Skip to content

Обобщена версия на Задължителните корпоративни правила на Total

ОБОБЩЕНА ВЕРСИЯ
НА ЗАДЪЛЖИТЕЛНИТЕ КОРПОРАТИВНИ ПРАВИЛА НА TOTAL

  1.    Увод

    Групата Total (или „Total“) насърчава култура и практики относно защитата на личните данни1 в съответствие с действащото законодателство. За тази цел Total въведе задължителни корпоративни правила („ЗКП“).

    Настоящият документ обобщава принципите за защита на данните, които се прилагат по силата на нашите ЗКП и правата, предоставени по тях.

  2.    Предназначение

    Нашите ЗКП са набор от задължителни вътрешни правила, валидни за всички дъщерни дружества на Total, които са ги приели. Одобрени са от европейските органи за защита на данните.

    Те позволяват на дъщерни дружества на Total да прехвърлят лични данни с произход от Европейската икономическа зона („ЕИЗ“)2 на дъщерни дружества на Total извън ЕИЗ в съответствие с действащото законодателство.

  3.    Обхват на действие

    Нашите ЗКП се прилагат за всички лични данни с произход от ЕИЗ, обработвани от дъщерни дружества на Total, включително данни, свързани с бивши и настоящи служители, кандидати за работа, клиенти и потенциални клиенти, доставчици и подизпълнители, а също и с персонала на компании – трети страни, действащи от името на дъщерните дружества на Total, както и с акционери (по-нататък „субекти на данни“).

  4.    Принципи за защита

    Трябва да се спазват следните принципи, заложени в нашите ЗКП, сред които:

       •   Законност

    Всяка изпълнявана операция за обработване на данни3 има законно основание, осигурено от действащото законодателство.

    Лични данни трябва да се обработват само за законоустановени, точно определени и законосъобразни цели. Данните не могат да бъдат обработвани допълнително по начин, несъвместим с тези цели.

       •   Релевантност

    Личните данни трябва да бъдат точни и съответстващи като качество и количество на целите на обработването.

       •   Прозрачност

    Личните данни трябва да се събират законно и лоялно. Субектите на данните следва да се информират относно характеристиките на обработването на личните им данни и относно правата им, освен ако това се окаже невъзможно или би изисквало непропорционално големи усилия.

       •   Сигурност

    Личните данни трябва да бъдат защитени чрез подходящи мерки за сигурност, за да се ограничат рисковете от неразрешен достъп, унищожаване, промяна или загуба.

    За тази цел се прилагат набор от вътрешни правила, които позволяват да се гарантира сигурността и поверителността на личните данни:

       •   Хартата за използване на IT и комуникационните ресурси, която изисква да се действа в съответствие с регламента и с правилата за поверителност
       •   Политиката за сигурност на информационните системи, която определя режима на управление на сигурността на информационните системи
       •   Справочната система по сигурността на информационните системи, в която са изброени, в рамките на 19 подробно разгледани теми, различните изисквания на групата по отношение на сигурността на информационните системи
       •   Политиката за защита на информацията, която представя изискванията относно защитата на поверителността, пълнотата и достъпността на информацията, съхранявана и обменяна в рамките на групата

    Когато търси услугите на трета страна за обработване на лични данни, всяко дъщерно дружество на Total проверява дали тя предлага достатъчно гаранции по отношение на сигурността и поверителността на данните.

       •   Съхранение

    Личните данни трябва да се съхраняват само за разумен период от време, не по-дълъг от необходимото, съобразно целта на обработването.

    След изтичането на периода на съхранение данните се унищожават, анонимизират или архивират.

       •   Международен обмен4 на лични данни

    Total не прехвърля лични данни с произход от страна от ЕИЗ директно на дъщерни дружества на Total, разположени в трети страни, които не осигуряват достатъчно ниво на защита, освен ако въпросното дъщерно дружество официално е приело ЗКП или използва друг правен инструмент, признат от Европейската комисия.

    Total не прехвърля лични данни с произход от ЕИЗ директно на компании, които не са част от групата и са разположени в страни, които не осигуряват достатъчно ниво на защита на данните (администратор на данни или обработващ данни), без законно основание съгласно действащото законодателство и инструменти, осигуряващи достатъчно гаранции, като например стандартните договорни клаузи.

    По същия начин, когато вносител на данни прехвърли допълнително лични данни с произход от ЕИЗ на компания, която не е част от групата (администратор на данни или обработващ данни) и е разположена в страна, която не осигурява достатъчно ниво на защита на данните, вносителят на данни е длъжен да сключи договор с въпросната компания, с който тя се задължава да спазва принципите на ЗКП.

  5.    Права на субектите на данни

    Съгласно нашите ЗКП субектите на данни, чиито лични данни се обработват, имат следните права:

       •   Право на достъп до данните

       •   Право да коригират, заличават и блокират данни

       •   Право на оспорване на обработването

       •   Право на ограничаване на обработването

    [Изчерпателен списък на правата, предоставени от ЗКП, е изложен в ПРИЛОЖЕНИЕ 1 по-нататък].

