Data Protection Addendums (DPA)

U.S. DPA GDPR DPA GDPR – Deutsch GDPR – Español GDPR – Français GDPR – Greco GDPR – Italiano

V2 Jan 2024

U.S. DATA PROTECTION ADDENDUM (DPA)

This DPA is incorporated by reference into the Agreement entered into by and between you, the Client (as defined in the Agreement) (collectively, “you”, “your”, “Client”), and the Circana, LLC entity named in the Agreement (“Circana”, “us”, “we”, “our”) to reflect the parties’ agreement with regard to the Processing of Client Personal Data by us solely on behalf of the Client.. Both parties to this DPA shall be referred to as the “Parties” and each, a “Party”.

In consideration of the mutual obligations hereto, the Parties agree that the terms of this Addendum will apply to the Services (defined below) to the extent set forth herein. The Agreement will remain in full force and effect except as modified below. 

1. Definitions

1.1. In this Addendum, the following terms will have the meanings set out below:

(a) “Aggregate Data” means information that relates to a group or category of Data Subjects or households, from which individual identities have been removed and which is not linked or reasonably linkable to any consumer or household (including via a device). Aggregate Data does not include data that has been deidentified or pseudonymized.

(b) “Agreement” means the existing agreement(s), order(s), purchase orders, statements of work, and/or other commercial arrangement(s), pursuant to which Circana provides products and services to Client and includes any exhibits and/or amendments thereto.

(c) “ Affiliate ” means an entity that owns or controls, is owned or controlled by or is or under common control or ownership with the respective Party, where control is defined as the possession, directly or indirectly, of the power to direct or cause the direction of the management and policies of an entity, whether through ownership of voting securities, by contract or otherwise.

(d) “CCPA”means the California Consumer Privacy Act and any implementing regulations issued thereto, each as amended (including by the California Privacy Rights Act and any regulations promulgated thereto).

(e) “ClientPersonal Data” means any Personal Data Processed by Circana or a Subprocessor on behalf of Client pursuant to or in connection with the Services subject to Data Protection Laws.

(f) “Data Breach” means any known unauthorized access to, or use, disclosure or other Processing of a Party’s Personal Data that compromises the security of that Party’s Personal Data.

(g) “Data Protection Laws” means all United States national, federal, state, and local, cybersecurity and data protection laws applicable to the Processing of Personal Data under this Addendum, together with any implementing or supplemental rules and regulations, each as amended, including but not limited to the CCPA, to the extent applicable.

(h) “Data Subject” means the individual to whom the Personal Data relates.

(i) “Deidentified Data” means data that (i) is not linked or reasonably linkable to, and cannot reasonably be used to infer information about, a particular Data Subject, household, or personal or household device; and (ii) is subject to reasonable measures to ensure that such data cannot be associated with a particular Data Subject or household (including any or personal or household device), including by any recipient of such data. 

(j) “Personal Data” means any information that relates to an identified or identifiable natural person, or is otherwise linked or reasonably linkable to a particular Data Subject or household (including any personal or household device), as well as other information defined as “personal data,” “personal information” or equivalent term under applicable Data Protection Laws.

(k) “Process” or “Processing” means any operation or set of operations which is performed on data or on sets of data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of the data.

(l) “Services” means the products, services and other activities to be supplied to or carried out by or on behalf of Circana for Client.

(m) “Subprocessor” means any person (including any third party and any Circana Affiliate but excluding an employee of Circana) appointed by or on behalf of Circana that Processes Client Personal Data.

1.2. Capitalized terms not otherwise defined herein will have the meaning set forth in the Agreement. 

2. Processing of Client Personal Data

2.1. The parties agree that Client discloses the Personal Data to Circana for the specific and limited purposes set forth in Annex 1 hereto.

2.2. Circana and Client will (i) comply with all applicable Data Protection Laws in the Processing of Personal Data and Circana shall provide the same level of privacy protection as is required by Data Protection Laws and this Addendum; and (ii) only Process Client Personal Data for the purposes set forth in Annex 1 and as otherwise permitted or required pursuant to the Agreement or applicable Data Protection Laws.

2.3. If Circana believes it will be unable to comply with Data Protection Laws, Circana will promptly notify Client.Without limiting the foregoing, Circana will grant Client the right to take reasonable and appropriate steps: (i) to help ensure that Circana uses Personal Data transferred in a manner consistent with Client’s obligations under Data Protection Laws; and (ii) to, upon notice, stop and remediate any unauthorized use and Processing of Personal Data.

2.4. Annex 1 to this Addendum sets out a description of the Processing of Client Personal Data, including the subject matter and duration of the Processing, the specific and limited purposes for the Processing, the type of Personal Data Processed, and the categories of Data Subjects subject to such Processing.

3. Deidentified Data 

Circana may use and disclose Deidentified Data related to the business and the Services to provide the Services and for quality control, analytics, research, development, and other purposes. Where Circana uses, discloses, or processes Deidentified Data, Circana will maintain and use the information in deidentified form and not attempt to reidentify the information, except as permitted pursuant to Data Protection Laws. Circana agrees to contractually obligate any recipients of such Deidentified Data to comply with this Section 3. The parties agree that Deidentified Data is not Client Personal Data. For purposes of clarity, Aggregate Data does not constitute Deidentified Data, and this Section 3 shall not apply to the use and/or disclosure of Aggregate Data.

4. Personnel

Circana will take reasonable steps to ensure the reliability of any employee, personnel, agent or contractor who may have access to Client Personal Data, ensuring in each case that (i) access is strictly limited to those individuals who need to know / access the relevant Client Personal Data for the purposes of the Services and to comply with applicable laws, and(ii) such employees, personnel, agents or contractors are subject to confidentiality undertakingsor professional or statutory obligations of confidentiality.

5. Security 

5.1. Circana shall implement reasonable security procedures and practices appropriate to the nature of the personal information to protect the personal information from unauthorized or illegal access, destruction, use, modification, or disclosure.

6. Data Subject Rights and Reasonable Cooperation

6.1. The Parties will provide reasonable support and assistance as necessary to enable one another to comply with their obligations under Data Protection Laws, as set forth in this Section 6.

6.2. Taking into account the information available to the Parties, the Parties will:

6.2.1. Promptly notify one another if either Party receives a request from a Data Subject or a regulatory or supervisory authority under any Data Protection Laws in respect of the other Party’s Personal Data, and: (i) not respond to such request, unless required by applicable law to which that Party is subject; and (ii) provide reasonable assistance, to the extent possible, as necessary to enable the other Party to comply with its obligations under Data Protection Law to respond to such requests. 

6.2.2. Provide reasonable assistance as requested with any data protection impact assessments, prior consultations with, or other notification or similar obligations to Supervisory Authorities or other competent data privacy authorities, which either Party reasonably considers to be required by Data Protection Law.

7. Data Breach

7.1. Each Party will notify the other Party without undue delay upon becoming aware of a Data Breach. The Parties will cooperate and timely agree on commercially reasonable steps to promptly investigate and remediate the Data Breach, as well as to satisfy any notifications to regulators or to Data Subjects which are required following a Data Breach.

8. Deletion of Client Personal Data 

8.1. Subject to Section 8.2, Circana will delete Client Personal Data within sixty (60) calendar days of cessation of the Services.

8.2. Notwithstanding Section 8.1, Circana may retain Client Personal Data for an additional period of time only to the extent and for such period as required by applicable law.

9. Audit rights

9.1. Upon Client’s written request, and to the extent required by Data Protection Laws, Circana shall provide Client with information reasonably necessary to demonstrate compliance with its obligations set forth in this Addendum and applicable Data Protection Laws. Such information may include the most recent reports, certificates, and/or extracts pursuant to Circana’s ISO27001 or similarly held industry certification.

9.2. Such written requests under Section 9.1 shall be limited to no more than once per any twelve (12) calendar month period.

9.3. Any information provided by Circana to Client in accordance with this Section 9, shall be considered confidential information of Circana and subject to the confidentiality obligations in the Agreement. Client shall maintain Circana confidential information in the strictest confidence. Client agrees to restrict access to Circana confidential information only to those Client personnel who (i) have a business need to have access to such confidential information and (ii) are bound by a duty of confidentiality.

10. General Terms

10.1. Order of precedence . In the event of a conflict between the terms of the Agreement and this Addendum, this Addendum will control.

10.2. Changes in Data Protection Laws . If any variation is required to this Addendum as a result of a change in Data Protection Laws, then either Party may provide written notice to the other Party of that change in law. The Parties will discuss and negotiate in good faith any necessary variations to this Addendum to addresssuch changes. 

10.3. Severance. Should any provision of this Addendum be invalid or unenforceable, then the remainder of this Addendum will remain valid and in force. The invalid or unenforceable provision will be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties’intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

ANNEX 1: DESCRIPTION OF PROCESSING 

This Annex 1 to the Addendum includes certain details of the Processing of Client Personal Data as may be required by applicable Data Protection Laws. The obligations of the Parties are set out in the Addendum and the Agreement.

1. Subject Matter and Duration

The subject matter and duration of the Processing of Personal Data:

· The subject matter and duration of the Processing of Personal Data are set out in the Agreement.

2. Business Purposes

The specific and limited purposes for the Processing of Personal Data include:

· The Services, as defined in the Agreement, and as otherwise necessary to perform the obligations under the Agreement.

3. Personal Data

The types of Personal Data to be Processed include:

· Identifiers, such as tokenized loyalty (FSP) card numbers

· Pseudonymized data including: indirect identifiers, demographic data, transactional data

· Other Personal Data as listed in the Agreement

4. Data Subjects

The categories of Data Subjects to whom Personal Data relates include:

· Customers of Client

V2 Jan2024

GDPR DATA PROTECTION ADDENDUM (“DPA”)

This DPA is incorporated by reference into the Agreement entered into by and between you, the Client (as defined in the Agreement) (collectively, “you”, “your”, “Client”), and the Circana, LLCentity named in the Agreement (“Circana”, “us”, “we”, “our”) to reflect the parties’ agreement with regard to the Processing of Client Personal Data by us solely on behalf of the Client.. Both parties to this DPA shall be referred to as the “Parties” and each, a “Party”.

In consideration of the mutual obligations hereto, the Parties agree that the terms of this DPA will apply to the Services to the extent set forth herein. The Agreement will remain in full force and effect except as modified below. 

1. Definitions

1.1. In this DPA, the following terms will have the meanings set out below:

(a) “Agreement” means the existing agreement(s), order(s), purchase orders, statements of work, and/or other commercial arrangement(s), pursuant to which Circana provides products and/or services to Client and includes any exhibits and/or amendments thereto.

(b) “ Affiliate ” means an entity that owns or controls, is owned or controlled by or is or under common control or ownership with the respective Party, where control is defined as the possession, directly or indirectly, of the power to direct or cause the direction of the management and policies of an entity, whether through ownership of voting securities, by contract or otherwise;

(c) “Client Personal Data” means Personal Data subject to Data Protection Laws provided by Client and Processed by Circana (or a Subprocessor on behalf of Circana) under this DPA;

(d) “Controller” means the natural or legal person which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data;

(e) “Data Breach” means any breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Client Personal Data;

(f) “Data Protection Laws” means all laws relating to the protection of personal data and the privacy of natural or legal persons applicable to the Processing of Client Personal Data under this DPA, including (in each case as applicable) the GDPR and the UK GDPR and any national legislation supplementing or derogating from the foregoing;

(g) “Data Subject” means the individual to whom the Personal Data relates;

(h) “GDPR” means EU General Data Protection Regulation 2016/679 of the European Parliament and of the Council;

(i) “Personal Data” means any information relating to an identified or identifiable natural person, as well as other information defined as “personal data,” “personal information” or any equivalent term under applicable Data Protection Laws;

(j) “Process” or “Processing” means any operation or set of operations which is performed on data or on sets of data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction of the data;

(k) “Processor” means a natural or legal person who Processes Personal Data on behalf of a Controller;

(l) “Pseudonymised Data” means data that can no longer be attributed to a specific Data Subject without the use of additional information, provided that such additional information is kept separately by Client and in no circumstances provided to Circana, and is subject to Client’s technical and organizational measures to ensure that such data is not attributed to an identified or identifiable natural person (also known as Pseudonymisation under GDPR)

(m) “Restricted Transfer” means a transfer of Personal Data, where such transfer would be prohibited by Data Protection Laws in the absence of the Standard Contractual Clauses and (as applicable) the UK Addendum;

(n) “Services” means the products, services and other activities to be supplied to Client and carried out by or on behalf of Circana for Client under the Agreement;

(o) “Standard Contractual Clauses” means the EU standard contractual clauses set out in the Commission Implementing Decision (EU) 2021/914 of 4 June 2021 for the transfer of personal data to processors established in third countries (available at https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers), as may be amended or replaced from time to time;

(p) “Subprocessor” means any person (including any third party and any Circana Affiliate, but excluding an employee of Circana) appointed by or on behalf of Circana that Processes Client Personal Data;

(q) “UK Addendum” means the International Data Transfer Addendum to the EU Commission Standard Contractual Clauses issued by the UK Information Commissioner under section 119A(1) Data Protection Act 2018, as may be amended or replaced from time to time; and

(r) “UK GDPR” means the GDPR as it forms part of the law of England and Wales, Scotland and Northern Ireland by virtue of section 3 of the European Union (Withdrawal) Act 2018 and as amended by the Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (SI 2019/419).

1.2. Capitalized terms not otherwise defined herein will have the meaning set forth in the Agreement. Unless otherwise stated, the use of the term “including” shall be interpreted to mean “including, without limitation”.

2. Supply and Processing of Client Personal Data

2.1. Unless Client has obtained express consent from Circana in writing agreeing otherwise, Client will provide only Pseudonymised Data to Circana and will not provide any additional information that would enable such data to be attributed to an identified or identifiable natural person.

2.2. Client and Circana will comply with their obligations as a Controller and as a Processor (respectively) under all applicable Data Protection Laws in relation to the Processing of Client Personal Data.

2.3. Client instructs Circana to Process Client Personal Data as necessary for the provision of the Services. Circana will only Process Client Personal Data on Client’s documented instructions (as included in the Agreement)), except to the extent further Processing is required or permitted by Data Protection Laws or other applicable laws to which Circana is subject, in which case Circana will inform Client of that legal requirement before Processing, unless that law prohibits such information on important grounds of public interest.

2.4. Circana will inform Client if, in its opinion, any Processing instruction from Client infringes applicable Data Protection Laws.

2.5. Annex 1 to this DPA sets out a description of the Processing of Client Personal Data, including the subject matter and duration of the Processing, the nature and purpose of the Processing, the type of Personal Data Processed, and the categories of Data Subjects subject to such Processing.

2.6. Circana may Process data related to the Services (including data generated through the anonymization of Client Personal Data) for its own purposes, including for quality control, analytics, research and development.

3. Personnel 

Circana will take reasonable steps to ensure the reliability of any employee, personnel, agent or contractor who may have access to Client Personal Data, ensuring in each case that (i) access is strictly limited to those individuals who need to know / access the relevant Client Personal Data for the purposes of the Services and to comply with applicable laws, and (ii) such employees, personnel, agents or contractors are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4. Security 

4.1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Circana will in relation to the Client Personal Data implement appropriate technical and organizational measures that ensure a level of security appropriate to that risk; such measures will comply with applicable Data Protection Laws, and at a minimum meet the requirements set forth in Annex 2 to this DPA. Circana will provide reasonable cooperation and assistance to Client to ensure it can meet its security obligations under applicable Data Protection Laws.

4.2. In assessing the appropriate level of security, Circana will take account of the risks that are presented by Processing, in particular from a Data Breach. 

5. Subprocessing 

5.1. Client agrees that Circana is authorized to use Subprocessors (a list of which is set out in Annex 1) to Process Client Personal Data, provided that Circana ensures that each Subprocessor is bound by data protection obligations substantially similar to this DPA.

5.2. Client may object in writing to Circana’s appointment of a Subprocessor within ten (10) business days of notification, provided that such objection is based on reasonable grounds relating to data protection. In such event, the parties will discuss such concerns in good faith with a view to achieving resolution. For the purposes of this Section5.2, notification will by given by Circana to all email addresses that have registered to be notified of Subprocessor changes at privacy@circana.com.

6. Data Subject Rights and Reasonable Cooperation

6.1. Taking into account the nature of the Processing and the information available to Circana, Circana will:

6.1.1. promptly notify Client if Circana receives a request from a Data Subject or a regulatory or supervisory authority under any Data Protection Laws in respect of Client Personal Data, and: (i) not respond to such request, unless required by applicable law to which the Circana is subject; and (ii) provide reasonable assistance to the Client, to the extent possible, as necessary for Client’s fulfilment of its obligations under Data Protection Law in relation to such request. 

6.1.2. Provide reasonable assistance as requested by Client with any data protection impact assessments, prior consultations with, or other notification or similar obligations to Supervisory Authorities or other competent data protection authorities, which Client reasonably considers to be required by Data Protection Law.

7. Data Breach

7.1. Circana will notify Client without undue delay upon becoming aware of a Data Breach. Circana will provide Client with information requested by Client, to the extent that information is available to Circana, that Client needs to meet its obligations under Data Protection Laws with respect to the Data Breach.

8. Deletion or return of Client Personal Data 

8.1. Subject to Section 8.2, Circana will promptly and in any event within thirty (30) calendar days of cessation of the Services cease Processing the Client Personal Data and, at the choice of Client, either return or delete all copies of Client Personal Data. Where Client requests the return of such data, such return will be by secure file transfer in such format as is reasonably notified by Client to the Circana.

8.2. Notwithstanding Section 8.1, Circana may retain Client Personal Data for an additional period of time only to the extent and for such period as required by applicable law; Circana will ensure the ongoing confidentiality of all such Client Personal Data and ensure that such data is only Processed as necessary to satisfy applicable law.

9. Audit rights

9.1. Upon Client’s written request, Circana shall provide Client with information reasonably necessary to demonstrate compliance with its obligations set forth in this DPA. This information shall consist of permitting examination of the most recent reports, certificates, and/or extracts prepared by an independent auditor pursuant to Circana’s ISO27001 or similarly held industry certification.

9.2. In the event the information provided in accordance with Clause 9.1 above is insufficient to reasonably demonstrate compliance, Circana shall permit Client, at Client’s expense, to inspect or audit the technical and organizational measures of Circana for the purposes of monitoring compliance with Circana’s obligations under this DPA. Any such audit or inspection shall be:

9.2.1. limited in scope to matters specific to Client and this DPA;

9.2.2. agreed in advance between the parties in writing, including scope, duration, and start date;

9.2.3. conducted in a way that does not interfere with Circana’s day-to-day business;

9.2.4. during local business hours of Circana and, upon not less than twenty (20) business days advance written notice, unless, in Client’s reasonable belief an identifiable, material non-conformance has arisen;

9.2.5. limited to no more than one per any twelve (12) calendar month period, except if required by instruction of a competent regulator; and

9.2.6. considered confidential information of Circana and subject to the confidentiality obligations in the Agreement, or where a third-party auditor conducts the audit, such third-party auditor must be a professional bound by a duty of confidentiality or subject to a suitable non-disclosure agreement. Client shall maintain Circana confidential information in the strictest confidence. Client agrees to restrict access to Circana confidential information only to those Client personnel who (i) have a business need to have access to such confidential information and (ii) are bound by a duty of confidentiality.

10. Restricted Transfers 

10.1. To the extent a transfer by Client to Circana is a Restricted Transfer, the Parties hereby enter into the Standard Contractual Clauses, which are expressly incorporated into and form part of this DPA, in the form specified in Annex 3 to this DPA.

10.2. If a transfer to the United Kingdom is subject to the GDPR and becomes a Restricted Transfer due to the withdrawal, revocation or non-renewal of Commission Implementing Decision of 28th June 2021 by the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom, the Parties agree that Section 10.1 will apply.

10.3. To the extent that a transfer of Client Personal Data by Circana to any of its Sub-processors is a Restricted Transfer, Circana will undertake to enter into the relevant Standard Contractual Clauses with its Sub-processor.

11. General Terms

11.1. Order of precedence . Nothing in this DPA reduces the obligations under the Agreement in relation to the protection of Personal Data or permits Circana or any Circana Affiliate to Process (or permit the Processing of) Personal Data in a manner prohibited by the Agreement. Conflicts or inconsistencies will be resolved as follows: (i) in any conflict between the terms of the Agreement and this DPA, this DPA will control; and (ii) in any conflict between the terms of the Standard Contractual Clauses and the other terms of this DPA or the Agreement, the Standard Contractual Clauses shall control to the extent applicable.

11.2. Changes in Data Protection Laws . If any variation is required to this DPA as a result of a change in Data Protection Laws, including any variation which is required to the Standard Contractual Clauses, then Circana may provide notice to Client of that variation, which shall take effect upon receipt by Client. 

11.3. Severance. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA will remain valid and in force. The invalid or unenforceable provision will be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

11.4. Governing law. This DPA shall be governed by the laws specified in the Agreement, except for the Standard Contractual Clauses, which shall be governed by the laws specified in Annex 3.

ANNEX 1: DESCRIPTION OF PROCESSING 

This Annex 1 to the DPA includes certain details of the Processing of Client Personal Data as may be required by applicable Data Protection Laws. The obligations of the parties are set out in the DPA and the Agreement.

