Захист даних клієнтів

KANTAR AND CLIENT DATA PROTECTION AGREEMENT

УГОДА ПРО ЗАХИСТ ДАНИХ МІЖ KANTAR І КЛІЄНТОМ

 

 

This Data Protection Agreement (DPA) will be effective on and from the date the Parties execute, or executed, the Main Agreement described below (Effective Date).

Ця Угода про захист даних (DPA) набуває чинності з дати укладення Сторонами (вже укладеного чи такого, що буде укладено) Основного договору, описаного нижче (Дата набуття чинності).

 

 

BACKGROUND

ПРЕАМБУЛА

(А) This DPA is written on the basis that Kantar and the Client (together the Parties) will on the Effective Date enter into an agreement for services provided by Kantar to the Client that involves the processing of Personal Data or that the Parties have already entered into one or more of these agreements.

(A) Ця DPA складена на підставі того, що Kantar і Клієнт (разом Сторони) на Дату набуття чинності укладуть угоду про надання послуг, які надаються Kantar Клієнту і включають обробку Персональних даних, або що Сторони вже уклали одну або більше таких угод.

(B) refers to each agreement referred to in paragraph A individually and if the Main Agreement is a framework the reference to a Main Agreement includes call-off contracts or SOWs made under it. Accordingly this DPA forms part of a Main Agreement entered into contemporaneously with this DPA and/or is supplemental to and amends any and all existing Main Agreements and their related SOWs.Main AgreementIn this DPA the term

стосується кожної угоди, згаданої в пункті A, окремо, і якщо Основний договір є рамковим, посилання на Основний договір включає замовлення або SOW, укладені до нього. Відповідно, ця DPA є частиною Основного договору, укладеного одночасно з цією DPA, та/або є додатковою до та змінює всі існуючі Основні договори та їхні відповідні SOW. Основний договір(B) В цій DPA термін

(С) The Parties agree that these terms will supplement any existing privacy and data protection terms contained in the Main Agreement, and that the terms of this DPA and its annexes shall prevail to the extent of any conflict or inconsistency with any other terms of the Main Agreement relating to the Processing of Client Personal Data.

(С) Сторони погоджуються, що ці умови доповнюють будь-які існуючі умови приватності та захисту даних, що містяться в Основному договорі, і що умови цієї DPA та її додатків мають перевагу в разі будь-якого конфлікту або невідповідності з будь-якими іншими умовами Основного договору, що стосуються Обробки Персональних даних Клієнта.

 

 

The Parties agree as follows:

Сторони домовились про наступне:

 

 

1. DEFINITIONS

1. ВИЗНАЧЕННЯ

Capitalised terms not otherwise defined herein shall have the meaning given to them in the Main Agreement. In this DPA, the following terms shall have the meanings set out below unless the context otherwise requires:

Терміни з великої літери, не визначені в цьому документі, мають значення та тлумачення, надані їм в Основному договорі. У цій DPA наведені нижче терміни мають значення та тлумачення, викладені нижче, якщо контекст не вимагає іншого:

1.1. Affiliate means, (a) in respect of Kantar, any entity (excluding Europanel) which, from time to time both: (i) directly or indirectly through one or more intermediaries, Controls, or is Controlled by, or is under common Control of, Kantar; and (ii) is trading as Kantar (and Kantar Affiliate shall be construed accordingly); and, (b) in respect of Client, any entity which is Controlled by Client (and Client Affiliate shall be construed accordingly).

означає, (a) стосовно Kantar, будь-яку юридичну особу (за винятком Europanel), яка час від часу: (i) прямо чи опосередковано через одного або кількох посередників, Контролює, або Контролюється, або знаходиться під загальним Контролем Kantar; і (ii) торгує як Kantar (і Афілійована особа Kantar тлумачиться відповідно); і, (b) стосовно Постачальника, будь-яку юридичну особу, яка Контролюється Постачальником (і Афілійована особа Постачальника тлумачиться відповідно).Афілійована особа1.1

1.2. Client Personal Data means any Personal Data Processed on behalf of the Client (as Controller) by Kantar (as a Processor) or by a Sub-processor pursuant to the Main Agreement.

означають будь-які Персональні дані, оброблені від імені Клієнта (як Контролера) Kantar (як Процесором) або Субпроцесором відповідно до Основного договору.Персональні дані Клієнта1.2.

1.3.Control means, in respect of any entity: (i) possession, direct or indirect through one or more intermediaries, of the power to direct the management or policies of such entity, whether through ownership of voting securities, by contract relating to voting rights, or otherwise; or (ii) ownership, direct or indirect through one or more intermediaries, of more than 50% percent of the outstanding voting securities or other ownership interest of such entity (and Controls and Controlled shall be construed accordingly).

означає, стосовно будь-якої юридичної особи: (i) володіння, прямо чи опосередковано через одного або кількох посередників, владою керувати управлінням або політикою такої юридичної особи, будь то через володіння голосуючими цінними паперами, за контрактом, що стосується права голосу, або іншим чином; або (ii) володіння, прямо чи опосередковано через одного або кількох посередників, більш ніж 50% відсотками непогашених голосуючих цінних паперів або іншого права власності на таку юридичну особу (і Контроль і Контрольовані тлумачаться відповідно).Контроль1.3

1.4. Controller means the Party that alone or jointly with others determines the purposes and means of the Processing of Personal Data, unless the term “controller” (or cognate term under Data Protection Laws, such as (for example) “business” or “personal information processor”) is defined under Data Protection Laws in which case the term “controller” shall have the same meaning as in Data Protection Laws, and its cognate terms shall be construed accordingly.

