INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI NELL'AMBITO DEI CONTRATTI CON I FORNITORI
INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI NELL'AMBITO DEI CONTRATTI CON I FORNITORI
AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO (UE) 2016/679 (“GDPR”)
TITOLARE DEL TRATTAMENTO | Tecnimont S.p.A., Xxx Xxxxxxx Xx Xxxxxxxxx 0/X, 00000 Xxxxxx – Xxxxxx C.F., p. IVA e numero di iscrizione nel Reg. delle Imprese di Milano 0000000000 numero di telefono x00 00 00000 indirizzo e-mail xxxx@xxxxxxxxx.xx indirizzo PEC xxxxxxxxx@xxx.xx (“Società”) | |
RESPONSABILE PER LA PROTEZIONE DATI (DPO) | I dati di contatto del DPO di Gruppo saranno resi pubblici sul sito internet di Maire Tecnimont S.p.A. all’atto della nomina. |
DATI PERSONALI TRATTATI | |
Per "Dati" si intendono quelli relativi a persone fisiche trattati dalla Società per la stipula e l'esecuzione del rapporto contrattuale con i propri fornitori, quali quelli del legale rappresentante del fornitore che sottoscrive il contratto in nome e per conto di quest’ultimo, nonché dei dipendenti/consulenti del fornitore, coinvolti nelle attività di cui al contratto. In quest’ultimo caso, la fonte da cui provengono i Xxxx è il fornitore. I Dati potrebbero comprendere anche eventuali dati giudiziari riportati in banche dati pubbliche. |
FONTE DEI DATI E CATEGORIE DI DATI RACCOLTI PRESSO TERZI | |
I dati sono raccolti presso l’interessato (quindi da Lei direttamente forniti) oppure, durante il corso del rapporto contrattuale, acquisiti da terzi (a titolo esemplificativo società che, accedendo a banche dati pubbliche, verificano l’affidabilità dei fornitori). |
FINALITÀ DEL TRATTAMENTO | BASE GIURIDICA DEL TRATTAMENTO | PERIODO DI CONSERVAZIONE DEI DATI | |||
Finalità connesse all’instaurazione e alla esecuzione del rapporto contrattuale fra il fornitore e la Società, ivi inclusa: - gestione anagrafica nonché Albo fornitori; - gestione della qualifica dei fornitori; - gestione degli ordini; - gestione del rapporto contrattuale; - gestione visite ispettive e valutazione performance. | Esecuzione del contratto per i Dati del legale rappresentante del Fornitore. Legittimo interesse per i Dati dei dipendenti/consulenti del fornitore, coinvolti nelle attività di cui al contratto. | Durata contrattuale e, dopo la cessazione, per il periodo di 10 anni. | |||
Effettuazione di adempimenti amministrativo-contabili – quali la gestione della contabilità e della tesoreria, nonché della fatturazione (ad esempio la verifica e la registrazione delle fatture), in conformità a quanto richiesto dalla normativa vigente. | Necessità di adempiere ad un obbligo legale a cui è soggetta la Società. | Durata contrattuale e, dopo la cessazione, per il periodo di 10 anni. | |||
Se necessario, per accertare, esercitare e/o difendere i diritti della Società in sede giudiziaria. | Legittimo interesse (difesa in sede giudiziaria). | Nel caso di contenzioso giudiziale, per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione. | |||
Finalità connesse alla gestione dei controlli interni ed esterni. | Legittimo interesse (Tutela dell'azienda e del patrimonio aziendale. Sicurezza). | Sino alla fine del rapporto di lavoro e, dopo la cessazione, per il periodo di 10 anni. | |||
Verificare, tramite società specializzate l’affidabilità del fornitore avvalendosi di informazioni presenti in banche dati pubbliche. | Legittimo interesse (miglior gestione dell’attività lavorativa). | Per dati comuni: durata contrattuale. Per dati relativi a condanne penali e reati: 6 mesi dal momento di ricezione del dossier informativo. | |||
FINALITÀ DEL TRATTAMENTO | BASE GIURIDICA DEL TRATTAMENTO | PERIODO DI CONSERVAZIONE DEI DATI | |||
Finalità connesse al controllo degli accessi logici ai sistemi informativi aziendali, al fine di garantire la sicurezza di persone e beni. | Legittimo interesse (Tutela dell'azienda e del patrimonio aziendale. Sicurezza). | 1 anno dal momento in cui è stato rilevato l’accesso logico. | |||