1. Subject Matter and Duration

The subject matter and duration of the Processing of Personal Data:

· The subject matter and duration of the Processing of Personal Data are set out in the Agreement.

2. Processing Operations

The nature and purpose of the Processing of Personal Data includes:

· The Services, as defined in the Agreement, and as otherwise necessary to perform the obligations under the Agreement.

3. Personal Data

The types of Personal Data to be Processed include:

· Pseudonymised Data including:

· Indirect identifiers, tokenized loyalty account numbers;

· Demographic data;

· Transactional data

4. Data Subjects

The categories of Data Subjects to whom Personal Data relates include:

· Customers of Client

5. Applied Restrictions or Safeguards for Sensitive Data

n/a

6. Authorized Subprocessors

Circana has appointed the following Subprocessors:

Name: The Circana Group

Address: 203 North LaSalle Street, Suite 1500, Chicago, 60601. IL, USA

Description of processing : provide technical and customer support to processor which may involve processing ad hoc personal data only

Name: Harman International

Address: 400 Atlantic Street, Stamford, CT, 06901, USA

Description of processing: Load, process and validate data into the AIP and reporting solutions

Name: GenPact

Address: New York: 521 5th Ave, 14th Floor, New York, NY 10175

Description of processing: Ongoing delivery and administration of solutions

ANNEX 2: TECHNICAL AND ORGANISATIONAL MEASURES

Circana will have in place technical, physical, and organizational security measures that meet the requirements set forth in this Annex 2 to the DPA. 

1. Circana has implemented commercially reasonable technical and organizational measures for protecting Client Personal Data, including with respect to its relevant information processing systems, and reasonable and appropriate technical, physical and administrative measures will be maintained to protect Client Personal Data under Circana’s possession or control against unauthorized or unlawful Processing or accidental loss, destruction or damage, including:

(a) employees and other personnel that regularly handle Personal Data receive privacy and security appropriate to their responsibilities;

(b) documented policies, procedures and processes for managing the security risks related to Processing of Client Personal Data;

(c) devices, systems, facilities and assets that Process Client Personal Data (“assets”), and that are material to the provision of the Services to the Client are identified and managed;

(d) security risks are identified, and are assessed regularly;

(e) access to assets is limited to authorized users;

(f) access logs are collected and reviewed as appropriate;

(g) remote access to assets is restricted and securely managed;

(h) Client Personal Data is physically and logically separate from the Personal Data of other clients;

(i) electronic and paper records containing Client Personal Data are securely destroyed in accordance with secure destruction policies and procedures;

(j) appropriate technical security solutions are implemented and managed to protect the confidentiality, integrity and availability of Client Personal Data;

(k) maintenance and repair of information system components is performed in a controlled and secure manner;

(l) incident response processes and procedures are maintained to provide for timely identification of, response to, and mitigation of detected Data Breaches; and

(m) backups and disaster recovery processes are in place.

2. Reasonable steps will be taken in an effort to ensure the reliability of personnel having access to Client Personal Data. 

3. Appropriate due diligence will be conducted on Subprocessors to ensure that each is capable of providing an appropriate level of protection for Personal Data. 

ANNEX 3: DATA TRANSFERS

1. If and to the extent of a Restricted Transfer by Client to Circana, the parties agree that Module 2 of the Standard Contractual Clauses shall apply, subject to the following:

· Client shall be the data exporter and Controller;

· Circana shall be the data importer and Processor;

· Optional Clause 7 (Docking clause of Module 2) shall not apply;

· Clause 9 (Use of Subprocessors): Option 2 (General Written Authorization) shall apply in accordance with the Subprocessor Section in this DPA and the “time period” shall be ten (10) business days;

· Optional Clause 11(a) (Redress) shall not apply;

· The following shall apply to Clause 13 (Supervision): Except as otherwise set forth herein, the competent supervisory authority for the purposes of the SCCs shall be as follows: (a) if Client is established in a Member State, paragraph 1 shall apply and the competent supervisory authority shall be the supervisory authority in the EU Member State where Client is established; (b) if Client is not established in an EU Member State but falls within the territorial scope of application of the GDPR in accordance with its Article 3(2), paragraph 2 shall apply and the competent supervisory authority will be the Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2 ,Ireland; (c) to the extent UK Data Protection Law applies, the UK Information Commissioner’s Office will be the competent supervisory authority; and (d) to the extent any Data Protection Laws apply other than European Data Protection Laws, the primary data protection regulator pursuant to the applicable Data Protection Law will be the competent regulator.

· Clause 17 (Governing Law): Option 1 shall apply, and the specified member state shall be Ireland;

· Clause 18 (Choice of Forum and Jurisdiction): shall specify the Republic of Ireland as the choice of forum and jurisdiction;

· The competent supervisory authority is the Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2

· The frequency of the transfer is continuous and the period for which the data will be retained shall be consistent with the retention period set forth in the Agreement and this DPA;

· Annex I and II of the EU Standard Contractual Clauses are completed with reference to Annex 1 (Details of Processing of Client Personal Data) and Annex 2 (Technical and Organizational Measures) of this DPA, respectively and executed in all required places by the signatories to this DPA.

2. With respect to any UK Restricted Transfer, the Standard Contractual Clauses (as incorporated by reference) shall be read in accordance with, and deemed amended by, the provisions of Part 2 (Mandatory Clauses) of the UK Addendum, and the Parties confirm that the information required for the purposes of Part 1 (Tables) of the UK Addendum is as set out in the Agreement and/or in this DPA. For the purposes of Table 4 of Part 1 to the Addendum, the Parties select the “Importer” and “Exporter” options.

V2 Jan 2024

ZUSATZ ZUR DATENVERARBEITUNG („DPA“)

Dieses DPA wird durch Verweis in die Vereinbarung aufgenommen, die von und zwischen Ihnen, dem Kunden (wie in der Vereinbarung definiert) (gemeinsam „Sie“, „Ihr“, „Kunde“) und dem in der Vereinbarung genannten Unternehmen Circana, LLC („Circana“, „uns“, „wir“, „unser“) geschlossen wurde, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Kundendaten durch uns ausschließlich im Namen des Kunden wiederzugeben. Beide Parteien dieses DPA werden als die „Parteien“ und jede als eine „Partei“ bezeichnet.

In Anbetracht der beiderseitigen Verpflichtungen vereinbaren die Parteien, dass die Bedingungen dieses DPA auf die Dienste in dem hierin festgelegten Umfang Anwendung finden. Die Vereinbarung bleibt in vollem Umfang in Kraft, sofern sie nicht wie nachstehend geändert wird.

1. Begriffsbestimmungen

1.1. In diesem DPA haben die folgenden Begriffe die nachstehend angegebene Bedeutung:

(a) „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet;

(b) „betroffene Person“: die Person, auf die sich die personenbezogenen Daten beziehen;

(d) „Datenschutzgesetze“ bezeichnet alle Gesetze zum Schutz personenbezogener Daten und der Privatsphäre natürlicher oder juristischer Personen, die auf die Verarbeitung personenbezogener Kundendaten im Rahmen dieses DPA anwendbar sind, einschließlich (in jedem Fall, soweit anwendbar) der DSGVO und der UK DSGVO sowie aller nationalen Gesetze, die das Vorstehende ergänzen oder davon abweichen;

(e) „Dienste“ bezeichnet die Produkte, Dienstleistungen und sonstigen Tätigkeiten, die dem Kunden zu liefern sind und von oder im Namen von Circana für den Kunden im Rahmen des Vertrags ausgeführt werden;

(f) „DSGVO“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679 des Europäischen Parlaments und des Rates;

(c) „eingeschränkte Übermittlung“ bezeichnet eine Übermittlung personenbezogener Daten, die ohne die Standardvertragsklauseln und (gegebenenfalls) den Zusatz für das Vereinigte Königreich nach den Datenschutzgesetzen verboten wäre;

(g) „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sowie andere Informationen, die in den geltenden Datenschutzgesetzen als „personenbezogene Daten“, „personenbezogene Informationen“ oder gleichwertige Begriffe definiert sind;

(h) „personenbezogene Kundendaten“ sind personenbezogene Daten, die den Datenschutzgesetzen unterliegen, die vom Kunden zur Verfügung gestellt und von Circana (oder einem Unterauftragsverarbeiter im Namen von Circana) gemäß diesem DPA verarbeitet werden;

(i) „pseudonymisierte Daten“ sind Daten, die ohne Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen vom Kunden getrennt aufbewahrt und unter keinen Umständen Circana zur Verfügung gestellt werden und den technischen und organisatorischen Maßnahmen des Kunden unterliegen, um sicherzustellen, dass diese Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden (auch als Pseudonymisierung gemäß DSGVO bekannt).

(j) „Standardvertragsklauseln“ sind die im Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 festgelegten EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern (abrufbar unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers), die von Zeit zu Zeit geändert oder ersetzt werden können;

(k) „Unterauftragsverarbeiter“ bezeichnet jede Person (einschließlich Dritter und mit Circana verbundener Unternehmen, jedoch mit Ausnahme eines Mitarbeiters von Circana), die von oder im Namen von Circana ernannt wird und personenbezogene Kundendaten verarbeitet;

(l) „UK DSGVO“ bezeichnet die DSGVO, die gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 und in der durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (SI 2019/419) geänderten Fassung Teil des Rechts von England und Wales, Schottland und Nordirland ist.

(m) „Verantwortlicher“ ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet;

(n) „verarbeiten“ oder „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit Daten oder Datensätzen wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie die Einschränkung, das Löschen oder die Vernichtung;

(o) „verbundenes Unternehmen“ bezeichnet ein Unternehmen, das ein anderes Unternehmen besitzt oder beherrscht, im Besitz oder unter Beherrschung von einem anderen Unternehmen steht oder mit dem Unternehmen gemeinsam ein anderes Unternehmen besitzt oder beherrscht, wobei Beherrschung definiert ist als die unmittelbare oder mittelbare Einflussnahme, das Management und die Politik eines Unternehmens zu lenken oder zu bestimmen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch einen Vertrag oder auf andere Weise;

(p) „Vereinbarung“ bezeichnet die bestehende(n) Vereinbarung(en), Bestellung(en), Kaufaufträge, Leistungsbeschreibungen und/oder andere kommerzielle Vereinbarungen, gemäß denen Circana Produkte und/oder Dienste für den Kunden bereitstellt, einschließlich aller Anlagen und/oder Änderungen dazu.

(q) „Verletzung des Schutzes personenbezogener Daten“ bedeutet jede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf die personenbezogenen Kundendaten führt;

(r) „Zusatz für das Vereinigte Königreich“ ist der Zusatz für den internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission, der vom UK Information Commissioner gemäß Section 119A(1) Data Protection Act 2018 herausgegeben wird und von Zeit zu Zeit geändert oder ersetzt werden kann; und

1.2. Es gelten ergänzend die in der Vereinbarung festgelegten Begriffsbestimmungen. Sofern nicht anders angegeben, ist die Verwendung des Begriffs „einschließlich“ im Sinne von „einschließlich, ohne Einschränkung“ zu verstehen.

2. Bereitstellung und Verarbeitung personenbezogener Kundendaten

2.1. Sofern der Kunde keine ausdrückliche schriftliche Einwilligung von Circana erhalten hat, wird der Kunde Circana nur pseudonymisierte Daten zur Verfügung stellen und keine zusätzlichen Informationen übermitteln, die es ermöglichen würden, diese Daten einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen.

2.2. Der Kunde und Circana werden ihren Verpflichtungen als Verantwortlicher bzw. als Auftragsverarbeiter gemäß allen anwendbaren Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Kundendaten nachkommen.

2.3. Der Kunde weist Circana an, die personenbezogenen Kundendaten zu verarbeiten, soweit dies für die Erbringung der Dienste erforderlich ist. Circana wird die personenbezogenen Kundendaten nur auf der Grundlage der dokumentierten Weisungen des Kunden (wie in der Vereinbarung enthalten) verarbeiten, es sei denn, eine weitere Verarbeitung ist aufgrund von Datenschutzgesetzen oder anderen anwendbaren Gesetzen, denen Circana unterliegt, erforderlich oder zulässig; in diesem Fall wird Circana den Kunden vor der Verarbeitung über diese rechtlichen Anforderungen informieren, es sei denn, das betreffende Gesetz verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses.

2.4. Circana wird den Kunden informieren, wenn eine Verarbeitungsweisung des Kunden seiner Meinung nach gegen geltende Datenschutzgesetze verstößt.

2.5. Anhang 1 zu   DPA enthält eine Beschreibung der Verarbeitung personenbezogener Kundendaten, einschließlich des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der verarbeiteten personenbezogenen Daten und der Kategorien der von der Verarbeitung betroffenen Personen.

2.6. Circana kann Daten im Zusammenhang mit den Diensten (einschließlich Daten, die durch die Anonymisierung personenbezogener Kundendaten generiert werden) für eigene Zwecke verarbeiten, unter anderem für Qualitätskontrolle, Analysen, Forschung und Entwicklung.

3. Personal

Circana ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Beschäftigten, Mitarbeiter, Vertreter oder Auftragnehmer zu gewährleisten, die Zugang zu den personenbezogenen Kundendaten haben, wobei in jedem Fall sichergestellt wird, dass (i) der Zugang strikt auf die Personen beschränkt ist, die die relevanten personenbezogenen Kundendaten für die Zwecke der Diense und zur Einhaltung der geltenden Gesetze kennen bzw. darauf zugreifen müssen, und (ii) diese Beschäftigten, Mitarbeiter, Vertreter oder Auftragnehmer einer Vertraulichkeitsverpflichtung oder einer beruflichen oder gesetzlichen Verschwiegenheitspflicht unterliegen.

4. Sicherheit

4.1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird Circana in Bezug auf die personenbezogenen Kundendaten geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen werden den geltenden Datenschutzgesetzen entsprechen und mindestens die in Anhang 2 dieses DPA festgelegten Anforderungen erfüllen. Circana wird in angemessener Weise mit dem Kunden zusammenarbeiten und ihn unterstützen, um sicherzustellen, dass er seine Sicherheitsverpflichtungen gemäß den geltenden Datenschutzgesetzen erfüllen kann.

4.2. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Circana die Risiken, die mit der Verarbeitung verbunden sind, insbesondere die Risiken einer Verletzung des Schutzes personenbezogener Daten.

5. Unterauftragsverarbeitung

5.1. Der Kunde erklärt sich damit einverstanden, dass Circana befugt ist, Unterauftragsverarbeiter (eine Liste ist in Anhang 1 enthalten) mit der Verarbeitung personenbezogener Kundendaten zu beauftragen, sofern Circana sicherstellt, dass jeder Unterauftragsverarbeiter an Datenschutzverpflichtungen gebunden ist, die im Wesentlichen denen dieses DPA entsprechen.

5.2. Der Kunde kann der Ernennung eines Unterauftragsverarbeiters durch Circana innerhalb von zehn (10) Werktagen nach der Benachrichtigung schriftlich widersprechen, sofern dieser Widerspruch auf sachlichen Gründen im Zusammenhang mit dem Datenschutz beruht. In diesem Fall werden die Parteien diese Bedenken nach Treu und Glauben erörtern, um eine Lösung zu finden. Für die Zwecke dieses Abschnitts 5.2 erfolgt die Benachrichtigung durch Circana an alle E-Mail-Adressen, die sich für die Benachrichtigung über Änderungen des Unterauftragsverarbeiters registriert haben, unter privacy@circana.com.

6. Rechte der betroffenen Person und angemessene Zusammenarbeit

6.1. Unter Berücksichtigung der Art der Verarbeitung und der Circana zur Verfügung stehenden Informationen, wird Circana:

6.1.1. den Kunden unverzüglich benachrichtigen, wenn Circana eine Anfrage einer betroffenen Person oder einer Regulierungs- oder Aufsichtsbehörde gemäß den Datenschutzgesetzen in Bezug auf die personenbezogenen Kundendaten erhält, und: (i) nicht auf eine solche Anfrage reagieren, es sei denn, dies ist nach geltendem Recht, dem Circana unterliegt, erforderlich; und (ii) dem Kunden im Rahmen des Möglichen angemessene Unterstützung leisten, die für die Erfüllung der Verpflichtungen des Kunden nach den Datenschutzgesetzen in Bezug auf eine solche Anfrage erforderlich ist.

6.1.2. Auf Verlangen des Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen, vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden sowie bei der Erfüllung sonstiger Benachrichtigungs- oder ähnlichen Verpflichtungen gegenüber Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde vernünftiger Weise aufgrund von Datenschutzgesetzen für erforderlich hält.

7. Verletzung des Schutzes personenbezogener Daten 

7.1. Circana wird den Kunden unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren. Circana wird dem Kunden die vom Kunden angeforderten Informationen zur Verfügung stellen, soweit diese Circana zur Verfügung stehen und der Kunde sie benötigt, um seinen Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf die Verletzung des Schutzes personenbezogener Daten nachzukommen.

8. Löschung oder Rückgabe von personenbezogenen Kundendaten

8.1. Vorbehaltlich Abschnitt 8.2 wird Circana unverzüglich und in jedem Fall innerhalb von dreißig (30) Kalendertagen nach Beendigung der Dienste die Verarbeitung der personenbezogenen Kundendaten einstellen und nach Wahl des Kunden alle Kopien der personenbezogenen Kundendaten entweder zurückgeben oder löschen. Verlangt der Kunde die Rückgabe dieser Daten, so erfolgt die Rückgabe durch sichere Dateiübertragung in einem Format, das der Kunde Circana in angemessener Weise mitteilt.

8.2. Ungeachtet des Abschnitts 8.1 darf Circana personenbezogene Kundendaten für einen weiteren Zeitraum aufbewahren, jedoch nur in dem Umfang und für den Zeitraum, den das geltende Recht vorschreibt; Circana wird die fortwährende Vertraulichkeit aller personenbezogenen Kundendaten sicherstellen und dafür sorgen, dass diese Daten nur in dem Maße verarbeitet werden, wie es zur Einhaltung des geltenden Rechts erforderlich ist.

9. Prüfungsrechte

9.1. Auf schriftliches Ersuchen des Kunden stellt Circana dem Kunden Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der in diesem DPA dargelegten Verpflichtungen nachzuweisen. Diese Informationen bestehen in der Erlaubnis zur Prüfung der jüngsten Berichte, Zertifikate und/oder Auszüge, die von einem unabhängigen Prüfer gemäß der ISO27001-Zertifizierung von Circana oder einer vergleichbaren Branchenzertifizierung erstellt wurden.

9.2. Sollten die gemäß Ziffer 9.1 zur Verfügung gestellten Informationen nicht ausreichen, um die Einhaltung der Verpflichtungen angemessen nachzuweisen, gestattet Circana dem Kunden, auf dessen Kosten die technischen und organisatorischen Maßnahmen von Circana zu inspizieren oder zu prüfen, um die Einhaltung der Verpflichtungen von Circana gemäß diesem DPA zu überwachen. Eine solche Prüfung oder Inspektion muss:

9.2.1. in ihrem Umfang auf Angelegenheiten beschränkt sein, die den Kunden und dieses DPA betreffen;

9.2.2. im Voraus zwischen den Parteien schriftlich vereinbart werden, einschließlich Umfang, Dauer und Starttermin;

9.2.3. in einer Weise durchgeführt werden, die das Tagesgeschäft von Circana nicht beeinträchtigt;

9.2.4. während der örtlichen Geschäftszeiten von Circana und nach schriftlicher Mitteilung mindestens zwanzig (20) Werktage im Voraus, es sei denn, der Kunde ist der Ansicht, dass eine erkennbare, wesentliche Nichteinhaltung vorliegt;

9.2.5. nicht öfter als einmal in zwölf (12) Kalendermonaten stattfinden, es sei denn, dies ist auf Weisung einer zuständigen Aufsichtsbehörde erforderlich; und

9.2.6. als vertrauliche Informationen von Circana gelten und den Vertraulichkeitsverpflichtungen der Vereinbarung unterliegen, oder wenn ein dritter Prüfer die Prüfung durchführt, muss dieser dritte Prüfer einer beruflichen Vertraulichkeitsverpflichtung oder einer angemessenen Vertraulichkeitsvereinbarung unterliegen. Der Kunde verpflichtet sich, die vertraulichen Informationen von Circana streng vertraulich zu behandeln. Der Kunde verpflichtet sich, den Zugang zu vertraulichen Informationen von Circana nur auf diejenigen Mitarbeiter des Kunden zu beschränken, die (i) einen geschäftlichen Grund für den Zugang zu diesen vertraulichen Informationen haben und (ii) an eine Vertraulichkeitsverpflichtung gebunden sind.

10. Eingeschränkte Übermittlungen

10.1. Soweit es sich bei einer Übermittlung durch den Kunden an Circana um eine eingeschränkte Übermittlung handelt, schließen die Parteien hiermit die Standardvertragsklauseln in der in Anhang 3 dieses DPA angegebenen Form ab, die ausdrücklich in dieses DPA aufgenommen werden und Teil dieses DPA sind.

