1. Einführung
Das Unternehmen TotalEnergies (oder „TotalEnergies“) fördert eine Kultur und Verfahren zum Schutz personenbezogener Daten1 im Einklang mit den geltenden Vorschriften. Zu diesem Zweck hat TotalEnergies Binding Corporate Rules (BCR) eingeführt.
Dieses Dokument fasst die Grundsätze für den Schutz personenbezogener Daten zusammen, die gemäß unseren BCR gelten, ebenso wie die Rechte, die sie gewähren.
2. Ziel
Unsere BCR sind eine Reihe verbindlicher interner Regeln, die für alle Gesellschaften des Unternehmens gelten, die sie übernommen haben. Sie wurden von den europäischen Datenschutzbehörden genehmigt.
Sie ermöglichen es den Gesellschaften des Unternehmens, personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR)2 an Gesellschaften des Unternehmens außerhalb des EWR im Einklang mit den geltenden Vorschriften zu übertragen.
3. Anwendungsbereich
Unsere BCR gelten für alle personenbezogenen Daten aus dem EWR, die von den Gesellschaften des Unternehmens verarbeitet werden, einschließlich Daten über Mitarbeiter, Bewerber, Kunden, Interessenten, Lieferanten, Auftragsverarbeiter und Mitarbeiter von Drittunternehmen, die im Auftrag der Gesellschaften des Unternehmens handeln, sowie über Aktionäre (im Folgenden „betroffene Personen“).
4. Grundsätze für den Schutz
Die in unseren BCR dargelegten Grundsätze müssen eingehalten werden.
- Rechtmäßigkeit
Alle durchgeführten Verarbeitungen3 beruhen auf einer Rechtsgrundlage, die im geltenden Recht vorgesehen ist. Personenbezogene Daten dürfen nur für legitime, festgelegte und rechtmäßige Zwecke verarbeitet werden. Die Daten dürfen anschließend nicht in einer Weise verarbeitet werden, die mit diesen Zwecken unvereinbar ist. - Richtigkeit
Personenbezogene Daten müssen sachlich richtig sein und in Qualität und Quantität in einem angemessenen Verhältnis zum Zweck der Verarbeitung stehen. - Transparenz
Personenbezogene Daten müssen nachvollziehbar und auf rechtmäßige Weise beschafft werden. Die betroffenen Personen müssen über die Merkmale der Verarbeitung und ihre Rechte informiert werden, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. - Sicherheit
Personenbezogene Daten müssen angemessenen Sicherheitsmaßnahmen unterzogen werden, um das Risiko eines unberechtigten Zugriffs, der Zerstörung, Veränderung oder des Verlusts zu begrenzen.
Um dies zu erreichen, gelten eine Reihe von internen Standards, die die Sicherheit und Vertraulichkeit personenbezogener Daten gewährleisten:
- Die Charta zur Nutzung von Computer- und Kommunikationsressourcen, die dazu verpflichtet, im Einklang mit den Vorschriften und Vertraulichkeitsregeln zu handeln;
- Die Richtlinie zur Sicherheit von Informationssystemen, die festlegt, wie die Sicherheit von Informationssystemen geregelt wird;
- Der Referenzrahmen für die Sicherheit von Informationssystemen von TotalEnergies, der in 19 detaillierten Themenbereichen alle Anforderungen des Unternehmens in Bezug auf die Sicherheit von Informationssystemen auflistet;
- Die Richtlinie zur Sicherung von Informationswerten, in der die Anforderungen zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Kontrolle der Informationen, die sich im Besitz des Unternehmens befinden und innerhalb des Unternehmens ausgetauscht werden, dargelegt sind. Wenn eine Gesellschaft des Unternehmens einen Dritten mit der Verarbeitung personenbezogener Daten beauftragt, stellt sie sicher, dass dieser ausreichende Garantien in Bezug auf die Sicherheit und Vertraulichkeit der Daten bietet.
- Aufbewahrung
Personenbezogene Daten dürfen nur für einen angemessenen und nicht übermäßig langen Zeitraum im Hinblick auf den Zweck der Verarbeitung aufbewahrt werden. Nach Ablauf der Aufbewahrungsfrist werden die Daten vernichtet, anonymisiert oder archiviert. - Internationale Übermittlung / übermitteln / übermittelt4 personenbezogener Daten
TotalEnergies überträgt keine personenbezogenen Daten aus einem EWR-Land direkt an eine Gesellschaft des Unternehmens, die sich in einem Land befindet, das kein angemessenes Schutzniveau bietet, es sei denn, diese Gesellschaft hat die BCR formell übernommen oder nutzt eines der anderen von der Europäischen Kommission anerkannten Rechtsinstrumente.