Decorsi i termini di conservazione sopra indicati, i Dati saranno distrutti o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup. | |||||
CONFERIMENTO DEI DATI | |
Il conferimento dei Dati è obbligatorio per la conclusione del contratto e/o per la sua esecuzione. Il rifiuto di fornire i Dati non consente, pertanto, di instaurare il rapporto contrattuale e/o di adempiere alle conseguenti obbligazioni. |
DESTINATARI DEI DATI | |
I Dati possono essere comunicati a soggetti esterni operanti in qualità di titolari del trattamento, a titolo esemplificativo, banche e istituti di credito, assicurazioni, professionisti autonomi (studi legali, notarili e studi di commercialisti), autorità ed organi di vigilanza e controllo ed in generale soggetti, pubblici o privati, legittimati a richiedere i Dati. I dati potranno altresì essere comunicati a entità giuridiche europee ed extra-europee del gruppo Maire nonchè, per finalità contrattuali e commerciali, a clienti e partner. | |
I Dati potranno essere trattati, per conto del titolare, da soggetti esterni designati come responsabili esterni del trattamento, che svolgono per conto del titolare specifiche attività, a titolo esemplificativo, società che si occupano di adempimenti legali, contabili, fiscali e assicurativi, gestione di incassi e pagamenti, gestione degli asset IT, società che si occupano della spedizione della corrispondenza. |
SOGGETTI AUTORIZZATI AL TRATTAMENTO | |
I Dati potranno essere trattati dai dipendenti delle Funzioni aziendali deputate al perseguimento delle finalità sopra indicate, che sono stati espressamente autorizzati al trattamento e che hanno ricevuto adeguate istruzioni operative. |
TRASFERIMENTO DEI DATI PERSONALI IN PAESI NON APPARTENENTI ALL’UNIONE EUROPEA | |
I Dati saranno conservati in un’anagrafica unica condivisa anche con entità giuridiche appartenenti al gruppo Maire anche in paesi extra – europei. I Dati altresì potranno essere trasferiti in paesi extra-europei ad altri soggetti in virtù di un rapporto contrattuale o commerciale o per specifiche esigenze di business. Il trasferimento è occasionale per concludere o eseguire un contratto tra la società o altre persone fisiche o giuridiche a favore dell’interessato e, quindi, ammesso ai sensi dell’art. 49.1, lett. c) del GDPR. |
DIRITTI DELL'INTERESSATO - RECLAMO ALL’AUTORITÀ DI CONTROLLO | |
Contattando la Funzione Group Corporate Affairs, Governance and Compliance via e-mail all’indirizzo xxxxxxx@xxxxxxxxxxxxxx.xx, gli interessati possono chiedere al titolare l’accesso ai dati che li riguardano, la rettifica dei dati inesatti, l’integrazione dei dati incompleti, la cancellazione dei dati e la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR1, laddove applicabili, nonché opporsi, in qualsiasi momento, in tutto od in parte, al trattamento dei dati necessario per il perseguimento del legittimo interesse del titolare. | |
L’interessato, inoltre, nel caso in cui il trattamento sia basato sul consenso o sul contratto e sia effettuato con strumenti automatizzati ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Dati, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti. | |
Gli interessati hanno il diritto di proporre reclamo all'Autorità di controllo competente. |
1 Il diritto alla limitazione del trattamento consiste nella temporanea sottoposizione dei dati alla sola operazione di conservazione, nelle seguenti ipotesi
previste dall’art. 18 GDPR:
a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare l'esattezza di tali dati;
b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati e chiede invece che ne sia limitato l'utilizzo;
c) il titolare del trattamento non ne ha più bisogno, ma i dati sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
d) l'interessato si è opposto al trattamento ai sensi dell'art. 21.1 del GDPR, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell'interessato.