означає Сторону, яка самостійно або спільно з іншими визначає цілі та засоби Обробки Персональних даних, якщо термін «контролер» (або споріднений термін відповідно до Законів про захист даних, таких як (наприклад) «бізнес» або «процесор персональної інформації») не визначено в Законах про захист даних, у такому випадку термін «контролер» має те саме значення, що й у Законах про захист даних, і його споріднені терміни тлумачаться відповідно.Контролер1.4

1.5. Data Processing Particulars means the description of Processing of Client Personal Data, in the same or similar form as set at the Annex to this DPA, as detailed within the Main Agreement (or relevant SOW) carried out in connection with the provision of Services under that Main Agreement (or relevant SOW).

означають опис Особливості обробки даних1.5. Обробки Персональних даних Клієнта, у тій самій або подібній формі, як зазначено в Додатку до цієї DPA як детально описано в Основному договорі (або відповідному SOW), що здійснюється у зв'язку з наданням Послуг відповідно до цього Основного договору (або відповідного SOW).

1.6. Data Protection Laws means all applicable laws, rules and regulations in any relevant jurisdiction relating to the Processing of Personal Data and privacy including but not limited to the EU GDPR, the UK GDPR, US state privacy laws, and the PIPL.

означає всі застосовні закони, правила та нормативні акти в будь-якій відповідній юрисдикції, що стосуються Обробки Персональних даних і приватності, включаючи, але не обмежуючись, GDPR ЄС, GDPR Великобританії, закони про конфіденційність штатів США та PIPL.Закони про захист даних1.6

1.7. Data Subject means an identified or identifiable natural personal to whom Personal Data relates, unless the term “data subject” (or cognate term under Data Protection Laws, such as (for example) “consumer” or “personal information subject”) is defined under Data Protection Laws in which case the term “data subject” shall have the same meaning as in Data Protection Laws, and its cognate terms shall be construed accordingly.

означає ідентифіковану або ідентифіковану фізичну особу, до якої відносяться Персональні дані, якщо термін «суб'єкт даних» (або споріднений термін відповідно до Законів про захист даних, таких як (наприклад) «споживач» або «суб'єкт персональної інформації») не визначено в Законах про захист даних, у такому випадку термін «суб'єкт даних» має те саме значення, що й у Законах про захист даних, і його споріднені терміни тлумачаться відповідно.Суб'єкт даних1.7

1.8. DPIA means an assessment of the impact of the envisaged Processing operations on the protection of Personal Data, or similar risk assessment, pursuant to (and as set out in) Data Protection Laws.

означає оцінку впливу передбачуваних операцій з обробки на захист Персональних даних або подібну оцінку ризику відповідно до (і як викладено в) Законах про захист даних.DPIA1.8

1.9. EU GDPR means the General Data Protection Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data.

означає Загальний регламент ЄС про захист даних 2016/679 Європейського парламенту та Ради щодо захисту фізичних осіб у зв'язку з обробкою персональних даних та про вільне переміщення таких даних.GDPR ЄС1.9

1.10. EU SCCs means the standard contractual clauses approved by European Commission decision 2021/915 on standard contractual clauses for the transfer of Personal Data to processors (pursuant to the EU GDPR) as amended or replaced from time to time.

означає стандартні договірні положення, затверджені рішенням Європейської комісії 2021/915 щодо стандартних договірних положень для передачі персональних даних процесорам (відповідно до GDPR ЄС), зі змінами або заміною з часом.EU SCCs1.10

. 1.11Independent Auditor means an auditor from PwC, Deloitte, KPMG or EY (Ernst & Young) or another mutually agreeable internationally recognised auditing firm that is not employed on a contingency basis skilled and experienced in conducting audits related to data protection governance risk and compliance.

означає аудитора з PwC, Deloitte, KPMG або EY (Ernst & Young) або іншої міжнародно визнаної аудиторської фірми, яка не працює на основі гонорару за результатами.Незалежний аудитор1.11

1.12. Personal Data means any information relating to an identified or identifiable natural person, unless the term “Personal Data” (or cognate term under Data Protection Laws, such as (for example) “personal information” or “personal identifiable information”) is defined under Data Protection Laws in which case the term “Personal Data” shall have the same meaning as in Data Protection Laws, and its cognate terms shall be construed accordingly.

означають будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи, якщо термін «Персональні дані» (або споріднений термін відповідно до Законів про захист даних, таких як (наприклад) «персональна інформація» або «персонально ідентифікована інформація») не визначено в Законах про захист даних, у такому випадку термін «Персональні дані» має те саме значення, що й у Законах про захист даних, і його споріднені терміни тлумачаться відповідно.Персональні дані1.12.

1.13. Personnel means either Party’s stakeholders, directors, employees, agents, consultants, subcontractors, Contracted Processors, Sub-processors or other persons authorised by (i) either Party; (ii) their Affiliates; and / or (iii) their subcontractors engaged in the provision of Services.

означає зацікавлених сторін, директорів, співробітників, агентів, консультантів, субпідрядників або інших осіб, уповноважених (i) будь-якою Стороною (ii) їх Афілійованими особами (iii) їх субпідрядниками, які займаються наданням Послуг.Персонал1.13.

1.14. PIPL - means the Personal Information Protection Law of the People’s Republic of China as adopted 20 August 2021.

означає Закон про захист персональної інформації Китайської Народної Республіки, прийнятий 20 серпня 2021 року.PIPL1.14.

1.15. Processing means any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

означає будь-яку операцію або набір операцій, які виконуються з Персональними даними або наборами Персональних даних, незалежно від того, чи автоматизованими засобами, такими як збір, запис, організація, структурування, зберігання, адаптація або зміна, отримання, консультація, використання, розкриття шляхом передачі, поширення або іншим чином надання, узгодження або комбінування, обмеження, видалення або знищення. Обробка 1.15

1.16.Processor means a natural or legal person, public authority, agency or other body which Processes Personal Data on behalf of the Controller, unless the term “Processor” (or cognate term under Data Protection Laws, such as (for example) “service provider” or “entrusted party”) is defined under Data Protection Laws in which case the term “Processor” shall have the same meaning as in Data Protection Laws, and its cognate terms shall be construed accordingly.

