1. Intrduzine VERSIONE ABBREVIATA DELLE NORME AZIENDALI VINCOLANTI DI SUNPOWER CORPORATION SunPwer Crpratin, e le sue sussidiarie perative (cngiuntamente, SunPwer ), prmuvn una cultura e delle pratiche che prteggn i dati persnali 1, in linea cn le leggi vigenti. A tal fine, SunPwer, in qualità di affiliata di Ttal S.A., ha implementat le nrme aziendali vinclanti ( BCR - Binding Crprate Rules) del grupp Ttal apprvate dalle autrità per la prtezine dei dati della UE. Il presente dcument riassume i principi di prtezine dei dati applicabili in base a queste BCR e i diritti garantiti dalle stesse. 2. Finalità Le nstre BCR sn un insieme di nrme vinclanti interne, che sn applicabili a tutte le sussidiarie di SunPwer che le hann adttate. Sn state apprvate dalle autrità per la prtezine dei dati eurpee. Queste cnsentn alle sussidiarie di SunPwer di trasferire i dati persnali prvenienti dall Spazi Ecnmic Eurpe ( SEE ) 2 alle sussidiarie di SunPwer che si trvan al di furi del SEE ai sensi della legge applicabile. 3. Ambit di implementazine Le nstre BCR sn applicabili a tutti i dati persnali prvenienti dal SEE ed elabrati dalle sussidiarie di SunPwer, cmpresi i dati relativi ai dipendenti passati e attuali, richiedenti lavr, clienti e ptenziali clienti, frnitri e subappaltatri e il persnale di scietà terze che agiscn per cnt delle sussidiarie di SunPwer, nnché gli azinisti (in seguit sggetti interessati ). 4. Principi di prtezine Bisgnerà rispettare i seguenti principi stabiliti nelle nstre BCR: Legalità Qualsiasi perazine 3 di elabrazine effettuata all intern di SunPwer ha una base legale, frnita dalla legge applicabile. I dati persnali devn essere elabrati sl per scpi legittimi e legali. I dati nn devn essere ulterirmente elabrati in una mdalità incmpatibile cn tali finalità. Rilevanza I dati persnali devn essere precisi e prprzinati, in termini di qualità e quantità, in relazine alla finalità dell elabrazine. 1 Per dati persnali si intende qualsiasi infrmazine che cnsente di identificare, direttamente indirettamente, una persna. 2 SEE significa gli Stati Membri dell Unine Eurpea più l Islanda, il Liechtenstein e la Nrvegia. 3 Elabrazine significa qualsiasi perazine che viene effettuata sui dati persnali, attravers mezzi autmatizzati men (ad es.: racclta, registrazine, memrizzazine, distruzine ). 1
Trasparenza I dati persnali devn essere ttenuti in md legale e leale. I sggetti interessati devn essere infrmati in merit alle caratteristiche dell elabrazine dei lr dati persnali e ai lr diritti, a men che ciò nn risulti impssibile richieda degli sfrzi sprprzinati. Sicurezza I dati persnali devn essere prtetti da misure di sicurezza adeguate per limitare i rischi di un access nn autrizzat, distruzine, alterazine perdita. Quand ricrre ai servizi di un terz per elabrare i dati persnali, una sussidiaria di SunPwer si assicura che quest ultim ffra le garanzie sufficienti in termini di sicurezza e riservatezza dei dati. Cnservazine I dati persnali devn essere cnservati sl per un perid raginevle e nn eccessiv di temp in relazine alle finalità dell elabrazine. Quand il perid di cnservazine scade, i dati vengn distrutti, resi annimi archiviati. Trasferimenti internazinali 4 di dati persnali SunPwer nn trasferisce dati persnali prvenienti da un paese del SEE direttamente ad una sussidiaria di SunPwer che si trvi in un paese terz che nn garantisca un livell adeguat di prtezine, a men che tale sussidiaria nn abbia frmalmente aderit alle BCR, ppure utilizzi un altr strument legale ricnsciut dalla Cmmissine Eurpea. SunPwer nn trasferisce dati persnali prvenienti dal SEE direttamente ad una scietà che nn appartenga al grupp e che si trvi in un paese che nn garantisca un livell adeguat di prtezine dei dati (cntrllre elabratre dei dati) senza una base legale sggetta ad una legge applicabile e a strumenti che frniscn prtezini sufficienti, cme ad esempi le clausle cntrattuali standard. Analgamente, nei casi in cui un imprtatre di dati trasferisca altri dati persnali prvenienti dal SEE ad una scietà nn appartenente a SunPwer (cntrllre elabratre dei dati) che si trvi in un paese che nn garantisca un livell adeguat di prtezine dei dati, l imprtatre dei dati dvrà stipulare un accrd cn quest SunPwer nel quale si impegna ad sservare i principi delle BCR. 5. Diritti del sggett interessat In base alle nstre BCR, i sggetti interessati i cui dati persnali vengn elabrati, gdn dei seguenti diritti: Diritt di access ai dati Diritt di rettifica, cancellazine e blcc dei dati Diritt di ppsizine all elabrazine 4 Per trasferiment si intende qualsiasi scambi virtuale e fisic di dati persnali prvenienti dal SEE, da un paese all altr. 2