TotalEnergies überträgt keine personenbezogenen Daten aus dem EWR direkt an eine Gesellschaft außerhalb des Unternehmens (für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter), das sich in einem Land befindet, das kein angemessenes Schutzniveau bietet, ohne eine Rechtsgrundlage arbeitet, die im geltenden Recht vorgesehen ist, und das nicht über ein System verfügt, das ausreichende Garantien schafft, wie z. B. Standardvertragsklauseln.
Ebenso muss ein Datenimporteur, wenn er personenbezogene Daten aus dem EWR an eine Gesellschaft weiterleitet, die nicht Mitglied des Unternehmens ist (für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter) und sich in einem Land befindet, das kein angemessenes Datenschutzniveau bietet, mit dieser Drittgesellschaft einen Vertrag unterzeichnen, in dem sich die Gesellschaft verpflichtet, die Grundsätze der BCR zu befolgen.
5. Rechte der betroffenen Personen
Unsere BCR erteilen den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, insbesondere die folgenden Rechte:
- Zugriffsrecht auf die Daten,
- Recht auf Berichtigung, Löschung oder Sperrung von Daten,
- Recht auf Widerspruch gegen die Verarbeitung der Daten,
- Recht auf die Begrenzung der Verarbeitung der Daten.
[Eine detaillierte Liste der Rechte ist in ANHANG 1 unter der Überschrift Übermittlung
Jede Person kann ihre Rechte ausüben, indem sie eine Anfrage an die Kontaktperson sendet, die in den Hinweisen zur Verarbeitung ihrer personenbezogenen Daten angegeben ist. TotalEnergies verpflichtet sich, innerhalb der gesetzlichen Frist zu antworten.
Wenn eine Person der Meinung ist, dass eine Gesellschaft des Unternehmens die BCR nicht eingehalten hat, kann sie außerdem eine Beschwerde beim Unternehmen einreichen, indem sie Folgendes sendet:
- Eine E-Mail an: [email protected]
oder
- Einen Brief an die folgende Adresse: TotalEnergies – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
Die Person wird über den Status ihrer Beschwerde und ggf. über die von TotalEnergies geplanten Maßnahmen zur Reaktion auf die Beschwerde informiert.
Das interne Verfahren zum Umgang mit Beschwerden ist in ANHANG 2 unter der Überschrift Übermittlung.
Die Einreichung einer Beschwerde bei TotalEnergies beeinträchtigt nicht das Recht, eine Beschwerde bei den zuständigen Datenschutzbehörden im EWR einzureichen oder eine Klage vor den Gerichten des EWR-Landes zu erheben, in dem die für die Übermittlung der personenbezogenen Daten verantwortliche Gesellschaft des Unternehmens ihren Sitz hat.
6. Corporate Governance
Ein internes Netzwerk „Schutz personenbezogener Daten“ ist für die Überwachung und Kontrolle der Umsetzung der BCRs innerhalb des Unternehmens zuständig. Es besteht aus:
- Einem Koordinator für den Schutz personenbezogener Daten im Unternehmen, der die Maßnahmen zur Einhaltung der Vorschriften auf Unternehmensebene organisiert und überwacht;
- Koordinatoren für den Schutz personenbezogener Daten in Geschäftsbereichen, die die Maßnahmen zur Einhaltung der Vorschriften in ihrer Geschäftsbereiche leiten und koordinieren;
- Beauftragte zum Schutz personenbezogener Daten, die die Maßnahmen zur Einhaltung der Vorschriften auf der Ebene ihrer Einheit oder ihrer Gesellschafte steuern und koordinieren.
