BCR

Einführung

Der Total-Konzern (oder „Total“) fördert eine Kultur und Praktiken zum Schutz persönlicher Daten[1] nach den geltenden Vorschriften. Zu diesem Zweck hat Total unternehmensinterne Vorschriften (Binding Corporate Rules, kurz „BCR“) aufgestellt.

Dieses Dokument ist eine Zusammenfassung der Grundsätze des Schutzes personenbezogener Daten, die im Rahmen unserer BCR, und der Rechte gelten, die damit gewährt werden.

Zweck

Unsere BCR sind eine Reihe verbindlicher interner Vorschriften, die für alle Unternehmen des Konzerns gelten, die sie akzeptiert haben. Sie sind von den europäischen Datenschutzbehörden genehmigt worden.

Mit diesen Vorschriften ist es möglich, dass Unternehmen des Konzerns personenbezogene Daten aus dem Europäischen Wirtschaftsraum („EWR“)[2] nach den geltenden Vorschriften an Unternehmen des Konzerns mit Sitz außerhalb des EWRs zu übermitteln.

Anwendungsbereich

Unsere BCR gelten für alle aus dem EWR stammenden personenbezogenen Daten, die von den Unternehmen des Konzerns verarbeitet werden, einschließlich der Daten von Mitarbeitern, Bewerbern, Kunden, Interessenten, Lieferanten, Subunternehmern und Mitarbeitern von Drittunternehmen, die im Auftrag von Unternehmen der Gruppe handeln, sowie von Aktionären (nachfolgend die „Betroffenen“).

Datenschutzgrundsätze

Die in unseren BCR niedergelegten Grundsätze müssen eingehalten werden.

Rechtmäßigkeit

Alle eingeführten Verarbeitungsvorgänge[3] sind auf eine rechtliche Grundlage nach dem geltenden Recht gestützt.

Personenbezogene Daten dürfen nur für legitime, festgelegte und rechtmäßige Zwecke verarbeitet werden. Die Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht vereinbar ist.

Zweckmäßigkeit

Personenbezogene Daten müssen qualitativ und quantitativ genau und in Bezug auf den Zweck der Verarbeitung verhältnismäßig sein.

Transparenz

Persönliche Daten müssen fair und rechtmäßig beschafft werden. Die Betroffenen müssen über die Merkmale der Verarbeitung und ihre Rechte informiert werden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Sicherheit

Personenbezogene Daten müssen angemessenen Sicherheitsmaßnahmen unterzogen werden, um das Risiko eines unbefugten Zugriffs, einer Zerstörung, Änderung oder eines Verlusts zu begrenzen.

Zu diesem Zweck gelten eine Reihe interner Standards zur Gewährleistung der Sicherheit und Vertraulichkeit persönlicher Daten:

Die Nutzungsrichtlinien von Computer- und Kommunikationsressourcen, die ein Handeln in Übereinstimmung mit den Vorschriften und Regeln der Vertraulichkeit erfordern.
Die Sicherheitspolitik für Informationssysteme, die die Art der Steuerung der Sicherheit von Informationssystemen definiert.
Das Referenzhandbuch des Total-Konzerns für die Sicherheit von Informationssystemen, das alle Anforderungen des Konzerns in Bezug auf die Sicherheit von Informationssystemen in 19 detaillierten Themen auflistet;
Die Richtlinie zur Sicherheit von Informationswerten, in der die Anforderungen an den Schutz der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Kontrolle der innerhalb des Konzerns gehaltenen und ausgetauschten Informationen festgelegt sind.

Soweit eine Drittpartei zur Verarbeitung personenbezogener Daten in Anspruch genommen wird, stellt das Konzernunternehmen sicher, dass die Drittpartei ausreichende Garantien in Bezug auf Datensicherheit und Vertraulichkeit bietet.

Aufbewahrung

Personenbezogene Daten dürfen nur für einen angemessenen Zeitraum und nicht übermäßig lange im Verhältnis zum Zweck der Verarbeitung aufbewahrt werden.

Nach Ablauf der Aufbewahrungsfrist werden die Daten vernichtet, anonymisiert oder archiviert.

Internationale Übertragung[4] von persönlichen Daten

Total überträgt keine personenbezogenen Daten aus einem EWR-Land direkt an ein Unternehmen des Konzerns mit Sitz in einem Land, das kein angemessenes Schutzniveau bietet, wenn es die BCR nicht formell akzeptiert hat oder nicht eines der anderen von der Europäischen Kommission anerkannten Rechtsinstrumente verwendet.

