando sea ilegal hacerlo. Esto incluye nuestra responsabilidad por muerte o lesiones personales causadas por nuestra negligencia o la de nuestros empleados, agentes o subcontratistas; por fraude o tergiversación fraudulenta; y para los Clientes Consumidores, por el incumplimiento de sus derechos legales en relación con los Servicios y por Servicios defectuosos según la Ley General para la Defensa de Consumidores y Usuarios.

12.4 Sin perjuicio de lo dispuesto en la presente cláusula 12, nuestra responsabilidad total ante el usuario, ya sea por contrato, agravio (incluida la negligencia), por incumplimiento de obligaciones legales o de otro modo, que surja en virtud de un Contrato o en relación con el mismo, se limitará a (i) en los casos de incumplimiento de la confidencialidad, la protección de datos o la propiedad intelectual, a la cantidad mayor de 10.000 libras esterlinas o el valor del Precio a pagar en virtud del Contrato aplicable; o (ii) en cualquier otro caso, el valor del Precio a pagar en virtud del Contrato.

12.5 Ninguna de las partes será responsable ante la otra, ya sea por contrato, agravio (incluida la negligencia), por incumplimiento de obligaciones legales, o de otro modo, que surja en virtud de estas Condiciones o de cualquier Contrato, por cualquier pérdida indirecta o consecuente, pérdida de beneficios o pérdida de ventas o negocios.

12.6 Uso de mensajeros. Al recoger su Equipo antes del inicio de los Servicios, o al entregar los Datos recuperados y/o el Equipo original, subcontratamos dicho servicio a empresas de mensajería reconocidas a nivel nacional. Al aceptar que los utilicemos para los Servicios, usted acepta que cualquier pérdida o daño al Equipo o a los Datos estará expresamente sujeto a los términos y condiciones proporcionados por la empresa de mensajería, incluyendo las limitaciones de responsabilidad y los límites de indemnización. Por la presente, usted renuncia a todo derecho a presentar cualquier reclamación contra Ontrack por cualquier pérdida o daño a los Datos o al Equipo que se derive de la negligencia y/o el incum plimiento del contrato por parte de la empresa de mensajería, más allá de cualquier plan de compensación establecido por ellos.

13 INDEMNIZACIÓN

13.1 Usted nos indemnizará en su totalidad y nos mantendrá indemnes de todas las reclamaciones, costes, daños, responsabilidades, gastos (incluidos, sin limitación, los gastos legales), demandas y juicios que se nos adjudiquen o en los que incurramos o paguemos como resultado o en relación con todos y cada uno de sus actos, inacciones y/u omisiones relacionados con el Contrato y estas Condiciones.

14 CÓMO PODEMOS UTILIZAR SUS DATOS PERSONALES (DATOS DE CONTACTO DE CLIENTES CONSUMIDORES Y CLIENTES COMERCIALES)

14.1 Utilizaremos los datos personales que nos proporcione para prestarle los Servicios y procesar su pago por los mismos. Facilitar sus datos personales es voluntario; sin embargo, Ontrack no podrá prestar los Servicios si usted decide no proporcionar sus datos personales o retirar su consentimiento en cualquier momento. Recogemos sus datos personales (i) cuando se pone en contacto con nosotros por correo electrónico, teléfono o por cualquier otro medio y (ii) en el curso ordinario de nuestra relación con usted al prestarle los Servicios (incluidos los datos personales que obtenemos en el curso de la administración de sus pagos).

14.2 Los fines para los que tratamos sus datos personales incluyen: (i) prestar los Servicios y cumplir con su Pedido; (ii) obtener su opinión sobre nuestros Servicios, y (iii) con la debida autorización legal, el marketing directo.

14.3 Podremos revelar sus datos personales a otras entidades del grupo KLDiscovery (del que forma parte Ontrack), cuya lista completa figura en nuestra Política de Privacidad, y a (i) autoridades legales y reguladoras con el fin de informar sobre cualquier infracción real o presunta de la ley o normativa aplicable; (ii) nuestros contables, auditores, abogados y otros asesores profesionales externos; (iii) procesadores externos (como proveedores de servicios de pago; empresas de envío/transporte; proveedores de tecnología, procesadores que prestan servicios de cumplimiento). La finalidad de la divulgación a otras entidades es el cumplimiento de nuestras obligaciones contractuales con usted o para fines comerciales legítimos, de conformidad con la legislación aplicable. Hemos aplicado las medidas de seguridad descritas en nuestra Política de Privacidad y todas las entidades tienen la obligación de aplicar medidas de seguridad que garanticen un alto nivel de protección.

14.4 Sin que ello afecte a ninguno de sus derechos legales, usted tendrá en todo momento derecho a (i) acceder y obtener información sobre la naturaleza, el tratamiento o la divulgación de sus datos personales; (ii) rectificar sus datos personales; (iii) solicitar, por motivos legítimos, la supresión o la limitación del tratamiento de sus datos personales; (iv) oponerse, por motivos legítimos, al tratamiento de sus datos personales; (v) solicitar la transferencia de sus datos personales a otro responsable del tratamiento; (vi) retirar su consentimiento para el tratamiento de los datos personales; y (vii) presentar reclamaciones ante la Autoridad de Protección de Datos aplicable.

14.5 Al aceptar estas Condiciones, usted también acepta el almacenamiento y el uso de sus datos personales de acuerdo con los términos de nuestra Política de Privacidad, que está disponible en www.ontrack.com/pt-pt/privacidade.

15 CÓMO TRATAMOS LOS DATOS PERSONALES (DATOS RECUPERADOS)

15.1 Al aceptar estas Condiciones, con respecto a los Datos recuperados, nuestros Clientes también están aceptando el almacenamiento y uso de sus datos personales de acuerdo con los términos de nuestro Acuerdo de Procesamiento de Datos, que está disponible en www.ontrack.com/pt-pt/condiciones-servicios/recuperacion-datos#data-processing-agreement.

16 INFORMACIÓN CONFIDENCIAL

16.1 Cada parte se compromete a no revelar ninguna Información Confidencial de la otra parte a ningún tercero sin la autorización previa por escrito de la parte que revela la Información Confidencial y a (i) utilizar dicha Información Confidencial únicamente para el cumplimiento de sus obligaciones en virtud de estas Condiciones; (ii) utilizar los mismos métodos y el mismo grado de cuidado para evitar la divulgación de dicha Información Confidencial que utiliza para evitar la divulgación de su propia Información Confidencial y de propiedad, pero en ningún caso menos que un cuidado razonable; y (iii) divulgar la Información Confidencial a sus empleados y a terceros aprobados, únicamente en función de la necesidad de conocerla, siempre que todas estas personas estén sujetas a obligaciones de confidencialidad no menos onerosas que las establecidas en estas Condiciones.