Diritt di limitazine dell elabrazine [Nell APPENDICE 1 qui stt appare un elenc cmplet dei diritti garantiti dalle BCR]. I sggetti interessati pssn esercitare questi diritti presentand una richiesta facend us dei dati di cntatt frniti nell avvis legale relativ all elabrazine dei lr dati. Le sussidiarie di SunPwer si impegnan a frnire una rispsta entr tempi raginevlmente brevi alle dmande relative all elabrazine furi dal SEE. Inltre, se i sggetti interessati credn che una sussidiaria di SunPwer nn abbia sservat le nstre BCR, avrann il diritt di presentare un reclam inviand: - Un e-mail a: data-prtectin@sunpwer.cm - Una lettera a: SunPwer Sluzini Energetiche France SAS, ATTN : SUNPOWER DATA PROTECTION, 12-14, Allée du Levant, 69890 La Tur-de-Salvagny, FRANCE. I sggetti interessati verrann infrmati in merit all stat del lr reclam e di qualsiasi ulterire pass. La prcedura interna di reclam viene descritta nell APPENDICE 2 qui stt. Il fatt che i sggetti interessati pssn presentare un reclam a SunPwer nn pregiudica il lr diritt di presentare un reclam press le autrità per la prtezine dei dati del SEE, ppure di adire alle crti del paese del SEE in cui ha sede la sussidiaria di SunPwer respnsabile dell esprtazine dei dati persnali. 6. Mdifiche a queste nrme Se necessari, le nstre BCR pssn essere cmpletate aggirnate. 7. Ulteriri infrmazini È pssibile ttenere una cpia della versine cmpleta delle BCR e un elenc delle sussidiarie di SunPwer inviand un e-mail a: data-prtectin@sunpwer.cm 3
APPENDICE 1 DIRITTI DI BENEFICIARI TERZI Le presenti BCR garantiscn diritti ai Sggetti Interessati per applicare le Nrme cme beneficiari terzi, cme indicat nei vari capitli di queste BCR. Nell specific, ptrann applicare i seguenti principi in base ai termini e alle cndizini indicati in queste BCR: Qualsiasi perazine di elabrazine effettuata all intern di SunPwer deve avere una base legale, prevista dalla Legge Applicabile. SunPwer deve raccgliere ed elabrare Dati Persnali per finalità legittime, specifiche ed esplicite e nn deve più elabrare nessun Dat Persnale in un md che sia incmpatibile cn la finalità per cui sn stati racclti; SunPwer deve elabrare Dati Persnali che sian rilevanti e nn eccessivi in relazine alle finalità per cui sn stati racclti, e tali Dati devn essere precisi e, ve necessari, mantenuti aggirnati; Ai Sggetti Interessati deve essere garantit un access facile e permanente alle infrmazini relative ai lr diritti in base alle presenti BCR; I Sggetti Interessati i cui Dati Persnali prvengn dal SEE devn avere un diritt di access, rettifica e ppsizine all elabrazine dei lr Dati Persnali in base alla Legge Applicabile; I Sggetti Interessati i cui Dati Persnali prvengn dal SEE nn devn essere sggetti ad una decisine che prduca degli effetti legali che li interessi li influenzi in md significativ e che sia basata unicamente sulla elabrazine autmatizzata dei Dati Persnali il cui biettiv cnsista nel valutare determinati aspetti persnali relativi agli stessi, a men che tale decisine: Venga adttata durante la stipulazine esecuzine di un cntratt, a cndizine che la richiesta della stipulazine esecuzine del cntratt, depsitata dal Sggett Interessat, sia stata sddisfatta ci sian delle misure adeguate per tutelare gli interessi legittimi del sggett, cme sluzini che gli cnsentan di esprimere il su punt di vista; Sia autrizzata dalla Legge Applicabile, che definisce anche delle misure per tutelare gli interessi legittimi del Sggett Interessat; SunPwer dvrà implementare delle misure adeguate per garantire la sicurezza e riservatezza dei Dati Persnali, cnsiderand l stat dell arte e il cst della lr implementazine; SunPwer dvrà stipulare un accrd di elabrazine per iscritt cn qualsiasi frnitre di servizi a cui ricrre per l elabrazine dei Dati Persnali, in cui si specifichi che il frnitre dei servizi dvrà agire esclusivamente su istruzine di SunPwer e dvrà instaurare delle misure adeguate in termini di sicurezza e riservatezza; SunPwer nn dvrà trasferire Dati Persnali da un Stat Membr del SEE prvenienti dal SEE ad una scietà che nn appartenga al Grupp e che si trvi in un Paese Terz che nn garantisca un livell adeguat di prtezine dei dati (Cntrllre Elabratre dei Dati Estern) senza una base legale sggetta alla Legge Applicabile e a strumenti che frniscn un livell di prtezine sufficiente; Una sussidiaria di SunPwer dvrà immediatamente infrmare l esprtatre di Dati se tale sussidiaria cnsidera che la legislazine applicabile nella sua giurisdizine nn le cnsente di 4