Total übermittelt keine aus dem EWR stammenden personenbezogenen Daten direkt an ein Unternehmen außerhalb der Gruppe (für die Datenverarbeitung Verantwortlicher oder Subunternehmer) mit Sitz in einem Land, das kein angemessenes Schutzniveau bietet, keine rechtliche Grundlage nach dem geltenden Recht hat und keinen Mechnismus vorsieht, der ausreichende Garantien wie die Standardvertragsklauseln bietet.

Ähnlich verhält es sich, wenn ein Datenimporteur anschließend personenbezogene Daten mit Ursprung im EWR an ein Unternehmen außerhalb der Gruppe (für die Datenverarbeitung Verantwortlicher oder Subunternehmer) mit Sitz in einem Land überträgt, das kein angemessenes Datenschutzniveau bietet, muss er einen Vertrag mit diesem Drittunternehmen unterzeichnen, in dem sich dieses verpflichtet, die Grundsätze der BCR einzuhalten.

Rechte der Betroffenen

Insbesondere werden den Betroffenen, deren persönliche Daten verarbeitet werden, nach den BCR folgende Rechte gewährt:

Zugriffsrecht auf die Daten

Recht der Korrektur, Löschung und Sperrung der Daten

Recht auf Widerspruch gegen die Datenverarbeitung

Recht auf Einschränkung der Datenverarbeitung

[Eine detaillierte Liste der Rechte finden Sie im nachfolgenden ANHANG 1].

Jede Person kann ihre Rechte ausüben, indem sie eine Anfrage an Kontaktperson sendet, die in den Auskunftshinweisen zur Verarbeitung Ihrer persönlichen Daten angegeben ist. Total verpflichtet sich, in der gesetzlichen Frist zu antworten.

Außerdem kann eine Person, die der Meinung ist, dass ein Unternehmen der Gruppe die BCR nicht eingehalten hat, eine Beschwerde bei der Gruppe einreichen, indem sie

eine E-Mail an folgende Adresse schickt: data-protection@total.com

oder

ein Schreiben an folgende Adresse schickt: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

Die Person wird über den Stand ihrer Beschwerde und gegebenenfalls über die Maßnahmen informiert, die von Total geplant sind, um auf diese Beschwerde zu antworten.

Das interne Verfahren zum Beschwerdemanagement ist in ANHANG 2 beschrieben.

Die Einreichung einer Beschwerde bei Total berührt nicht das Recht, eine Beschwerde bei den zuständigen Datenschutzbehörden im EWR einzureichen oder eine Klage vor den Gerichten des Landes im EWR zu erheben, in dem das für die Übermittlung personenbezogener Daten zuständige Konzernunternehmen ansässig ist.

Leitung

Ein internes Netzwerk „Schutz personenbezogener Daten“ ist für die Überwachung und Kontrolle der Umsetzung der BCR innerhalb der Gruppe verantwortlich.

Es besteht aus

einem Koordinator für den Datenschutz im Unternehmen, der die Maßnahmen zur Einhaltung der Vorschriften auf Konzernebene organisiert und überwacht;
Zweigstellenkoordinatoren für den Schutz personenbezogener Daten, die die Maßnahmen zur Einhaltung der Vorschriften auf Zweigstellenebene leiten und koordinieren;
Anlaufstellen zum Schutz sensibler Daten, die die Maßnahmen zur Einhaltung der Vorschriften auf der Ebene ihrer Unternehmenseinheit oder ihres Unternehmens lenken und koordinieren.

Interne Kontrolle und Audit

Um die ordnungsgemäße Anwendung unserer BCR zu gewährleisten, werden interne Kontroll- und Auditsysteme eingeführt.

Ein jährlicher interner Kontrollplan wird vom Netzwerk für den Schutz personenbezogener Daten festgelegt, um die Übereinstimmung der Verarbeitungsvorgänge der Gruppe mit unseren BCR zu bewerten. Die Berichterstattung wird auch so organisiert, dass im Anschluss an Evaluierungen regelmäßig über Aktionspläne berichtet wird.

Darüber hinaus nimmt die interne Revisionsabteilung der Gruppe auch die Kontrolle des Systems zum Schutz personenbezogener Daten in ihren periodischen Prüfungsplan auf.

Aktualisierung der BCR von Total

Bei bedarf können unsere BCR ergänzt oder aktualisiert werden.

Weitere Informationen

Eine Kopie der vollständigen Fassung unserer BCR und eine Liste der Konzerngesellschaften, die sie akzeptiert haben, können Sie per E-Mail an folgende Adresse erhalten: data-protection@total.com

ANHANG 1

RECHTE VON DRITTBEGÜNSTIGTEN

Unsere BCR gewähren den betroffenen Personen das Recht, sie als Drittbegünstigte durchzusetzen.