16.2 Las obligaciones de confidencialidad no se aplicarán a ninguna Información Confidencial (i) que sea de dominio público sin culpa de la parte receptora; (ii) que fuera conocida por la parte receptora antes de recibirla de la otra parte; (iii) que sea revelada a la parte receptora por un tercero (que no sea empleado o agente de cualquiera de las partes) en circunstancias que dicha revelación no viole ninguna obligación de confidencialidad con la parte que revela la Información Confidencial; o (iv) que sea desarrollada independientemente por la parte receptora sin recurrir a la Información Confidencial. 1

7 OTRAS CONDICIONES IMPORTANTES

17.1 El presente Contrato se celebra entre usted y nosotros. Ninguna otra persona tendrá derecho a hacer valer ninguna de sus Condiciones. Cada uno de los apartados de estas Condiciones opera por separado. Si cualquier tribunal o autoridad pertinente decide que alguno de ellos es ilegal y/o inaplicable, los restantes párrafos seguirán teniendo plena vigencia. Si nos demoramos en tomar medidas contra usted por el incumplimiento de este contrato, esto no nos impedirá tomar medidas contra usted en una fecha posterior.

17.2 Podemos modificar los Servicios para reflejar los cambios en las leyes y los requisitos reglamentarios pertinentes y para realizar pequeños ajustes y mejoras técnicas, por ejemplo, para hacer frente a una amenaza de seguridad. Estos cambios no afectarán a su uso de los Servicios. Además, podemos realizar cambios más importantes en estas Condiciones o en los Servicios, pero si lo hacemos se lo notificaremos y podrá ponerse en contacto con nosotros para rescindir el Contrato antes de que los cambios entren en vigor y recibir un reembolso por los Servicios pagados, pero no prestados.

17.3 Además de cualquier otro derecho que tenga en virtud de la ley o la normativa, si reside en la Unión Europea, puede tener la opción de presentar reclamaciones en la plataforma de resolución de litigios en línea de la Unión Europea (la "Plataforma"), que facilita la resolución de litigios en línea. Para más información, visite la Plataforma en https://webgate.ec.europa.eu/odr/. Ontrack no tiene la intención de utilizar la Plataforma para la resolución de litigios y usted acepta que Ontrack no tiene ninguna obligación de utilizar la Plataforma para la resolución de litigios.

17.4 Estas condiciones se rigen por la legislación española y cada una de las partes podrá emprender acciones legales en los tribunales de Madrid.

ANEXO FORMULARIO DE CANCELACIÓN

(Rellene y devuelva este formulario sólo si desea rescindir el contrato)

A [NOMBRE, DIRECCIÓN, NÚMERO DE TELÉFONO Y, SI ESTÁ DISPONIBLE, NÚMERO DE FAX Y DIRECCIÓN DE CORREO ELECTRÓNICO DEL COMERCIANTE]

Yo/Nosotros [*] notificamos por la presente que yo/Nosotros [*] cancelamos mi/nuestro [*] contrato de venta de los siguientes bienes [*] /para la prestación del siguiente servicio [*],

encargado el [*]/recibido el [*],

Nombre del consumidor(es),

Dirección del consumidor(es),

Firma del (de los) consumidor(es) (sólo si este formulario se notifica en papel),

Fecha

[*] Elimina según corresponda

Efectiva: el día 1 de mayo de 2021

Actualizado: 09 junio 2021

Descripción de los Servicios de Recuperación de Datos de Ontrack

1. Descripción del Servicio

(a) Ontrack recuperará todos los datos posibles de uno o más soportes de datos dañados o intentará hacerlos legibles de nuevo a través de los mecanismos adecuados.

(b) La recuperación de datos se lleva a cabo en varias etapas:
i. La Evaluación Freeval - véase la sección 2 a continuación;
ii. Evaluación Freeval para smartphones y tablets - véase la sección 3 a continuación;
iii. El Diagnóstico – como opción – véase la sección 4 a continuación;
iv. Recuperación de datos - véase las secciones 5, 6 y 7 a continuación; y/o
v. Recuperación remota de datos - véase la sección 8 a continuación.

(c) A pesar con el mayor cuidado y esmero, puede que no sea posible leer los datos borrados y/o dañados incluso cuando se utilizan las herramientas y tecnologías de Ontrack. Por lo tanto, Ontrack no puede garantizar que los datos de los soportes dañados puedan recuperarse, repararse o leerse.

(d) Además, incluso con el uso de los más altos estándares técnicos y de procesamiento de acuerdo con el estado de la técnica, las operaciones de procesamiento necesarias para la recuperación de datos incluyen el riesgo de pérdida parcial o total de los datos restantes y/o la recuperabilidad parcial de los datos en los soportes dañados. El cliente reconoce que sigue habiendo un riesgo de que: (i) los datos no puedan recuperarse, se pierdan datos adicionales; (ii) los datos recuperados no puedan ser utilizados por el cliente; (iii) el contenido de la información transferida a los soportes de datos sea destruido en su totalidad o en parte; y (iv) los soportes de datos, el software y otros elementos proporcionados sean dañados, inutilizables o destruidos.

2 Evaluación Freeval

(a) La Evaluación Freeval consiste en una investigación del tipo y alcance del daño a los datos, así como en una investigación de las posibilidades de recuperación de datos en el soporte. El primer paso es determinar si el daño es lógico y/o físico y si el soporte de datos debe ser enviado al laboratorio con sala limpia para su procesamiento. Además, se evalúa el resultado esperado de la recuperación de datos.

(b) La Evaluación Freeval puede realizarse en el laboratorio de Ontrack o siempre y cuando técnicamente sea posible a través de una conexión remota a los propios sistemas del cliente utilizando la tecnología de Recuperación de Datos Remota de Ontrack ("RDR") (véase la sección 8).

(c) Ontrack informará al cliente, tras la Evaluación de Freeval, del éxito que se espera que tenga la fase posterior de recuperación de datos. Son posibles las siguientes estimaciones del resultado esperado en la recuperación de datos:
i. Excelente - Esperamos que la mayoría (90-100%) de sus datos brutos puedan recuperarse y puedan leerse en la aplicación correspondiente.
ii. Bueno - Esperamos que una gran parte de sus datos brutos (50-100%) puedan recuperarse y puedan leerse en la aplicación correspondiente.
iii. Parcial - Esperamos que una pequeña parte de sus datos brutos (menos del 50%) pueda recuperarse y puedan leerse en la aplicación correspondiente.
iv. Irrecuperable - No podemos acceder a los datos de su soporte de datos.
v. Complejo - No podemos proporcionar un porcentaje exacto de los datos esperados en este momento. Se deben explorar otras opciones de recuperación de datos.

(d) La Evaluación Freeval no puede garantizar el cumplimiento de los umbrales de % enumerados en la sección 2 (c) anterior, ya que puede haber daños que son difíciles de detectar al principio y que no pueden ser detectados completamente por la Evaluación Freeval.

(e) Además de la estimación de la recuperación de datos, Ontrack informará al cliente del tiempo que aproximadamente se necesitará para llevar a cabo la recuperación de datos, junto con el precio aplicable.