POLICY REGARDING THE PROCESSING OF PERSONAL DATA OF SUPPLIER PURSUANT TO ARTICLES 13 AND 14 OF EU REGULATION 2016/679 (GDPR) AND NATIONAL
LEGISLATION ON PRIVACY
DATA PROCESSING CONTROLLER | Tecnimont S.p.A., Xxx Xxxxxxx Xx Xxxxxxxxx 0/X, 00000 Xxxxx – Xxxxx Tax ID, VAT, registration number in Reg. of Companies of Milan 01628410159 telephone number x00 00 00000 e-mail address xxxx@xxxxxxxxx.xx Certified public e-mail address xxxxxxxxx@xxx.xx (“Company”). | |
DATA PROTECTION OFFICER (DPO) | The contact details of the DPO are available on the Internet website of Xxxxx Xxxxxxxxx S.p.A.. |
PERSONAL DATA PROCESSED (COMMON DATA) | |
Data means those relating to natural persons processed by the Company for the stipulation and execution of the contractual relationship with its vendors, such as those of the legal representative of the supplier that signs the contract in the name and on behalf of the latter, as well as the employees/consultants of the supplier involved in the activities referred to in the contract. In the latter case, the source of the Data is the supplier. The Data could also include any judicial data reported in public databases. |
SOURCE OF DATA AND CATEGORIES OF DATA COLLECTED AT THIRD PARTIES | |
Data are collected from the data subject (i.e. directly provided by you) or, during the contractual relationship, acquired from third parties (for example, a company which, check the reliability of suppliers by public databases). |
PROCESSING PURPOSES | LEGAL BASIS OF PROCESSING | DATA RETENTION PERIOD | |||
Purposes related to the establishment and execution of the contractual relationship between the supplier and the Company, including: - master data management that includes a supplier database; - management of supplier qualification; - management of purchase order; - management of contract; - management of inspections and performance evaluation. | Execution of the contract for the Data of the legal representative of the Supplier Legitimate interest in the Data of the employees/consultants of the supplier involved in the activities referred to in the contract | Contractual duration and, after termination, for the period of 10 years. | |||
Fulfilment of administrative-accounting obligations - such as the management of accounting and treasury, as well as invoicing (for example, the verification and registration of invoices), in compliance with the requirements of current legislation. | Need to fulfil a legal obligation to which the Company is subject | Contractual duration and, after termination, for the period of 10 years. | |||
If necessary, to ascertain, exercise and/or defend the rights of the Company in front of the court. | Legitimate interest (defence in front of the court) | In the case of judicial litigation, for the entire duration of the same, until the exhaustion of the terms of practicability of appeals | |||
Purposes related to the management of internal and external controls. | Legitimate interest (Protection of the company and corporate assets. Security) | Until the end of the employment relationship and, after termination, for the period of 10 years. | |||
Check, through specialized companies, if the supplier is included in an international restricted list, using information in public databases. | Legitimate interest (better management of work activity) | For common data: contract duration For data relating to criminal convictions and offenses: 6 months from the moment the informative file is received | |||
Purposes related to ascertaining the moral suitability of the top managers of suppliers | Legitimate interest (Protection of the company and better management of work activity) | For common data: contract duration For data relating to criminal convictions and offenses: 6 months from the moment the informative file is received |
Purposes related to the control of logical access to corporate information systems, to guarantee the security of people and goods (for example: log management, management of system administrator logs). | Legitimate interest (Protection of the company and corporate assets. Security) | 2 years from the moment in which logical access was detected. 6 months for system administrator access logs |
Once the retention terms indicated above have elapsed, the Data will be destroyed or made anonymous, consistent with the technical procedures for deletion and backup. | ||
DATA SUPPLY | |
Mandatory for the stipulation of the contract and/or its execution. The refusal to provide the Data shall therefore not allow the establishment of the contractual relationship and/or the fulfilment of the consequent obligations. |
CATEGORIES OF DATA RECIPIENTS | |
The Data may be disclosed to third parties acting as data processing controllers, for example, banks and credit institutions, insurance companies, freelance (law, notary and accounting firms), supervisory and control authorities and bodies and in general public or private parties entitled to request the Data. | |
The Data may be processed, on behalf of the controller, by external parties designated as data processors that perform specific activities on behalf of the controller, including in particular companies that deal with legal, accounting, tax and insurance obligations, manage the collections and payments, IT asset and mailing services. |
PARTIES AUTHORIZED FOR PROCESSING | |
The Data may be processed by employees and collaborators of the Company belonging to departments responsible for the pursuit of the aforementioned purposes that have been expressly authorized for processing and have received adequate operating instructions. |
TRANSFER OF PERSONAL DATA IN COUNTRIES NOT BELONGING TO THE EUROPEAN UNION | |
The Data will be stored in a database shared among legal entities belonging to the Maire Tecnimont Group that are also resident in non-European countries. The Data may be transferred to non-European countries to legal entities belonging to the Maire Tecnimont Group or to other subjects by virtue of a contractual or commercial relationship or for specific business requirements. Transfers are occasional for the stipulation or execution of a contract of with the Company or other natural or legal person in favour of the data subject and therefore admitted pursuant to article 49.1 c) of the GDPR. |
RIGHTS OF DATA SUBJECT - COMPLAINTS TO THE CONTROL AUTHORITY | |
By contacting the Group Corporate Affairs, Governance and Compliance function via e-mail at xxxxxxx@xxxxxxxxxxxxxx.xx, data subjects may request the controller to provide access to the data concerning them, correct inaccurate data, integrate incomplete data, delete data and limit the processing in the cases indicated in art. 18 of the GDPR2, where applicable; they may also oppose the processing of all or part of the data required for the pursuit of the controller’s legitimate interest, at any time. | |
Furthermore, if processing is based on consent or on the contract and is carried out using automated tools, the data subject shall have the right to receive the Data in a structured and commonly used format that can be read on automatic devices, and, if technically feasible, to send them to another controller without impediments. | |
Data subjects are entitled to lodge a complaint with the competent supervisory authority. |
2 The right to limitation of the processing consists in the temporary submission of the data to the storage operation only, in the following cases provided for by art. 18 GDPR:
e) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
f) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
g) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
h) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.