    Субектите на данни могат да упражнят тези права, като подадат заявление, използвайки данните за връзка, посочени в правната информация, относно обработването на личните им данни. Дъщерните дружества на Total се задължават да отговарят в законоустановените срокове на запитвания относно обработването на данни извън ЕИЗ.

    Освен това, ако субектите на данни смятат, че дъщерно дружество на Total е нарушило ЗКП, те имат правото да подадат жалба, като изпратят:

       -   Имейл на адрес: [email protected]

    или

       -   Писмо до адрес TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Субектите на данни ще бъдат информирани относно статута на техните жалби и евентуалните по-нататъшни стъпки.

    Вътрешната процедура за разглеждане на жалби е описана в ПРИЛОЖЕНИЕ 2 по-нататък.

    Фактът, че субектите на данни могат да подават жалби до Total, не засяга правото им да подадат жалба до компетентните органи за защита на данните от ЕИЗ или да заведат дело в съдилищата на страната от ЕИЗ, в която се намира седалището на дъщерното дружество на Total, отговорно за изнасянето на личните данни.

  6.    Управление

    Вътрешна „мрежа за защита на личните данни“ отговаря за наблюдението и контрола на прилагането на ЗКП в рамките на групата. Тя включва:
       •   Упълномощено лице по поверителността на корпоративните данни, което осъществява наблюдение и следи действията за осигуряване на спазването на ЗКП на ниво група;
       •   Упълномощени лица по поверителността на данните в подразделенията, които ръководят и координират действията за осигуряване на спазването на ЗКП на ниво подразделение;
       •   Лица за връзка по поверителността на данните, които ръководят и координират действията за осигуряване на спазването на ЗКП на ниво филиал.

  7.    Вътрешен контрол и одит

    За да се гарантира правилното прилагане на нашите ЗКП, са внедрени определени механизми за вътрешен контрол и одит.

    Мрежата за защита на личните данни съставя годишен план за вътрешен контрол с цел оценка на нивото на съответствие на обработването на данни в групата с изискванията на нашите ЗКП. Създадена е също така система за редовно отчитане на плановете за действие, които се съставят след направените оценки.

    Освен това, дирекцията за вътрешни одити на групата също включва схемата за контрол на защитата на личните данни в своя план за периодични одити.

  8.    Промени в правилата на Total

    При необходимост нашите ЗКП могат да бъдат допълвани или актуализирани.

  9.    Допълнителна информация
    Можете да получите копие от пълната версия на нашите ЗКП, както и списък на дъщерните дружества на Total, които са ги приели, като изпратите имейл на адрес: [email protected]
     

    1 Лични данни означава всяка информация, която дава възможност за пряка или косвена идентификация на физическо лице.
    2 ЕИЗ означава държавите–членки на Европейския съюз плюс Исландия, Лихтенщайн и Норвегия.
    3 Обработване означава всяка операция, извършвана с лични данни чрез автоматични или други средства (като напр.: събиране, записване, съхранение, унищожаване…).
    4 Обмен означава всички виртуални и физически прехвърляния на лични данни с произход от ЕИЗ от една страна в друга.

ПРИЛОЖЕНИЕ 1
ПРАВА НА БЕНЕФИЦИЕНТИТЕ – ТРЕТИ СТРАНИ

Нашите ЗКП дават права на субектите на данни да прилагат правилата като бенефициенти – трети страни.

По-специално, те могат да прилагат следните принципи съгласно условията, определени в нашите ЗКП:

  • Всяка операция за обработване, осъществявана в рамките на групата, трябва да има законно основание съгласно разпоредбите на действащото законодателство
  • Total трябва да събира и обработва лични данни за законни, изрично указани цели и няма право да обработва допълнително никакви лични данни по начин, несъвместим с целите, за които те са събрани
  • Total трябва да обработва само лични данни, които са релевантни и не надхвърлят необходимото във връзка с целите, за които се събират, като тези данни трябва да бъдат точни и, при необходимост, да се актуализират своевременно
  • На субектите на данни трябва да бъде осигурен лесен и постоянен достъп до информацията относно техните права съгласно настоящите ЗКП
  • Субектите на данни, чиито лични данни са с произход от ЕИЗ, трябва да имат право на достъп, коригиране и на оспорване на обработването на техните лични данни в съответствие с действащото законодателство
  • Субектите на данни, чиито лични данни са с произход от ЕИЗ, не могат да бъдат обект на решение, което поражда правни последствия за тях или се отразява съществено върху тях и което е базирано единствено на автоматизирано обработване на лични данни, целящо да се оценят определени лични аспекти, свързани с тях, освен когато въпросното решение:
    • Е взето в хода на сключване или при изпълнението на договор, при условие, че искането за сключване или изпълнението на договора, подадено от субекта на данните, е било удовлетворено или че съществуват подходящи мерки за гарантиране на неговите законни интереси, като например разпоредби, които му позволяват да изразява собствената си гледна точка, или
    • Е разрешено от действащото законодателство, което също така определя мерки за гарантиране на законните интереси на субекта на данните
  • Total трябва да прилага подходящи мерки за гарантиране на сигурността и поверителността на личните данни, като отчита най-новите технологични постижения и разходите по тяхното внедряване
  • Total трябва да сключва писмен договор за обработване с всеки доставчик на услуги, използван за обработване на лични данни, указващ, че доставчикът на услуги ще действа само съгласно инструкциите на Total и ще прилага подходящи мерки за сигурност и поверителност
  • Total не може да прехвърля лични данни от държава–членка на ЕИЗ или с произход от ЕИЗ на компании, които не са част от групата и са разположени в трета страна, която не гарантира нужното ниво на защита на данните (като външен администратор на данни или обработващ данни), без законно основание съгласно действащото законодателство и инструменти, осигуряващи достатъчни гаранции
  • Всяко дъщерно дружество на Total е длъжно незабавно да уведоми износителя на данните, ако въпросното дъщерно дружество на Total смята, че има вероятност приложимото законодателство в неговата юрисдикция да му попречи да изпълни задълженията си съгласно ЗКП на Total и да повлияе отрицателно на гаранциите, предлагани от настоящите ЗКП, освен когато това е забранено от правоприлагащ орган, и по-специално в резултат на забрана съгласно наказателното право, за да се запази поверителността на наказателно производство
  • Всеки субект на данни може да подаде жалба до Total чрез международния механизъм за жалби, в съответствие с условията, посочени в раздел „Разглеждане на жалби“
  • Всяко дъщерно дружество на Total, което е приело ЗКП, е длъжно да сътрудничи на компетентните надзорни органи, да спазва техните препоръки относно международния обмен на данни в случай на жалба или на конкретно искане от страна на такива органи, и да приема да му бъде направен одит от надзорния орган в страната, в която е учредено
  • Всеки субект на данни може да подаде жалба до националния надзорен орган или да заведе дело пред съда на държавата–членка на ЕИЗ, в която е установен износителят на данните, за да приложи горните принципи и, където това е целесъобразно, да бъде овъзмезден за щетите, претърпени в резултат на неспазването на ЗКП на Total. Ако, в хода на прехвърляне на лични данни извън ЕИЗ, вносителят на данните не спази ЗКП на Total, износителят на данните може да оспори евентуалните искове, да установи, че вносителят на данните не е нарушил ЗКП и да изплати обезщетение на субекта на данните за щетите, претърпени в резултат на това нарушение.

ПРИЛОЖЕНИЕ 2
ВЪТРЕШНА ПРОЦЕДУРА ЗА РАЗГЛЕЖДАНЕ НА ЖАЛБИ

Ако субект на данни смята, че дъщерно дружество на Total не е спазило ЗКП на Total, той може да подаде жалба в съответствие с процедурата за жалби, установена от съответната политика за поверителност или договор, или в съответствие с процедурата, описана по-долу.

  1.    Как се подава жалба

    Субектите на данни могат да подават жалби, като изпратят:

       -   Имейл на адрес: [email protected]

    или

       -   Писмо до адрес TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Жалбата трябва да съдържа ясно описание с възможно най-големи подробности на възникналия проблем, включително:

       -   Съответната страна и дъщерното дружество на Total, позицията на субекта на данните относно нарушението на ЗКП и исканата компенсация

       -   Пълното име и данните за връзка със субекта на данните, както и копие от личната му карта или някакъв друг документ, удостоверяващ самоличността му

       -   Евентуалната предишна кореспонденция по конкретния проблем.

  2.    Отговор от Total

    В срок от три месеца от датата на получаване на жалбата от Total, съответното упълномощено лице по поверителността на данните (Branch Data Privacy Lead, BDPL) информира писмено субекта на данните относно приемливостта на жалбата и, ако тя е приемлива, за действията за отстраняване на проблема, които Total е предприела или ще предприеме в отговор на жалбата. Съответният BDPL гарантира предприемането при необходимост на подходящи мерки за отстраняване на проблема, за да се постигне съответствие със ЗКП.

    Съответният BDPL изпраща копие от жалбата и евентуалния писмен отговор на упълномощеното лице по поверителността на корпоративните данни (Corporate Data Privacy Lead, CDPL).

  3.    Процедура за обжалване

    Ако субектът на данните не е доволен от отговора на съответния BDPL (напр. ако жалбата е отхвърлена), той може да се обърне към CDPL, като му изпрати имейл или писмо на горепосочените адреси. CDPL преразглежда жалбата и взема решение в срок от три месеца от датата на получаване на искането. След този срок CDPL информира субекта на данните, ако първоначалният отговор остава в сила, или му изпраща нов отговор.

    Фактът, че субектите на данни могат да подават жалби до Total, не засяга правото им да подадат жалба до компетентния национален надзорен орган или да заведат дело в съда на държавата членка на ЕИЗ, в която се намира износителят на данните.