1.16. Процесор означає фізичну або юридичну особу, державний орган, агентство або інший орган, який обробляє Персональні дані від імені Контролера, якщо термін «Процесор» (або споріднений термін відповідно до Законів про захист даних, таких як (наприклад) «постачальник послуг» або «довірена сторона») не визначено в Законах про захист даних, у такому випадку термін «Процесор» має те саме значення, що й у Законах про захист даних, і його споріднені терміни тлумачаться відповідно.

1.17. Restricted International Transfer means a transfer of Client Personal Data that would be prohibited by the applicable Data Protection Laws in absence of the protection for the transferred Client Personal Data provided by a Restricted International Transfer Agreement.

означає передачу Персональних даних Клієнта, яка була б заборонена відповідно до застосовних Законів про захист даних за відсутності захисту для переданих Персональних даних Клієнта, наданого Угодою про обмежену міжнародну передачу.Обмежена міжнародна передача1.17.

1.18. Restricted International Transfer Agreement means the relevant standard contractual clauses (including but not limited to the EU SCCs or UK IDTA) or any other standard or non-standard contractual clauses required under Data Protection Laws (as established, amended or replaced from time to time).

1.18. Угода про обмежену міжнародну передачу означає відповідні стандартні договірні положення (включаючи, але не обмежуючись, EU SCCs, UK IDTA та China SCCs) або будь-які інші стандартні або нестандартні договірні положення, необхідні відповідно до Законів про захист даних (як встановлено, змінено або замінено з часом).

1.19. Sub-processor means any person or entity appointed by Kantar as set out in clause 5 (Sub-processors) to Process Client Personal Data on behalf of Client in connection with the Main Agreement.

означає будь-яку особу або організацію, призначену Kantar, як зазначено в розділі 5 (Субпроцесори), для Обробки Персональних даних Клієнта від імені Клієнта у зв'язку з Основним договором.Субпроцесор1.19.

1.20. Supervisory Authority means a public authority or regulator established in a relevant jurisdiction for matters relating to the Processing of Personal Data and/or privacy.

означає державний орган або регулятор, створений у відповідній юрисдикції для питань, пов'язаних з Обробкою Персональних даних та/або конфіденційністю.Наглядовий орган1.20.

1.21. SOW means a statement of work entered into by the Parties (or any of their respective Affiliates) to document their agreement in respect of any services, which is more specifically defined in the Main Agreement.

означає технічне завдання, укладене Сторонами (або будь-якою з їх відповідних Афілійованих осіб) для документування їх угоди щодо будь-яких послуг, яка більш конкретно визначена в Основному договорі.SOW1.21.

1.22. UK GDPR has the meaning given by section 3(10) and section 205(4) the UK's Data Protection Act 2018.

має значення, надане розділом 3(10) та розділом 205(4) Закону Великобританії про захист даних 2018 року.UK GDPR1.22.

1.23. UK IDTA means the standard contractual clauses issued by the Information Commissioner’s Office in the United Kingdom pursuant to UK GDPR(as amended or replaced from time to time).

означає стандартні договірні положення, видані Управлінням комісара з інформації у Великобританії відповідно до UK GDPR (зі змінами або заміною з часом).UK IDTA1.23.

1.24. For the purposes of this DPA where the context requires:

1.24. Для цілей цієї DPA, де контекст вимагає:

1.24.1. any reference to Parties shall be to the relevant parties to the relevant SOW (and Party shall mean any one of them)

1.24.1.будь-яке посилання на Сторони - означає відповідні сторони відповідного SOW (і Сторона означає будь-яку з них)

1.24.2. any references to Client shall mean the relevant Client Affiliate that is a party to that SOW; and

1.24.2. будь-яке посилання на Клієнта - означає відповідну Афілійовану компанію Клієнта, яка є стороною цього SOW; і

1.24.3. any references to Kantar shall mean Kantar and, in respect of any SOW, the relevant Kantar Affiliate that is a party to that SOW.

1.24.3. будь-яке посилання на Kantar - означає Kantar і, щодо будь-якого SOW, відповідну Афілійовану компанію Kantar, яка є стороною цього SOW.

 

 

2. PROCESSING OF PERSONAL DATA

2. ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ

2.1. Where the Main Agreement acts as a framework the Parties envisage that Kantar will provide a variety of different Services and that the Parties may collaborate and interact in a variety of ways. The Parties may agree specific provisions relating to the use of Personal Data in the delivery of specific Services and set them out in a SOW. If no specific provisions apply then the remaining provisions of this clause 2 shall apply by default.

Якщо Основний договір діє як рамкова угода, Сторони передбачають, що Kantar надаватиме різноманітні Послуги, і що Сторони можуть співпрацювати та взаємодіяти різними способами. Сторони можуть погодити конкретні положення, що стосуються використання Персональних даних при наданні конкретних Послуг, і викласти їх у SOW. Якщо жодні конкретні положення не застосовуються, то за замовчуванням застосовуються інші положення цього розділу 2.

Parties acting as Independent Controller

Сторони, що діють як Незалежний Контролер

2.2. If Kantar does not Process Client Personal Data but provides the relevant Services using its own data or data obtained from third parties then if any of that data is Personal Data Kantar may act as an independent Controller.

2.2. Якщо Kantar не Обробляє Персональні дані Клієнта, але надає відповідні Послуги, використовуючи власні дані або дані, отримані від третіх сторін, то якщо будь-які з цих даних є Персональними даними, Kantar може діяти як незалежний Контролер.

2.3. Where a Party acts as an independent Controller it shall:

2.3. Якщо Сторона діє як незалежний Контролер, вона повинна:

2.3.1. comply with applicable Data Protection Laws in relation to such Personal Data; and

2.3.1. дотримуватися застосовних Законів про захист даних щодо таких Персональних даних; і

2.3.2. treat Personal Data obtained from the other Party or relating to employees or members of staff as Confidential Information under the Main Agreement.

