数据处理协议

更新日期:2019年6月1日

本数据处理协议适用于:(i)KLDiscovery 步入正轨 Limited(公司代码02669766),其注册办公室地址为KT18 5AD Epsom Surrey Ashley Avenue 1的Global House(“Ontrack”); (ii)适用的客户 placing an order for 步入正轨’的服务依据 适用的服务业务条款(“Terms”).

The Parties have agreed that the terms of this 数据处理协议 shall apply to the 处理中 of 个人资料 (as defined below) that is required to enable 步入正轨 to provide the services to the applicable Customer.

定义

在此数据处理协议中:

受保护的数据means all 个人资料 provided to 步入正轨 by the Customer;
数据控制器具有该术语(或术语‘controller’)在数据保护法中;
数据处理器具有该术语(或术语‘processor’)在数据保护法中;
数据保护法指对客户,Ontrack和/或与服务有关的所有适用的数据保护法,包括:(i)GDPR和/或任何相应或等效的国家法律或法规; (ii)在欧洲成员国 联盟,生效或与GDPR相对应的所有相关法律或法规。
数据主体具有《数据保护法》中该术语的含义;
数据主体请求指数据主体提出的根据数据保护法行使其权利的请求;
GDPR指通用数据保护法规(EU)2016/679;
个人资料具有《数据保护法》中该术语的含义;
个人资料泄露表示任何安全性破坏导致意外或非法销毁,丢失,更改,未经授权地披露或访问任何个人数据;
人员指任何现任,前任或准雇员,顾问,临时工人,代理工人,实习生,其他非常任雇员,承包商,借调人员或其他人员;
处理中具有《数据保护法》中该术语的含义(以及诸如流程之类的相关术语具有相应的含义);
子处理器means another 数据处理器 engaged by 步入正轨 on behalf of the Client for carrying out 处理中 activities in respect of the 受保护的数据; and
监督机关指任何地方,国家或跨国机构,部门,官员,议会,公众或法定人士或任何负责管理的政府或专业机构,监管或监督机构,董事会或其他机构 数据保护法。