10.2. Wenn eine Übermittlung in das Vereinigte Königreich der DSGVO unterliegt und aufgrund der Rücknahme, des Widerrufs oder der Nichtverlängerung des Durchführungsbeschlusses der Kommission vom 28. Juni 2021 durch das Europäische Parlament und den Rat über die Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich zu einer eingeschränkten Übermittlung wird, vereinbaren die Parteien, dass Abschnitt 10.1 gilt.

10.3. Soweit eine Übermittlung personenbezogener Kundendaten durch Circana an einen seiner Unterauftragsverarbeiter eine eingeschränkte Übermittlung darstellt, verpflichtet sich Circana, die entsprechenden Standardvertragsklauseln mit seinem Unterauftragsverarbeiter abzuschließen.

11. Allgemeine Regelungen

11.1. Rangfolge. Nichts in diesem DPA schränkt die Verpflichtungen aus der Vereinbarung in Bezug auf den Schutz personenbezogener Daten ein oder erlaubt Circana oder einem verbundenen Unternehmen von Circana, personenbezogene Daten in einer Weise zu verarbeiten (oder deren Verarbeitung zuzulassen), die durch die Vereinbarung verboten ist. Widersprüche oder Unstimmigkeiten werden wie folgt gelöst: (i) bei Widersprüchen zwischen den Bestimmungen der Vereinbarung und diesem DPA hat dieses DPA Vorrang; und (ii) bei Widersprüchen zwischen den Bestimmungen der Standardvertragsklauseln und den anderen Bestimmungen dieses DPA oder der Vereinbarung haben die Standardvertragsklauseln Vorrang, soweit sie gelten.

11.2. Änderungen der Datenschutzgesetze. Wenn aufgrund einer Änderung der Datenschutzgesetze eine Änderung dieses DPA erforderlich ist, einschließlich einer Änderung der Standardvertragsklauseln, kann Circana den Kunden über diese Änderung informieren, wobei diese Änderung mit dem Zugang beim Kunden wirksam wird.

11.3. Aufhebung. Sollte eine Bestimmung dieses DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses DPA gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) so geändert, dass ihre Gültigkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie enthalten gewesen wäre.

11.4. Geltendes Recht. Dieses DPA unterliegt den in der Vereinbarung genannten Gesetzen, mit Ausnahme der Standardvertragsklauseln, die den in Anhang 3 genannten Gesetzen unterworfen sind.

ANHANG 1: BESCHREIBUNG DER VERARBEITUNG

Dieser Anhang 1 des DPA enthält bestimmte Einzelheiten der Verarbeitung personenbezogener Kundendaten, die nach den geltenden Datenschutzgesetzen erforderlich sein können. Die Verpflichtungen der Parteien sind im DPA und in der Vereinbarung festgelegt.

1. Gegenstand und Dauer

Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten:

– Der Gegenstand und die Dauer der Verarbeitung personenbezogener Daten sind in der Vereinbarung festgelegt.

2. Verarbeitung

Die Art und der Zweck der Verarbeitung personenbezogener Daten umfassen:

– Die Dienste, wie sie in der Vereinbarung definiert sind und wie sie anderweitig zur Erfüllung der Verpflichtungen aus der Vereinbarung erforderlich sind.

3. Personenbezogene Daten

Zu den Arten der zu verarbeitenden personenbezogenen Daten gehören:

– Pseudonymisierte Daten einschließlich:

– Indirekte Identifikatoren, tokenisierte Treuekontonummern;

– Demografische Daten;

– Transaktionsbezogene Daten

4. Betroffene Person

Zu den Kategorien von betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, gehören:

– Kunden des Kunden

5. Angewandte Beschränkungen oder Sicherheitsvorkehrungen für sensible Daten

k.A.

6. Zugelassene Unterauftragsverarbeiter

Circana hat die folgenden Unterauftragsverarbeiter benannt:

Name: The Circana Group

Anschrift: 203 North LaSalle Street, Suite 1500, Chicago, 60601. IL, USA

Beschreibung der Verarbeitung: technische Unterstützung und Kundenbetreuung für den Auftragsverarbeiter, was eine Ad-hoc-Verarbeitung personenbezogener Daten beinhalten kann

Name: Harman International

Anschrift: 400 Atlantic Street, Stamford, CT, 06901, USA

Beschreibung der Verarbeitung: Laden, Verarbeiten und Validieren von Daten in die AIP- und Reporting-Lösungen

Name: GenPact

Anschrift: New York: 521 5th Ave., 14. Stock, New York, NY 10175

Beschreibung der Verarbeitung: Laufende Lieferung und Verwaltung von Lösungen

ANHANG 2: TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Circana wird technische, physische und organisatorische Sicherheitsmaßnahmen ergreifen, die den in dieser Anlage 2 zum DPA festgelegten Anforderungen entsprechen.

1. Circana hat wirtschaftlich angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Kundendaten ergriffen, auch in Bezug auf seine relevanten Informationsverarbeitungssysteme, und es werden angemessene und geeignete technische, physische und administrative Maßnahmen vorgehalten, um die personenbezogenen Kundendaten, die sich im Besitz oder unter der Kontrolle von Circana befinden, vor unbefugter oder unrechtmäßiger Verarbeitung oder unbeabsichtigtem Verlust, Vernichtung oder Beschädigung zu schützen, einschließlich:

(a) Beschäftigte und andere Personen, die regelmäßig mit personenbezogenen Daten umgehen, erhalten einen ihren Aufgaben angemessenen Datenschutz und Sicherheit;

(b) dokumentierte Strategien, Verfahren und Prozesse für das Management der Sicherheitsrisiken im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten;

(c) Geräte, Systeme, Einrichtungen und Vermögenswerte, die personenbezogene Kundendaten verarbeiten („Assets“) und die für die Erbringung der Dienste für den Kunden wesentlich sind, identifiziert und verwaltet werden;

(d) Sicherheitsrisiken werden ermittelt und regelmäßig bewertet;

(e) der Zugang zu den Assets ist auf autorisierte Benutzer beschränkt;

(f) Zugangsprotokolle werden erhoben und gegebenenfalls überprüft;

(g) der Fernzugriff auf Assets wird eingeschränkt und sicher verwaltet;

(h) personenbezogenen Kundendaten sind physisch und logisch von den personenbezogenen Daten anderer Kunden getrennt;

(i) elektronische und gedruckte Aufzeichnungen, die personenbezogene Kundendaten enthalten, werden gemäß den Richtlinien und Verfahren zur sicheren Vernichtung sicher vernichtet;

(j) geeignete technische Sicherheitslösungen werden implementiert und verwaltet, um die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Kundendaten zu schützen;

(k) die Wartung und Reparatur von Komponenten des Informationssystems wird in kontrollierter und sicherer Weise durchgeführt;

(l) Prozesse und Verfahren für die Reaktion auf Zwischenfälle werden vorgehalten, um eine rechtzeitige Erkennung von, Reaktion auf und Schadensbegrenzung bei festgestellten Verletzungen des Schutzes personenbezogener Daten zu gewährleisten, und

(m) Sicherungen und Verfahren zur Wiederherstellung im Katastrophenfall sind vorhanden.

2. Es werden angemessene Maßnahmen ergriffen, um die Zuverlässigkeit des Personals zu gewährleisten, das Zugang zu den personenbezogenen Kundendaten hat.

3. Bei Unterauftragsverarbeitern wird eine angemessene Due-Diligence-Prüfung durchgeführt, um sicherzustellen, dass sie in der Lage sind, ein angemessenes Schutzniveau für personenbezogene Daten zu bieten.

ANHANG 3: DATENÜBERMITTLUNG

1. Wenn und soweit eine eingeschränkte Übermittlung durch den Kunden an Circana erfolgt, vereinbaren die Parteien, dass Modul 2 der Standardvertragsklauseln Anwendung findet, vorbehaltlich der folgenden Bestimmungen:

– Der Kunde ist der Datenexporteur und der für die Verarbeitung Verantwortliche;

– Circana ist der Datenimporteur und -Auftragsverarbeiter;

– Die fakultative Klausel 7 (Kopplungsklausel von Modul 2) findet keine Anwendung;

– Klausel 9 (Einsatz von Unterauftragsverarbeitern): Option 2 (Allgemeine schriftliche Genehmigung) gilt in Übereinstimmung mit dem Abschnitt über Unterauftragsverarbeiter in diesem DPA, und der „Zeitraum“ beträgt zehn (10) Werktage;

– Die Fakultativklausel 11(a) (Rechtsbehelf) findet keine Anwendung;

– Für Klausel 13 (Aufsicht) gilt Folgendes: Sofern hierin nichts anderes bestimmt ist, ist die zuständige Aufsichtsbehörde für die Zwecke der SCCs wie folgt: (a) Wenn der Kunde in einem Mitgliedstaat niedergelassen ist, gilt Absatz 1, und die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde in dem EU-Mitgliedstaat, in dem der Kunde niedergelassen ist; (b) wenn der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den räumlichen Anwendungsbereich der Datenschutz-Grundverordnung gemäß deren Artikel 3 Absatz 2 fällt, gilt Absatz 2, und die zuständige Aufsichtsbehörde ist die Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2, Irland; (c) soweit das britische Datenschutzrecht Anwendung findet, ist das UK Information Commissioner’s Office die zuständige Aufsichtsbehörde; und (d) soweit andere Datenschutzgesetze als die europäischen Datenschutzgesetze Anwendung finden, ist die primäre Datenschutzaufsichtsbehörde gemäß dem anwendbaren Datenschutzgesetz die zuständige Aufsichtsbehörde.

– Klausel 17 (Anwendbares Recht): Es gilt Option 1, und der angegebene Mitgliedstaat ist Irland;

– Klausel 18 (Wahl des Gerichtsstands und der Zuständigkeit: legt die Republik Irland als Gerichtsstand und Gerichtsbarkeit fest;

– Die zuständige Aufsichtsbehörde ist die Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2

– Die Häufigkeit der Übermittlung ist fortlaufend, und der Zeitraum, in dem die Daten aufbewahrt werden, steht im Einklang mit der in der Vereinbarung und in diesem DPA festgelegten Aufbewahrungsfrist;

– Die Anhänge I und II der EU-Standardvertragsklauseln werden unter Bezugnahme auf Anhang 1 (Einzelheiten der Verarbeitung personenbezogener Kundendaten) bzw. Anhang 2 (Technische und organisatorische Maßnahmen) dieses DPA ausgefüllt und von den Unterzeichnern dieses DPA an allen erforderlichen Stellen ausgefüllt.

2. In Bezug auf jede eingeschränkte Übermittlung aus Sicht des Vereinigten Königreichs sind die Standardvertragsklauseln (die durch Verweis einbezogen werden) in Übereinstimmung mit den Bestimmungen von Teil 2 (Mandatory Clauses) des Zusatzes für das Vereinigte Königreich zu lesen und gelten als durch diese geändert, und die Parteien bestätigen, dass die für die Zwecke von Teil 1 (Tables) des Zusatzes für das Vereinigte Königreich erforderlichen Informationen in der Vereinbarung und/oder in diesem DPA aufgeführt sind. Für die Zwecke von Tabelle 4 in Teil 1 des Zusatzes für das Vereinigte Königreich wählen die Parteien die Optionen „Importer“ und „Exporter“.

V2 enero de 2024

ADENDA RELATIVA A LA PROTECCIÓN DE DATOS CONFORME AL RGPD (en lo sucesivo, “APD”)

La presente APD se incorpora por referencia al Contrato celebrado entre usted, el Cliente (según se define en el Contrato) (conjuntamente, “usted”, “su”, “Cliente”), y la entidad de Circana, LLC designada en dicho Contrato (“Circana”, “nos”, “nosotros”, “nuestro”), para reflejar el acuerdo de las partes con respecto al Tratamiento de Datos Personales del Cliente por nuestra parte únicamente en nombre de este último. Ambas partes de la presente APD se denominarán conjuntamente como las “Partes”, y cada una de ellas, de forma individual, como una “Parte”.

Teniendo en cuenta las obligaciones mutuas aquí establecidas, las Partes acuerdan que los términos y condiciones de la presente APD resultarán de aplicación a los Servicios en la medida establecida en el presente documento. El Contrato permanecerá en vigor y surtirá pleno efecto, excepto conforme se modifique a continuación.

1. Definiciones
   1. En la presente APD los siguientes términos tendrán el significado que se especifica a continuación:
2. “Contrato” significará el(los) acuerdo(s) existente(s), orden(es), órdenes de compra, especificaciones de servicios y/u otro(s) acuerdo(s) comercial(es), conforme a los cuales Circana proporciona productos y/o presta servicios al Cliente, e incluirá cualesquiera documentos adjuntos y/o modificaciones de los mismos.
3. “Sociedad Vinculada” significará una entidad que ostente la propiedad, o controle, sea propiedad o esté controlada por, o esté bajo control o propiedad común con la Parte respectiva, definiéndose el control como la posesión, directa o indirectamente, de la facultad de dirigir, o generar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato, o de otra manera;
4. “Datos Personales del Cliente ” significará Datos Personales sujetos a la Legislación de Protección de Datos proporcionados por el Cliente y objeto de Tratamiento por Circana en calidad de Encargado del mismo (o por un Subencargado del Tratamiento en nombre de Circana) conforme a la presente APD;
5. “Responsable del Tratamiento” significará la persona física o jurídica que, por sí, o junto con terceros, determine los fines y medios del Tratamiento de Datos Personales;
6. “Vulneración de la Seguridad de los Datos” significará cualquier vulneración de la seguridad que provoque, de manera accidental o ilícita, la destrucción, pérdida, alteración, divulgación de, o el acceso no autorizado a, los Datos Personales del Cliente;
7. “Legislación de Protección de Datos” significará todas las leyes relacionadas con la protección de datos personales y la privacidad de las personas físicas o jurídicas aplicables al Tratamiento de Datos Personales del Cliente conforme a la presente APD, incluyendo (en cada caso según corresponda) el RGPD, y el RGPD del Reino Unido y cualquier legislación nacional que complemente o derogue lo anterior;
8. “Interesado” significará la persona física con la que se relacionan los Datos Personales;
9. “RGPD” significará el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
10. “Datos Personales” significará toda información sobre una persona física identificada o identificable, así como otra información definida como “datos personales”, “información personal” o cualquier término equivalente conforme a la Legislación de Protección de Datos aplicable;
11. “Tratamiento” significará cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de los datos;
12. “Encargado del Tratamiento” significará una persona física o jurídica que lleve a cabo el Tratamiento de Datos Personales por cuenta de un Responsable del Tratamiento;
13. “Datos Seudonimizados” significará datos que ya no puedan atribuirse a un Interesado en concreto sin utilizar información adicional, siempre que dicha información adicional se conserve por separado por el Cliente, y no se facilite a Circana bajo ninguna circunstancia, y esté sujeta a medidas técnicas y organizativas del Cliente destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable; (proceso también conocido como Seudonimización conforme al RGPD);
14. “Transferencia Restringida” significará una transferencia de Datos Personales, cuando dicha transferencia estaría prohibida por la Legislación de Protección de Datos en ausencia de las Cláusulas Contractuales Tipo y (según corresponda) la Adenda del Reino Unido;
15. “Servicios” significará los productos, servicios y demás actividades a suministrar al Cliente, y llevar a cabo por, o en nombre de Circana para el Cliente conforme al Contrato;
16. “Cláusulas Contractuales Tipo” significará las cláusulas contractuales tipo de la UE recogidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países (disponible enhttps://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers), conforme pudieran modificarse o sustituirse en su momento;
17. “Subencargado del Tratamiento” significará cualquier persona (incluyendo cualquier tercero y cualquier Sociedad Vinculada de Circana, pero excluyendo a un empleado de Circana), designada por, o en nombre de Circana que lleva a cabo el Tratamiento de Datos Personales del Cliente;
18. “Adenda del Reino Unido” significará la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitidas por el Comisionado de Información del Reino Unido (UK Information Commissioner) en virtud de la sección 119A(1) de la Ley de Protección de Datos (Data Protection Act) de 2018, conforme pudiera ser modificada o reemplazada en su momento; y
19. “RGPD del Reino Unido” significará el RGPD, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de (Retirada) de la Unión Europea (European Union (Withdrawal) Act) de 2018, y conforme fue modificado por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificaciones, etc.) (Salida de la UE) (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations) de 2019 (SI 2019/419).
20. 18.2.Los términos que comiencen con mayúscula no definidos de otra manera en el presente documento tendrán el significado establecido en el Contrato. A menos que se indique lo contrario, el uso del término “incluyendo” se interpretará en el sentido de “incluyendo, a título enunciativo”.
21. Suministro y Tratamiento de Datos Personales del Cliente
    1. A menos que el Cliente haya obtenido el consentimiento expreso de Circana y por escrito aceptando lo contrario, el Cliente proporcionará únicamente Datos Seudonimizados a Circana, y no proporcionará ninguna información adicional que permita atribuir dichos datos a una persona física identificada o identificable.
    2. El Cliente y Circana cumplirán con sus obligaciones como Responsable y Encargado del Tratamiento (respectivamente), de conformidad con toda la Legislación de Protección de Datos aplicable en relación con el Tratamiento de Datos Personales del Cliente.
    3. El Cliente encarga a Circana que lleve a cabo el Tratamiento de los Datos Personales del primero conforme sea necesario para la prestación de los Servicios. Circana solo llevará a cabo el Tratamiento de los Datos Personales del Cliente de conformidad con las instrucciones documentadas de este último (incluidas en el Contrato), excepto en la medida en que el Tratamiento adicional fuera exigido o permitido por la Legislación de Protección de Datos u otras leyes aplicables a las que Circana esté sujeto, en cuyo caso esta última informará al Cliente de dicho requisito legal antes del Tratamiento, a menos que dicha legislación prohíba dicha información por motivos importantes de interés público.
    4. Circana informará al Cliente si, en su opinión, cualesquiera instrucciones de Tratamiento por parte de este último infringen la Legislación de Protección de Datos aplicable.
    5. El Anexo 1 de la presente APD recoge una descripción del Tratamiento de Datos Personales del Cliente, incluyendo el objeto y la duración de dicho Tratamiento, la naturaleza y la finalidad de este, el tipo de Datos Personales objeto del mismo, y las categorías de Interesados sujetos a dicho Tratamiento.
    6. Circana podrá llevar a cabo el Tratamiento de datos relacionados con los Servicios (incluyendo los datos generados a través de la anonimización de los Datos Personales del Cliente) para sus propios fines, incluidos los de control de calidad, análisis, investigación y desarrollo.
22. Personal

Circana tomará las medidas razonables para garantizar la fiabilidad de cualquier empleado, personal, representante o contratista que pudiera tener acceso a los Datos Personales del Cliente, asegurándose en cada caso de que (i) el acceso esté estrictamente limitado a aquellas personas que necesiten conocer/acceder a los Datos Personales del Cliente relevantes para los fines de los Servicios, y para cumplir con la legislación aplicable; y (ii) dichos empleados, personal, representantes o contratistas estén sujetos a obligaciones de confidencialidad u obligaciones profesionales o legales de confidencialidad.