2.3.2. розглядати Персональні дані, отримані від іншої Сторони або стосовно співробітників або членів персоналу, як Конфіденційну інформацію відповідно до Основного договору.

 

 

Kantar acting as Processor

Kantar, що діє як Контролер

2.4. Kantar shall not sell, share for purposes of cross-context behavioural advertising, license, or otherwise exchange Client Personal Data for monetary or other consideration.(Permitted Purposes).Except as set out in clauses 2.2 to 2.3, the Parties acknowledge and agree that with regard to the Processing of Client Personal Data, Client is the Controller, Kantar is the Processor, and that Kantar or Kantar Affiliates will engage Subprocessors pursuant to the requirements in clause 5 (Sub-processors). Kantar shall Process Client Personal Data on behalf of the Client in compliance with the Client’s lawful instructions for the purposes described in the Data Processing Particulars

Kantar не повинен продавати, ділитися для цілей поведінкової реклами в різних контекстах, ліцензувати або іншим чином обмінювати Персональні дані Клієнта за грошову або іншу винагороду.(Дозволені цілі).2.4. За винятком положень пунктів 2.2-2.3, Сторони визнають і погоджуються, що стосовно Обробки Персональних даних Клієнта, Клієнт є Контролером, Kantar є Процесором, і що Kantar або Афілійовані компанії Kantar залучатимуть Субпроцесорів відповідно до вимог розділу 5 (Субпроцесори). Kantar повинен Обробляти Персональні дані Клієнта від імені Клієнта відповідно до законних інструкцій Клієнта для цілей, описаних у Особливостях обробки даних

2.5. If other Processing is required by local applicable law (including local laws in a relevant Sub-processor country), Kantar shall, to the extent permitted by law, inform Client of that legal requirement before such Processing.

2.5. Якщо інша Обробка вимагається місцевим застосовним законодавством (включаючи місцеві закони у відповідній країні Субпроцесора), Kantar повинен, у межах, дозволених законом, повідомити Клієнта про цю юридичну вимогу перед такою Обробкою.

 

 

2.6. The Client warrants that:

2.6. Клієнт гарантує, що:

2.6.1. it has complied and will continue to comply with Data Protection Laws;

2.6.1. він дотримувався і продовжуватиме дотримуватися Законів про захист даних;

2.6.2. its instructions for the Processing of Personal Data shall at all times comply with Data Protection Laws;

2.6.2. його інструкції щодо Обробки Персональних даних завжди відповідатимуть Законам про захист даних;

2.6.3. all Client Personal Data has been and will continue to be collected and processed in accordance with the notice, consent and other requirements of Data Protection Laws (and where applicable, the collection and processing has been notified to the relevant authorities);

2.6.3. всі Персональні дані Клієнта були і продовжуватимуть збиратися та оброблятися відповідно до повідомлення, згоди та інших вимог Законів про захист даних (і, де це застосовно, про збір та обробку було повідомлено відповідним органам);

2.6.4. it has and will continue to have the right to transfer or provide access to the Client Personal Data to Kantar and the Sub-processors for the Permitted Purposes and that such Processing by Kantar and the Sub-processors will not breach Data Protection Laws; and

2.6.4. він має і продовжуватиме мати право передавати або надавати доступ до Персональних даних Клієнта Kantar та Субпроцесорам для Дозволених цілей, і що така Обробка Kantar та Субпроцесорами не порушуватиме Закони про захист даних; і

2.6.5. its instructions to Kantar in respect of the Processing of Client Personal Data are lawful and will not create legal or regulatory liability on the part of Kantar or any Sub-processor if followed.

2.6.5. його інструкції до Kantar щодо Обробки Персональних даних Клієнта є законними і не створюватимуть юридичної або регуляторної відповідальності з боку Kantar або будь-якого Субпроцесора, якщо їх дотримуватися.

 

 

3. SECURITY

3. БЕЗПЕКА

3.1. Kantar shall maintain appropriate technical and organisational measures designed to protect the security (including protection against unauthorized or unlawful Processing and against accidental or unlawful destruction, loss or alteration, unauthorized disclosure of, or access to, Client Personal Data), confidentiality and integrity of Client Personal Data. Kantar shall regularly monitor compliance with these measures.

3.1. Kantar повинен підтримувати відповідні технічні та організаційні заходи, спрямовані на захист безпеки (включаючи захист від несанкціонованої або незаконної Обробки та від випадкового або незаконного знищення, втрати або зміни, несанкціонованого розкриття або доступу до Персональних даних Клієнта), конфіденційності та цілісності Персональних даних Клієнта. Kantar повинен регулярно контролювати дотримання цих заходів.

3.2. In addition, Kantar shall:

3.2. Крім того, Kantar повинен:

3.2.1. only involve Kantar Personnel to process Client Personal Data under the Main Agreement who have had appropriate training pertinent to the care and handling of Personal Data;

3.2.1. залучати до Обробки Персональних даних Клієнта відповідно до Основного договору лише Персонал Kantar, який пройшов відповідне навчання, щодо поводження з Персональними даними;

3.2.2. only authorise Kantar Personnel to process Client Personal Data if such person is subject to a duty of confidentiality (whether a contractual duty or a statutory duty or otherwise); and

3.2.2. надавати дозвіл на Обробку Персональних даних Клієнта лише Персоналу Kantar, якщо така особа підпадає під обов'язок конфіденційності (незалежно від того, чи це договірний обов'язок, чи законодавчий обов'язок, чи інший); і

3.2.3. ensure the reliability of Kantar Personnel to whom Kantar has provided access to Client Personal Data.

3.2.3. забезпечити надійність Персоналу Kantar, якому Kantar надав доступ до Персональних даних Клієнта.