(f) A petición del cliente, Ontrack podrá, tras la Evaluación Freeval, llevar a cabo un Diagnóstico ampliado, previo pago, con la creación de una Lista de Archivos Verifile en la que se podrá determinar con mayor precisión la cantidad de datos que se espera recuperar (véase la sección 4 a continuación).

(g) Si el cliente, basándose en los resultados de la Evaluación Freeval, realiza el pedido de recuperación de datos, Ontrack llevará a cabo la recuperación de datos (véase la sección 5).

(h) El cliente puede decidir no realizar la recuperación de datos después de la Evaluación Freeval, en cuyo caso el pedido estará finalizado. Si así lo solicita el cliente en el momento de realizar el encargo de recuperación de datos, el soporte de datos será devuelto al cliente que será el encargado de organizar y pagar el transporte. De lo contrario, los soportes de datos serán destruidos.

(i) Dependiendo del tipo de soporte, la Evaluación Freeval puede dar lugar a la transferencia de los datos a otro dispositivo y a la destrucción del medio original.

3 Evaluación Freeval para smartphones y tablets

(a) La Evaluación Freeval consiste en una investigación del tipo y alcance del daño a los datos, así como en una investigación de las posibilidades de recuperación de datos en el soporte de datos. El primer paso es determinar si el daño es lógico y/o físico y si el soporte de datos debe ser enviado al laboratorio con sala limpia para su procesamiento. Además, se evalúa el resultado esperado de la recuperación de datos.

(b) La Evaluación Freeval se realizará en los laboratorios de Ontrack.

(c) Ontrack necesita que el cliente proporcione la clave de acceso del smartphone o tablet.

(d) Ontrack informará al cliente, tras la Evaluación Freeval, del éxito que se espera que tenga la fase posterior de recuperación de datos. Son posibles las siguientes estimaciones del resultado esperado de la recuperación de datos:
i. Bueno - Esperamos tener acceso al área de memoria y recuperar los datos.
ii. Irrecuperable - No podemos acceder al área de memoria ni recuperar ninguno de sus datos.
iii. Complejo - No podemos proporcionar una indicación de si podemos obtener acceso al área de memoria en ese momento. Se deben explorar otras opciones de recuperación de datos y esto puede requerir un Diagnóstico (véase sección 4).

(e) La Evaluación Freeval no puede garantizar el cumplimiento de los umbrales de % enumerados en la sección 3 (d) anterior, ya que puede haber daños difíciles de detectar al principio y que no pueden ser detectados completamente por la Evaluación Freeval.

(f) Además de la estimación de la recuperación de datos, Ontrack informará al cliente del tiempo que aproximadamente se necesitará para llevar a cabo la recuperación de datos, junto con el precio aplicable.

(g) Si el cliente, basándose en los resultados de la Evaluación Freeval, realiza el pedido de recuperación de datos, Ontrack llevará a cabo la recuperación de datos (véase la sección 7).

4 Diagnóstico/resultado del diagnóstico

(a) A petición del cliente, Ontrack llevará a cabo un Diagnóstico con cargo al cliente después de la Evaluación Freeval para determiner la cantidad de datos que pueden ser recuperados.
i. En este diagnóstico se determinará el tipo y el alcance de los datos dañados, la determinación exacta de las posibilidades de recuperación de los datos en los soportes de datos proporcionados por el cliente y la cantidad de archivos/datos que probablemente puedan ser recuperados. Las predicciones sobre la legibilidad de los datos como consecuencia de otro tipo de daños no siempre son fiables o incluso factibles y Ontrack no ofrece ninguna garantía a este respecto.
ii. Además, no es posible comprobar la utilidad de los datos en relación con el programa de aplicación correspondiente dentro del ámbito de este Diagnóstico.

(b) El Diagnóstico puede realizarse en el laboratorio de Ontrack o siempre y cuando técnicamente sea posible mediante conexión remota a los propios sistemas del cliente (utilizando la tecnología RDR de Ontrack (véase la sección 8)).

(c) Tras el Diagnóstico, Ontrack informará al cliente de los pasos necesarios para la recuperación de datos, qué datos/archivos se espera recuperar, qué tiempo se espera que sea necesario y los costes en que se incurrirá para la recuperación de datos.

(d) Dependiendo del tipo de soporte, el Diagnóstico puede dar lugar a la transferencia de los datos a otro soporte y a la destrucción del soporte original.

(e) Ontrack creará una lista detallada de archivos (Verifile) de los datos/archivos que Ontrack espera recuperar. La lista de archivos contiene una identificación de los archivos con respecto a su usabilidad esperada:
i. Bueno: Verde - lo más probable es que los datos funcionen/se abran en la aplicación.
ii. Sospechoso: Amarillo - los datos o archivos están parcialmente dañados – lo que puede resultar en que los archivos no puedan ser abiertos y editados en la aplicación correspondiente. Es posible que los archivos dañados puedan ser reparados, pero esto no es parte de la recuperación de datos ofrecida.
iii. Parcial: Rojo – los datos o archivos están dañados – lo que probablemente resultará en que los archivos no puedan ser abiertos y editados en la aplicación correspondiente.

(f) Existen escenarios especiales de pérdida de datos en los que no se validez a las afirmaciones del punto anterior sobre la lista de archivos (Verifile). Si este es el caso, se indica por escrito en el resultado del Diagnóstico.

(g) Si el cliente decide, en base a la lista de archivos, llevar a cabo la recuperación de datos, se aplicará la siguiente sección 6.

(h) Si el cliente decide no realizar la recuperación de datos basada en la lista de archivos (Verifile), el pedido está finalizado. Si así lo solicita el cliente en el momento de realizar el pedido de diagnóstico, el soporte de datos será devuelto al cliente por el precio indicado en el formulario de análisis. De lo contrario, los soportes serán destruidos.

5 Recuperación de Datos tras la Evaluación Freeval

(a) Si el cliente realiza un pedido de recuperación de datos basado en los resultados de la Evaluación Freeval y la oferta de recuperación de datos, Ontrack llevará a cabo la recuperación de datos.

(b) Si la Evaluación Freeval se realizó de forma remota, la recuperación de datos normalmente se puede realizar con la tecnología RDR de Ontrack (véase la sección 8).

(c) Además del soporte de datos separado con los datos recuperados, Ontrack devolverá el soporte de datos dañado, si así lo solicita el cliente en el momento de realizar el pedido de recuperación de datos.

(d) A petición del cliente, el soporte de datos dañado puede almacenarse y sellarse de forma segura en Ontrack por un precio aparte y almacenarse en la caja fuerte.

(e) A petición del cliente, Ontrack podrá eliminar y/o desechar el soporte de datos de acuerdo con la normativa aplicable.

(f) Si la cantidad de datos recuperados es considerablemente menor que la estimada en la Evaluación Freeval, el pedido se considerará sin éxito.