1. Seguridad
   1. Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de distinta probabilidad y gravedad para los derechos y libertades de las personas físicas, Circana implementará en relación con los Datos Personales del Cliente medidas técnicas y organizativas apropiadas que garanticen un nivel de seguridad adecuado a dicho riesgo; debiendo cumplir dichas medidas con la Legislación de Protección de Datos aplicable, y como mínimo cumplir con los requisitos establecidos en el Anexo 2 de la presente APD. Circana proporcionará cooperación y asistencia razonables al Cliente para asegurarse de que pueda cumplir con sus obligaciones de seguridad conforme a la Legislación de Protección de Datos aplicable.
   2. Al evaluar el nivel de seguridad adecuado, Circana tendrá en cuenta los riesgos que presente el Tratamiento, en particular derivados de una Vulneración de la Seguridad de los Datos.
2. Tratamiento por parte de un Subencargado del mismo
   1. El Cliente acepta que Circana estará autorizado a utilizar Subencargados del Tratamiento (recogiéndose una lista de los mismos en el Anexo 1), para llevar a cabo el mismo con respecto a los Datos Personales del Cliente, siempre que Circana se asegure de que cada Subencargado del Tratamiento esté sujeto a obligaciones en materia de protección de datos sustancialmente similares a la presente APD.
   2. El Cliente podrá oponerse por escrito a la designación por parte de Circana de un Subencargado del Tratamiento dentro de los diez (10) días hábiles siguientes a la notificación, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes discutirán dichas preocupaciones de buena fe con miras a lograr una resolución. A los efectos del presente apartado 5.2, Circana cursará la notificación a todas las direcciones de correo electrónico que se hayan registrado para ser notificadas de los cambios del Subencargado del Tratamiento en privacy@circana.com.
3. Derechos del Interesado y Cooperación Razonable
   1. Teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Circana, esta última:
      1. Notificará inmediatamente al Cliente si Circana recibe una solicitud de un Interesado, o de una autoridad reguladora o supervisora conforme a la Legislación de Protección de Datos con respecto a los Datos Personales del Cliente, y: (i) se abstendrá de responder a dicha solicitud, a menos que ello fuera exigido por la legislación aplicable a la que el Circana esté sujeto; y (ii) proporcionará asistencia razonable al Cliente, en la medida de lo posible, según fuera necesario para el cumplimiento de sus obligaciones conforme a la Ley de Protección de Datos en relación con dicha solicitud.
      2. Proporcionará asistencia razonable según lo solicitado por el Cliente con cualquier evaluación de impacto relativa a la protección de datos, consultas previas, u otra notificación u obligaciones similares frente a las Autoridades de Supervisión, u otras autoridades competentes en materia de protección de datos, que el Cliente considere razonablemente que la Ley de Protección de Datos exija.
4. Vulneración de la Seguridad de los Datos
   1. Circana notificará al Cliente sin demora indebida al darse cuenta de una Vulneración de la Seguridad de los Datos. Circana proporcionará al Cliente la información por este solicitada, en la medida en que la información esté disponible para Circana, que aquel necesite para cumplir con sus obligaciones conforme a la Legislación de Protección de Datos con respecto a la Vulneración de la Seguridad de los Datos.
5. Supresión o devolución de los Datos Personales del Cliente
   1. Con sujeción al apartado 8.2, Circana dejará de llevar a cabo el Tratamiento de los Datos Personales del Cliente de forma inmediata, y en cualquier caso dentro de los treinta (30) días naturales siguientes a la finalización de los Servicios y, a elección del Cliente, devolverá o suprimirá todas las copias de los Datos Personales de este último. Cuando el Cliente solicite la devolución de dichos datos, dicha devolución se realizará mediante transferencia segura de archivos en el formato que el Cliente notifique razonablemente a Circana.
   2. No obstante lo dispuesto en el apartado 8.1, Circana podrá conservar los Datos Personales del Cliente durante un plazo adicional de tiempo solo en la medida, y durante el plazo exigido por la legislación aplicable; debiendo Circana garantizar la confidencialidad continua de todos los Datos Personales del Cliente, y asegurarse de que dichos datos solo sean objeto de Tratamiento conforme fuera necesario para cumplir con la legislación aplicable.
6. Derechos de Auditoría
   1. Previa solicitud escrita del Cliente, Circana proporcionará a este la información razonablemente necesaria para acreditar el cumplimiento de sus obligaciones recogidas en la presente APD. Esta información consistirá en permitir el examen de los informes, certificados y/o extractos más recientes preparados por un auditor independiente, de conformidad con la certificación ISO27001, o similar del sector, de Circana.
   2. En caso de que la información proporcionada de acuerdo con la cláusula 9.1 anterior fuera insuficiente para acreditar razonablemente el cumplimiento, Circana permitirá al Cliente, a expensas de este, inspeccionar o auditar sus medidas técnicas y organizativas con el fin de monitorizar el cumplimiento de las obligaciones de Circana conforme a la presente APD. Dicha auditoría o inspección deberá ser:
      1. limitada en alcance a asuntos específicos del Cliente y la presente APD;
      2. acordada de antemano por escrito entre las partes, incluyendo el alcance, la duración y la fecha de inicio;
   3. llevada a cabo de una manera que no interfiera con el día a día de Circana;
      1. durante el horario comercial local de Circana y, previa notificación por escrito con una antelación de al menos veinte (20) días hábiles, a menos que, en la opinión razonable del Cliente, hubiera tenido lugar una no conformidad sustancial identificable;
      2. limitada a no más de una vez durante cualquier período de doce (12) meses, excepto si fuera exigida por instrucción de un regulador competente; y
      3. considerada como información confidencial de Circana, y sujeta a las obligaciones de confidencialidad del Contrato, o en caso de que un auditor externo realice la auditoría, dicho auditor externo deberá ser un profesional sujeto a un deber de confidencialidad o a un acuerdo de confidencialidad adecuado. El Cliente deberá mantener la información confidencial de Circana en la más estricta confidencialidad. El Cliente se obliga a restringir el acceso a la información confidencial de Circana solo a aquellos de sus empleados que (i) tengan una necesidad conforme al negocio de tener acceso a dicha información confidencial y (ii) estén sujetos a un deber de confidencialidad.
7. Transferencias Restringidas
   1. 10.1.En la medida en que una transferencia por parte del Cliente a Circana fuera una Transferencia Restringida, las Partes suscriben en virtud del presente documento las Cláusulas Contractuales Tipo, que se incorporan expresamente y formarán parte de la presente APD, en la forma especificada en el Anexo 3 de la misma.
   2. 10.2.Si una transferencia al Reino Unido estuviera sujeta al RGPD y se convirtiese en una Transferencia Restringida debido a la retirada, revocación, o no renovación de la Decisión de Ejecución de la Comisión de 28 de junio de 2021 del Parlamento Europeo y del Consejo sobre la protección adecuada de los datos personales por parte del Reino Unido, las Partes acuerdan que resultará de aplicación el apartado 10.1.

10.3. En la medida en que una transferencia de Datos Personales del Cliente por parte de Circana a cualquiera de sus Subencargados del Tratamiento fuera una Transferencia Restringida, Circana procederá a suscribir las Cláusulas Contractuales Tipo correspondientes con su Subencargado del Tratamiento.

1. Condiciones generales
   1. 11.1.Orden de prelación. Nada en la presente APD reducirá las obligaciones conforme al Contrato en relación con la protección de Datos Personales, ni permitirá a Circana, ni a ninguna Sociedad Vinculada de esta llevar a cabo el Tratamiento de (o permitir el mismo con respecto a) Datos Personales de una manera prohibida por el Contrato. Los conflictos o inconsistencias se resolverán de la siguiente manera: (i) en cualquier conflicto entre los términos del Contrato y la presente APD, prevalecerá esta última; y (ii) en cualquier conflicto entre los términos de las Cláusulas Contractuales Tipo y los demás términos de la presente APD o el Contrato, las Cláusulas Contractuales Tipo prevalecerán en la medida aplicable.
   2. 11.2.Modificaciones en la Legislación de Protección de Datos. Si fuera necesario realizar alguna variación en la presente APD como resultado de una modificación de la Legislación de Protección de Datos, incluida cualquier variación que fuera necesaria en las Cláusulas Contractuales Tipo, Circana podrá notificar al Cliente dicha variación, que entrará en vigor al recibirla este.
   3. 11.3.Ineficacia parcial. En caso de que alguna disposición de la presente APD fuera nula o anulable, el resto de la presente APD seguirá siendo válido y permanecerá en vigor. La disposición nula o anulable se modificará (i) conforme fuera necesario para garantizar su validez y exigibilidad, preservando al mismo tiempo la voluntad de las Partes lo más estrechamente posible o, si esto no fuera posible, (ii) se interpretará como si la parte nula o anulable nunca hubiera estado incluida en ella.
   4. 11.4.Legislación aplicable. La presente APD se regirá por la legislación especificada en el Contrato, a excepción de las Cláusulas Contractuales Tipo, que se regirán por la legislación especificada en el Anexo 3.

ANEXO 1. DESCRIPCIÓN DEL TRATAMIENTO

El presente Anexo 1 de la APD incluye ciertos detalles del Tratamiento de los Datos Personales del Cliente conforme pudiera exigir la Legislación de Protección de Datos aplicable. Las obligaciones de las Partes se recogen en la APD y en el Contrato.

1. Objeto y Duración

Objeto y duración del Tratamiento de los Datos Personales:

El objeto y la duración del Tratamiento de los Datos Personales se establecen en el Contrato.

1. Operaciones de Tratamiento

La naturaleza y fin del Tratamiento de Datos Personales incluye:

Los Servicios, tal como se definen en el Contrato, y conforme de otro modo fuera necesario para cumplir con las obligaciones conforme al mismo.

1. Datos Personales.

Los tipos de Datos Personales que habrán de ser objeto de Tratamiento incluyen:

Datos Seudonimizados, incluyendo:

Identificadores indirectos, números de cuenta de fidelización tokenizados;

Datos demográficos;

Datos de operaciones

1. Interesados

Las categorías de Interesados con los que se relacionan los Datos Personales incluyen:

Clientes del Cliente

1. Restricciones Aplicadas o Salvaguardas para los Datos Sensibles

n/a

1. Subencargados del Tratamiento autorizados

Circana ha nombrado a los siguientes Subencargados del Tratamiento:

Denominación social: The Circana Group

Dirección: 203 North LaSalle Street, Suite 1500, Chicago, 60601. IL, EE. UU.

Descripción del tratamiento: proporcionar soporte técnico y asistencia al cliente al Encargado del Tratamiento, lo que podría suponer el tratamiento de datos personales ad hoc únicamente

Denominación social: Harman International

Dirección: 400 Atlantic Street, Stamford, CT, 06901, EE. UU.

Descripción del tratamiento: carga, tratamiento y validación de datos en las soluciones AIP y de generación de informes

Denominación social: GenPact

Dirección: Nueva York: 521 5th Ave, 14th Floor, Nueva York, NY 10175

Descripción del tratamiento: entrega y administración continua de soluciones

ANEXO 2. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Circana dispondrá de medidas técnicas, físicas y organizativas de seguridad que cumplan con los requisitos establecidos en el presente Anexo 2 de la APD.

1. Circana ha implementado medidas técnicas y organizativas comercialmente razonables para proteger los Datos Personales del Cliente, incluso con respecto a sus correspondientes sistemas de tratamiento de información, y se mantendrán medidas técnicas, físicas y administrativas razonables y apropiadas para proteger los Datos Personales del Cliente en poder de Circana, o bajo su control, contra el Tratamiento no autorizado o ilícito, o la pérdida, destrucción o daños accidentales, incluyendo:
2. la formación por parte de los empleados y demás personal que manejen regularmente los Datos Personales de privacidad y seguridad adecuada a sus responsabilidades;
3. políticas, procedimientos y procesos documentados para gestionar los riesgos de seguridad relacionados con el Tratamiento de Datos Personales del Cliente;
4. la identificación y gestión de los dispositivos, sistemas, instalaciones y activos que llevan a cabo el Tratamiento de los Datos Personales del Cliente (en lo sucesivo, “activos”), y que son fundamentales para la prestación de los Servicios al Cliente;
5. identificación y evaluación regular de los riesgos de seguridad;
6. limitación del acceso a los activos a los usuarios autorizados;
7. recopilación y revisión de los registros de acceso según corresponda;
8. restricción y gestión segura del acceso remoto a los activos;
9. separación física y lógica de los Datos Personales del Cliente respecto de los Datos Personales de otros Clientes;
10. destrucción segura de los registros electrónicos y en papel que contienen Datos Personales del Cliente de conformidad con las políticas y procedimientos al respecto;
11. implementación y gestión de soluciones técnicas de seguridad adecuadas para proteger la confidencialidad, integridad y disponibilidad de los Datos Personales del Cliente;
12. ejecución de manera controlada y segura del mantenimiento y la reparación de los componentes del sistema de información;
13. mantenimiento de procesos y procedimientos de respuesta a incidentes para proporcionar una identificación oportuna, respuesta y mitigación de las Vulneraciones de la Seguridad de los Datos detectadas; y
14. mantenimiento de procesos de copias de seguridad y recuperación de datos en caso de desastres.
15. Se tomarán medidas razonables en un esfuerzo por garantizar la fiabilidad del personal que tenga acceso a los Datos Personales del Cliente.
16. Se llevará a cabo una diligencia debida adecuada con los Subencargados del Tratamiento para garantizar que cada uno de ellos sea capaz de proporcionar un nivel adecuado de protección de los Datos Personales.

ANEXO 3. TRANSFERENCIAS DE DATOS

1. Si, y en la medida en que tuviera lugar una Transferencia Restringida por el Cliente a Circana, las Partes acuerdan que resultará de aplicación el Módulo 2 de las Cláusulas Contractuales Tipo, con sujeción a lo siguiente:

• el Cliente será el exportador de datos y el Responsable del Tratamiento de estos;
• Circana será el importador de datos y el Encargado del Tratamiento de estos;
• no resultará de aplicación la Cláusula Opcional 7 (Cláusula de Incorporación del Módulo 2);
• la Cláusula 9 (Recurso a Subencargados): la Opción 2 (Autorización General por Escrito) resultará de aplicación de conformidad con el apartado referente al Subencargado del Tratamiento en la presente APD, y el “periodo de tiempo” será de diez (10) días hábiles;
• no resultará de aplicación la Cláusula Opcional 11(a) (Reparación);
• lo siguiente se aplicará a la Cláusula 13 (Supervisión): Salvo que se establezca lo contrario en el presente documento, la autoridad supervisora competente a los efectos de las CCT será la siguiente: (a) si el Cliente está establecido en un Estado miembro, se aplicará el apartado 1 y la autoridad de control competente será la autoridad de control del Estado miembro de la UE en el que esté establecido el Cliente; (b) si el Cliente no está establecido en un Estado miembro de la UE, pero se encuentra dentro del ámbito territorial de aplicación del RGPD, de conformidad con su artículo 3(2), resultará de aplicación el apartado 2 y la autoridad de control competente será la Comisión de Protección de Datos (Data Protection Commission), 21 Fitzwilliam Square, D02 RD28 Dublín 2, Irlanda; (c) en la medida en que resulte de aplicación la Ley de Protección de Datos del Reino Unido, la Oficina del Comisionado de Información (Information Commissioner’s Office) del Reino Unido será la autoridad supervisora competente; y (d) en la medida en que resulten de aplicación Legislaciones de Protección de Datos distintas de la europea, el regulador principal en materia de protección de datos de conformidad con la Legislación de Protección de Datos aplicable será el regulador competente.
• La Cláusula 17 (Derecho Aplicable): la Opción 1 resultará de aplicación y el Estado miembro especificado será Irlanda;
• la Cláusula 18 (Elección del Foro y Jurisdicción): especificará la República de Irlanda como la elección de foro y jurisdicción;
• la autoridad de control competente es la Comisión de Protección de Datos, 21 Fitzwilliam Square, D02 RD28 Dublín 2;
• la frecuencia de la transferencia será continua y el plazo durante el cual se conservarán los datos será congruente con el plazo de retención recogido en el Contrato y en la presente APD;
• los Anexos I y II de las Cláusulas Contractuales Tipo de la UE se completan por referencia al Anexo 1 (Detalles del Tratamiento de Datos Personales del Cliente) y al Anexo 2 (Medidas Técnicas y Organizativas) de la presente APD, respectivamente, y se suscriben en todos los lugares necesarios por los signatarios de la presente APD.

1. Con respecto a cualquier Transferencia Restringida del Reino Unido, las Cláusulas Contractuales Tipo (incorporadas por referencia), se interpretarán de conformidad con, y se considerarán modificadas por las disposiciones de la Parte 2 (Cláusulas Obligatorias) de la Adenda del Reino Unido, confirmando las Partes que la información exigida a los efectos de la Parte 1 (Tablas) de dicha Adenda es la recogida en el Contrato y/o en la presente APD. A los efectos de la Tabla 4 de la Parte 1 de la Adenda, las Partes seleccionan las opciones “Importador” y “Exportador”

V1 avril 2023

 AVENANT RELATIF A LA PROTECTION DES DONNEES (RGPD) (L’ « Accord sur le traitement des données » ou « DPA »)

Le présent DPAest rattaché au Contrat conclu entre vous, le Client (tel que défini au Contrat) (« vous », « votre » ou le « Client »), et l’entité Circana,LLC désignée au Contrat (« Circana », « nous » ou « notre »), afin de refléter l’accord convenu entre les parties concernant le Traitement des Données à Caractère Personnel du Client que nous effectuons uniquement pour le compte du Client.. Les parties au présent DPA sont ci-après désignées, ensemble, les « Parties » et, individuellement, une « Partie ».

Moyennant les obligations réciproques prévues aux présentes, les Parties conviennent que le présent DPAs’appliquera aux Services conformément aux stipulations des présentes. Le Contrat restera pleinement en vigueur et continuera de produire tous ses effets sous réserve des modifications prévues ci-après.

1. Définitions

1.1. Aux fins du présent DPA, les termes suivants ont le sens qui leur est donné ci-dessous :

(a) « Contrat » désigne le(s) Contrat(s), commande(s), bons de commande, cahier des charges, et/ou autre(s) accord(s) commercial(aux) existants, en application desquels Circana fournit des produits et/ou services au Client, et comprend toutes les annexes et/ou avenants à ces documents ;

(b) « Filiales » désigne toute entité qui est propriétaire ou détient le contrôle de la Partie concernée, qui est détenue ou contrôlée par celle-ci, qui appartient à un même propriétaire ou est placée sous un contrôle commun avec elle ; le terme contrôle étant défini comme la détention, directe ou indirecte, du pouvoir de diriger ou de faire diriger la direction et les politiques d’une entité, que ce soit par la détention d’actions assorties du droit de vote, par contrat ou autrement ;

(c) « Données à Caractère Personnel du Client » désigne les Données à Caractère Personnel soumises aux Lois Relatives à la Protection des Données fournies par le Client et objet du Traitement réalisé par Circana (ou par un Sous-Traitant Ultérieur pour le compte de Circana) dans le cadre du présent DPA ;

(d) « Responsable du Traitement » désigne la personne physique ou morale qui, seule ou conjointement avec d’autres, définit les finalités et les moyens du Traitement des Données à Caractère Personnel ;

(e) « Violation des Données » désigne toute violation de sécurité donnant lieu, de manière accidentelle ou illicite, à la destruction, la perte ou l’altération, la divulgation non autorisée des Données à Caractère Personnel du Client ou à un accès non autorisé à celles-ci ;

(f) « Lois Relatives à la Protection des Données » désigne l’ensemble des lois relatives à la protection des données à caractère personnel et au respect de la vie privée des personnes physiques ou morales applicables au Traitement des Données à Caractère Personnel du Client dans le cadre du présent DPA, y compris (s’il y a lieu dans chaque cas) le RGPD et le RGPD Britannique et toute législation nationale venant compléter ou déroger aux textes susvisés ;

(g) « Personne Concernée » désigne la personne physique à laquelle les Données à Caractère Personnel se rapportent ;

(h) « RGPD » désigne le Règlement général sur la protection des données UE 2016/679 du Parlement européen et du Conseil ;

(i) « Données à Caractère Personnel » désigne toutes les informations concernant une personne physique identifiée ou identifiable, ainsi que toutes autres informations définies comme étant des « données personnelles », « données à caractère personnel » ou autre terme équivalent dans le cadre des Lois Relatives à la Protection des Données applicables ;

(j) « Traiter » ou « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données ;

(k) « Sous-Traitant » désigne toute personne physique ou morale qui procède au Traitement des Données à Caractère Personnel pour le compte du Responsable du Traitement ;

(l) « Données Pseudonymisées » désigne les données qui ne peuvent plus être attribuées à une Personne Concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément par le Client et ne soient en aucun cas communiquées à Circana, et soumises aux mesures techniques et organisationnelles du Client afin de garantir que ces données ne sont pas attribuées à une personne physique identifiée ou identifiable (également Pseudonymisation aux termes du RGPD) ;

(m) « Transfert Restreint » désigne tout transfert de Données à Caractère Personnel qui serait interdit au regard des Lois Relatives à la Protection des Données en l’absence des Clauses Contractuelles Types et (le cas échéant) de l’Addendum Britannique ;

(n) « Services » désigne les produits, services et autres prestations devant être fournis au Client et exécutés par ou pour le compte de Circana en faveur du Client en vertu du Contrat ;

(o) « Clauses Contractuelles Types » désigne les clauses contractuelles types de l’UE figurant dans la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 pour le transfert de données à caractère personnel vers des pays tiers (disponible à l’adresse suivante : https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_fr), telles que modifiées ou remplacées ;

(p) « Sous-Traitant Ultérieur » désigne toute personne (y compris tout tiers ou toute Filiale de Circana, mais à l’exclusion de tout salarié de Circana) désignée par ou pour le compte de Circana, qui Traite des Données à Caractère Personnel du Client ;

(q) « Addendum Britannique » désigne l’Addendum sur le transfert de données aux Clauses contractuelles types de la Commission de l’UE établi par le Commissaire britannique à l’Information (UK Information Commissioner) en application de l’article 119A(1) de la Loi du Royaume-Uni sur la protection des données (Data Protection Act) de 2018, tel qu’éventuellement modifié ou remplacé ; et

(r) « RGPD Britannique » désigne le RGPD tel qu’intégré au droit de l’Angleterre et du Pays de Galles, d’Ecosse et d’Irlande du Nord en vertu de l’article 3 de la Loi du Royaume-Uni sur le Retrait de l’Union européenne (European Union (Withdrawal) Act) de 2018 et tel que modifié par les Règlements de 2019 relatifs à la protection des données, à la vie privée et aux communications électroniques (Amendements, etc.) (Retrait de l’UE) Règlements 2019 (SI 2019/419).

1.2. Les termes commençant par une majuscule non définie par ailleurs dans les présentes ont le sens qui leur est donné dans le Contrat. Sauf stipulation contraire, l’emploi de l’expression « y compris » doit être interprétée comme signifiant « y compris, notamment ».

2. Fourniture et Traitement des Données à Caractère Personnel du Client

2.1. Sauf accord exprès contraire de Circana, obtenu par écrit par le Client, le Client fournira uniquement des Données Pseudonymisées à Circana et ne fournira aucune information supplémentaire permettant d’attribuer ces données à une quelconque personne physique identifiée ou identifiable.

2.2. Le Client et Circana devront respecter leurs obligations respectives en qualité de Responsable du Traitement et de Sous-Traitant au regard de toutes les Lois Relatives à la Protection des Données applicable dans le cadre du Traitement des Données à Caractère Personnel du Client.