 

 

4. RIGHTS OF DATA SUBJECTS

4. ПРАВА СУБ'ЄКТІВ ДАНИХ

4.1. Kantar shall to the extent legally permitted, notify Client if Kantar receives a request from a Data Subject, third parties, relevant data protection authorities in the relevant local jurisdiction or any other law enforcement authority, to exercise the Data Subject’s privacy rights under applicable Data Protection Laws, including but not limited to the right of access, right to rectification, restriction of Processing, erasure (right to be forgotten), data portability, right to object to the Processing, or its right not to be subject to automated individual decision making (Data Subject Request).

4.1. Kantar повинен, у межах, дозволених законом, повідомити Клієнта, якщо Kantar отримає запит від Суб'єкта даних, третіх сторін, відповідних органів захисту даних у відповідній місцевій юрисдикції або будь-якого іншого правоохоронного органу, на реалізацію прав конфіденційності Суб'єкта даних відповідно до застосовних Законів про захист даних, включаючи, але не обмежуючись, право на доступ, право на виправлення, обмеження Обробки, видалення (право бути забутим), перенесення даних, право на заперечення проти Обробки або право не підлягати автоматизованому індивідуальному прийняттю рішень (Запит Суб'єкта даних).

4.2. Taking into account the nature of the Processing, Kantar shall in accordance with Client’s reasonable instructions, assist Client by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of Client’s obligation to respond to a Data Subject Request under Data Protection Laws.

4.2. Враховуючи характер Обробки, Kantar повинен відповідно до розумних інструкцій Клієнта, допомагати Клієнту за допомогою відповідних технічних та організаційних заходів, наскільки це можливо, для виконання обов'язку Клієнта відповідати на Запит Суб'єкта даних відповідно до Законів про захист даних.

4.3. Client shall be responsible for any costs arising from Kantar’s provision of such assistance or Kantar’s compliance with this clause 4.

4.3. Клієнт несе відповідальність за будь-які витрати, що виникають у зв'язку з наданням такої допомоги Kantar або дотриманням Kantar цього розділу 4.

 

 

5. SUB-PROCESSORS

5. СУБПРОЦЕСОРИ

5.1. Client authorises Kantar and each Kantar Affiliate to use and continue to use Kantar Affiliates and existing Kantar Subprocessors as of the effective date of this DPA as Sub-processors, subject to Kantar and each Kantar Affiliate (in each case) meeting the obligations set out in this clause as soon as practicable.

5.1. Клієнт надає дозвіл Kantar та кожній Афілійованій компанії Kantar використовувати та продовжувати використовувати Афілійовані компанії Kantar та існуючих Субпроцесорів Kantar станом на дату набуття чинності цієї DPA як Субпроцесорів, за умови, що Kantar та кожна Афілійована компанія Kantar (у кожному випадку) виконують зобов'язання, викладені в цьому розділі, якнайшвидше.

5.2. Kantar shall and shall require Kantar Sub-processors to give Client prior written notice and details of the appointment of any new Kantar Sub-processor or any changes to existing Kantar Sub-processors, including details of the Processing to be undertaken by the new Kantar Sub-processor.

5.2. Kantar повинен і повинен вимагати від Субпроцесорів Kantar надати Клієнту попереднє письмове повідомлення та деталі призначення будь-якого нового Субпроцесора Kantar або будь-які зміни до існуючих Субпроцесора Kantar, включаючи деталі Обробки, яку буде здійснювати новий Субпроцесор Kantar.

5.3. If, within ten (10) business days of receipt of that notice, Client notifies Kantar in writing of any objections (on reasonable grounds that relate to these DPA terms) to the proposed appointment, Kantar shall take reasonable steps to address the objections raised by the Client and provide Client with a written explanation of the steps taken. During such time Kantar or Kantar Sub-processor shall not appoint such new Kantar Sub-processor until such objections have been addressed.

5.3. Якщо протягом десяти (10) робочих днів після отримання цього повідомлення Клієнт повідомить Kantar у письмовій формі про будь-які заперечення (на розумних підставах, що стосуються цих умов DPA) щодо запропонованого призначення, Kantar повинен вжити розумних заходів для вирішення заперечень, висунутих Клієнтом, і надати Клієнту письмове пояснення вжитих заходів. Протягом цього часу Kantar або Субпроцесор Kantar не повинні призначати такого нового Субпроцесора Kantar, поки такі заперечення не будуть вирішені.

5.4. If the Parties are unable to resolve Client’s objections, Kantar shall not make such change and Kantar shall be entitled to suspend Processing in respect of the relevant Services and/or Kantar may treat the relevant Services as terminated by the Client for its convenience in which case the Client shall be responsible for reimbursing Kantar for any unavoidable committed costs incurred as a result of the termination.

5.4. Якщо Сторони не зможуть вирішити заперечення Клієнта, Kantar не повинен вносити такі зміни, і Kantar має право призупинити Обробку щодо відповідних Послуг та/або Kantar може розглядати відповідні Послуги як припинені Клієнтом для його зручності, у такому випадку Клієнт несе відповідальність за відшкодування Kantar будь-яких неминучих витрат, понесених у результаті припинення.

5.5. New Kantar Sub-processors and / or any changes concerning Kantar Sub-processors will be set out in the Data Processing Particulars.

5.5. Нові Субпроцесори Kantar та/або будь-які зміни, що стосуються Субпроцесорів Kantar, будуть викладені в Особливостях обробки даних.

Kantar shall remain fully liable to the Client for the performance of Sub-processor obligations under this DPA.

5.6. Kantar залишається повністю відповідальним перед Клієнтом за виконання зобов'язань Субпроцесора відповідно до цієї DPA.