(g) En las circunstancias especificadas en el punto 5 (f) anterior, el cliente tendrá dos opciones:

Opción 1. Ontrack creará una lista detallada de archivos (Verifile) para el cliente de forma gratuita con los datos/archivos que Ontrack espera poder recuperar. La lista de archivos contiene una indicación de los archivos en términos de su usabilidad esperada:
a. Bueno: Verde - lo más probable es que los datos funcionen/se abran en la aplicación.
b. Sospechoso: Amarillo - los datos o archivos están parcialmente dañados – lo que puede resultar en que los archivos no puedan ser abiertos y editados en la aplicación correspondiente. Es posible que los archivos dañados puedan ser reparados, pero no forma parte la recuperación de datos ofrecida por Ontrack.
c. Parcial: Rojo – los datos o archivos están dañados – lo que probablemente resultará en que los archivos no puedan ser abiertos y editados en la aplicación correspondiente.

El cliente decide en base a la lista de archivos (Verifile) llevar a cabo la recuperación de datos como se indica en la sección 2 anterior, en cuyo caso el cliente recibirá los datos mostrados en la lista de archivos (Verifile).

Opción 2. El cliente decide no realizar la recuperación de datos o solicitar una lista de archivos (Verifile) en cuyo caso el pedido estará finalizado. Si así lo solicita el cliente en el momento de realizar el pedido de recuperación de datos, el soporte de datos será devuelto al cliente por el importe indicado en el formulario de presupuesto. De lo contrario, los soportes serán destruidos.

6 Recuperación de Datos tras el Diagnóstico

(a) Si el cliente realiza un pedido de recuperación de datos sobre la base de los resultados del diagnóstico y de la oferta de recuperación de datos, Ontrack llevará a cabo la recuperación de datos. Si el diagnóstico se realizó de forma remota, la recuperación de datos se puede realizar con la tecnología RDR de Ontrack (véase el apartado 8).

(b) El cliente recibe los datos presentados en la lista de archivos (Verifile).

(d) A petición del cliente, el soporte de datos dañado puede almacenarse y sellarse de forma segura en Ontrack por un precio aparte con el fin de conservar las pruebas y almacenarse en la caja fuerte.

(e) A petición del cliente, Ontrack podrá destruir el soporte de datos.

7 Recuperación de Datos tras la Evaluación Freeval para smartphones y tablets

(b) Previo pago, Ontrack devolverá los datos recuperados junto con el smarphone/tablet dañado.

(c) A petición del cliente, Ontrack podrá eliminar y/o desechar el smarphone/tablet de acuerdo con la normativa aplicable y sin cargo alguno.

(d) Si la cantidad de datos recuperados es considerablemente menor que la estimada en la Evaluación Freeval, el pedido se considerará sin éxito. El smartphone/tablet será devuelto al cliente que será el encargado de organizar y pagar el transporte. De lo contrario, el smartphone/tablet será destruido.

8 RDR Servicio de Recuperación de Datos Remota

(a) RDR^® se refiere a Recuperación de Datos Remota™ (“RDR”). RDR es una tecnología patentada que permite a los ingenieros de Ontrack realizar una recuperación de datos con calidad de laboratorio directamente en el servidor, el ordenador de sobremesa o portátil del cliente a través de un módem o una conexión a Internet. El único requisito es que el dispositivo de almacenamiento esté operativo. El RDR de Ontrack consta de tres componentes principales:
(i) Comunicaciones al cliente: El cliente inicia una conexión con un servidor RDR de Ontrack utilizando el software RDR Client especialmente diseñado. El RDR Client trabaja con Sistemas Operativos de uso común. No es necesario que la unidad o unidades a recuperar procedan de un Sistema Operativo específico.
(ii) Servidores RDR: Ubicaciones en todo el mundo para facilitar las conexiones.
(iii) Terminal RDR: Utilizado por los ingenieros de Ontrack para controlar a distancia nuestras herramientas en la máquina del cliente y recuperar sus datos.

(b) En primer lugar, el cliente descarga la versión correcta del RDR Client y la instala en el servidor, ordenador de sobremesa o portátil que se utilizará para la recuperación. A continuación, el software Ontrack Client se conecta como una conexión TCP/IP saliente desde la ubicación del cliente hasta el servidor Ontrack, creando un túnel o una conexión punto a punto a través de Internet. Dado que es probable que la conexión utilice una conexión web, puede pasar a través de la mayoría de los cortafuegos sin ningún requisito de configuración adicional.

La seguridad de los datos es primordial gracias al protocolo de comunicación exclusivo de Ontrack, a los paquetes encriptados y a las instalaciones seguras de Ontrack. RDR protege los datos del cliente a través de una conexión RDR de cuatro maneras:
(i) Conexión directa con el servidor RDR: El software del cliente utiliza una conexión TCP directa desde la máquina del cliente al servidor RDR de Ontrack. RDR no utiliza productos de alojamiento web de terceros
(ii) Encriptación: El enlace de comunicación utiliza encriptación de 256 bits en todos los paquetes
(iii) Protocolo exclusivo: La comunicación RDR utiliza un protocolo exclusivo, no HTTP o cualquier otro protocolo común que otros puedan entender
(iv) No se transfieren datos de cliente a través de la conexión: La conexión RDR sólo es utilizada por el ingeniero de Ontrack para controlar a distancia los servicios de Ontrack directamente en la máquina del cliente. Las actualizaciones de pantalla y los paquetes de teclado se envían a través de la conexión, pero no los archivos de datos reales del cliente. En su lugar, el ingeniero de Ontrack controla las herramientas para reparar las estructuras del sistema de archivos y hacer que los datos sean accesibles para el cliente.

(c) Una vez establecida la conexión, se iniciará la Evaluación Freeval o, si se realiza una orden de recuperación de datos, se iniciará el servicio de recuperación.

9 Niveles del Servicio

(a) Para el pedido de recuperación de datos, el cliente puede elegir entre los siguientes niveles de servicio según la urgencia:

(i) 24-horas servicio de emergencia
El procesamiento tendrá lugar inmediatamente después de la recepción del pedido, las 24 horas del día. El tiempo de procesamiento es de 24 horas hasta la finalización y entrega de los datos.
(ii) Servicio Express
El procesamiento tendrá lugar inmediatamente después de la recepción del pedido de lunes a sábado de 8.00 a 18.00. El tiempo de procesamiento suele ser de 3 días.
(iii) Servicio Standard
El soporte de datos se procesará después de la recepción del pedido de lunes a viernes entre las 9.00 y las 17.00. El tiempo de procesamiento suele ser de 7 a 10 días hábiles.
(iv) Servicio Economy
El soporte de datos se procesará después de la recepción del pedido de lunes a viernes entre las 9.00 y las 17.00. El tiempo de procesamiento suele ser de 20 días hábiles.
(v) Servicio Home
El soporte de datos se procesará después de la recepción del pedido de lunes a viernes entre las 9:00 a.m. y las 5:00 p.m. El tiempo de procesamiento suele ser de 30 días laborables.