2.3. Le Client donne instruction à Circana de procéder au Traitement des Données à Caractère Personnel du Client dans la mesure nécessaire à la fourniture des Services. Circana procédera uniquement au Traitement des Données à Caractère Personnel du Client sur instructions écrites du Client (telles que prévues au Contrat), sauf Traitement supplémentaire requis ou autorisé par les Lois Relatives à la Protection des Données ou toutes autres lois applicables auxquelles Circana serait soumise, pour lesquels Circana devra informer le Client de cette exigence légale préalablement au Traitement, à moins que la loi n’interdise cette information pour des motifs importants d’intérêt public.

2.4. Circana devra informer le Client si elle estime que tout ou partie des instructions de Traitement du Client enfreignent les Lois Relatives à la Protection des Données applicables.

2.5. L’Annexe 1 au présent DPA contient une description du Traitement des Données à Caractère Personnel du Client, et notamment de l’objet et de la durée du Traitement, de la nature et de la finalité Traitement, du type de Données à Caractère Personnel objet du Traitement et des catégories de Personnes Concernées objet du Traitement.

2.6. Circana pourra procéder au Traitement de données dans le cadre du Services (y compris les données générées lors de l’anonymisation des Données à Caractère Personnel du Client) pour ses propres besoins, notamment en matière de contrôle qualité, d’analyse des données, de recherche et de développement.

3. Personnel

Circana prendra toutes les dispositions raisonnables pour garantir la fiabilité de l’ensemble des salariés, membres du personnel, mandataires ou prestataires susceptibles d’avoir accès aux Données à Caractère Personnel du Client, en veillant dans chaque cas à ce que (i) cet accès soit strictement limité aux personnes physiques justifiant de la nécessité de connaître / d’avoir accès aux Données à Caractère Personnel du Client concernées pour les besoins des Services et le respect des lois applicables, et à ce que (ii) ces salariés, membres du personnel, mandataires ou prestataires soient soumis à des engagements de confidentialité ou à un devoir de secret professionnel ou à une obligation légale de confidentialité.

4. Sécurité

4.1. Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, Circana mettra en œuvre à l’égard des Données à Caractère Personnel du Client les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité approprié au risque. Ces mesures devront être conformes aux Lois Relatives à la Protection des Données applicables et au moins conformes aux exigences prévues à l’Annexe 2 du présent DPA. Circana apportera au Client toute la coopération et l’assistance raisonnables afin de lui permettre de respecter ses obligations de sécurité au regard des Lois Relatives à la Protection des Données applicables.

4.2. Pour évaluer le niveau de sécurité adapté, Circana tiendra compte des risques que présente le Traitement, résultant notamment de la Violation des Données.

5. Sous-traitance Ultérieure

5.1. Le Client convient que Circana est autorisée à avoir recours à des Sous-Traitants Ultérieurs (dont la liste figure en Annexe 1) pour effectuer le Traitement des Données à Caractère Personnel du Client, étant entendu que Circana devra veiller à ce que chaque Sous-Traitant Ultérieur soit soumis à des obligations de protection des données substantiellement équivalentes à celles prévues au sein du présent DPA.

5.2. Le Client pourra s’opposer par écrit à la désignation par Circana d’un Sous-Traitant Ultérieur dans un délai de dix (10) jours ouvrés suivant la notification de celle-ci, étant précisé que cette opposition devra être fondée sur des motifs raisonnables relatifs à la protection des données. Dans ce cas, les Parties devront discuter de ces motifs de bonne foi dans afin de les résoudre. Aux fins du présent Article 5.2, cette notification sera adressée par Circana à toutes les adresses électroniques enregistrées aux fins de notification des changements de Sous-Traitants Ultérieurs à l’adresse privacy@circana.com.

6. Droits des Personnes Concernées et Assistance Raisonnable

6.1. Compte tenu de la nature du Traitement et des informations dont dispose Circana, Circana devra :

6.1.1. informer sans délai le Client de toute demande reçue par Circana de la part d’une Personne Concernée ou d’une autorité réglementaire ou de contrôle en vertu des Lois Relatives à la Protection des Données au titre des Données à Caractère Personnel du Client, et : (i) ne pas répondre à cette demande à moins que la loi applicable à laquelle Circana est soumise l’exige et (ii) apporter son assistance raisonnable au Client, dans la mesure du possible et de ce qui sera nécessaire au respect par le Client de ses obligations prévue par les Lois Relatives à la Protection des Données au titre de cette demande.

6.1.2. apporter toute l’assistance raisonnable que le Client pourra lui demander pour la réalisation d’analyse d’impact relative à la protection des données, de consultations préalables des Autorités de Contrôle, ou d’autres obligations de notification ou  obligations similaires aux Autorités de Contrôle ou à d’autres autorités compétentes de protection des données, que le Client considère raisonnablement comme requis  par les Lois Relatives à la Protection des Données.

7. Violation des Données

7.1. Circana devra informer sans délai le Client de toute Violation des Données dont elle pourra avoir connaissance. Circana devra fournir au Client les informations demandées par celui-ci, sous réserve que Circana dispose de ces informations, dont le Client a besoin pour remplir ses obligations résultant de la Violation de Données tel que prévues par les Lois Relatives à la Protection des Données.

8. Suppression ou restitution des Données à Caractère Personnel du Client

8.1. Sous réserve de l’Article 8.2, Circana devra, sans délai et en tout état de cause dans un délai de trente (30) jours calendaires suivant la cessation des Services, mettre fin au Traitement des Données à Caractère Personnel du Client et, au choix du Client, restituer ou supprimer toutes les copies des Données à Caractère Personnel du Client. Si le Client demande la restitution de ces données, cette restitution devra être réalisée par transfert sécurisé des fichiers dans le format que le Client pourra raisonnablement indiquer à Circana.

8.2. Nonobstant l’Article 8.1, Circana pourra conserver les Données à Caractère Personnel du Client pendant une durée plus longue uniquement dans la mesure et pendant le délai exigé par la loi applicable. Circana devra garantir la confidentialité constante de toutes les Données à Caractère Personnel du Client et veiller à ce que ces données fassent uniquement l’objet du Traitement nécessaire au respect de la loi applicable.

9. Audit

9.1. Sur demande écrite du Client, Circana devra fournir au Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations prévues par le présent DPA. Ces informations comprendront l’autorisation de vérification des rapports, certificats et/ou extraits établis le plus récemment par un expert indépendant conformément à la certification ISO27001 ou autre certification professionnelle comparable détenue par Circana.

9.2. Si les informations fournies conformément à l’Article 9.1 ci-dessus sont insuffisantes pour établir raisonnablement cette conformité, Circana devra permettre au Client, aux frais du Client, d’inspecter ou d’auditer les mesures techniques et organisationnelles de Circana afin de contrôler le respect des obligations de Circana en application du présent DPA. Chacun de ces audits et inspections devront être :

9.2.1. limités au champ des questions propres au Client et au présent DPA;

9.2.2. convenus d’avance entre les Parties par écrit, notamment en ce qui concerne leur portée, leur durée et leur date de début ;

9.2.3. menés de manière à ne pas perturber l’activité quotidienne de Circana ;

9.2.4. réalisés pendant les heures locales de bureau de Circana et moyennant le respect d’un préavis écrit d’au moins vingt (20) jours ouvrés, sauf si le Client estime raisonnablement qu’il existe un défaut de conformité identifiable et important ;

9.2.5. limités à un(e) par période de douze (12) mois civils, sauf si une autorité de contrôle compétente en exige davantage ; et

9.2.6. réputés constituer des informations confidentielles de Circana et soumis aux obligations de confidentialité prévues au Contrat ou, si l’audit est réalisé par un expert indépendant, celui-ci devra être un professionnel soumis à une obligation de confidentialité ou à un accord de confidentialité approprié. Le Client devra respecter le caractère de stricte confidentialité des informations confidentielles de Circana. Le Client convient de réserver l’accès aux informations confidentielles de Circana aux seuls membres du personnel du Client qui (i) justifient de la nécessité professionnelle d’avoir accès à ces informations confidentielles et (ii) sont soumis à une obligation de confidentialité.

10. Transferts Restreints

10.1. Si un transfert effectué entre le Client et Circana est un Transfert Restreint, les Parties conviennent par les présentes de conclure les Clauses Contractuelles Types, qui sont expressément intégrées au présent DPA et font partie intégrante, selon le modèle figurant en Annexe 3 du présent DPA.

10.2. Si un transfert à destination du Royaume-Uni est soumis au RGPD et est qualifié de Transfert Restreint en raison du retrait, de la révocation ou du non-renouvellement de la Décision d’Adéquation de la Commission du 28 juin 2021 du Parlement européen et du Conseil sur la protection adéquate des données à caractère personnel par le Royaume-Uni, les Parties conviennent que l’Article 10.1 s’appliquera.

10.3. Si un transfert de Données à Caractère Personnel du Client effectué entre Circana et l’un de ses Sous-Traitants Ultérieurs est un Transfert Restreint, Circana devra s’engager à conclure avec son Sous-Traitant Ultérieur les Clauses Contractuelles Types appropriées.

11. Dispositions générales

11.1. Prévalence. Aucune des stipulations du présent DPA ne peut amoindrir les obligations prévues au Contrat s’agissant de la protection des Données à Caractère Personnel ni n’autorise Circana ni aucune Filiale de Circana à procéder au Traitement (ou à autoriser le Traitement) des Données à Caractère Personnel de manière contraire au Contrat. Les éventuels conflits ou contradictions seront résolus comme suit : (i) en cas de conflit entre les dispositions du Contrat et le présent DPA, le présent DPA prévaudra et (ii) en cas de conflit entre les termes des Clauses Contractuelles Types et les autres termes du présent DPA ou du Contrat, les Clauses Contractuelles Types prévaudront dans la mesure où elles sont applicables.

11.2. Modifications des Lois Relatives à la Protection des Données. Si la modification du présent DPA est requise à la suite de tout changement des Lois Relatives à la Protection des Données, y compris toute modification en vertu des Clauses Contractuelles Types, Circana pourra informer le Client de cette modification, qui prendra effet dès réception par le Client.

11.3. Nullité. En cas de nullité ou d’inopposabilité de l’une quelconque des stipulations du présent DPA, les autres stipulations du présent DPA demeureront valables et pleinement en vigueur. La stipulation nulle ou inopposable devra soit (i) être modifiée dans la mesure nécessaire pour la rendre valable et opposable, tout en préservant le mieux possible l’intention des Parties, soit, si cela n’est pas possible, (ii) interprétée comme si la partie nulle ou inopposable de celle-ci n’avait jamais existé.

11.4. Droit applicable. Le présent DPA est soumis au droit indiqué au Contrat, à l’exception des Clauses Contractuelles Types, qui sont soumises aux lois indiquées à l’Annexe 3.

ANNEXE 1 : DESCRIPTION DU TRAITEMENT

La présente Annexe 1 à DPA contient certaines informations relatives au Traitement des Données à Caractère Personnel du Client exigées par les Lois Relatives à la Protection des Données applicables. Les obligations des Parties sont prévues dans le DPA et le Contrat.

1. Objet et durée

Objet et la durée de Traitement de Données à Caractère Personnel :

· L’objet et la durée du Traitement des Données à Caractère Personnel sont définies dans le Contrat.

2. Opérations de Traitement 

La nature et la finalité du Traitement des Données à Caractère Personnel comprennent :

· Les Services, tels que définis au Contrat, et tels que nécessaires à l’exécution des obligations prévues au titre du Contrat.

3. Données à Caractère Personnel

Les types de Données à Caractère Personnel objet du Traitement comprennent :

· Les Données Pseudonymisées, y compris ;

· Les identifiants indirects, numéros de comptes de fidélité tokénisés ;

· Les données démographiques ;

· Les données de transactions.

4. Personnes Concernées

Les catégories de Personnes Concernées auxquelles les Données à Caractère Personnel se rapportent comprennent :

· Les clients du Client

5.  Restrictions ou garanties appliquées aux Données Sensibles

Sans objet

6.  Sous-Traitants Ultérieurs Autorisés

Circana a désigné les Sous-Traitants Ultérieurs suivants :

Dénomination : The Circana Group

Adresse : 203 North LaSalle Street, Suite 1500, Chicago, 60601. IL, Etats-Unis d’Amérique

Description du Traitement : fourniture de prestations d’assistance technique et de support client au sous-traitant, pouvant inclure uniquement le traitement de données à caractère personnel ad hoc 

Dénomination : Harman International

Adresse : 400 Atlantic Street, Stamford, CT, 06901, Etats-Unis d’Amérique

Description du Traitement : Téléchargement, traitement et validation des données dans les solutions API et de reporting 

Dénomination : GenPact

Adresse : New York : 521 5th Ave, 14th Floor, New York, NY 10175, Etats-Unis d’Amérique

Description du Traitement : Fourniture et administration continues de solutions

ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES

Circana devra mettre en place des mesures de sécurité techniques, physiques et organisationnelles conformes aux exigences prévues à la présente Annexe 2 du DPA.

1. Circana a mis en œuvre des mesures techniques et organisationnelles commercialement raisonnables afin de protéger les Données à Caractère Personnel du Client, notamment dans le cadre des systèmes de traitement de l’information concerné, et des mesures techniques, physiques et administratives raisonnables et appropriées seront appliquées afin de protéger les Données à Caractère Personnel du Client se trouvant en possession ou sous le contrôle de Circana contre tout traitement non-autorisé ou illicite, toute perte, destruction ou altération accidentelle, et notamment :

(a) les salariés et autres membres du personnel traitant régulièrement des Données à Caractère Personnel reçoivent une formation en matière de protection des données et cybersécurité adaptée à leurs responsabilités ;

(b) des politiques, procédures et processus écrits pour la gestion des risques en terme de sécurité liés au Traitement des Données à Caractère Personnel du Client ;

(c) les appareils, systèmes, équipements et actifs servant au Traitement des Données à Caractère Personnel du Client (les « actifs ») et qui sont essentiels à la fourniture des Services en faveur du Client sont identifiés et gérés ;

(d) les risques de sécurité sont identifiés et régulièrement évalués ;

(e) l’accès aux actifs est limité aux utilisateurs autorisés ;

(f) les journaux d’accès sont collectés et vérifiés de manière appropriée ;

(g) l’accès à distance aux actifs est interdit et géré de manière sécurisée ;

(h) les Données à Caractère Personnel du Client sont physiquement et logiquement distinctes des Données à Caractère Personnel des autres clients ;

(i) les dossiers électroniques et papiers contenant les Données à Caractère Personnel du Client sont détruits de manière sécurisée dans le respect de politiques et procédures sécurisées de destruction ;

(j) des solutions techniques appropriées de sécurité sont mises en œuvre et gérées de manière à protéger la confidentialité, l’intégrité et la disponibilité des Données à Caractère Personnel du Client ;

(k) l’entretien et la réparation des composants des systèmes d’information sont réalisés de manière contrôlée et sécurisée ;

(l) les processus et procédures d’intervention en cas d’incident sont appliqués de manière à identifier rapidement les Violations de Données constatées, y apporter une réponse et les réduire ; et

(m) des processus de sauvegarde et de reprise après sinistre sont en place.

2. Des mesures raisonnables seront mises en œuvre afin de garantir la fiabilité du personnel ayant accès aux Données à Caractère Personnel du Client.

3. Des vérifications appropriées seront menées concernant les Sous-Traitants Ultérieurs afin de veiller à ce que chacun d’eux soit en mesure de garantir un niveau approprié de protection des Données à Caractère Personnel.

ANNEXE 3 :  TRANSFERTS DE DONNEES

1. Dans le cas et dans la mesure de tout Transfert Restreint effectué entre le Client et Circana, les Parties conviennent que le Module 2 des Clauses Contractuelles Types s’appliqueront, sous réserve de ce qui suit :

· le Client agira en qualité d’exportateur des données et de Responsable du Traitement ;

· Circana agira en qualité d’importateur des données et de Sous-Traitant ;

· La Clause 7 facultative (Clause d’adhésion du Module 2) ne s’appliquera pas ;

· Clause 9 (Recours à des Sous-Traitants Ultérieurs) : Option 2 (Autorisation Ecrite Générale) s’appliquera conformément à l’Article « Sous-Traitants Ultérieurs » du présent DPA et le « délai » sera de dix (10) jours ouvrés ;

· Clause 11(a) facultative (Voies de Recours) ne s’appliquera pas ;

· Les stipulations suivantes s’appliqueront à la Clause 13 (Contrôle) : Sauf stipulation contraire prévue par ailleurs aux présentes, l’autorité de contrôle compétente à l’effet des CCT sera : (a) si le Client est établi dans un Etat membre, le paragraphe 1 s’appliquera et l’autorité de contrôle compétente sera celle de l’Etat membre de l’UE dans lequel le Client est établi ; (b) si le Client n’est pas établi dans un Etat membre mais entre dans le champ d’application territoriale du RGPD en application de son Article 3(2), le paragraphe 2 s’appliquera et l’autorité de contrôle compétente sera la Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2, Irlande ; (c) si la Loi sur la Protection des Données Britannique s’applique, le bureau du Commissaire à l’Information britannique sera l’autorité de contrôle compétente ; et (d) si des lois relatives à la protection des données autres que les Lois Relatives à la Protection des Données européennes s’appliquent, le principal organisme de régulation de la protection des données en vertu de la Loi Relative à la Protection des Données sera l’autorité de régulation compétente.

· Clause 17 (Droit applicable) : L’Option 1 s’appliquera et l’Etat membre désigné sera l’Irlande ;

· Clause 18 (Election de for et Juridiction) : devra indiquer la République d’Irlande comme for et juridiction choisis ;

· L’autorité de contrôle compétente est la Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2, Irlande ;

· La fréquence de transfert est continue et la durée de conservation des données doit correspondre à la durée de conservation prévue au Contrat et par le présent DPA ;

· Les Annexes I et II des Clauses Contractuelles Types de l’UE sont complétées par renvoi à l’Annexe 1 (Détails relatifs au Traitement des Données à Caractère Personnel du Client) et à l’Annexe 2 (Mesures Techniques et Organisationnelles) du présent DPA, respectivement, et signées aux emplacements prévus par les signataires du présent DPA.

2. Concernant les Transferts Restreints du Royaume-Uni, les Clauses Contractuelles Types (intégrées par renvoi) devront être interprétées conformément aux stipulations de la Partie 2 (Clauses Obligatoires) de l’Addendum Britannique et réputées avoir été modifiées par ces stipulations, et les Parties confirment que les informations requises aux fins de la Partie 1 (Tableaux) de l’Addendum Britannique figurent dans le Contrat et/ou le présent DPA. Aux fins du Tableau 4 de la Partie 1 à l’Addendum Britannique, les Parties choisissent les options « Importateur » et « Exportateur ».

Έκδοση 2, Ιανουάριος 2024

ΠΡΟΣΑΡΤΗΜΑ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ ΚΑΤΑ ΤΟΝ ΓΚΠΔ («ΠΠΠΔ»)

Το παρόν ΠΠΠΔ ενσωματώνεται διά παραπομπής στο Συμφωνητικό, το οποίο συνήφθη μεταξύ υμών, του Πελάτη (όπως ορίζεται στο Συμφωνητικό) (συλλήβδην «εσείς», «εσάς», «Πελάτης») και της οντότητας Circana, LLC η οποία κατονομάζεται στο Συμφωνητικό («Circana», «εμάς», «εμείς», «μας») για να αποτυπώσει τη συμφωνία των συμβαλλόμενων όσον αφορά την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη από εμάς αποκλειστικά για λογαριασμό του πελάτη.. Αμφότερα τα μέρη του παρόντος ΠΠΠΔ καλούνται από κοινού «Συμβαλλόμενοι» και έκαστος «Συμβαλλόμενος». 

Εν όψει των αμοιβαίων υποχρεώσεων που απορρέουν από το παρόν, οι Συμβαλλόμενοι συμφωνούν ότι οι όροι του παρόντος ΠΠΠΔ θα τυγχάνουν εφαρμογής ως προς τις Υπηρεσίες στο μέτρο που ορίζεται στο παρόν. Το Συμφωνητικό ΄θα παραμείνει σε πλήρη ισχύ  με την επιφύλαξη των κάτωθι τροποποιήσεων. 

1. Ορισμοί

1.1. Στο παρόν ΠΠΠΔ, οι ακόλουθοι όροι θα έχουν την έννοια που τους αποδίδεται παρακάτω:

(α) ως «Συμφωνητικό» νοείται κάθε υφιστάμενη συμφωνία(-ίες), εντολή(-ές), εντολή(-ές) αγοράς, δήλωση(-εις) εργασιών ή/και εμπορική(-ές) συμφωνία(-ές) δυνάμει της οποίας η Circana παρέχει προϊόντα ή/και υπηρεσίες στον Πελάτη, συμπεριλαμβανομένων τυχόν εκθεμάτων ή/και τροποποιήσεων αυτού.

