Мы применяем файлы cookies для предоставления индивидуализированного контента, использования возможностей социальных сетей и анализа посещений нашего веб-сайта. Мы также передаем информацию о вашем пользовании нашим веб-сайтом нашим социальным сетям и партнерам по аналитической обработке данных. Наши партнеры могут комбинировать эти сведения с другой информацией, которую вы им предоставили или которую они получили при использовании вами их сервисов.
Принимать все
Настроить
Please check an answer for every question.
We use cookies to personalise content, to provide social media features and to analyse our traffic. We also share information about your use on our site with our socal media and analytics partners who may combine it with other information that you've provided to them or that they've collected from your use of their services.

КРАТКАЯ ВЕРСИЯ ОБЯЗАТЕЛЬНЫХ КОРПОРАТИВНЫХ ПРАВИЛ «ТОТАЛЬ»

КРАТКАЯ ВЕРСИЯ
ОБЯЗАТЕЛЬНЫХ КОРПОРАТИВНЫХ ПРАВИЛ «ТОТАЛЬ»

  1.    Введение

    Концерн «Тоталь» (именуемый в дальнейшем «Тоталь») продвигает культуру и методы защиты персональных данных1 в соответствии с применимым законодательством. В этих целях «Тоталь» ввел Обязательные корпоративные правила («ОКП»).

    В настоящем документе в кратком виде приведены принципы защиты данных, применяемые в рамках наших ОКП, и предоставляемые ими права.
     

  2.    Цель

    Наши ОКП представляют собой набор внутрикорпоративных обязательных правил, применяющихся во всех дочерних структурах «Тоталь», которые их внедрили. Они были утверждены европейскими органами по надзору за соблюдением законодательства о защите персональных данных.

    ОКП позволяют дочерним структурам «Тоталь» передавать персональные данные, происходящие из Европейской экономической зоны («ЕЭЗ»)2, дочерним структурам «Тоталь», находящимся за пределами ЕЭЗ, в соответствии с применимым законодательством.
     

  3.    Объем применения

    Наши ОКП применяются ко всем персональным данным, происходящим из ЕЭЗ и обрабатываемым дочерними структурами «Тоталь», в т.ч. к данным бывших и действующих работников, кандидатов, клиентов и потенциальных клиентов, поставщиков и субподрядчиков, персонала внешних компаний, действующего по поручению дочерних структур концерна, а также акционеров (именуемых в дальнейшем «субъекты персональных данных»).
     

  4.    Принципы защиты

    Должны соблюдаться следующие принципы, сформулированные в наших ОКП:

       •   Законность

    Любая операция обработки данных3 выполняется на законной основе, обеспеченной применимым законодательством.

    Персональные данные могут подвергаться обработке только в законных, определенных и оправданных целях. Данные не должны также подвергаться обработке способами, несовместимыми с такими целями.

       •   Уместность

    Персональные данные должны быть точными и пропорциональными цели обработки с точки зрения качества и количества.

       •   Прозрачность

    Персональные данные должны быть получены на законном основании и без обмана. Субъекты персональных данных должны быть проинформированы о характеристиках обработки их персональных данных и об их правах, кроме случаев, когда это невозможно или связано с несоразмерными усилиями.

       •   Безопасность

    Защита персональных данных должна быть обеспечена за счет надлежащих мер безопасности для ограничения риска несанкционированного доступа, уничтожения, модификации или утраты.

    В этих целях применяется комплекс внутрикорпоративных норм, позволяющих обеспечивать безопасность и конфиденциальность персональных данных:

       •   Хартия использования ресурсов ИТ и коммуникационных ресурсов, требующая действовать в соответствии с регламентом и правилами конфиденциальности;
       •   Политика безопасности информационных систем, определяющая методику управления безопасностью информационных систем;
       •   Справочная система безопасности информационных систем, где в рамках 19 детализированных тем перечислены различные требования концерна с точки зрения безопасности информационных систем;
       •   Политика защиты информации, представляющая требования по защите конфиденциальности, целостности и доступности информации, которая хранится и циркулирует внутри концерна.

    При обращении к услугам внешних подрядчиков для обработки персональных данных дочерняя структура «Тоталь» должна удостовериться, что такие подрядчики обеспечивают достаточные гарантии в отношении безопасности и конфиденциальности данных.