 

 

6. AUDIT

6. АУДИТ

6.1. Subject to the following terms, Kantar permits Independent Auditors appointed by Client to audit Kantar only to the extent the Main Agreement does not already provide the Client with audit or similar rights, and only to the extent required by the applicable Data Protection Laws. Such information derived from the audit is referred to in this clause 6 as Audit Information.

6.1. З урахуванням наступних умов, Kantar дозволяє Незалежним аудиторам, призначеним Клієнтом, проводити аудит Kantar лише в тій мірі, в якій Основний договір вже не надає Клієнту права на аудит або подібні права, і лише в тій мірі, в якій це вимагається застосовними Законами про захист даних. Така інформація, отримана в результаті аудиту, називається в цьому розділі 6 як Аудиторська інформація.

6.2. Independent Auditors shall upon giving Kantar reasonable written notice (minimum thirty (30) calendar days) have supervised and controlled access to relevant facilities at Kantar’s service locations during business hours and they shall use reasonable endeavours to minimise disruption while exercising the rights of audit set out in this clause 6. Client shall notify Kantar of the identity of any visiting Independent Auditors to ensure they have entered into appropriate confidentiality agreements beforehand, in a form approved by Kantar (such approval not to be unreasonably withheld or delayed).

6.2. Незалежні аудитори повинні, надавши Kantar розумне письмове повідомлення (мінімум за тридцять (30) календарних днів), мати контрольований доступ до відповідних об'єктів у місцях надання послуг Kantar протягом робочих годин, і вони повинні докладати розумних зусиль для мінімізації перешкод під час здійснення прав на аудит, викладених у цьому розділі 6. Клієнт повинен повідомити Kantar про особу будь-яких відвідування Незалежними аудиторами, щоб забезпечити попереднє укладення ними відповідних угод про конфіденційність у формі, затвердженій Kantar (таке затвердження не повинно бути необґрунтовано затримано або відмовлено).

6.3. Audits shall take place no more than once in any calendar year unless and to the extent that Client (acting reasonably and in good faith) has reasonable grounds to suspect any material breach of this DPA by Kantar, in which case Client and Kantar will agree timescales for the audit. Costs of the audit, including appointment of the Independent Auditor, will be borne by Client.

6.3. Аудити повинні проводитися не більше одного разу на рік, якщо і в тій мірі, в якій Клієнт (діючи розумно і добросовісно) має розумні підстави підозрювати будь-яке суттєве порушення цієї DPA з боку Kantar, у такому випадку Клієнт і Kantar погодять терміни проведення аудиту. Витрати на аудит, включаючи призначення Незалежного аудитора, несе Клієнт.

6.4. Kantar shall reasonably cooperate with Client in relation to any audit request by Client. Unless otherwise set out in this clause 6, audits shall be subject to the confidentiality obligations set forth in the Main Agreement.

6.4. Kantar повинен розумно співпрацювати з Клієнтом щодо будь-якого запиту на аудит з боку Клієнта. Якщо інше не встановлено в цьому розділі 6, аудити підлягають зобов'язанням конфіденційності, викладеним в Основному договорі.

6.5. Kantar shall be entitled to a reasonable time to review and retain a copy of any audit report, prepared by Independent Auditor and to consult the Independent Auditor on the content, prior to the audit report being submitted to Client. For avoidance of doubt, all Audit Information obtained by Client or an Independent Auditor pursuant to any audit shall be maintained in confidence by Client and its Independent Auditor and may not be disclosed to any third party, including, without limitation, any other agents or representatives of Client except to the extent necessary to assert or enforce any of the Client’s rights under this DPA or where it is required to be disclosed by Data Protection Laws, by any Supervisory Authority or by a court or other authority of competent jurisdiction provided that, to the extent it is legally permitted to do so, it gives Kantar as much notice of this disclosure as possible and, where notice of disclosure is not prohibited and is given in accordance with this clause, it takes into account the reasonable requests of Kantar in relation to the content of this disclosure.

6.5. Kantar має право на належний час для перегляду та збереження копії будь-якого аудиторського звіту, підготовленого Незалежним аудитором, і для консультацій з Незалежним аудитором щодо змісту, перед поданням аудиторського звіту Клієнту. Для уникнення сумнівів, вся Аудиторська інформація, отримана Клієнтом або Незалежним аудитором відповідно до будь-якого аудиту, повинна зберігатися в конфіденційності Клієнтом та його Незалежним аудитором і не може бути розкрита будь-якій третій стороні, включаючи, без обмежень, будь-яких інших агентів або представників Клієнта, за винятком випадків, коли це необхідно для захисту або забезпечення будь-яких прав Клієнта відповідно до цієї DPA або коли це вимагається Законами про захист даних, будь-яким Наглядовим органом або судом або іншим органом компетентної юрисдикції, за умови, що, наскільки це юридично дозволено, він надає Kantar якомога більше повідомлень про це розкриття, і, якщо повідомлення про розкриття не заборонено і надається відповідно до цього пункту, він враховує розумні запити Kantar щодо змісту цього розкриття.

6.6. Neither the Independent Auditor nor Client shall be permitted to perform penetration tests, vulnerability scans, or otherwise interrogate Kantar’s network or information technology systems.

6.6. Незалежному аудитору або Клієнту не дозволяється проводити тести на проникнення, сканування вразливостей або іншим чином перевіряти мережу або інформаційні технологічні системи Kantar.

6.7. In no circumstances shall Client or the Independent Auditor have access to:

6.7. За жодних обставин Клієнт або Незалежний аудитор не повинні мати доступ до:

6.7.1. individual payroll and Kantar Personnel files;

6.7.1. індивідуальних файлів щодо заробітної плати та особових справ Персоналу Kantar;

6.7.2. individual expenditure or records relating to Kantar’s business or its other clients;

6.7.2. індивідуальних витрат або записів, що стосуються бізнесу Kantar або його інших клієнтів;

6.7.3. Kantar’s confidential information or trade secrets;

6.7.3. конфіденційної інформації або комерційних таємниць Kantar;

6.7.4. any of Kantar’s overhead costs; or

6.7.4. будь-яких накладних витрат Kantar; або

6.7.5. Kantar’s server rooms or IT systems.

6.7.5. серверних кімнат або ІТ-систем Kantar.