Insbesondere können sie folgende Grundsätze gemäß den in unseren BCR festgelegten Bedingungen und Konditionen durchsetzen:

Alle Verarbeitungsvorgänge, die innerhalb der Gruppe durchgeführt werden, basieren auf einer gesetzlichen Grundlage, die durch das geltende Recht vorgegeben ist;

Total muss personenbezogene Daten für rechtmäßige, festgelegte und ausdrückliche Zwecke einholen und verarbeiten und darf personenbezogene Daten nicht in einer Weise weiterverarbeiten, die mit dem Zweck, für den sie eingeholt wurden, unvereinbar ist;

Total muss persönliche Daten verarbeiten, die im Verhältnis zu den Zwecken, für die sie eingeholt werden, relevant und nicht übertrieben sind und die richtig und, wenn nötig, auf dem neuesten Stand sind;

Die Betroffenen können jederzeit problemlos auf Informationen über ihre Rechte gemäß den BCR zugreifen;

Die Betroffenen, deren persönliche Daten aus dem EWR stammen, haben das Recht auf Zugang, Berichtigung und Einspruch gegen die Verarbeitung ihrer Daten in Übereinstimmung mit dem geltenden Recht;

Für die Betroffenen, deren personenbezogene Daten aus dem EWR stammen, darf keine Entscheidung getroffen werden, die für sie rechtliche Auswirkungen hat oder sie erheblich beeinträchtigt und die ausschließlich auf der Grundlage der automatischen Verarbeitung von Daten getroffen wird, um bestimmte persönliche Aspekte in Bezug auf ihre Persönlichkeit zu bewerten. Hiervon ausgenommen sind folgende Fälle:

- Eine Entscheidung, die im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrages getroffen wird, sofern dem Antrag des Betroffenen auf Abschluss oder Erfüllung des Vertrages entsprochen wurde oder durch geeignete Maßnahmen, wie z.B. der Möglichkeit zur Darlegung seines Standpunktes, sichergestellt ist, dass seine berechtigten Interessen gewahrt werden; oder

- Die Entscheidung wird durch das geltende Recht zugelassen, in dem auch die Maßnahmen zur Wahrung der berechtigten Interessen des Betroffenen festgelegt sind.

Total muss geeignete Maßnahmen zur Gewährleistung der Datensicherheit und -vertraulichkeit umsetzen, wobei der Stand der Technik und die mit ihrer Umsetzung verbundenen Kosten zu berücksichtigen sind;

Total muss mit jedem Dienstleister, der personenbezogene Daten verarbeitet, eine schriftliche Subunternehmervereinbarung abschließen, in dem festgelegt wird, dass dieser Dienstleister nach den Anweisungen von Total handelt und geeignete Maßnahmen umsetzt, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten;

Total überträgt keine Daten aus einem Mitgliedsstaat des EWR oder mit Ursprung im EWR an ein Unternehmen außerhalb der Gruppe, das in einem Drittland ansässig ist, das nicht ein angemessenes Schutzniveau (sei es ein externer Datenverantwortlicher oder ein Subunternehmer) mit einer rechtlichen Grundlage nach dem geltenden Recht und einen Mechanismus mit ausreichenden Garantien bietet;

Wenn ein Unternehmen der Gruppe der Ansicht ist, dass die geltende Gesetzgebung die Erfüllung seiner Verpflichtungen im Rahmen der BCR von Total beeinträchtigen und sich negativ auf die von diesen BCR gebotenen Garantien auswirken könnte, muss dieses Unternehmen den Datenexporteur unverzüglich über diese Tatsache informieren, es sei denn, dies wird von einer Strafverfolgungsbehörde verboten, insbesondere aufgrund eines strafrechtlichen Verbots zur Wahrung des Untersuchungsgeheimnisses;

Jeder Betroffene kann über den internen Beschwerdemanagementprozess in Übereinstimmung mit den im Abschnitt „Beschwerdemanagement“ festgelegten Bedingungen eine Beschwerde bei Total einreichen;

Die Unternehmen der Gruppe, die die BCR angenommen haben, müssen mit den zuständigen Aufsichtsbehörden zusammenarbeiten und deren Empfehlungen bezüglich des internationalen Datentransfers im Falle einer Beschwerde oder einer spezifischen Anfrage dieser Behörden befolgen, und sich bereit erklären, sich jeder Prüfung durch die Kontrollbehörde ihres Niederlassungslandes zu unterziehen;