Actualizado: 01 julio de 2021

Acuerdo de Tratamiento de Datos

Este Tratamiento de Datos se aplica a: (i) KLDiscovery Ontrack Limited (número 02669766) y cuyo domicilio social se encuentra en Global House, 1 Ashley Avenue, Epsom, Surrey, Reino Unido (en adelante "Ontrack"); y (ii) el Cliente que realice un pedido de servicios de Ontrack de conformidad con las condiciones de servicio aplicables ("Condiciones").

Las Partes convienen en que los términos de este Tratamiento de Datos sean de aplicación a los Datos Personales que Ontrack recupere para Cliente en relación con los Servicios de Recuperación de Datos.

Definiciones

En este Anexo de Tratamiento de Datos:

Responsable del Tratamiento de Datos	tiene el significado dado a ese término (o al término ‘responsable del tratamiento’) en las Leyes de Protección de Datos;
Encargado del Tratamiento de Datos	tiene el significado dado a ese término (o al término ‘encargado del tratamiento’) en las Leyes de Protección de Datos;
Leyes de Protección de Datos	significa toda la legislación aplicable en materia de protección de datos que sea vinculante para el Cliente, Ontrack y/o en relación con los servicios, incluyendo: (i) la Ley de Protección de Datos de 2018, incluido el GDPR aplicado; (ii) el GDPR y/o cualquier ley o reglamento nacional correspondiente o equivalente; y (ii) en los estados miembros de la Unión Europea, todas las leyes o reglamentos pertinentes que den efecto al GDPR o se correspondan con él;
Interesado	tiene el significado dado a ese término en las Leyes de Protección de Datos;
Solicitud del Interesado	se refiere a una solicitud presentada por un Interesado para ejercer cualesquiera derechos que le correspondan en virtud de las Leyes de Protección de Datos;
GDPR	se refiere al Reglamento general de protección de datos (UE) 2016/679 y en la Ley 3/2018, de 5 de diciembre, sobre Protección de Datos Personales y Derechos Digitales;
Datos Personales	tiene el significado dado a ese término en las Leyes de Protección de Datos; y abarca todos los datos personales proporcionados a Ontrack por el Cliente;
Vulneración de Datos Personales	significa cualquier violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales, o la comunicación o acceso no autorizados a dichos datos;
Personal	se refiere a cualquier empleado, consultor, trabajador temporal, trabajador de agencia, becario, personal sin contrato fijo, contratista, trabajador adscrito u otro miembro del personal actual, anterior o futuro;
Tratamiento	tiene el significado dado a ese término en las Leyes de Protección de Datos (y los términos relacionados como “tratar” tienen significados correspondientes);
Subencargdo del Tratamiento	Subprocesador significa otro procesador de datos contratado por KLDiscovery Ontrack en nombre del cliente para llevar a cabo actividades de tratamiento con respecto a los datos para los servicios que se relacionan directamente con el servicio principal. Esto no incluye los servicios auxiliares, tales como servicios de telecomunicaciones, servicios postales / de transporte, servicios de mantenimiento o de apoyo al usuario o la eliminación de los soportes de datos y documentos en papel, así como otras acciones basadas en software o hardware; y
Autoridad de Control	significa cualquier agencia, departamento, funcionario, parlamento local, nacional o internacional, persona pública o jurídica o cualquier organismo gubernamental o profesional, autoridad reguladora o de control, consejo u otro organismo encargado de la administración de las Leyes de Protección de Datos.

Disposiciones sobre Tratamiento de Dato

1 Encargado del Tratamiento de Datos y Responsable del Tratamiento de Datos

1.1 Las Partes convienen en que, con respecto a los Datos Personales, Ontrack será el Encargado del Tratamiento de Datos y el Cliente o el Cliente, según proceda, será el Responsable del Tratamiento de Datos. Se reconoce que el Cliente o su Cliente serán los únicos responsables de la precisión, calidad, integridad y veracidad de cualesquiera Datos Personales, así como de los medios por los que adquiera dichos Datos Personales.

1.2 El Cliente garantiza, asevera y se compromete, y deberá obtener la garantía, aseveración y compromiso equivalentes por parte del Cliente, para que: (i) todos los Datos del Personales utilizados en relación con los Servicios de Recuperación de Datos cumplan en todos los sentidos las Leyes de Protección de Datos; (ii) todas las instrucciones que se proporcionen a Ontrack en relación con los Datos del Personales deberán ajustarse en todo momento a las Leyes de Protección de Datos; (iii) haya obtenido todas las autorizaciones necesarias de cualquier Interesado cuyos Datos Personales estén incluidos en los Datos del Personales o tenga la autorización legal apropiada para proporcionar los Datos Personales a Ontrack; y (iv) cumpla las condiciones del presente Contrato de Tratamiento de Datos.

1.3 Ontrack garantiza, asevera y se compromete a: (i) tratar los Datos del Personales solo en la medida en que sea necesaria para los Servicios de Recuperación de Datos; y (ii) tratar los Datos del Personales de conformidad con las instrucciones documentadas del Cliente y lo dispuesto por las Leyes de Protección de Datos; (iii) informar inmediatamente al Cliente si Ontrack considera que las instrucciones del Cliente infringen las Leyes de Protección de Datos, o si Ontrack es incapaz de cumplir las instrucciones del Cliente en relación con el Tratamiento de los Datos del Personales (ya sea como consecuencia de un cambio de la ley vigente o un cambio de las instrucciones del Cliente); y (iv) cumplir las condiciones del presente Contrato de Tratamiento de Datos.

2 Instrucciones y detalles del Tratamiento

2.1 El Tratamiento de los Datos del Personales que lleve a cabo Ontrack de conformidad con el presente Contrato de Tratamiento de Datos implicará el Tratamiento tal y como se exige a Ontrack que preste los servicios de recuperación de datos.

3 Medidas Técnicas y Organizativas

3.1 Correrá por cuenta de Ontrack la implementación y mantenimiento de las medidas técnicas y organizativas apropiadas en relación con el Tratamiento y la seguridad de los Datos del Personales en virtud de las Leyes de Protección de Datos y de conformidad con los artículos 32-34 del GDPR en particular. Ontrack garantizará que dichas medidas técnicas y organizativas sean apropiadas para los riesgos particulares que se derivan de sus actividades de Tratamiento, en particular para la protección de los Datos del Personales en lo que se refiere a la destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizados a dichos datos.

4 Utilización de Personal y Subencargados del Tratamiento

4.1 Con excepción de lo dispuesto en la cláusula 4.2, Ontrack no recurrirá a ningún subencargado del tratamiento para llevar a cabo actividades de tratamiento en relación con los Datos del Personales sin la previa autorización por escrito del Cliente. En el supuesto de que se obtenga dicha autorización, antes de proceder a ninguna comunicación con algún subencargado del tratamiento aprobado, Ontrack pondrá por escrito las condiciones acordadas con el subencargado del tratamiento, que serán equivalentes a las establecidas en el presente Contrato. Se acepta y se reconoce que, sin perjuicio de que se estipule lo contrario en el presente Contrato, Ontrack seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada encargado del tratamiento. Ontrack informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de dichos subencargados del tratamiento, dando así al Cliente una oportunidad razonable de oponerse, mediante argumentos razonables, a dichos cambios o sustituciones.