(β) ως «Συνδεδεμένη Εταιρεία» νοείται οντότητα που κατέχει ή ελέγχει ή κατέχεται ή ελέγχεται από ή βρίσκεται υπό κοινό έλεγχο ή κυριότητα με τον αντίστοιχο συμβαλλόμενο. Ως «έλεγχος» νοείται η κατοχή, άμεσα ή έμμεσα, της εξουσίας καθοδήγησης ή διασφάλισης της καθοδήγησης της διοίκησης και των πολιτικών μιας οντότητας, μέσω της κυριότητας κινητών αξιών με δικαίωμα ψήφου, συμβατικά ή άλλως,

(γ) ως «Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη» νοούνται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη τα οποία διέπονται από τη Νομοθεσία περί Προστασίας Δεδομένων, παρέχονται από τον Πελάτη, και υποβάλλονται σε Επεξεργασία από τη Circana (ή από Υπεργολάβο Επεξεργασίας για λογαριασμό της Circana) στο πλαίσιο του παρόντος ΠΠΠΔ.

(δ) ως «Υπεύθυνος Επεξεργασίας» νοείται το φυσικό ή νομικό πρόσωπο που αυτοτελώς ή από κοινού με άλλους καθορίζει τους σκοπούς και τα μέσα της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα,

(ε) ως «Παραβίαση Δεδομένων» νοείται οποιαδήποτε Παραβίαση Ασφαλείας που επιφέρει τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ αδείας κοινολόγηση ή πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη,

(στ) ως «Νομοθεσία περί Προστασίας Δεδομένων» νοείται κάθε νομοθεσία που αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα και του απορρήτου των φυσικών ή νομικών προσώπων που τυγχάνει εφαρμογής στην Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη στο πλαίσιο του παρόντος ΠΠΠΔ, συμπεριλαμβανομένων ( κατά περίπτωση) του ΓΚΠΔ και του ΓΚΠΔ του Ηνωμένου Βασιλείου και οποιασδήποτε εθνικής νομοθεσίας που είναι συμπληρωματική ή παρεκκλίνουσα των ανωτέρω,

(ζ) ως «Υποκείμενο των Δεδομένων» νοείται το πρόσωπο το οποίο αφορούν τα Δεδομένα Προσωπικού Χαρακτήρα,

(η) ως «ΓΚΠΔ» νοείται ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (Γενικός Κανονισμός Προστασίας Δεδομένων),

(θ) ως «Δεδομένα Προσωπικού Χαρακτήρα» νοούνται οποιαδήποτε δεδομένα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο, καθώς και κάθε άλλο στοιχείο που ορίζεται ως «δεδομένο προσωπικού χαρακτήρα» ή «προσωπικό δεδομένο» ή με ισοδύναμο όρο στο πλαίσιο οποιασδήποτε εφαρμοστέας Νομοθεσίας περί Προστασίας Δεδομένων,

(ι) ως «Επεξεργασία» νοείται κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,

(ια) ως «Εκτελών την Επεξεργασία» νοείται φυσικό ή νομικό πρόσωπο που Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη για λογαριασμό του Υπεύθυνου Επεξεργασίας,

(ιβ) ως «Ψευδωνυμοποιημένα Δεδομένα» νοούνται δεδομένα που δεν μπορούν πλέον να αποδοθούν σε συγκεκριμένο Υποκείμενο των Δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά από τον Πελάτη και ουδέποτε παρέχονται στη Circana, και υπόκεινται σε τεχνικά και οργανωτικά μέτρα του πελάτη προκειμένου να διασφαλιστεί ότι τα εν λόγω δεδομένα δεν θα αποδοθούν σε ταυτοποιημένο ή ταυτοποίησιμο φυσικό πρόσωπο (γνωστή επίσης ως Ψευδωνυμοποίηση κατά τον ΓΚΠΔ),

(ιγ) ως «Διαβίβαση υπό Περιορισμούς» νοείται διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, η οποία θα απαγορευόταν από τη Νομοθεσία περί Προστασίας Δεδομένων ελλείψει των Τυποποιημένων Συμβατικών Ρητρών και (κατά περίπτωση) του Προσαρτήματος του Ηνωμένου Βασιλείου,

(ιδ) ως «Υπηρεσίες» νοούνται τα προϊόντα, οι υπηρεσίες και λοιπές δραστηριότητες που θα παρασχεθούν στον Πελάτη και θα διενεργηθούν από ή για λογαριασμό της Circana για τον Πελάτη στο πλαίσιο του Συμφωνητικού,

(ιε) ως «Τυποποιημένες Συμβατικές Ρήτρες» νοούνται οι τυποποιημένες συμβατικές ρήτρες της ΕΕ όπως ορίζονται στην Εκτελεστική Απόφαση (ΕΕ) της Επιτροπής 2021/914 της 4ης Ιουνίου 2021 για τη διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη σε Εκτελούντες την Επεξεργασία που είναι εγκατεστημένοι σε τρίτες χώρες (διαθέσιμες στη διεύθυνση https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers), όπως ενίοτε μπορεί να τροποποιούνται ή αντικαθίστανται,

(ιστ) ως «Υπεργολάβος Επεξεργασίας» νοείται οποιοδήποτε πρόσωπο (συμπεριλαμβανομένου οποιουδήποτε τρίτου και Συνδεδεμένης Εταιρείας της Circana, αλλά εξαιρουμένου οποιουδήποτε εργαζόμενου της Circana) που διορίζεται από ή για λογαριασμό της Circana και Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη,

(ιζ) ως «Προσάρτημα του Ηνωμένου Βασιλείου» νοείται το Προσάρτημα των Τυποποιημένων Συμβατικών Ρητρών της Επιτροπής της ΕΕ σχετικά με τη διεθνή διαβίβαση δεδομένων, οι οποίες εκδόθηκαν από το Γραφείο Επιτρόπου Πληροφοριών (ICO) του Ηνωμένου Βασιλείου στο άρθρο 119Α(1) του Νόμου περί Προστασίας Δεδομένων του 2018 (Data Protection Act 2018), όπως ενίοτε μπορεί να τροποποιείται ή αντικαθίσταται,

(ιη) ως «ΓΚΠΔ του Ηνωμένου Βασιλείου» νοείται ο ΓΚΠΔ, όπως αποτελεί μέρος της νομοθεσίας της Αγγλίας και της Ουαλίας, της Σκοτίας και της Βόρειας Ιρλανδίας δυνάμει του άρθρου 3 της Συμφωνίας για την αποχώρηση του Ηνωμένου Βασιλείου από την Ευρωπαϊκή Ένωση, και όπως έχει τροποποιηθεί από τις Οδηγίες περί Προστασίας των Δεδομένων, του Απορρήτου και των Ηλεκτρονικών Επικοινωνιών (Τροποποιήσεις κ.ο.κ.) (έξοδος από την ΕΕ) 2019 (SI 2019/419).

1.2. Οι όροι που τίθενται με αρχικό κεφαλαίο γράμμα και δεν ορίζονται διαφορετικά στο παρόν θα έχουν την έννοια που τους αποδίδεται στο Συμφωνητικό. Εφόσον δεν ορίζεται διαφορετικά, η χρήση του όρου «συμπεριλαμβανομένου/-ης/-ων» ερμηνεύεται ως «συμπεριλαμβανομένου/-ης/-ων ενδεικτικά».

2. Παροχή και επεξεργασία δεδομένων προσωπικού χαρακτήρα του πελάτη

2.1. Εφόσον ο Πελάτης δεν έχει λάβει  τη ρητή συγκατάθεση της Circana, με την οποία συμφωνείται ρητώς κάτι διαφορετικό, ο Πελάτης θα παρέχει μόνο Ψευδωνυμοποιημένα Δεδομένα στη Circana και δεν θα παρέχει πρόσθετες πληροφορίες που θα μπορούσαν να επιτρέψουν την απόδοση των εν λόγω δεδομένων σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο.

2.2. Ο πελάτης και η Circana θα συμμορφώνονται με τις υποχρεώσεις τους ως Υπεύθυνοι Επεξεργασίας και Εκτελούντες την Επεξεργασία αντίστοιχα στο πλαίσιο κάθε εφαρμοστέας Νομοθεσίας περί Προστασίας Δεδομένων σχετικά με την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη.

2.3. Ο πελάτης δίνει εντολή στη Circana όπως Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη, εφόσον κρίνεται αναγκαίο για την παροχή των Υπηρεσιών. Η Circana θα Επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη μόνο σύμφωνα με τις έγγραφες υποδείξεις του (όπως συμπεριλαμβάνονται στο Συμφωνητικό), εκτός εάν απαιτείται ή επιτρέπεται περαιτέρω Επεξεργασία από τη Νομοθεσία περί Προστασίας Δεδομένων ή άλλους εφαρμοστέους νόμους, στους οποίους υπόκειται η Circana, οπότε η Circana θα ενημερώσει τον Πελάτη σχετικά με την εν λόγω νομική απαίτηση πριν από την Επεξεργασία, εκτός εάν ο νόμος απαγορεύει την εν λόγω πληροφόρηση για σοβαρούς λόγους δημοσίου συμφέροντος.

2.4. Η Circana θα ενημερώσει τον Πελάτη εάν, κατά τη γνώμη της, οποιαδήποτε εντολή Επεξεργασίας του Πελάτη παραβιάζει την εφαρμοστέα Νομοθεσία περί Προστασίας Δεδομένων.

2.5. Το Παράρτημα 1 του παρόντος ΠΠΠΔ περιγράφει την Επεξεργασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, συμπεριλαμβανομένου του αντικειμένου της Επεξεργασίας, της φύσης και του σκοπού της Επεξεργασίας, του είδους των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που υποβάλλονται σε Επεξεργασία και των κατηγοριών των Υποκειμένων των Δεδομένων που υπόκεινται στην εν λόγω Επεξεργασία.

2.6. Η Circana μπορεί να Επεξεργαστεί δεδομένα που αφορούν τις Υπηρεσίες (μεταξύ άλλων δεδομένα που προκύπτουν από την ανωνυμοποίηση των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη) για δικούς της σκοπούς, μεταξύ άλλων για έλεγχο ποιότητας, ανάλυση στοιχείων, έρευνα και ανάπτυξη.

3. Προσωπικό

Η Circana θα λαμβάνει κάθε εύλογο μέτρο για να διασφαλίζει την αξιοπιστία οποιουδήποτε εργαζόμενου, προσωπικού, αντιπροσώπου ή αναδόχου που μπορεί να έχει πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη, διασφαλίζοντας σε κάθε περίπτωση ότι (i) η πρόσβαση περιορίζεται αυστηρά στα πρόσωπα που οφείλουν να γνωρίζουν/έχουν πρόσβαση στα συναφή Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη για τους σκοπούς των Υπηρεσιών και τη συμμόρφωση με την εφαρμοστέα νομοθεσία και (ii) οι εν λόγω εργαζόμενοι, το προσωπικό, οι αντιπρόσωποι ή ανάδοχοι υπόκεινται σε δεσμεύσεις εχεμύθειας ή επαγγελματικές ή νόμιμες υποχρεώσεις εχεμύθειας.

4. Ασφάλεια

4.1. Λαμβάνοντας υπόψη το υπάρχον επίπεδο ασφαλείας, την υλοποίηση και τη φύση, το αντικείμενο, το πλαίσιο και τους σκοπούς της Επεξεργασίας, καθώς και τους κινδύνους ποικίλης πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, η Circana θα υλοποιεί σε συνάρτηση με τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει κατάλληλο επίπεδο ασφάλειας για τον εν λόγω κίνδυνο. Τα εν λόγω μέτρα θα συμμορφώνονται με την εφαρμοστέα Νομοθεσία περί Προστασίας Δεδομένων και πληρούν κατ’ ελάχιστον τις απαιτήσεις που ορίζονται στο Παράρτημα 2 του παρόντος ΠΠΠΔ. H Circana θα παρέχει εύλογη συνεργασία και συνδρομή στον Πελάτη για να διασφαλίσει την εκ μέρους του εκπλήρωση των υποχρεώσεων ασφαλείας που υπέχει βάσει της εφαρμοστέας Νομοθεσίας περί Προστασίας Δεδομένων.

4.2. Κατά την αξιολόγηση της ύπαρξης κατάλληλου επιπέδου ασφαλείας, η Circana θα συνυπολογίσει τους κινδύνους που τίθενται από την Επεξεργασία, ιδίως από Παραβίαση Δεδομένων.

5. Υπεργολαβική ανάθεση επεξεργασίας

5.1. Ο Πελάτης συμφωνεί ότι η Circana εξουσιοδοτείται να χρησιμοποιεί Υπεργολάβους Επεξεργασίας (κατάλογος των οποίων παρατίθεται στο Παράρτημα 1) για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, με τον όρο ότι η Circana διασφαλίζει ότι κάθε Υπεργολάβος Επεξεργασίας δεσμεύεται από υποχρεώσεις προστασίας δεδομένων που είναι ουσιωδώς όμοιες με αυτές του παρόντος ΠΠΠΔ.

5.2. Ο Πελάτης μπορεί να εναντιωθεί εγγράφως στον διορισμό Υπεργολάβου Επεξεργασίας εντός δέκα (10) εργάσιμων ημερών από τη γνωστοποίηση, εφόσον η εν λόγω αντίρρηση βασίζεται σε εύλογους λόγους που αφορούν την προστασία δεδομένων. Σε αυτή την περίπτωση, οι συμβαλλόμενοι θα συζητήσουν με καλή πίστη τις εν λόγω ανησυχίες για να επιτύχουν τη διευθέτησή τους. Για τους σκοπούς του παρόντος Άρθρου 5.2, θα αποστέλλεται γνωστοποίηση από τη Circana σε όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που έχουν καταχωριστεί για σκοπούς ενημέρωσης σε περίπτωση αλλαγής Υπεργολάβου Επεξεργασίας στη διεύθυνση privacy@circana.com.

6. Δικαιώματα Υποκειμένων των Δεδομένων και Εύλογη Συνεργασία

6.1. Λαμβάνοντας υπόψη τη φύση της Επεξεργασίας και τις πληροφορίες που η Circana έχει στη διάθεσή της, η Circana:

6.1.1. θα ενημερώσει εγκαίρως τον Πελάτη, εάν η Circana λάβει αίτημα από Υποκείμενο των Δεδομένων ή ρυθμιστική ή εποπτική αρχή στο πλαίσιο οποιασδήποτε Νομοθεσίας περί Προστασίας Δεδομένων όσον αφορά τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη, και (i) δεν θα απαντήσει στο εν λόγω αίτημα, εκτός αν απαιτείται από την εφαρμοστέα νομοθεσία, στην οποία υπόκειται η Circana και (ii) θα παρέχει εύλογη συνδρομή στον Πελάτη, στο μέτρο του δυνατού, όπως απαιτείται για την εκπλήρωση των υποχρεώσεων που υπέχει ο Πελάτης στο πλαίσιο της Νομοθεσίας περί Προστασίας Δεδομένων όσον αφορά το εν λόγω αίτημα.

6.1.2. Θα παρέχει εύλογη συνδρομή, όπως απαιτείται από τον Πελάτη σε οποιαδήποτε αξιολόγηση αντικτύπου στην προστασία των δεδομένων, προηγούμενες διαβουλεύσεις ή άλλη γνωστοποίηση ή παρόμοιες υποχρεώσεις προς Εποπτικές Αρχές ή άλλες αρχές που είναι αρμόδιες για την προστασία των δεδομένων που ο Πελάτης εύλογα θεωρεί ότι απαιτούνται σύμφωνα με τη Νομοθεσία περί Προστασίας Δεδομένων.

7. Παραβίαση Δεδομένων

7.1. Η Circana θα ενημερώσει αμελλητί τον Πελάτη μόλις λάβει γνώση Παραβίασης Δεδομένων. Η Circana θα παρέχει στον Πελάτη τις πληροφορίες που αυτός ζητά στο μέτρο που οι εν λόγω πληροφορίες είναι διαθέσιμες στη Circana και τις οποίες ο Πελάτης χρειάζεται για να εκπληρώσει τις υποχρεώσεις του δυνάμει της Νομοθεσίας περί Προστασίας Δεδομένων όσον αφορά την Παραβίαση Δεδομένων.

8. Διαγραφή ή απόδοση των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη

8.1. Με την επιφύλαξη του άρθρου 8.2, η Circana θα παύσει άμεσα και, σε κάθε περίπτωση εντός τριάντα (30) ημερολογιακών ημερών από την παύση των Υπηρεσιών, να Επεξεργάζεται τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη και κατ’ επιλογή του Πελάτη θα επιστρέψει ή διαγράψει όλα τα αντίγραφα των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη. Όποτε ο Πελάτης ζητά την απόδοση των εν λόγω δεδομένων, αυτή θα πραγματοποιείται με ασφαλή μεταφορά αρχείων σε μορφή που εύλογα γνωστοποιείται από τον Πελάτη στη Circana.

8.2. Με την επιφύλαξη του Άρθρου 8.1, η Circana δύναται να διατηρεί Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη για επιπλέον χρονική περίοδο μόνο για την απαιτούμενη περίοδο κατά την εφαρμοστέα νομοθεσία. Η Circana θα διασφαλίσει τη διαρκή εμπιστευτικότητα όλων των εν λόγω Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη και θα εγγυηθεί ότι η Επεξεργασία των εν λόγω δεδομένων θα πραγματοποιηθεί όπως είναι αναγκαίο για την συμμόρφωση με τον εφαρμοστέο νόμο.

9. Δικαιώματα ελέγχου

9.1. Μετά γραπτού αιτήματος του πελάτη, η Circana παρέχει στον Πελάτη τις εύλογα αναγκαίες πληροφορίες για την απόδειξη συμμόρφωσης με τις υποχρεώσεις του που παρατίθενται στο παρόν ΠΠΠΔ. Οι εν λόγω πληροφορίες συνίστανται στην άδεια εξέτασης των πλέον πρόσφατων ερευνών, πιστοποιητικών ή/και αποσπασμάτων που καταρτίζονται από ανεξάρτητο ελεγκτή δυνάμει του προτύπου ISO27001 της Circana ή παρόμοιας ισχύουσας πιστοποίησης στον εν λόγω κλάδο.

9.2. Σε περίπτωση που οι πληροφορίες που παρέχονται σύμφωνα με το Άρθρο 9.1 ανωτέρω δεν επαρκούν για την εύλογη απόδειξη της συμμόρφωσης, η Circana επιτρέπει στον Πελάτη να επιθεωρήσει ή ελέγξει, με δαπάνες του Πελάτη, τα τεχνικά και οργανωτικά μέτρα της Circana για τους σκοπούς της παρακολούθησης συμμόρφωσης με τις υποχρεώσεις της Circana στο πλαίσιο του παρόντος ΠΠΠΔ. Οποιοσδήποτε τέτοιος έλεγχος ή επιθεώρηση:

9.2.1. περιορίζεται από άποψη αντικειμένου σε ζητήματα που αφορούν τον Πελάτη και τον παρόντα ΠΠΠΔ,

9.2.2. συμφωνείται εκ των προτέρων εγγράφως μεταξύ των μερών, μεταξύ άλλων όσον αφορά το αντικείμενο, τη διάρκεια και την ημερομηνία έναρξης,

9.2.3. διενεργείται με τρόπο που δεν παρεμβάλλεται στην καθημερινή επιχειρηματική δραστηριότητα της Circana,

9.2.4. κατά τη διάρκεια των κατά τόπον εργάσιμων ωρών της Circana και με προηγούμενη έγγραφη ειδοποίηση τουλάχιστον είκοσι (20) εργάσιμων ημερών, εκτός αν κατά την εύλογη κρίση του πελάτη έχει ανακύψει ζήτημα ταυτοποιήσιμης, ουσιώδους μη συμμόρφωσης,

9.2.5. περιορίζεται σε έναν μήνα ανά δώδεκα (12) ημερολογιακούς μήνες το μέγιστο, εκτός αν άλλως επιβάλλεται καθ’ υπόδειξη της αρμόδιας ρυθμιστικής αρχής, και

9.2.6. θεωρείται εμπιστευτική πληροφορία της Circana και υπόκειται στις υποχρεώσεις εχεμύθειας του Συμφωνητικού ή, στην περίπτωση που ο έλεγχος διενεργείται από τρίτον ελεγκτή, ο εν λόγω τρίτος πρέπει να είναι επαγγελματίας που δεσμεύεται από καθήκον εχεμύθειας ή υπόκειται σε πρόσφορη συμφωνία τήρησης απορρήτου. Ο Πελάτης διατηρεί τις εμπιστευτικές πληροφορίες της Circana με απόλυτη εχεμύθεια. Ο Πελάτης συμφωνεί ότι θα επιφυλάσσει την πρόσβαση στις εμπιστευτικές πληροφορίες της Circana μόνο στο προσωπικό του Πελάτη που (i) οφείλει να έχει πρόσβαση στις εν λόγω εμπιστευτικές πληροφορίες βάσει επιχειρηματικής ανάγκης και (ii) δεσμεύεται από καθήκον εχεμύθειας.

10. Διαβιβάσεις υπό Όρους

10.1. Στο μέτρο που μια διαβίβαση από Πελάτη στη Circana αποτελεί διαβίβαση υπό Όρους, οι συμβαλλόμενοι διά του παρόντος προσχωρούν στις Τυποποιημένες Συμβατικές Ρήτρες, οι οποίες ρητά ενσωματώνονται στο παρόν και αποτελούν μέρος του παρόντος ΠΠΠΔ με τη μορφή που προσδιορίζεται στο Παράρτημα 3 του παρόντος ΠΠΠΔ.