       •   Срок хранения

    Персональные данные должны храниться только в течение разумного и не излишне длительного срока с точки зрения цели обработки.

    По истечении срока хранения данные уничтожаются, обезличиваются или архивируются.

       •   Трансграничная передача4 персональных данных

    «Тоталь» не осуществляет передачу персональных данных, происходящих из какой-либо страны ЕЭЗ, напрямую дочерним структурам «Тоталь» в третьих странах, не обеспечивающих надлежащий уровень защиты, если такие дочерние структуры не присоединились официально к ОКП или не используют иной правовой инструмент, признаваемый Европейской комиссией.

    «Тоталь» не осуществляет передачу персональных данных, происходящих из какой-либо страны ЕЭЗ, напрямую компаниям, не входящим в состав концерна, в странах, не обеспечивающих надлежащий уровень защиты данных (управляющий данными и оператор персональных данных), без законного основания в рамках применимого права и инструментов, обеспечивающих достаточные меры предосторожности, таких как стандартные договорные положения.

    Аналогичным образом, если импортер данных далее передает персональные данные, происходящие из какой-либо страны ЕЭЗ, не входящей в состав концерна компании (управляющий данными и оператор персональных данных), расположенной в стране, которая не обеспечивает надлежащий уровень защиты данных, такой импортер данных должен заключить с этой компанией соглашение, по которому она обязуется соблюдать принципы ОКП.
     

  5.    Права субъекта персональных данных

    В соответствии с нашими ОКП субъекты, персональные данные которых подвергаются обработке, имеют следующие права:

       •   право доступа к данным

       •   право на уточнение, уничтожение и блокирование данных

       •   право на возражение против обработки

       •   право на ограничение обработки

    [Полный перечень прав, предоставляемых согласно ОКП, приведен ниже в ПРИЛОЖЕНИИ 1].

    Субъекты персональных данных могут осуществлять эти права, направив запрос по контактному адресу, указанному в официальном уведомлении об обработке их данных. Дочерние структуры «Тоталь» обязуются отвечать на запросы в определенные законом сроки для запросов, касающихся обработки данных за пределами ЕЭЗ.

    Кроме того, если субъекты персональных данных считают, что дочерняя структура «Тоталь» не обеспечила соблюдение ОКП, они имеют право подать жалобу:

       -   по электронной почте по адресу: data-protection@total.com

    или

       -  письмом по адресу: «ТОТАЛЬ» - ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ, пляс Жан Милье, д. 2, Арш Нор Куполь/Реньо, ПАРИЖ – ЛА ДЕФАНС СЕДЕКС 92078 (TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX).

    Субъекты персональных данных будут получать информацию о статусе их жалоб и о каких-либо дальнейших шагах.

    Внутренняя процедура рассмотрения жалоб описана ниже в ПРИЛОЖЕНИИ 2.

    Тот факт, что субъекты персональных данных могут подать жалобу в «Тоталь», не затрагивает их права по подаче жалоб в компетентные органы ЕЭЗ по надзору за соблюдением законодательства о защите персональных данных или по подаче исков в суды в стране ЕЭЗ, где находится дочерняя структура «Тоталь», отвечающая за экспорт персональных данных.
     

  6.    Управление

    Внутренняя «сеть защиты персональных данных» осуществляет мониторинг и контроль применения ОКП в концерне. В ее состав входят:
       •   Корпоративный руководитель по защите персональных данных, осуществляющий мониторинг и контроль за мерами по обеспечению соответствия требованиям на уровне концерна;
       •   Руководитель по защите персональных данных на уровне подразделения, возглавляющий и координирующий меры по обеспечению соответствия требованиям на уровне подразделения;
       •   Контактные лица по защите персональных данных, возглавляющие и координирующие меры по обеспечению соответствия требованиям на уровне аффилированной структуры.
     

  7.    Внутренний контроль и аудит

    Для обеспечения надлежащего применения наших ОКП был внедрен ряд механизмов внутреннего контроля и аудита.

    Сеть защиты персональных данных определяет ежегодный план по внутреннему контролю для оценки уровня соответствия обработки данных в концерне требованиям наших ОКП. Существует также регулярная отчетность по планам действий, составленным после проведения оценок.