4.2 Los subencargados del tratamiento aprobados en la fecha del presente Contrato figuran en el Anexo 1.

4.3 Ontrack garantizará la fiabilidad del Personal que tenga acceso a los Datos Personales, garantizará que su tratamiento se limita estrictamente a las necesidades de los servicios de recuperación de datos, garantizará que son plenamente conscientes de las medidas y pasos necesarios a la hora de tratar los Datos del Personales habida cuenta de las Leyes de Protección de Datos, y garantizará que están comprometidos con la protección de la confidencialidad de los Datos del Personales, por cualquier medio (ya sea mediante contrato escrito u otro) en relación con los Datos del Negocio.

5 Asistencia con el Cumplimiento del Cliente y los Derechos del Interesado

5.1 Ontrack remitirá inmediatamente al Cliente todas las Solicitudes de Interesados que reciba. Ontrack proporcionará la asistencia razonable que el Cliente razonablemente solicite (teniendo en cuenta la naturaleza del Tratamiento y la información facilitada a Ontrack) para garantizar el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos con respecto a: (i) la seguridad del Tratamiento; (ii) las evaluaciones de impacto relativas a la protección de datos (de acuerdo con su definición en las Leyes de Protección de Datos); (iii) la consulta previa a la Autoridad de Control con respecto al Tratamiento de alto riesgo; y (iv) notificaciones a la Autoridad de Control y/o comunicaciones a los Interesados por el Cliente en respuesta a cualquier violación de la seguridad de los datos personales, siempre que en el supuesto de que dicha asistencia sea desproporcionada en tiempo y recursos para Ontrack, el Cliente abone los honorarios de Ontrack por prestar dicha asistencia.

6 Transferencias internacionales de datos

6.1 Los Datos Personales son alojados y procesados por Ontrack en el Reino Unido y el Espacio Económico Europeo ("EEE") y Ontrack no transferirá ningún Dato Personal fuera del EEE sin la aprobación previa por escrito del Cliente. El Cliente reconoce que, en la fecha del presente Acuerdo de Tratamiento de Datos, con respecto a los Datos Personales sujetos al GDPR, Ontrack los procesará en el Reino Unido sobre la base legal permitida por el decisión de adecuación del Reino Unido de los 28 junio 2021. 6.2 En el caso de que se modifique la designación del Reino Unido, las Partes introducirán las Cláusulas Contractuales Tipo del Controlador al Procesador de la UE en vigor en el momento aplicable para garantizar el cumplimiento del Tratamiento de Datos Personales por parte de Ontrack en el Reino Unido.

7 Registro, Información y Auditoría

7.1 Ontrack deberá: (i) crear; (ii) mantener actualizado; y (ii) llevar un registro completo y preciso de todos los Tratamientos de Datos del Personales.

7.2 Ontrack concederá al Cliente el derecho de auditoría, no más de una vez por año natural y mediante notificación escrita con 30 (treinta) días de antelación, durante las horas laborales normales y siempre que exista un compromiso razonable de confidencialidad, para acceder y hacer copias de los registros de actividades de datos, relativos al Tratamiento de Datos del Personales, y proporcionará toda la asistencia razonable al Cliente en el ejercicio de sus derechos de auditoría. Este derecho de auditoría no se hará extensivo a ningún centro de datos tercero u otras instalaciones de un tercero que aloje cualquier equipo de servidores donde solo se permitirá inspección visual y acompañada.

7.3 Ontrack, a petición del Cliente y por cuenta de este, facilitará de inmediato al Cliente toda la información necesaria para permitir al Cliente que demuestre el cumplimiento de sus obligaciones en virtud del GDPR, en la medida en que Ontrack sea capaz de facilitar dicha información.

8 Notificación del Incumplimiento

8.1 Por lo que se refiere a cualquier Incumplimiento en materia de Datos Personales, Ontrack procederá, sin demoras injustificadas, a: (i) notificar al Cliente el Incumplimiento en materia de Datos Personales; y (ii) facilitar al Cliente los detalles del Incumplimiento en materia de Datos Personales.

9 Supresión o devolución de Datos Personales y copias

9.1 Ontrack deberá, por petición escrita del Cliente, ya sea suprimir o devolver todos los Datos del Personales en la forma en que razonablemente lo solicite el Cliente en un plazo razonable de tiempo tras la primera de las siguientes acciones: (i) el final de la prestación de los correspondientes servicios de recuperación de datos de conformidad con las Condiciones relativas al Tratamiento; o (ii) una vez que ya no sea necesario el Tratamiento por Ontrack de los Datos del Personales para la ejecución de sus correspondientes obligaciones en virtud del presente Contrato de Tratamiento de Datos, y suprima las copias existentes (a menos que la ley vigente exija el almacenamiento de cualesquiera Datos del Personales y, si fuera así, Ontrack informará al Cliente sobre dicho requisito). Ontrack procurará que sus Subencargados del Tratamiento lleven a cabo las mismas acciones con respecto a los Datos del Personales.

9.2 En el supuesto de que los Datos del Personales incluidos en cualesquiera Dispositivos sigan en posesión o control de Ontrack durante un período superior a 12 (doce) meses sin ninguna instrucción activa del Cliente, Ontrack borrará dichos Datos del Personales y/o destruirá los Dispositivos.

10 Indemnización

10.1 Cada Parte (la “Parte Indemnizadora”) indemnizará y mantendrá indemnizada a la otra Parte (la “Parte Indemnizada”) en relación con todas las reclamaciones, peticiones, acciones, resoluciones, derechos, cargos, procedimientos, gastos, pérdidas y daños sufridos, contraídos, cargados o cuyo pago haya sido acordado por la Parte Indemnizada como resultado o consecuencia del incumplimiento de la Parte Indemnizadora en relación con el presente Anexo de Tratamiento de Datos y/o infracción de las Leyes de Protección de Datos.

11 Responsabilidad

11.1 La responsabilidad total de cualquiera de las Partes en virtud del presente Acuerdo de Tratamiento de Datos no superará en ningún caso los límites contractuales establecidos y acordados en las Condiciones.

12 Duración y Extinción

12.1 Salvo que se rescinda por acuerdo de las Partes, el presente Acuerdo de Tratamiento de Datos comenzará en la fecha en que se realice un pedido de servicios conforme a las Condiciones y continuará en vigor mientras Ontrack siga procesando Datos Protegidos.

13 Ley Aplicable

13.1 El presente Acuerdo de Tratamiento de Datos estará sujeto a los términos de la disposición de elección de la ley establecida en las Condiciones.