10.2. Εάν μια διαβίβαση στο Ηνωμένο Βασίλειο υπόκειται στον ΓΚΠΔ και καθίσταται Διαβίβαση υπό Όρους λόγω της ανάκλησης, απόσυρσης ή μη ανανέωσης της εκτελεστικής απόφασης της Επιτροπής, της 28ης Ιουνίου 2021, σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σχετικά με την επάρκεια της παρεχόμενης από το Ηνωμένο Βασίλειο προστασίας των δεδομένων προσωπικού χαρακτήρα, οι Συμβαλλόμενοι συμφωνούν ότι θα εφαρμόζεται το Άρθρο 10.1.

10.3. Στο μέτρο που η διαβίβαση Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη από τη Circana σε οποιονδήποτε Υπεργολάβο Επεξεργασίας αποτελεί Διαβίβαση υπό Όρους, η Circana θα δεσμευτεί να προσχωρήσει στις συναφείς Τυποποιημένες Συμβατικές Ρήτρες με τον Υπεργολάβο Επεξεργασίας.

11. Γενικοί όροι

11.1. Σειρά προτεραιότητας. Καμία διάταξη του παρόντος ΠΠΠΔ δεν περιορίζει τις υποχρεώσεις που απορρέουν από το παρόν Συμφωνητικό όσον αφορά την προστασία Δεδομένων Προσωπικού Χαρακτήρα ούτε επιτρέπει στη Circana ή σε οποιαδήποτε θυγατρική της Circana να επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα (ή να επιτρέψει την Επεξεργασία αυτών) με τρόπο που απαγορεύεται από το Συμφωνητικό. Ασυμφωνίες ή ασυνέπειες θα επιλύονται ως εξής: (i) σε περίπτωση ασυμφωνίας των όρων του Συμφωνητικού και του παρόντος ΠΠΠΔ, το ΠΠΠΔ θα υπερισχύει, και (ii) σε περίπτωση ασυμφωνίας των όρων των Τυποποιημένων Συμβατικών Ρητρών και των λοιπών όρων του παρόντος ΠΠΠΔ ή του Συμφωνητικού, οι Τυποποιημένες Συμβατικές Ρήτρες υπερισχύουν στο εφαρμοστέο μέτρο.

11.2. Τροποποιήσεις στη Νομοθεσία περί Προστασίας Δεδομένων. Εάν απαιτείται οποιαδήποτε τροποποίηση του παρόντος ΠΠΠΔ λόγω μεταβολής στη Νομοθεσία περί Προστασίας Δεδομένων, μεταξύ άλλων τροποποίηση των Τυποποιημένων Συμβατικών Ρητρών, η Circana μπορεί να γνωστοποιήσει στον Πελάτη την εν λόγω τροποποίηση με ειδοποίηση, η οποία θα αναπτύξει έννομα αποτελέσματα από την παραλαβή της από τον Πελάτη.

11.3. Διαχωρισμός. Εάν οποιαδήποτε διάταξη του παρόντος ΠΠΠΔ κριθεί άκυρη ή ανεφάρμοστη, τότε οι υπόλοιπες διατάξεις του παρόντος ΠΠΠΔ θα παραμείνουν έγκυρες και σε ισχύ. Η άκυρη ή ανεκτέλεστη διάταξη είτε (i) θα τροποποιηθεί κατά το δέον για να διασφαλιστεί η εγκυρότητα και εκτελεστότητά της με ταυτόχρονη διαφύλαξη των προθέσεων των Συμβαλλομένων όσο το δυνατόν πληρέστερα ή εάν αυτό δεν είναι δυνατό (ii) θα ερμηνεύεται με τέτοιο τρόπο ωσάν το άκυρο ή ανεκτέλεστο τμήμα ουδέποτε να είχε περιληφθεί σε αυτή.

11.4. Εφαρμοστέο δίκαιο. Το παρόν ΠΠΠΔ διέπεται από τη νομοθεσία που προσδιορίζεται στο Συμφωνητικό, με εξαίρεση τις Τυποποιημένες Συμβατικές Ρήτρες που διέπονται από τη νομοθεσία που προσδιορίζεται στο Παράρτημα 3.

ΠΑΡΑΡΤΗΜΑ 1: ΠΕΡΙΓΡΑΦΗ ΕΠΕΞΕΡΓΑΣΙΑΣ

Το παρόν Παράρτημα 1 του ΠΠΠΔ συμπεριλαμβάνει ορισμένα αναλυτικά στοιχεία της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, όπως μπορεί να απαιτούνται από την εφαρμοστέα Νομοθεσία περί Προστασίας Δεδομένων. Οι υποχρεώσεις των συμβαλλόμενων ορίζονται στο ΠΠΠΔ και το Συμφωνητικό.

1. Αντικείμενο και Διάρκεια

Το αντικείμενο και η διάρκεια της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα:

· το αντικείμενο και η διάρκεια της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα ορίζονται στο Συμφωνητικό.

2. Δραστηριότητες  Επεξεργασίας

Η φύση και ο σκοπός της Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα συμπεριλαμβάνουν:

· Τις Υπηρεσίες, όπως ορίζονται στο Συμφωνητικό και όπως άλλως είναι αναγκαίο για την εκτέλεση των υποχρεώσεων στο πλαίσιο του Συμφωνητικού.

3. Δεδομένα Προσωπικού Χαρακτήρα

Τα είδη των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που θα υποβληθούν σε Επεξεργασία συμπεριλαμβάνουν:

· Ψευδωνυμοποιημένα Δεδομένα, μεταξύ των οποίων:

· έμμεσα αναγνωριστικά στοιχεία, κωδικοποιημένοι αριθμοί λογαριασμών επιβράβευσης ,

· δημογραφικά δεδομένα,

· δεδομένα συναλλαγών,

4. Υποκείμενα των Δεδομένων

Οι κατηγορίες των Υποκειμένων των Δεδομένων, τα οποία αφορούν τα Δεδομένα Προσωπικού Χαρακτήρα συμπεριλαμβάνουν:

· Πελάτες του πελάτη

5. Ισχύοντες περιορισμοί ή εγγυήσεις για ευαίσθητα δεδομένα

δ/υ (n/a)

6. Εξουσιοδοτημένοι υπεργολάβοι επεξεργασίας

Η Circana έχει διορίσει τους παρακάτω Υπεργολάβους Επεξεργασίας:

Επωνυμία: The Circana Group

Διεύθυνση: 203 North LaSalle Street, Suite 1500, Σικάγο, 60601. IL, ΗΠΑ

Περιγραφή επεξεργασίας: παροχή τεχνικής υποστήριξης και υποστήριξης πελατών στον Εκτελούντα την Επεξεργασία, η οποία μπορεί να περιλαμβάνει επί τούτου Επεξεργασία μόνο των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη

Επωνυμία: Harman International

Διεύθυνση: 400 Atlantic Street, Stamford, CT, 06901, ΗΠΑ

Περιγραφή επεξεργασίας: φόρτωση, Επεξεργασία και επιβεβαίωση δεδομένων στην υποδομή προγραμματισμού εφαρμογών (ΑΙΡ) και λύσεις υποβολής εκθέσεων αναφοράς

Επωνυμία: GenPact

Διεύθυνση: Νέα Υόρκη: 521 5th Ave, 14th Floor, Νέα Υόρκη, NY 10175

Περιγραφή Επεξεργασίας: Διαρκής εύρεση και διαχείριση λύσεων

ΠΑΡΑΡΤΗΜΑ 2: ΤΕΧΝΙΚΑ ΚΑΙ ΟΡΓΑΝΩΤΙΚΑ ΜΕΤΡΑ

Η Circana θα εφαρμόζει τεχνικά, υλικά και οργανωτικά μέτρα ασφαλείας που πληρούν τις απαιτήσεις, οι οποίες ορίζονται στο παρόν Παράρτημα 2 του ΠΠΠΔ.

1. Η Circana έχει εφαρμόσει εμπορικά εύλογα τεχνικά και οργανωτικά μέτρα για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη, μεταξύ άλλων όσον αφορά τα συναφή συστήματα Επεξεργασίας πληροφοριών του. Επίσης, εύλογα και πρόσφορα τεχνικά, υλικά και διοικητικά μέτρα θα διατηρούνται σε ισχύ για την προστασία των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη που βρίσκονται στην κατοχή ή τον έλεγχο της Circana έναντι οποιασδήποτε άνευ αδείας ή παράνομης επεξεργασίας ή τυχαίας απώλειας, ζημίας ή καταστροφής, συμπεριλαμβανομένων των εξής:

(α) εργαζόμενοι και λοιπό προσωπικό που διαχειρίζεται τακτικά Δεδομένα Προσωπικού Χαρακτήρα λαμβάνει κατάλληλη προστασία απορρήτου και ασφάλεια για τις αρμοδιότητες τους,

(β) έγγραφες πολιτικές, διαδικασίες και διεργασίες για τη διαχείριση των κινδύνων ασφαλείας που αφορούν την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη,

(γ) ταυτοποιούνται και υποβάλλονται σε διαχείριση συσκευές, συστήματα, τεχνικά μέσα και περιουσιακά στοιχεία, με τα οποία πραγματοποιείται η Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη («περιουσιακά στοιχεία») και τα οποία είναι ουσιώδη για την παροχή των υπηρεσιών στον Πελάτη,

(δ) ταυτοποιούνται οι κίνδυνοι ασφαλείας και αξιολογούνται σε τακτική βάση,

(ε) η πρόσβαση σε περιουσιακά στοιχεία περιορίζεται σε εξουσιοδοτημένους χρήστες,

(στ) τα αρχεία καταγραφής πρόσβασης συλλέγονται και επανεξετάζονται όπως κρίνεται πρόσφορο,

(ζ) η απομακρυσμένη πρόσβαση σε περιουσιακά στοιχεία είναι περιορισμένη και υπόκειται σε ασφαλή διαχείριση,

(η) τα Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη είναι υλικά και λογικά διακριτά από τα Δεδομένα Προσωπικού Χαρακτήρα άλλων Πελατών,

(θ) ηλεκτρονικά και έντυπα αρχεία με Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη καταστρέφονται ασφαλώς σύμφωνα με πολιτικές και διαδικασίες ασφαλούς καταστροφής,

(ι) υλοποιούνται και υπόκεινται σε διαχείριση κατάλληλες λύσεις τεχνικής ασφάλειας για την προστασία της εμπιστευτικότητας, της ακεραιότητας και διαθεσιμότητας των Δεδομένων Προσωπικού Χαρακτήρα του Πελάτη,

(ια) η συντήρηση και αποκατάσταση των μερών των πληροφοριακών συστημάτων πραγματοποιείται με ελεγχόμενο και ασφαλή τρόπο,

(ιβ) διατηρούνται σε ισχύ διαδικασίες και διεργασίες αντιμετώπισης συμβάντων για την παροχή της δυνατότητας έγκαιρης ταυτοποίησης, απόκρισης και μετριασμού των εντοπιζόμενων Παραβιάσεων Δεδομένων, και

(ιγ) εφαρμόζονται διαδικασίες δημιουργίας εφεδρικών αντιγράφων και ανάκαμψης από καταστροφές.

2. Θα λαμβάνονται εύλογα μέτρα σε μια προσπάθεια διασφάλισης της αξιοπιστίας του προσωπικού που έχει πρόσβαση σε Δεδομένα Προσωπικού Χαρακτήρα του Πελάτη.

3. Θα διεξαχθεί κατάλληλος νομικός έλεγχος των Υπεργολάβων Επεξεργασίας για να διασφαλιστεί ότι καθένας είναι ικανός να παρέχει επαρκές επίπεδο προστασίας των Δεδομένων Προσωπικού Χαρακτήρα.

ΠΑΡΑΡΤΗΜΑ 3: ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ

1. Εάν και στο μέτρο Διαβίβασης υπό Όρους από τον Πελάτη στη Circana, οι συμβαλλόμενοι συμφωνούν να εφαρμόζεται η ενότητα 2 των Τυποποιημένων Συμβατικών Ρητρών, με την επιφύλαξη των παρακάτω:

· ο πελάτης είναι ο εξαγωγέας δεδομένων και ο Υπεύθυνος Επεξεργασίας,

· η Circana είναι ο εισαγωγέας δεδομένων και Εκτελών την Επεξεργασία,

· η Προαιρετική Ρήτρα 7 (Ρήτρα σύνδεσης της ενότητας 2) δεν εφαρμόζεται,

· Ρήτρα 9 (Χρήση υπεργολάβων επεξεργασίας): Η επιλογή 2 (γενική γραπτή άδεια) εφαρμόζεται σύμφωνα με το άρθρο του παρόντος ΠΠΠΔ που αφορά τους Υπεργολάβους Επεξεργασίας και το «χρονικό διάστημα» ορίζεται δέκα (10) εργάσιμες ημέρες,

· η Προαιρετική Ρήτρα 11 παρ. α (Ένδικα μέσα) δεν εφαρμόζεται,

· τα παρακάτω ισχύουν για τη Ρήτρα 13 (Εποπτεία): Εφόσον δεν ορίζεται διαφορετικά στο παρόν, αρμόδια εποπτική αρχή για τους σκοπούς των ΤΣΡ ορίζεται ως εξής: (α) εάν ο Πελάτης έχει εγκατάσταση σε Κράτος Μέλος, εφαρμόζεται η παράγραφος 1 και αρμόδια εποπτική αρχή θα είναι η εποπτική αρχή του Κράτους Μέλους της ΕΕ, όπου έχει την εγκατάστασή του ο Πελάτης, (β) εάν ο Πελάτης δεν έχει εγκατάσταση σε κράτος μέλος της ΕΕ αλλά εμπίπτει στο εδαφικό πεδίο εφαρμογής του ΓΚΠΔ σύμφωνα με το Άρθρο του 3 παρ.2, τότε εφαρμόζεται η παράγραφος 2 και αρμόδια εποπτική αρχή θα είναι η Επιτροπή Προστασίας Δεδομένων, η οποία εδρεύει στη διεύθυνση: 21 Fitzwilliam Square, D02 RD28 DΔουβλίνο 2, Ιρλανδία, (γ) στο μέτρο που εφαρμόζεται η Νομοθεσία περί Προστασίας Δεδομένων του ΗΒ, το Γραφείο του Επιτρόπου Πληροφοριών του Ηνωμένου Βασιλείου θα είναι η αρμόδια εποπτική αρχή και (δ) στο μέτρο εφαρμογής οποιασδήποτε Νομοθεσίας περί Προστασίας Δεδομένων του Ηνωμένου Βασιλείου, κύρια ρυθμιστική αρχή για την προστασία των δεδομένων δυνάμει της εφαρμοστέας Νομοθεσίας περί Προστασίας Δεδομένων θα είναι η αρμόδια ρυθμιστική αρχή.

· Ρήτρα 17 (Εφαρμοστέο δίκαιο): Εφαρμόζεται η επιλογή 1 και το προσδιορισμένο κράτος μέλος είναι η Ιρλανδία,

· Ρήτρα 18 (Επιλογή δικαστηρίων και δικαιοδοσίας): ως αρμόδια δικαιοδοσία επιλέγεται η Δημοκρατία της Ιρλανδίας και τα δικαστήρια αυτής,

· Αρμόδια εποπτική αρχή είναι η Επιτροπή Προστασίας Δεδομένων, η οποία εδρεύει στη διεύθυνση: 21 Fitzwilliam Square, D02 RD28 Δουβλίνο 2

· Η συχνότητα της διαβίβασης είναι συνεχής και η περίοδος διατήρησης των δεδομένων είναι συνεκτική με την περίοδο διατήρησης που ορίζεται στο Συμφωνητικό και στο παρόν ΠΠΠΔ,

· Τα Παραρτήματα I και II των Τυποποιημένων Συμβατικών Ρητρών της ΕΕ συμπληρώνονται με αναφορά στο Παράρτημα 1 (Αναλυτικά στοιχεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα του Πελάτη) και στο Παράρτημα 2 (Τεχνικά και οργανωτικά μέτρα) του παρόντος ΠΠΠΔ, αντίστοιχα και συνάπτονται σε κάθε απαιτούμενη τοποθεσία από τους υπογράφοντες του παρόντος ΠΠΠΔ.

2. Όσον αφορά οποιαδήποτε διαβίβαση υπό όρους του Ηνωμένου Βασιλείου, οι Τυποποιημένες Συμβατικές Ρήτρες (όπως ενσωματώνονται διά παραπομπής) ερμηνεύονται σύμφωνα με και θεωρούνται τροποποιηθείσες από τις διατάξεις του Μέρους 2 (Υποχρεωτικοί Όροι) του Προσαρτήματος του Ηνωμένου Βασιλείου και οι Συμβαλλόμενοι επιβεβαιώνουν ότι τα στοιχεία που απαιτούνται για τους σκοπούς του Μέρους 1 (Πίνακες) του Προσαρτήματος του Ηνωμένου Βασιλείου έχουν ως ορίζονται στο Συμφωνητικό ή/και το παρόν ΠΠΠΔ. Για τους σκοπούς του Πίνακα 4 του Μέρους 1 του Προσαρτήματος οι Συμβαλλόμενοι επιλέγουν τις επιλογές «Εισαγωγέας» και «Εξαγωγέας».

2° gennaio 2024

ADDENDUM SULLA PROTEZIONE DEI DATI PERSONALI (“DPA”) AI SENSI DEL GDPR

Il presente Addendum sulla protezione dei dati personali è incorporato per riferimento nel Contratto stipulato tra Lei, il Cliente (come definito nel Contratto) (collettivamente, “Lei”, “Suo”, “Cliente”), e la società Circana, LLC indicata nel Contratto “Circana”, “noi”, “nostro”) per riflettere l’accordo tra le parti in merito al Trattamento dei Dati Personali del Cliente da parte nostra esclusivamente per conto del Cliente. Entrambe le parti del presente DPA saranno denominate “Parti” e ciascuna una “Parte”.

Alla luce dei reciproci obblighi, le Parti concordano che i termini del presente DPA si applicheranno ai Servizi nella misura qui stabilita. Il Contratto rimarrà in vigore a tutti gli effetti, ad eccezione di quanto modificato di seguito.

1. Definizioni

1.1. Nel presente DPA, i seguenti termini avranno i significati indicati di seguito:

(a) “Contratto” indica gli esistenti contratti, ordini, ordini di acquisto, descrizioni di lavoro, e/o altri accordi commerciali, ai sensi dei quali Circana fornisce prodotti e/o servizi al Cliente e comprende qualsiasi allegato o modifica ad essi inerente.

(b) “Affiliata” indica una società che possiede o controlla, è posseduta o controllata da o è sotto il controllo o la proprietà comune con la rispettiva Parte, dove per controllo si intende il possesso, diretto o indiretto, del potere di dirigere o determinare la direzione della gestione e delle politiche di una società, sia attraverso la proprietà di titoli con diritto di voto, sia per contratto o in altro modo;

(c) “Dati Personali del Cliente” indica i Dati Personali soggetti alle Leggi sulla Protezione dei Dati Personali forniti dal Cliente e trattati da Circana (o da un Sub-responsabile per conto di Circana) ai sensi del presente DPA;

(d) “Titolare” indica la persona fisica o giuridica che, autonomamente o congiuntamente con altri, determina le finalità e i mezzi del Trattamento dei Dati Personali;

(e) “Violazione di Dati Personali” indica una qualsiasi violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali del Cliente;

(f) “Leggi sulla Protezione dei Dati” indica tutte le leggi relative alla protezione dei dati personali e alla privacy delle persone fisiche o giuridiche applicabili al Trattamento dei Dati Personali del Cliente ai sensi del presente DPA, ivi inclusi (ove applicabili) il GDPR e il GDPR del Regno Unito e qualsiasi legislazione nazionale che integri o deroghi quanto sopra;

(g) “Interessato” indica la persona cui sono riferiti i Dati Personali;

(h) “GDPR” indica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio;

(i) “Dati Personali” indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, nonché altre informazioni definite come “dati personali”, “informazioni personali” o qualsiasi termine equivalente ai sensi delle Leggi sulla Protezione dei Dati applicabili;

(j)  “Trattare” o “Trattamento” indicano qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati o insiemi di dati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione dei dati;

(k) “Responsabile” indica una persona fisica o giuridica che Tratta i Dati Personali per conto di un Titolare;

(l)   “Dati Pseudonimizzati” indica i dati che non possono più essere attribuiti a un Interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente dal Cliente e in nessun caso fornite a Circana, e che siano sottoposte alle misure tecniche e organizzative del Cliente per garantire che tali dati non siano attribuiti a una persona fisica identificata o identificabile (definita anche Pseudonimizzazione ai sensi del GDPR);

(m) “Trasferimento Soggetto a Limitazioni” indica un trasferimento di Dati Personali, laddove tale trasferimento risulti vietato dalle Leggi sulla Protezione dei Dati in assenza delle Clausole contrattuali tipo e (se applicabile) dell’Addendum per il Regno Unito;

(n) “Servizi” indica i prodotti, i servizi e le altre attività da fornire al Cliente e svolti da o per conto di Circana per il Cliente ai sensi del Contratto;

(o) “Clausole Contrattuali Tipo” indica le clausole contrattuali tipo dell’UE stabilite nella Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 per il trasferimento di dati personali a responsabili del trattamento stabiliti in Paesi terzi (disponibile all’indirizzo https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_it ), e successive modifiche e integrazioni di volta in volta intervenute;

(p) “Sub-responsabile” indica qualsiasi persona (compresi i terzi e gli affiliati di Circana, ma esclusi i dipendenti di Circana) incaricata da o per conto di Circana al trattamento dei Dati Personali del Cliente;

(q) “Addendum del Regno Unito” indica l’Addendum sul Trasferimento dei Dati Internazionali alle Clausole Contrattuali Tipo della Commissione UE, emesso dal Commissario per le informazioni del Regno Unito ai sensi della sezione 119A(1) del Data Protection Act del 2018, e successive modifiche o integrazioni di volta in volta intervenute; e

(r) “GDPR del Regno Unito” indica il GDPR come parte della legislazione dell’Inghilterra e del Galles, della Scozia e dell’Irlanda del Nord in virtù dell’articolo 3 della Legge del 2018 relativa al recesso dall’Unione europea e come modificato dai Regolamenti del 2019 sulla Protezione dei Dati, sulla Privacy e sulle Comunicazioni Elettroniche (Modifiche ecc.) (Uscita dall’UE) (SI 2019/419).