    Кроме того, Управление внутреннего аудита концерна включает также контроль схемы защиты персональных данных в свой план периодического аудита.
     

  8.    Изменения правил «Тоталь»

    При необходимости наши ОКП могут дополняться или обновляться.
     

  9.    Дальнейшая информация
    Экземпляр полной версии наших ОКП, а также перечень дочерних структур «Тоталь», присоединившихся к ОКП, можно получить, направив электронное письмо по адресу: data-protection@total.com
     

    1 Под персональными данными понимается любая информация, позволяющая прямую или опосредованную идентификацию физического лица.
    2 ЕЭЗ означает государства-члены Европейского Союза, а также Исландию, Лихтенштейн и Норвегию.
    3 Под обработкой понимается любая операция, выполняемая с персональными данными как с использованием средств автоматизации, так и без использования таких средств (например, сбор, запись, хранение, уничтожение и т.д.).
    4 Под передачей понимаются все виртуальные и физические обмены персональными данными, происходящими из какой-либо страны ЕЭЗ, между разными странами.

ПРИЛОЖЕНИЕ 1
ПРАВА СТОРОННИХ БЕНЕФИЦИАРОВ

Наши ОКП предоставляют Субъектам персональных данных права на обеспечение исполнения правил в качестве сторонних выгодоприобретателя.

Более конкретно они могут обеспечивать соблюдение следующих принципов в соответствии с положениями и условиями, определенными в наших ОКП:

  • Любая операция обработки данных в концерне должна выполняться на законной основе, обеспеченной применимым законодательством;
  • «Тоталь» должен осуществлять сбор и обработку персональных данных только в законных, определенных и четко обозначенных целях, а также должен не подвергать какие-либо персональные данные обработке способами, несовместимыми с целями, для которых осуществлялся их сбор;
  • «Тоталь» должен осуществлять обработку персональных данных, являющихся уместными и не излишними для целей их сбора; и эти данные должны быть точными и обновляться при необходимости;
  • Субъектам персональных данных должен быть предоставлен удобный и постоянный доступ к информации по их правам в рамках данных ОКП;
  • Субъекты персональных данных, происходящих из ЕЭЗ, должны иметь право доступа, право на уточнение и на возражение против обработки их персональных данных в соответствии с применимым законодательством;
  • На субъекты персональных данных, происходящих из ЕЭЗ, не должны распространяться решения, имеющие юридические последствия для них или существенно их затрагивающие, если такие решения основаны исключительно на автоматизированной обработке персональных данных, предназначенных для оценки связанных с ними определенных персональных аспектов, кроме случаев, когда такие решения:
    • принимаются в ходе заключения или выполнения контракта, при условии, что запрос на заключение или выполнение контракта, поданный субъектом персональных данных, был удовлетворен, или что существуют подходящие меры для охраны его/ее законных интересов, такие как средства выражения его/ее точки зрения; или
    • разрешены применимым законодательством, устанавливающим также меры для охраны законных интересов субъекта персональных данных.
  • «Тоталь» должен проводить в жизнь соответствующие меры для обеспечения безопасности и конфиденциальности персональных данных с учетом уровня современного технического развития и стоимости их применения;
  • «Тоталь» должен заключить в письменном виде соглашение об обработке данных с любым поставщиком услуг по обработке персональных данных, где будет указано, что поставщик услуг должен действовать только согласно инструкциям «Тоталь» и применять надлежащие меры по обеспечению безопасности и конфиденциальности;
  • «Тоталь» не должен осуществлять передачу персональных данных из какой-либо страны ЕЭЗ, или происходящих из ЕЭЗ, компаниям, не входящим в состав концерна и находящимся в третьих странах, не обеспечивающих надлежащий уровень защиты данных (либо управляющий данными, либо оператор персональных данных), без законного основания в рамках применимого права и инструментов, обеспечивающих достаточные меры предосторожности;
  • Дочерняя структура «Тоталь» должна незамедлительно проинформировать экспортера данных в случае, если эта дочерняя структура «Тоталь» считает, что применимое в ее юрисдикции законодательство может помешать ей в выполнении ее обязательств в рамках ОКП «Тоталь» и иметь отрицательные последствия для гарантий, предоставляемых этими ОКП, кроме случая, когда это запрещается правоохранительными органами, в частности, в результате запрещения в соответствии с уголовным законодательством для сохранения конфиденциальности следствия;
  • Любые субъекты персональных данных могут подать жалобу в «Тоталь» с помощью внутреннего механизма подачи жалоб в соответствии с положениями и условиями раздела «Обработка жалоб»;
  • Любые дочерние структуры «Тоталь», присоединившиеся к ОКП, должны сотрудничать с компетентными органами надзора, следовать их рекомендациям в отношении трансграничной передачи данных в случае жалобы или особого запроса со стороны таких органов и соглашаться на выполнение аудита органом надзора страны, где они ведут свою деятельность;
  • Любой субъект персональных данных может подать жалобу в национальные органы надзора или подать иск в суд той страны ЕЭЗ, где ведет свою деятельность экспортер данных, для обеспечения соблюдения вышеприведенных принципов и, в необходимых случаях, для получения компенсации за ущерб, понесенный в результате нарушения ОКП «Тоталь». Если, в ходе передачи персональных данных за пределы ЕЭЗ, импортер данных допустит несоблюдение ОКП «Тоталь», экспортер данных будет выступать ответчиком по иску, подтверждать, что импортер данных не нарушил ОКП, и выплачивать компенсацию субъекту персональных данных за ущерб, причиненный в результате такого нарушения.