1 – Encargados del Tratamiento y transferencias

Producto Ontrack/Sistema de la Empresa	Uso obligatorio del Subencargado del Tratamiento	Nombre del Subencargado del Tratamiento	Dirección del Subencargado del Tratamiento	Transferencia fuera del EEE
Servicios	Si	KLDiscovery Ontrack SL	C. Anabel Segura 7, 28108 Alcobendas, Madrid, España	No
Servicio fuera de horas	Si	Regus Management España, S.L.	Paseo de la Castellana Num. 200 28046, Madrid, España	No

Data Processing Agreement 6.3
Standard Contractual Clauses

(Controller to Processor (Module Two)

SECTION I

Clause 1

Purpose and scope

(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.

(b) The Parties:

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and

(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)

have agreed to these standard contractual clauses (hereinafter: “Clauses”).

(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2

Effect and invariability of the Clauses

(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.

(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3

Third-party beneficiaries

(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);

(iii) Clause 9(a), (c), (d) and (e);

(iv) Clause 12(a), (d) and (f);

(v) Clause 13;

(vi) Clause 15.1(c), (d) and (e);

(vii) Clause 16(e);

(viii) Clause 18(a) and (b).

(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4

Interpretation

(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.

(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.

Clause 7

Docking clause

(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.

(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.

(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8

Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.

8.1 Instructions

(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.

(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.

(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:

(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;

(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;

(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or

(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

(a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.

(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.

(c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.

(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.

(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.

(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.

(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.

(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.

(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.

(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.

(c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.

(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.

(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:

(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;

(ii) refer the dispute to the competent courts within the meaning of Clause 18.

(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.

(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.

(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.

(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.

(c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.

(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.

(e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.

(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.

(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Clause 13

Supervision

(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,

submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:

(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;

(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.

(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.

(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.

(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

15.1 Notification

(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:

(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or

(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.

(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.

(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).

(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.

(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimisation

(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).

(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.

(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).

(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:

(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;

(ii) the data importer is in substantial or persistent breach of these Clauses; or

(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.

In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.

(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.

(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.

Clause 18

Choice of forum and jurisdiction

(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.

(b) The Parties agree that those shall be the courts of Ireland.

(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.

(d) The Parties agree to submit themselves to the jurisdiction of such courts.

APPENDIX

EXPLANATORY NOTE:

It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ANNEX I

LIST OF PARTIES

Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]

1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.

Address: Customer’s address stated in the Order

Contact person’s name, position and contact details: The customer that authorized the Order

Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…

Signature and date: as stated in the Order

Role (controller/processor): Controller

Data importer(s):

2. Name: KLDiscovery Ontrack, LLC

Address: 9023 Columbine Road, Eden Prairie, MN 55347, USA.

Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com

Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data .

Signature and date: Data importer’s contact person stated above

Role (controller/processor): Processor

2. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.

Categories of personal data transferred

Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

One off, or as often as instructed by the data exporter.

Nature of the processing

The applicable Order content, mainly data recovery and connected services.

Purpose(s) of the data transfer and further processing

The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

./.

COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

Supervisory Offices, depending on Data Exporter as defined in Clause 13:

https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm

ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

EXPLANATORY NOTE:

The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.

Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.

The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.

ANNEX III – LIST OF SUB-PROCESSORS

EXPLANATORY NOTE:

This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).

The controller has authorised the use of the following sub-processors:

Name: None

Address: Not applicable.

Contact person’s name, position and contact details: Not applicable

Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized): Not applicable.

ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS

In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:

Definitions

For the purposes of this Annex IV, the following definitions apply:

(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;

(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;

(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;

(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and

(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.

Supplementary Protections

1. No back doors

The data importer hereby confirms that:

(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;

(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and

(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:

(A) do not require the data importer to create or maintain any Back Doors; and

(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.

2. Enhanced audit rights

In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place. The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.

3. Notification and Transparency

To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.ontrack.com/en-gb/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order. The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page.

4. Obligation to Challenge

In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.

5. Obligation to Notify

In the event that the data importer receives a Disclosure Order, the data importer shall:

(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;

(ii) to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and

(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter. Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.

6. Policies and procedures

The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.

7. Disclosure of Records

The data importer shall create and maintain a written record of:

(i) each Disclosure Order; and

(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,

and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.

8. Standards

The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.

9. Policy Review

The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary.

10. Onward Transfers

Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor. Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter. It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.

11. Compensation or other legal remedies

It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.

Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)

International Data Transfer Addendum to the EU Commission Standard Contractual Clauses

VERSION B1.0, in force 21 March 2022

ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.

Part 1: Tables

Table 1: Parties

Start date
The Parties	Exporter (who sends the Restricted Transfer)	Importer (who receives the Restricted Transfer)
Parties’ details	Full legal name: Legal name of the customer stated in the Order Trading name (if different): Main address (if a company registered address): Address as stated in the Order Official registration number (if any) (company number or similar identifier): As stated in the Order	Full legal name: KLDiscovery Ontrack, LLC Trading name (if different): n/a Main address (if a company registered address): 9023 Columbine Road, Eden Prairie, MN 55347, USA Official registration number (if any) (company number or similar identifier): Registered in Delaware, USA
Key Contact	Full Name (optional): the person that authorised the order. Job Title: as stated in the Order Contact details including email: As stated in the Order	Full Name (optional): Gideon Kaplan / Shannon Gaughan Job Title: Associate General Counsel / Commercial counsel Contact details including email: Gideon.kaplan@kldiscovery.com / Shannon.gaughan@kldiscovery.com
Signature (if required for the purposes of Section 2)	Signed for and on behalf of the Exporter set out above Signed: by the customer authorizing the Order Date of signature: as the Date of the Order Full name: As stated on the Order Job title: as stated on the Order	Signed for and on behalf of the Importer set out above Signed: by the Key Contact of KLDiscovery Ontrack, LLC Date of signature: June 20, 2023 Full name: Gideon Kaplan Job title: Associate General Counsel

Table 2: Selected SCCs, Modules and Selected Clauses

Addendum EU SCCs

The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information.

Date: The Date of the Order
Reference (if any):
Other identifier (if any): none

Table 3: Appendix Information

“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:

Annex 1A: List of Parties: (i) The customer that is stated in the Order ; (ii) KLDiscovery Ontrack, LLC

Annex 1B: Description of Transfer: The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with data recovery or related services

Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data:
As set out in the Data Processing Agreement which incorporates this Addendum.

Annex III: List of Sub processors (Modules 2 and 3 only):
As set out in the Data Processing Agreement which incorporates this Addendum.

Table 4: Ending this Addendum when the Approved Addendum Changes

Ending this Addendum when the Approved Addendum changes

Which Parties may end this Addendum as set out in Section 19:
Importer
Exporter

Part 2: Mandatory Clauses

Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.