1.2. I termini in lettere maiuscole non altrimenti definiti nel presente documento avranno il significato stabilito nel Contratto. Salvo diversa indicazione, l’uso del termine “incluso” deve intendersi come “incluso, a titolo esemplificativo ma non esaustivo”.

2. Fornitura e trattamento dei Dati Personali del Cliente

2.1. Il Cliente fornirà a Circana solo Dati Pseudonimizzati e non fornirà alcuna informazione aggiuntiva che consenta di attribuire tali dati a una persona fisica identificata o identificabile, salvo qualora il Cliente abbia ottenuto da Circana esplicito consenso in forma scritta del contrario.

2.2. Il Cliente e Circana rispetteranno i propri obblighi in qualità rispettivamente di Titolare e di Responsabile, ai sensi di tutte le Leggi sulla Protezione dei Dati applicabili in relazione al Trattamento dei Dati Personali del Cliente.

2.3. Il Cliente incarica Circana di trattare i Dati Personali del Cliente come necessario per la fornitura dei Servizi. Circana tratterà i Dati Personali del Cliente solo su istruzioni documentate del Cliente (come incluse nel Contratto), salvo qualora sia richiesto o consentito un ulteriore Trattamento dalle Leggi sulla Protezione dei Dati o da altre leggi applicabili a cui Circana è soggetta; in questo caso Circana informerà il Cliente di tale requisito legale prima del Trattamento, a meno che tale legge non vieti tale informazione per importanti motivi di interesse pubblico.

2.4. Circana informerà il Cliente se, a suo parere, qualsiasi istruzione sul Trattamento da parte del Cliente si porrà in violazione delle Leggi sulla Protezione dei Dati applicabili.

2.5. L’Allegato 1 del presente DPA contiene una descrizione del Trattamento dei Dati Personali del Cliente, inclusi l’oggetto, la durata, la natura e lo scopo del Trattamento, il tipo di Dati Personali Trattati e le categorie di Interessati sottoposti a tale Trattamento.

2.6. Circana può trattare i dati relativi ai Servizi (compresi i dati generati attraverso l’anonimizzazione dei Dati Personali del Cliente) per i propri scopi, ivi inclusi il controllo di qualità, l’analisi, la ricerca e lo sviluppo.

3. Personale

Circana adotterà misure congrue per garantire l’affidabilità di qualsiasi dipendente, personale, agente o appaltatore che possa accedere ai Dati Personali del Cliente, assicurando in ogni caso che (i) tale accesso sia strettamente limitato alle persone che hanno necessità di conoscere/accedere ai relativi Dati Personali del Cliente per ragioni legate alla prestazione dei Servizi e per conformarsi alle leggi applicabili, e (ii) tali dipendenti, personale, agenti o appaltatori siano soggetti a impegni di riservatezza o a obblighi professionali o legali di riservatezza.

4. Sicurezza

4.1. Tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito, del contesto e delle finalità del Trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, Circana in relazione ai Dati Personali del Cliente mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio. Tali misure saranno conformi alle Leggi sulla Protezione dei Dati applicabili, e come minimo rispetteranno i requisiti previsti dall’Allegato 2 del presente DPA. Circana fornirà al Cliente una ragionevole collaborazione e assistenza per garantire l’adempimento dei suoi obblighi di sicurezza ai sensi delle Leggi sulla Protezione dei Dati applicabili.

4.2. Nel valutare il livello appropriato di sicurezza, Circana terrà conto dei rischi presentati dal Trattamento, in particolare da una Violazione dei dati.

5. Sub-trattamento

5.1. Il Cliente accetta che Circana sia autorizzata a utilizzare Sub-responsabili del Trattamento (il cui elenco è riportato nell’Allegato 1) per Trattare i Dati Personali del Cliente, a condizione che Circana si assicuri che ciascun Sub-responsabile sia vincolato da obblighi di protezione dei dati sostanzialmente simili al presente DPA.

5.2. Il Cliente può opporsi per iscritto alla nomina di un Sub-responsabile da parte di Circana entro dieci (10) giorni lavorativi dalla notifica, a condizione che tale obiezione sia basata su motivi ragionevoli relativi alla protezione dei dati. In tal caso, le parti esamineranno tali motivazioni in buona fede, al fine di trovare una soluzione. Ai fini del presente articolo 5.2, la notifica sarà inviata da Circana a tutti gli indirizzi e-mail registrati per ricevere la notifica delle modifiche al Sub-responsabile all’indirizzo privacy@circana.com.

6. Diritti dell’Interessato e ragionevole collaborazione

6.1. Circana, tenendo conto della natura del Trattamento e delle informazioni a sua disposizione, effettuerà quanto segue:

6.1.1. informerà tempestivamente il Cliente qualora Circana riceva una richiesta da parte di un Interessato o di un’autorità di regolamentazione o di vigilanza ai sensi di qualsiasi Legge sulla Protezione dei Dati in relazione ai Dati Personali del Cliente e: (i) non risponderà a tale richiesta, a meno che non sia obbligata dalla legge applicabile a cui Circana è soggetta; e (ii) fornirà un’assistenza ragionevole al Cliente, nella misura possibile, come necessario per l’adempimento da parte del Cliente dei suoi obblighi ai sensi della Legge sulla Protezione dei Dati in relazione a tale richiesta.

6.1.2. Fornirà un’assistenza ragionevole, come richiesto dal Cliente, per qualsiasi valutazione d’impatto sulla protezione dei dati, consultazione preventiva, o altri obblighi di notifica o simili alle Autorità di Vigilanza o ad altre autorità competenti in materia di protezione dei dati, che il Cliente ritenga ragionevolmente necessari ai sensi della Legge sulla Protezione dei Dati.

7. Violazione dei dati

7.1. Circana informerà il Cliente senza indebito ritardo quando verrà a conoscenza di una Violazione dei Dati. Circana fornirà al Cliente le informazioni da questi richieste nella misura in cui tali informazioni siano disponibili per Circana e necessarie affinché il Cliente possa adempiere ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati in relazione alla Violazione dei Dati.

8. Cancellazione o restituzione dei Dati Personali del Cliente

8.1. Ai sensi della Sezione 8.2, Circana cesserà tempestivamente e in ogni caso entro trenta (30) giorni dalla cessazione dei Servizi il Trattamento dei Dati Personali del Cliente e, a scelta del Cliente, restituirà o cancellerà tutte le copie dei Dati Personali del Cliente. Qualora richiesta dal Cliente, la restituzione dei Dati sarà operata con un  trasferimento di file sicuro e avverrà nel formato adeguatamente comunicato dal Cliente a Circana.

8.2. Fatto salvo il punto 8.1, Circana può conservare i Dati Personali del Cliente per un periodo di tempo supplementare solo nella misura in cui tale conservazione sia richiesta dalla legge applicabile e per il periodo di tempo imposto dalla legge stessa. Circana garantirà la riservatezza costante di tutti i Dati Personali del Cliente e assicurerà che tali dati siano Trattati solo nella misura necessaria ad assicurare il rispetto della legge applicabile.

9. Diritti di audit

9.1. Su richiesta scritta del Cliente, Circana fornirà al Cliente le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi stabiliti dal presente DPA. Queste informazioni consentiranno di esaminare le relazioni, i certificati e/o gli estratti più recenti redatti da un revisore indipendente ai sensi della certificazione ISO 27001 di Circana o di una certificazione di settore simile.

9.2. Nel caso in cui le informazioni fornite in conformità con la Clausola 9.1 non siano sufficienti a dimostrare  la conformità, Circana consentirà al Cliente, a sue spese, di svolgere attività di ispezionare o audit in relazione alle misure tecniche e organizzative implementate da  Circana ai fini di monitorare la conformità della stessa agli obblighi impostidal presente DPA. Tale audit o ispezione sarà:9.2.1. limitata alle questioni specifiche sollevate dal Cliente e al presente DPA;

9.2.2. concordata in anticipo tra le parti per iscritto, specificando l’ambito, la durata e la data di inizio;

9.2.3. condotta in modo da non interferire con le attività quotidiane di Circana;

9.2.4. effettuata durante l’orario di lavoro locale di Circana e con un preavviso scritto di almeno venti (20) giorni lavorativi, a meno che il Cliente non ritenga ragionevolmente che sia emersa una difformità rilevante e identificabile;

9.2.5. limitata a non più di una volta ogni dodici (12) mesi, salvo qualora sia richiesto dalle istruzioni di un’autorità di regolamentazione competente; e

9.2.6. considerata come informazione riservata di Circana e soggetta agli obblighi di riservatezza previsti dal Contratto, oppure, nel caso in cui la verifica sia condotta da un revisore terzo, questi dovrà essere un professionista vincolato da un obbligo di riservatezza o soggetto a un adeguato accordo di non divulgazione. Il Cliente è tenuto a custodire le informazioni riservate di Circana con la massima riservatezza. Il Cliente accetta di limitare l’accesso alle informazioni riservate di Circana solo al personale del Cliente che (i) ha la necessità aziendale di accedere a tali informazioni riservate e (ii) è vincolato da un dovere di riservatezza.

10. Trasferimenti Soggetti a Limitazioni

10.1. Qualora un trasferimento da parte del Cliente a Circana sia un Trasferimento Limitato, le Parti stipulano le Clausole Contrattuali Tipo, che sono espressamente incorporate e fanno parte del presente DPA, secondo la forma specificata nell’Allegato 3 al presente DPA.

10.2. Qualora un trasferimento verso il Regno Unito sia soggetto al GDPR e diventi un Trasferimento Soggetto a limitazioni a causa del ritiro, della revoca o del mancato rinnovo della Decisione di esecuzione del 28 giugno 2021 del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte del Regno Unito, le Parti convengono che si applicherà la Sezione 10.1.

10.3. Nella misura in cui un trasferimento di Dati Personali del Cliente da parte di Circana a uno dei suoi Sub-responsabili sia un Trasferimento Limitato, Circana si impegnerà a stipulare le relative Clausole Contrattuali Tipo con il suo Sub-responsabile.

11. Termini Generali

11.1. Ordine di precedenza. Nessuna disposizione del presente DPA riduce gli obblighi previsti dal Contratto in relazione alla protezione dei Dati Personali né consente a Circana o a qualsiasi Affiliato di Circana di trattare (o consentire il Trattamento) dei Dati Personali in un modo vietato dal Contratto. I conflitti o le incongruenze saranno risolti nei seguenti modi: (i) in caso di conflitto tra i termini del Contratto e il presente DPA, prevarrà il DPA; e (ii) in caso di conflitto tra i termini delle Clausole Contrattuali Tipo e gli altri termini del presente DPA o del Contratto, prevarranno le Clausole Contrattuali Tipo nella misura applicabile.

11.2. Cambiamenti nelle Leggi sulla Protezione dei Dati. Qualora si renda necessaria una variazione del presente DPA a seguito di una modifica delle Leggi sulla Protezione dei Dati, ivi inclusa qualsiasi variazione richiesta alle Clausole Contrattuali Tipo, Circana potrà notificare al Cliente tale variazione, che acquisterà efficacia al momento della ricezione da parte del Cliente.

11.3. Invalidità parziale In caso di invalidità o inapplicabilità di una qualsiasi disposizione del presente DPA, la parte restante del DPA rimarrà valida e in vigore. La disposizione non valida o inapplicabile sarà o (i) modificata come necessario per garantirne la validità e l’applicabilità, salvaguardando il più possibile le intenzioni delle Parti o, qualora ciò non fosse possibile, (ii) sarà interpretata come se la parte non valida o inapplicabile non fosse mai stata presente.

11.4. Legge applicabile. Il presente DPA sarà disciplinato dalle leggi specificate nel Contratto, ad eccezione delle Clausole Contrattuali Tipo, che saranno disciplinate dalle leggi specificate nell’Allegato 3.

ALLEGATO 1: DESCRIZIONE DEL TRATTAMENTO

Il presente Allegato 1 al DPA include alcuni dettagli sul Trattamento dei Dati Personali del Cliente, come richiesto dalle Leggi sulla Protezione dei Dati applicabili. Gli obblighi delle parti sono stabiliti nel DPA e nel Contratto.

1. Oggetto e durata del Trattamento

Oggetto e durata del Trattamento dei Dati Personali:

· L’oggetto e durata del Trattamento dei Dati Personali sono stabiliti nel Contratto.

2. Operazioni di Trattamento

La natura e finalità del Trattamento dei Dati Personali includono:

· I Servizi, come definiti nel Contratto, e come altrimenti necessario per eseguire gli obblighi previsti dal Contratto.

3. Dati Personali

I tipi di Dati Personali da Trattare includono:

· Dati Pseudonimizzati, tra i quali:

· Dati identificativi indiretti, numeri di conto fedeltà tokenizzati;

· Dati demografici;

· Dati relativi alle transazioni.

4. Soggetti Interessati

Le categorie di Soggetti Interessati a cui si riferiscono i Dati Personali comprendono:

· Clienti del Cliente

5. Restrizioni o salvaguardie applicate in relazione ai Dati Sensibili

n/a

6. Sub-responsabili autorizzati

Circana ha incaricato i seguenti Sub-responsabili:

Denominazione: The Circana Group

Indirizzo: 203 North LaSalle Street, Suite 1500, Chicago, 60601. IL, USA

Descrizione del Trattamento: fornire assistenza al Responsabile su aspetti tecnici erelativi all’assistenza alla clientela, ciò può comportare il Trattamento di soli dati personali ad hoc.

Denominazione: Harman International

Indirizzo: 400 Atlantic Street, Stamford, CT, 06901, USA

Descrizione del trattamento: caricare, elaborare e convalidare i dati nelle soluzioni in AIP e soluzioni di reportistica.

Denominazione: GenPact

Indirizzo: New York: 521 5th Ave, 14th Floor, New York, NY 10175

Descrizione del trattamento: fornitura continua e gestione di soluzioni

ALLEGATO 2: MISURE TECNICHE E ORGANIZZATIVE

Circana adotterà misure di sicurezza tecniche, fisiche e organizzative che soddisfano i requisiti stabiliti nel presente Allegato 2 al DPA.

1. Circana ha implementato misure tecniche e organizzative commercialmente ragionevoli per proteggere i Dati Personali del Cliente, anche in relazione ai suoi sistemi di trattamento delle informazioni rilevanti. Saranno mantenute misure tecniche, fisiche e amministrative ragionevoli e appropriate per proteggere i Dati Personali del Cliente in possesso o sotto il controllo di Circana da un Trattamento non autorizzato o illegale o da perdita, distruzione o danno accidentali, come ad esempio:

(a) dipendenti e altro personale che trattano regolarmente i Dati personali ricevono riservatezza e sicurezza adeguate alle loro responsabilità;

(b) politiche, procedure e processi per la gestione dei rischi di sicurezza legati al Trattamento dei Dati Personali del Cliente sono documentati;

(c) vengono identificati e gestiti i dispositivi, i sistemi, le strutture e le risorse che elaborano i Dati Personali del Cliente (“risorse”) e che sono rilevanti per la fornitura dei Servizi al Cliente;

(d) i rischi per la sicurezza vengono identificati e valutati regolarmente;

(e) l’accesso alle risorse è limitato agli utenti autorizzati;

(f) i registri degli accessi vengono raccolti e rivisti in maniera appropriata;

(g) l’accesso remoto alle risorse è limitato e gestito in modo sicuro;

(h) I Dati Personali del Cliente sono fisicamente e logicamente separati dai Dati Personali di altri clienti;

(i) i registri elettronici e cartacei contenenti i Dati Personali del Cliente sono distrutti in modo sicuro in conformità alle politiche e alle procedure di distruzione sicura;

(j) vengono implementate e gestite soluzioni tecniche di sicurezza adeguate per proteggere la riservatezza, l’integrità e la disponibilità dei Dati Personali del Cliente;

(k) la manutenzione e la riparazione dei componenti del sistema informativo vengono eseguite in modo controllato e sicuro;

(l) i processi e le procedure di risposta in caso di incidente sono gestiti per garantire l’identificazione, la risposta e la mitigazione tempestiva delle Violazioni dei Dati rilevate; e

(m) sono in atto processi di backup e di disaster recovery.

2. Saranno adottate misure ragionevoli per garantire l’affidabilità del personale che ha accesso ai Dati Personali del Cliente.

3. Verrà condotta un’adeguata due diligence sui Sub-responsabili per garantire che ciascuno di essi sia in grado di fornire un livello adeguato di protezione dei Dati Personali.

ALLEGATO 3: TRASFERIMENTI DEI DATI

1. Nel caso di un eventuale Trasferimento Soggetto a Limitazioni da parte del Cliente a Circana, le parti concordano che si applicherà il Modulo 2 delle Clausole Contrattuali Tipo, con le seguenti condizioni:

· Il Cliente sarà l’esportatore di dati e il Titolare;

· Circana sarà l’importatore dei dati e il Responsabile;

· Non si applica la clausola facoltativa 7 (Clausola di Adesione del Modulo 2);

· Nella Clausola 9 (Uso di Sub-responsabili), l’opzione 2 (Autorizzazione Scritta Generale) si applicherà in conformità alla Sezione sul Sub-responsabile del presente DPA e il “periodo di tempo” sarà di dieci (10) giorni lavorativi;

· La clausola opzionale 11(a) (Risarcimento) non si applica;

· Alla Clausola 13 (Supervisione) si applica quanto segue: salvo quanto diversamente stabilito nel presente documento, l’autorità di vigilanza competente ai fini delle SCC sarà la seguente: (a) se il Cliente è stabilito in uno Stato membro, si applicherà il paragrafo 1 e l’autorità di vigilanza competente sarà l’autorità di vigilanza dello Stato membro dell’UE di costituzione del cliente; (b) se il Cliente non è stabilito in uno Stato membro dell’UE, ma rientra nell’ambito territoriale di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2), si applicherà il paragrafo 2 e l’autorità di vigilanza competente sarà la Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2, Irlanda; (c) nella misura in cui si applichi la Legge sulla Protezione dei Dati del Regno Unito, l’autorità di vigilanza competente sarà l’ Information Commissioner’s Office del Regno Unito; e (d) nella misura in cui si applichino Leggi sulla Protezione dei Dati diverse dalle Leggi europee sulla Protezione dei Dati, l’autorità di vigilanza competente sarà quella che regola la protezione dei dati ai sensi della Legge sulla Protezione dei Dati applicabile.

· Clausola 17 (Legge applicabile): Si applica l’opzione 1 e lo Stato membro specificato è l’Irlanda;

· Clausola 18 (Giurisdizione e foro competente): deve specificare la Repubblica d’Irlanda come Giurisdizione e foro competente;

· L’autorità di vigilanza competente è la Data Protection Commission, 21 Fitzwilliam Square, D02 RD28 Dublin 2;

· La frequenza del trasferimento è continua e il periodo di conservazione dei dati sarà coerente con il periodo di conservazione stabilito nel Contratto e nel presente DPA;

· Gli Allegati I e II delle Clausole Contrattuali Tipo dell’UE sono completati con riferimento all’Allegato 1 (Dettagli sul Trattamento dei Dati Personali del Cliente) e all’Allegato 2 (Misure Tecniche e Organizzative) del presente DPA, rispettivamente, nonché sottoscritti in tutti i punti richiesti dai firmatari del presente DPA.

2. In relazione a qualsiasi Trasferimento Soggetto a Limitazioni nel Regno Unito, le Clausole Contrattuali Tipo (come incorporate per riferimento) saranno lette in conformità con le disposizioni della Parte 2 (Clausole Obbligatorie) dell’Addendum per il Regno Unito e ritenute modificate da tali disposizioni. Le Parti confermano che le informazioni richieste ai fini della Parte 1 (Tabelle) dell’Addendum per il Regno Unito sono quelle indicate nel Contratto e/o nel presente DPA. Ai fini della Tabella 4 della Parte 1 dell’Addendum, le Parti selezionano le opzioni “Importatore” ed “Esportator