 

 

 

 

7. DATA INCIDENT MANAGEMENT AND NOTIFICATION

7. УПРАВЛІННЯ ІНЦИДЕНТАМИ ДАНИХ ТА ПОВІДОМЛЕННЯ

).a Data Incident7.1. Kantar shall notify Client’s relevant business contact without undue delay after becoming aware of the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to Client Personal Data, transmitted, stored or otherwise Processed by Kantar or its Sub-processors which results in any actual loss or misuse of Client Personal Data (

7.1. Kantar повинен без невиправданої затримки повідомити відповідний бізнес-контакт Клієнта після того, як стане відомо про випадкове або незаконне знищення, втрату, зміну, несанкціоноване розкриття або доступ до Персональних даних Клієнта, переданих, збережених або іншим чином Оброблених Kantar або його Субпроцесорами, що призводить до фактичної втрати або неправильного використання Персональних даних Клієнта (Інцидент даних).

7.2. Kantar shall make reasonable efforts to identify the cause of such Data Incident and take those steps as Kantar deems necessary and reasonable in order to remediate the cause of such a Data Incident to the extent the remediation is within Kantar’s reasonable control.

7.2. Kantar повинен докласти розумних зусиль для визначення причини такого Інциденту даних і вжити тих заходів, які Kantar вважає необхідними та розумними для усунення причини такого Інциденту даних у межах розумного контролю Kantar.

7.3. Kantar shall have no liability for costs incurred arising from a Data Incident except where Kantar has deliberately or negligently failed to comply with the technical and organisational measures referred to in Annex 1. Each Party shall use all reasonable endeavours to mitigate costs incurred as a result of a Data Incident caused by the other Party.

7.3. Kantar не несе відповідальності за витрати, понесені у зв'язку з Інцидентом даних, за винятком випадків, коли Kantar навмисно або недбало не дотримувався технічних та організаційних заходів, зазначених у Додатку 1. Кожна Сторона повинна докладати всіх розумних зусиль для зменшення витрат, понесених у результаті Інциденту даних, спричиненого іншою Стороною.

7.4. If the Client has caused the Data Incident, the Client shall be responsible for costs, including Kantar’s costs, reasonably incurred to rectify the Data Incident, including in circumstances in which such Data Incident arises as a result of the Client’s instructions to Kantar, or if the Client requires Kantar to notify Data Subjects and / or Supervisory Authorities as set out in clause 7.5.

7.4. Якщо Клієнт спричинив Інцидент даних, Клієнт несе відповідальність за витрати, включаючи витрати Kantar, обґрунтовані понесені для усунення Інциденту даних, включаючи обставини, в яких такий Інцидент даних виникає в результаті інструкцій Клієнта до Kantar, або якщо Клієнт вимагає від Kantar повідомити Суб'єктів даних та/або Наглядові органи, як зазначено в пункті 7.5.

7.5. In the event of a Data Incident, Client shall be responsible for notifying Data Subjects and or Supervisory Authorities, unless the Client has instructed Kantar to do so or Kantar is otherwise required to do so under Data Protection Laws. Before any such notification is made, Client shall consult with and provide Kantar an opportunity to comment on any notification made in connection with a Data Incident.

7.5. У разі Інциденту даних Клієнт несе відповідальність за повідомлення Суб'єктів даних та/або Наглядових органів, якщо Клієнт не доручив Kantar зробити це або якщо Kantar не зобов'язаний зробити це відповідно до Законів про захист даних. Перед будь-яким таким повідомленням Клієнт повинен проконсультуватися з Kantar і надати Kantar можливість прокоментувати будь-яке повідомлення, зроблене у зв'язку з Інцидентом даних.

 

 

8. RETURN AND DELETION OF CLIENT PERSONAL DATA

8. ПОВЕРНЕННЯ ТА ВИДАЛЕННЯ ПЕРСОНАЛЬНИХ ДАНИХ КЛІЄНТА

8.1. Kantar shall, at any time at the Client’s request delete (so far as is reasonably practicable and other than any back-up copies) or return all Client Personal Data, except that this requirement shall not apply to the extent that:

8.1. Kantar повинен, у будь-який час за запитом Клієнта, видалити (наскільки це розумно можливо, окрім будь-яких резервних копій) або повернути всі Персональні дані Клієнта, за винятком випадків, коли:

8.1.1. Kantar or Kantar Affiliates are required to retain Client Personal Data for compliance with applicable laws or regulatory requirements.

8.1.1. Kantar або Афілійовані компанії Kantar зобов'язані зберігати Персональні дані Клієнта для дотримання застосовних законів або регуляторних вимог.

8.1.2. Client Personal Data is required by Kantar to comply with any continuing obligations under the Main Agreement.

8.1.2. Персональні дані Клієнта необхідні Kantar для виконання будь-яких постійних зобов'язань відповідно до Основного договору.

8.1.3. Client Personal Data is archived on back-up systems, provided that such copies are kept confidential and secure in accordance with the relevant Main Agreement terms.

8.1.3. Персональні дані Клієнта архівуються на резервних системах, за умови, що такі копії зберігаються конфіденційно та безпечно відповідно до умов відповідної Основного договору.

 

 

9. DATA PROTECTION IMPACT ASSESSMENT

9. ОЦІНКА ВПЛИВУ НА ЗАХИСТ ДАНИХ

Upon Client’s request, Kantar shall provide Client with reasonable cooperation and assistance, at Client’s cost, needed to fulfil Client’s obligation under Data Protection Laws to carry out a DPIA (to the extent Client does not otherwise have access to the relevant information, and to the extent such information is available to Kantar), to allow the Client to comply with its obligations under Data Protection Laws as a Controller in relation to data security and related consultations.