数据处理规定

  1. 数据处理器和数据控制器
    1. 双方同意,对于受保护的数据,客户应为数据控制者,Ontrack为数据处理者。公认的是,客户应对准确性,质量,完整性负全部责任。 任何受保护数据及其获取此类受保护数据的方式的可靠性。
    2. The Customer warrants, represents and undertakes, that: (i) all 受保护的数据 used in connection with the services pursuant to the 条款 shall comply in all respects with 数据保护法; (ii) all instructions given by it to 步入正轨 关于受保护数据,应始终遵守数据保护法律; (iii)它已从其个人数据包含在受保护数据中的任何数据主体获得了所有必要的同意,或者 appropriate legal permission to provide the 受保护的数据 to 步入正轨; and (iv) it will comply with the terms of this 数据处理协议.
    3. 步入正轨保证,声明并承诺:(i)仅在与条款相关的必要范围内处理受保护的数据; (ii)根据客户处理受保护的数据’书面说明 and the requirements of 数据保护法; (iii) promptly inform the Customer if 步入正轨 considers that the Customer’s instructions infringe 数据保护法, or if 步入正轨 becomes unable to comply with Customer's instructions 有关受保护数据的处理(无论是由于适用法律的变更还是客户变更的结果)’的指示); (iv)遵守本数据处理协议的条款。
  2. 加工说明及细节
    1. The 处理中 of 受保护的数据 to be carried out by 步入正轨 under this 数据处理协议 shall comprise the 处理中 as required for 步入正轨 to provide the services.
  3. 技术和组织措施
    1. 步入正轨应根据数据保护法和本细则的规定,自费和费用中实施和维护与受保护数据的处理和安全有关的适当技术和组织措施。 特别是GDPR的32-34。  步入正轨 shall ensure that such technical and organisational measures are appropriate to the particular risks that are presented by its 处理中 activities, in particular to protect 受保护的数据 意外或非法破坏,损失,变更,未经授权的披露或访问。
  4. 使用人员和子处理器
    1. 除第4.2条中所述,Ontrack不得在没有客户的情况下聘请任何子处理器进行与客户数据有关的任何处理活动’的事先书面授权。如果提供了授权, prior to making any disclosure to any approved sub-processor, 步入正轨 shall put in place written terms with the sub-processor which are equivalent to those set out in this 数据处理协议. It is acknowledged and accepted that, notwithstanding anything to the contrary in this Agreement, 步入正轨 shall remain fully liable to the Client for the performance of each sub-processor’s obligations. 步入正轨 shall inform the Client of any intended changes concerning 添加或替换此类子处理器,并允许客户有合理的机会基于合理的理由反对任何此类更改或替换。
    2. 附件1列出了本数据处理协议签订之日批准的子处理器。
    3. 步入正轨 shall ensure the reliability of its 人员 who have access to 受保护的数据 and ensure that they process it only where strictly necessary for the services, ensure that they are fully aware of the measures to be put in place and 在遵守数据保护法的情况下处理受保护数据时应采取的步骤,并确保其已承诺保护自己,包括通过适当的义务来保护受保护数据的机密性 受保护数据的机密性(无论是通过书面合同还是其他方式)。
  5. 协助客户’的合规性和数据主体权利
    1. 步入正轨应立即将其收到的所有数据主体请求转交给客户。 步入正轨应提供客户合理要求的合理协助(考虑到处理的性质和可用信息) to 步入正轨) to the Customer in ensuring compliance with the Customer’数据保护法在以下方面的义务:(i)处理的安全性; (ii)数据保护影响评估(该术语在“数据”中定义 保护法); (iii)就高风险处理事先与监管机构进行协商; (iv)客户响应任何个人通知管理部门的通知和/或与数据主体的通信 数据 Breach, provided that, in the event that such assistance is disproportionate in time and resources to 步入正轨, Customer shall pay 步入正轨’提供此类协助的费用。
  6. 国际数据传输
    1. 个人资料 is hosted and processed by 步入正轨 within the European Economic Area (“EEA”) and 步入正轨 shall not transfer any 个人资料 outside the 欧洲经济区 without the Customer’的事先书面批准。
  7. 记录,信息和审计
    1. 步入正轨 shall: (i) create; (ii) keep up-to-date; and (ii) maintain, full and accurate records relating to all 处理中 of 受保护的数据.
    2. 步入正轨 shall grant to Customer the right of audit, no more than once per calendar year and on a minimum of 30 (thirty) days written notice, during normal business hours and subject to reasonable confidentiality undertakings being given, to 访问并复制与处理受保护数据有关的此类记录,并应为客户行使其审计权利提供一切合理的协助。 此审核权不得扩展到任何第三方数据中心 或容纳任何服务器设备的其他第三方设施,仅允许进行目视检查和伴随检查。
    3. 步入正轨 shall at Customer’s request and expense promptly provide Customer with all information necessary to enable Customer to demonstrate compliance with its obligations under the GDPR, to the extent that 步入正轨 is able to provide 这样的信息。
  8. 违反通知
    1. In respect of any 个人资料泄露 involving 受保护的数据 , 步入正轨 shall, without undue delay: (i) notify the Customer of the 个人资料泄露; and (ii) provide the Customer with details of the 个人资料泄露.
  9. 删除或返回个人数据和副本
    1. 步入正轨 shall, at the Customer’的书面要求,请删除或返回所有受保护的数据 在以下时间中的较早者之后的合理时间内,以客户合理要求的形式向客户提供:(i) provision of the relevant data recovery services pursuant to the 条款 related to 处理中; or (ii) once 处理中 by 步入正轨 of any 受保护的数据  is no longer required for the purpose of 步入正轨’其相关的表现 根据本数据处理协议承担的义务,并删除现有副本(除非存储任何受保护的数据  is required by applicable law and, if so, 步入正轨 shall inform the Customer of any such requirement).  步入正轨 应促使其子处理器对受保护的数据采取相同的措施。
    2. In the event that 受保护的数据 remains within 步入正轨’s possession or control for any period longer than 12 (twelve) months without any active instructions from the Customer, 步入正轨 shall delete such 受保护的数据.
  10. 赔款
    1. 每一方(“Indemnifying Party”)应赔偿并继续赔偿另一方(“Indemnified Party”)关于所有索赔,要求,诉讼,和解,利息,费用,程序,费用, 赔偿方因或与赔偿方有关而遭受或蒙受,由赔偿方同意或同意支付的损失和损害’违反本数据处理协议和/或违反 数据保护法。
  11. 责任
    1. 在任何情况下,任何一方在本数据处理协议下的总负债不得超过本条款中规定和约定的合同限制。
  12. 期限和终止
    1. Unless terminated by agreement of the Parties, this 数据处理协议 shall commence on the date an order is placed for services pursuant to the 条款 and continue in force for so long as 步入正轨 continues to process 受保护的数据.
  13. 法律选择
    1. 本数据处理协议应受条款中所选择的法律选择条款的约束。

日期:2019年6月1日

附件1–子处理器和传输

步入正轨 Product/Business System强制使用子处理器子处理器名称子处理器的位置Transfers outside 欧洲经济区数据
快递服务没有敦豪英国没有原始客户端媒体,加密的硬盘驱动器用于数据返回
快递服务没有监护人英国没有原始客户端媒体,加密的硬盘驱动器用于数据返回
客户管理系统(内部)贵族(支持VISMA系统)挪威没有客户联系数据和工作历史
营业时间以外的电话没有讯息直接传送英国没有客户名称,联系方式,数据恢复要求
通话追踪无穷英国没有客户IP地址,名称,用户统计