ANWENDUNG DER STANDARDVERTRAGSKLAUSELN ZUR ÜBEREINSTIMMUNG MIT DER SCHWEIZERISCHEN GESETZGEBUNG

Damit die Standardvertragsklauseln ("SCC") der schweizerischen Gesetzgebung entsprechen und somit geeignet sind, ein angemessenes Datenschutzniveau für die Übermittlung von Personendaten aus der Schweiz in ein Drittland gemäß Artikel 6 Absatz 2 Buchstabe a des schweizerischen Bundesgesetzes über den Datenschutz vom 19. Juni 1992 ("DSG") und, nach Inkrafttreten, gemäß Art. 16 Absatz 2 Buchstabe d des künftigen revidierten Bundesgesetzes über den Datenschutz vom 25. September 2020 ("revDSG") gelten zusätzlich die folgenden Bestimmungen:

1. Die Vertragsparteien vereinbaren, den GDPR-Standard für alle Datenübermittlungen zu übernehmen.

2. Verweise auf die GDPR sind als Verweise auf das DSG (bzw. nach dessen Inkrafttreten auf das revFADP") zu verstehen.

3. Bis zum Inkrafttreten der revDSG sind auch die Daten von juristischen Personen durch diese DSGVO und das SCC geschützt.

4. Aufsichtsbehörde:
(a) wenn die Datenübermittlung ausschließlich dem DSG oder dem revDSG unterliegt: die zuständige Aufsichtsbehörde ist der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter ("EDÖB"); oder
(b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: die zuständige Aufsichtsbehörde ist der EDÖB für Datenübermittlungen, die unter das DSG oder die revDSG fallen, und die zuständige EU-Aufsichtsbehörde für Datenübermittlungen, die unter die DSGVO fallen;

5. Anwendbares Recht für vertragliche Ansprüche nach Ziff. 17 SCC:
(a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Schweizer Recht; oder
(b) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht; oder (c) wenn die Datenübermittlung sowohl der DSGVO als auch dem DSG unterliegt: deutsches Recht.

6. Gerichtsstand für Klagen zwischen den Parteien gemäß Klausel 18 b SCC :
(a) wenn die Datenübermittlung ausschließlich dem DSG unterliegt: Zürich, Schweiz; oder
(b) wenn die Datenübermittlung sowohl unter die DSGVO als auch unter das DSG fällt: Stuttgart, Deutschland

Im Zusammenhang mit der gerichtlichen Zuständigkeit für Ansprüche, die sich aus diesem SCC ergeben, ist der Begriff "Mitgliedstaat" nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) einzuklagen.

APPLICATION OF THE STANDARD CONTRACTUAL CLAUSES TO COMPLY WITH SWISS LEGISLATION

In order for the Standard Contractual Clauses (“SCC”) to comply with Swiss legislation and thus be suitable for ensuring an adequate level of protection for transfers of personal data from Switzerland to a third country in accordance with Article 6 paragraph 2 letter (a) of the Swiss Federal Act on Data Protection dated 19 June 1992 (“FADP”) and, once entered into force, in accordance with Art. 16 paragraph 2 letter d of the future revised Swiss Federal Act on Data Protection dated 25 September 2020 (“revFADP”), the following additional provisions shall apply:

1. The Parties agree to adopt the GDPR standard for all data transfers.

2. References to the GDPR are to be understood as references to the FADP (respectively, once it entered into force, to the “revFADP”).

3. Before the revFADP enters into force, data pertaining to legal entities are also protected by this DPA and the SCC.

4. Supervisory authority:
(a) where the data transfer is exclusively subject to the FADP or revFADP: the competent supervisory authority is the Swiss Federal Data Protection and Information Commissioner (“FDPIC”); or
(b) where the data transfer is subject to both the GDPR and the FADP: the competent supervisory authority is the FDPIC for data transfers governed by the FADP or revFADP, and the competent EU supervisory authority for data transfer governed by the GDPR;

5. Applicable law for contractual claims under Clause 17 SCC:
(a) where the data transfer is exclusively subject to the FADP: Swiss law.; or
(b) where the data transfer is subject to both the GDPR and the FADP: Irish law.

6. Place of jurisdiction for actions between the parties pursuant to Clause 18 b SCC :
(a) where the data transfer is exclusively subject to the FADP: Zurich, Switzerland; or
(b) where the data transfer is subject to both the GDPR and the FADP: Dublin, Ireland

In the context of jurisdiction for claims arising out of this SCC, the term “Member State” shall not be interpreted in such a way as to exclude data subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland).

Condiciones generales de los servicios

CONDICIONES DE LOS SERVICIOS DE RECUPERACIÓN DE DATOS DE ONTRACK

1 CONDICIONES

2 DATOS DE CONTACTO

3 INTERPRETACIÓN

4 PROCESO DE PEDIDO

5 NUESTROS SERVICIOS

6 DERECHOS DE PROPIEDAD INTELECTUAL

7 DERECHOS DE FINALIZACIÓN DEL CONTRATO (CLIENTES CONSUMIDORES)

8 DERECHOS DE CANCELACIÓN DEL CONTRATO (CLIENTES COMERCIALES)

9 DERECHOS DE RESCISIÓN MUTUA

10 RECONOCIMIENTOS DEL CLIENTES

11 PRECIO Y PAGO

12 NUESTRA RESPONSABILIDAD POR PÉRDIDAS O DAÑOS SUFRIDOS POR USTED

13 INDEMNIZACIÓN

14 CÓMO PODEMOS UTILIZAR SUS DATOS PERSONALES (DATOS DE CONTACTO DE CLIENTES CONSUMIDORES Y CLIENTES COMERCIALES)

15 CÓMO TRATAMOS LOS DATOS PERSONALES (DATOS RECUPERADOS)

16 INFORMACIÓN CONFIDENCIAL

7 OTRAS CONDICIONES IMPORTANTES

Descripción de los Servicios de Recuperación de Datos de Ontrack

1. Descripción del Servicio

2 Evaluación Freeval

3 Evaluación Freeval para smartphones y tablets

4 Diagnóstico/resultado del diagnóstico

5 Recuperación de Datos tras la Evaluación Freeval

6 Recuperación de Datos tras el Diagnóstico

7 Recuperación de Datos tras la Evaluación Freeval para smartphones y tablets

8 RDR Servicio de Recuperación de Datos Remota

9 Niveles del Servicio

Acuerdo de Tratamiento de Datos

Definiciones

Disposiciones sobre Tratamiento de Dato

1 Encargado del Tratamiento de Datos y Responsable del Tratamiento de Datos

2 Instrucciones y detalles del Tratamiento

3 Medidas Técnicas y Organizativas

4 Utilización de Personal y Subencargados del Tratamiento

5 Asistencia con el Cumplimiento del Cliente y los Derechos del Interesado

6 Transferencias internacionales de datos

7 Registro, Información y Auditoría

8 Notificación del Incumplimiento

9 Supresión o devolución de Datos Personales y copias

10 Indemnización

11 Responsabilidad

12 Duración y Extinción

13 Ley Aplicable

Data Processing Agreement 6.3Standard Contractual Clauses

ANNEX I

ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

ANNEX III – LIST OF SUB-PROCESSORS

ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS

Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)

Data Processing Agreement 6.3
Standard Contractual Clauses