Jeder Betroffene kann bei den nationalen Aufsichtsbehörden eine Beschwerde einreichen oder beim Gericht des EWR-Mitgliedstaates, in dem der Datenexporteur ansässig ist, Rechtsmittel einlegen, um die oben genannten Grundsätze durchzusetzen und gegebenenfalls Ersatz für Schäden zu erhalten, die durch einen Verstoß gegen die BCR von Total verursacht wurden. Wenn der Datenimporteur die BCR von Total bei der Übermittlung personenbezogener Daten außerhalb des EWR nicht einhält, obliegt es dem Datenexporteur, sich gegen die Beschwerde zu verteidigen, nachzuweisen, dass der Datenimporteur nicht gegen die BCR verstoßen hat, und den Betroffenen für den durch diesen Verstoß entstandenen Schaden zu entschädigen.

ANHANG 2

INTERNES VERFAHREN ZUR BEARBEITUNG VON BESCHWERDEN

Wenn ein Betroffener der Ansicht ist, dass ein Unternehmen der Gruppe die BCR von Total nicht eingehalten hat, kann er eine Beschwerde nach dem Verfahren, das in den Auskunftshinweisen zur Verarbeitung selbst oder im anwendbaren Vertrag festgelegt ist, oder nach dem nachstehend beschriebenen Verfahren einreichen.

Wie man eine Beschwerde einreicht

Die betroffene Person kann eine Beschwerde einreichen, indem sie

eine E-Mail an folgende Adresse schickt: data-protection@total.com

oder

ein Schreiben an folgende Adresse schickt: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

Die Beschwerde muss eine möglichst detaillierte Beschreibung des angesprochenen Problems enthalten, und zwar:

Das betroffene Land und das betroffene Konzernunternehmen, die Verletzung der BCR nach Angaben des Betroffenen, die verlangte Behebung des Problems;

Die Namen, Vornamen und Kontaktdaten des Betroffenen sowie eine Kopie seines Personalausweises oder eines anderen Dokuments, das seine Identifizierung ermöglicht;

Jegliche frühere Korrespondenz in Bezug auf das angesprochene Problem.

Antwort von Total

Innerhalb von drei Monaten nach Eingang der Beschwerde wird der Betroffene schriftlich über die Zulässigkeit seiner Beschwerde informiert und falls sie für zulässig befunden wird, die von Total getroffenen oder geplanten Korrekturmaßnahmen als Antwort darauf. Der zuständige Koordinator der Abteilung für den Schutz personenbezogener Daten (oder „Branch Data Privacy Lead“ – „BDPL“) stellt sicher, dass erforderlichenfalls geeignete Korrekturmaßnahmen zur Einhaltung der BCR von Total durchgeführt werden.

Der BDPL leitet eine Kopie der Beschwerde und jede schriftliche Antwort an den Datenschutzkoordinator des Unternehmens weiter (oder „Corporate Data Privacy Lead“ – „CDPL“).

Beschwerdeverfahren

Wenn der Betroffene mit der Antwort des zuständigen BDPL nicht zufrieden ist (z.B. wenn die Beschwerde abgelehnt wurde), kann er sich an den CDPL wenden, indem er eine E-Mail oder einen Brief an die oben angegebene Adresse sendet. Der CDPL wird die Beschwerde prüfen und innerhalb von drei Monaten nach Eingang des Antrags eine Entscheidung treffen. Innerhalb dieses Zeitraums informiert der CDPL den Betroffenen darüber, ob er die erste Antwort bestätigt und übermittelt im gegenteiligen Fall eine neue Antwort.

Die Möglichkeit für Betroffene, eine Beschwerde bei Total einzureichen, berührt nicht ihr Recht, eine Beschwerde bei der zuständigen nationalen Aufsichtsbehörde einzureichen oder vor dem Gericht des EWR-Mitgliedstaats, in dem der Datenexporteur ansässig ist, Klage zu erheben.

[1] Personenbezogene Daten sind alle Informationen, die es ermöglichen, eine natürliche Person direkt oder indirekt zu identifizieren.

[2] EWR: Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

[3] Eine Verarbeitung ist jeder Vorgang, der mit oder ohne Hilfe automatisierter Verfahren durchgeführt und auf personenbezogene Daten angewendet wird (z.B. Einholung, Aufzeichnung, Speicherung, Vernichtung usw.).

[4] Die Übertragung umfasst den gesamten virtuellen oder physischen Austausch von personenbezogenen Daten innerhalb des EWR von einem Land in ein anderes.

B.C.R.