За запитом Клієнта, Kantar повинен надати Клієнту розумну співпрацю та допомогу, за рахунок Клієнта, необхідну для виконання обов'язку Клієнта відповідно до Законів про захист даних провести DPIA (у межах, в яких Клієнт не має доступу до відповідної інформації, і в межах, в яких така інформація доступна Kantar), щоб дозволити Клієнту виконати свої зобов'язання відповідно до Законів про захист даних як Контролера щодо безпеки даних та пов'язаних консультацій.

 

 

11. RESTRICTED INTERNATIONAL TRANSFERS AND PROCESSING IN THIRD COUNTRIES

11. ОБМЕЖЕНІ МІЖНАРОДНІ ПЕРЕДАЧІ ТА ОБРОБКА В ТРЕТІХ КРАЇНАХ

10.1. Kantar shall ensure that the applicable Restricted International Transfer Agreement terms shall apply on commencement and to the extent of any Restricted International Transfer.

10.1. Kantar повинен забезпечити, щоб застосовні умови Угоди про обмежену міжнародну передачу застосовувалися на початку та в межах будь-якої Обмеженої міжнародної передачі.
  • 10.2.The Parties acknowledge that their compliance with the preceding sub-clause does not obviate the need to take other steps to justify Restricted International Transfers where necessary under applicable Data Protection Laws, which may include as appropriate:

10.2. Сторони визнають, що дотримання ними попереднього підпункту не виключає необхідності вжити інших заходів для обґрунтування Обмежених міжнародних передач, де це необхідно відповідно до застосовних Законів про захист даних, що може включати, за необхідності:
  1. carrying out a transfer risk assessment / transfer impact assessment as the case may be;
  1. проведення оцінки ризику передачі / оцінки впливу передачі, залежно від обставин;
  1. entering into additional supplementary security measures arising from the transfer risk assessment / transfer impact assessment
  1. встановлення додаткових заходів безпеки, що виникають з оцінки ризику передачі / оцінки впливу передачі;
  1. notifying or obtaining the consent of the Data Subjects whose Personal Data is transferred; or
  1. повідомлення або отримання згоди Суб'єктів даних, чиї Персональні дані передаються; або
  1. where required, notifying, or obtaining the prior approval of, applicable Supervisory Authorities; or
  1. де це вимагається, повідомлення або отримання попереднього схвалення відповідних Наглядових органів; або
  1. where required, notifying or obtaining the prior approval of works councils or similar employee representatives and the Parties shall resolve to comply with such other steps and procure that they are documented as appropriate.
  1. де це вимагається, повідомлення або отримання попереднього схвалення ради працівників або подібних представників працівників, і Сторони повинні вирішити дотримуватися таких інших заходів і забезпечити їх належне документування.

Nothing in this DPA shall be construed to prevail over any conflicting clause of any Restricted International Transfer Agreement.

Ніщо в цій DPA не повинно тлумачитися як переважаюче над будь-яким конфліктуючим положенням будь-якої Угоди про обмежену міжнародну передачу.

 

 

11. LIMITATION OF LIABILITY

11. ОБМЕЖЕННЯ ВІДПОВІДАЛЬНОСТІ

Each Party and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to a breach of its obligations under this DPA, whether in contract, tort or under any other theory of liability is subject to the liability terms in the Main Agreement, and any reference in such terms to the liability of a Party means the aggregate liability of that Party and all of its Affiliates under the Main Agreement.

Відповідальність кожної Сторони та всіх її Афілійованих осіб, взята разом у сукупності, що виникає внаслідок або пов'язана з порушенням її зобов'язань відповідно до цієї DPA, незалежно від того, чи це договір, делікт або будь-яка інша теорія відповідальності, підлягає умовам відповідальності в Основному договорі, і будь-яке посилання в таких умовах на відповідальність Сторони означає сукупну відповідальність цієї Сторони та всіх її Афілійованих осіб відповідно до Основного договору.

 

 

12. GOVERNING LAW

12. ЗАКОНОДАВСТВО, ЩО ПІДЛЯГАЄ ЗАСТОСУВАНЮ

The Parties to this DPA hereby submit to the choice of jurisdiction stipulated in the Main Agreement with respect to any disputes or claims howsoever arising under this DPA, including disputes regarding its existence, validity or termination or the consequences of its nullity, and this DPA and is governed by the laws of the country or territory stipulated for this purpose in the Main Agreement.

Сторони цієї DPA цим підпорядковуються вибору юрисдикції, зазначеному в Основному договорі, щодо будь-яких спорів або претензій, що виникають у будь-який спосіб відповідно до цієї DPA, включаючи спори щодо її існування, дійсності або припинення або наслідків її недійсності, і ця DPA регулюється законами країни або території, зазначеними для цієї мети в Основному договорі.

 

ANNEX 1

ДОДАТОК 1

FORM OF DATA PROCESSING PARTICULARS

ФОРМА ОСОБЛИВОСТЕЙ ОБРОБКИ ДАНИХ

In accordance with the data protection terms for the Main Agreement, the parties agree that in accordance with Article 28(3) of the GDPR, the particulars of the Processing of Personal Data for the performance of the Services are as follows:

Відповідно до умов захисту даних для Основної Угоди, Сторони погоджуються, що відповідно до Статті 28(3) GDPR, особливості Обробки Персональних Даних для виконання Послуг є наступними:

 

 

Details / Деталі / Подробности

Subject matter

Предмет

 

Duration of processing

Тривалість обробки

 

Purposes and nature of processing

Цілі та природа обробки

 

Categories of personal data

Категорії персональних даних

 

Categories of sensitive personal data

Категорії чутливих персональних даних

 

Categories of data subjects

Категорії суб'єктів даних