rispettare i sui bblighi in base a queste BCR, ed abbia un effett danns nei cnfrnti delle garanzie fferte da queste BCR, a men che ciò nn sian vietat dalle frze dell rdine, in particlare a causa di un diviet ai sensi della legge penale per mantenere la riservatezza di un indagine delle frze dell rdine; Qualsiasi Sggett Interessat può presentare un reclam a SunPwer attravers il meccanism di reclam intern in base ai termini stabiliti nel Capitl Gestine dei reclami ; Qualsiasi sussidiaria di SunPwer che abbia aderit alle BCR dvrà cllabrare cn le autrità di supervisine cmpetenti, seguire le lr raccmandazini in merit al Trasferiment di Dati a livell internazinale nel cas di un reclam di una richiesta particlare da tali autrità e accettare di essere ggett di audit da parte dell autrità di supervisine del paese in cui si trvan; Qualsiasi Sggett Interessat ptrà presentare un reclam alle Autrità di Supervisine Nazinali adire ai tribunali dell Stat Membr del SEE dve si trva l esprtatre dei Dati per pter applicare i principi spra indicati e, se del cas, ricevere una cmpensazine per i danni subiti a causa della vilazine di queste BCR. Se, durante un trasferiment di Dati Persnali furi dal SEE, l imprtatre dei Dati nn dvesse sservare queste BCR, l esprtatre dei Dati difenderà qualsiasi reclam, stabilirà che l imprtatre dei Dati nn ha vilat le BCR, e pagherà un indennizz al Sggett Interessat per i danni subiti in seguit a tale vilazine. 5
APPENDICE 2 PROCEDURA DI GESTIONE DEI RECLAMI INTERNI Se un Sggett Interessat ritiene che SunPwer nn ha rispettat queste BCR, ptrà presentare un reclam in base alla prcedura di reclam stabilita nella relativa infrmativa sulla privacy cntratt in base alla prcedura descritta di seguit. 1) Cme effettuare un reclam I Sggetti Interessati dvrann presentare un reclam inviand: - Un e-mail a: data-prtectin@sunpwer.cm - Una lettera a SUNPOWER Sluzini Energetiche France SAS, ATTN : SUNPOWER DATA PROTECTION, 12-14, Allée du Levant, 69890 La Tur-de-Salvagny, FRANCE Il reclam dvrà frnire chiaramente il maggir numer di dettagli pssibili in merit alla questine sllevata, tra cui: - Il paese e l ente di SunPwer interessat, ciò che sstiene il Sggett Interessat in merit alla presunta vilazine delle BCR, il risarciment richiest; - Il nme cmplet e i dati di cntatt del Sggett Interessat nnché una cpia della sua carta di identità di qualsiasi altr dcument di identificazine; e - Qualsiasi crrispndenza precedente su questa questine specifica. 2) La rispsta di SunPwer Entr tre mesi da quand SunPwer riceve un reclam, l adeguata Branch Data Privacy Lead ( BDPL ) (Direzine per la Riservatezza dei Dati della Filiale) dvrà infrmare il Sggett Interessat per iscritt in merit all ammissibilità del reclam; e se quest ultim è ammissibile, in merit alle azini crrettive che ha adttat che adtterà cme rispsta SunPwer. L adeguata BDPL dvrà garantire che, se necessari, verrann adttate delle adeguate azini crrettive per garantire il rispett di queste BCR. L adeguata BDPL dvrà spedire una cpia del reclam e qualsiasi rispsta per iscritt alla Crprate Data Privacy Lead ( CDPL ) (Direzine Aziendale per la Riservatezza dei Dati). 3) Ricrs Se il Sggett Interessat nn fsse sddisfatt della rispsta dell adeguata BDPL (ad es., nel cas in cui venisse respint il reclam), ptrà fare riferiment alla CDPL inviand un e-mail una lettera cme indicat spra. La CDPL rivedrà il reclam e frmulerà una decisine entr tre mesi dalla data di riceviment della richiesta. In seguit a quest perid, la CDPL infrmerà il Sggett Interessat se la rispsta iniziale è stata acclta cmunicherà una nuva rispsta. Il fatt che i Sggetti Interessati pssan presentare un reclam a SunPwer nn pregiudica il lr diritt di presentare un reclam press l Autrità di Supervisine Nazinale cmpetente di adire alle crti del Paese Membr del SEE in cui ha sede l esprtatre dei Dati. 6