ПРИЛОЖЕНИЕ 2
ВНУТРЕННЯЯ ПРОЦЕДУРА РАССМОТРЕНИЯ ЖАЛОБ

Если субъекты персональных данных считают, что дочерняя структура «Тоталь» не обеспечила соблюдение ОКП, они имеют право подать жалобу в соответствии с процедурой, установленной соответствующими политикой соблюдения конфиденциальности или контрактом, или же в соответствии с нижеописанной процедурой.

  1.    Как подать жалобу

    Субъекты персональных данных могут подать жалобу:

       -   по электронной почте по адресу: data-protection@total.com

    или

       -  письмом по адресу: «ТОТАЛЬ» - ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ, пляс Жан Милье, д. 2, Арш Нор Куполь/Реньо, ПАРИЖ – ЛА ДЕФАНС СЕДЕКС 92078 (TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX).

    В жалобе должна быть четко указана как можно более подробная информация о возникшей проблеме, в том числе о следующем:

       -   затронутые страна и дочерняя структура «Тоталь», представление субъекта персональных данных о нарушении ОКП, запрашиваемая компенсация в связи с восстановлением нарушенных прав;

       -   фамилия и имя субъекта персональных данных, полная контактная информация, а также копия его/ее удостоверения личности или любого иного устанавливающего личность документа;

       -   любая предыдущая корреспонденция по данному конкретному вопросу.
     

  2.    Ответ «Тоталь»

    В срок до трех месяцев с момента получения жалобы в «Тоталь» соответствующий Руководитель по защите персональных данных на уровне подразделения («РЗПДП») в письменном виде проинформирует субъекта персональных данных о приемлемости жалобы для рассмотрения и, если рассмотрение жалобы допустимо, о коррективных мерах, которые со своей стороны принял или примет «Тоталь». Соответствующий РЗПДП по необходимости обеспечит принятие надлежащих коррективных мер для достижения соответствия требованиям ОКП.

    Соответствующий РЗПДП направит копию жалобы и любого ответа в письменном виде Корпоративному руководителю по защите персональных данных («КРЗПД»).
     

  3.    Процесс обжалования

    Если субъект персональных данных не удовлетворен ответом соответствующего РЗПДП (например, если жалоба отклонена), он/она может обратиться к КРЗПД по электронной почте или по почте, как указано выше. КРЗПД рассмотрит жалобу и примет решение в срок до трех месяцев с момента получения запроса. По истечении этого срока КРЗПД проинформирует субъекта персональных данных о сохранении исходного ответа без изменения или сообщит новый ответ.

    Тот факт, что субъекты персональных данных могут подать жалобу в «Тоталь», не затрагивает их права по подаче жалоб в компетентные национальные органы надзора или по подаче исков в суд в стране ЕЭЗ, где экспортер данных ведет свою деятельность.