7. Interne Kontrolle und Audit
Um die ordnungsgemäße Anwendung unserer BCR zu gewährleisten, werden interne Kontrollmechanismen und Audits eingesetzt. Ein jährlicher interner Kontrollplan wird vom Netzwerk für den Schutz personenbezogener Daten festgelegt, um die Konformität der Datenverarbeitung des Unternehmens mit unseren BCR zu bewerten. Außerdem gibt es ein Reporting-System, in dem regelmäßig über Maßnahmenpläne berichtet wird, die auf die Bewertungen folgen. Darüber hinaus nimmt auch die Abteilung für das interne Audit der Unternehmen die Kontrolle der Vorkehrungen zum Schutz personenbezogener Daten in ihren regelmäßigen Auditplan auf.
8. Aktualisierung der BCR von TotalEnergies
Falls erforderlich, können unsere BCR ergänzt oder aktualisiert werden.
9. Weitere Informationen
Eine Kopie der vollständigen Version unserer BCR sowie eine Liste der Gesellschaften des Unternehmens, die sie übernommen haben, können per E-Mail an die folgende Adresse angefordert werden:
1 Personenbezogene Daten sind alle Informationen, anhand derer eine natürliche Person direkt oder indirekt identifiziert werden kann.
2 EWR: Mitgliedsstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.
3 Eine Verarbeitung ist jeder Vorgang, der mithilfe automatisierter Verfahren durchgeführt oder nicht durchgeführt wird und auf personenbezogene Daten angewendet wird (z. B. Erfassen, Speichern, Aufbewahren, Vernichten usw.).
4 Die Übermittlung betrifft jeden virtuellen oder physischen Austausch von personenbezogenen Daten aus dem EWR von einem Land in ein anderes.
RECHTE VON DRITTBEGÜNSTIGTEN
Unsere BCR räumen den betroffenen Personen das Recht ein, sie als Drittbegünstigte durchzusetzen.
Insbesondere können sie die folgenden Grundsätze gemäß den in unseren BCR formulierten Modalitäten und Bedingungen durchsetzen lassen:
-
Jede innerhalb der Unternehmen durchgeführte Verarbeitung beruht auf einer Rechtsgrundlage, die im geltenden Recht vorgesehen ist;
-
TotalEnergies darf personenbezogene Daten ausschließlich für legitime, festgelegte und explizite Zwecke erfassen und verarbeiten und darf personenbezogene Daten nicht in einer Weise weiterverarbeiten, die mit dem Zweck, für den sie erfasst wurden, unvereinbar ist;
-
TotalEnergies darf personenbezogene Daten nur für die Zwecke verarbeiten, für die sie erfasst wurden, relevant sind und nicht darüber hinausgehen, und die personenbezogenen Daten müssen korrekt sein und gegebenenfalls aktualisiert werden;
-
Die betroffenen Personen können jederzeit leicht auf Informationen über ihre Rechte aus den BCR zugreifen;
-
Betroffene Personen, deren personenbezogene Daten aus dem EWR stammen, haben das Recht auf Zugang, Berichtigung und Widerspruch gegen die Verarbeitung ihrer Daten gemäß dem geltenden Recht;
-
Betroffene Personen, deren personenbezogene Daten aus dem EWR stammen, dürfen keiner Entscheidung unterworfen werden, die ihnen gegenüber rechtliche Wirkung verursacht oder sie erheblich beeinträchtigt, und die allein auf der Grundlage einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung bestimmter Aspekte ihrer Persönlichkeit getroffen wird, es sei denn, eine solche Entscheidung:
-
Ist im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags erfolgt, vorausgesetzt, dass der Antrag der betroffenen Person auf Abschluss oder Erfüllung des Vertrags erfüllt wurde oder dass geeignete Maßnahmen, wie beispielsweise die Möglichkeit, ihren Standpunkt darzulegen, die Wahrung ihres berechtigten Interesses gewährleisten; oder
-
Ist nach dem geltenden Recht zulässig, das auch die Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person festlegt;
-
-
TotalEnergies muss geeignete Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten ergreifen, wobei der Stand der Technik zu berücksichtigen ist, und ob die mit der Umsetzung verbundenen Kosten angemessen sind;
-
TotalEnergies muss mit jedem Auftragnehmer, der personenbezogene Daten verarbeitet, eine schriftliche Unterauftragsvereinbarung abschließen, die vorsieht, dass der Auftragnehmer auf Anweisung von TotalEnergies handelt und geeignete Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten ergreift;
-
TotalEnergies überträgt keine Daten aus einem Mitgliedsstaat des EWR oder aus dem EWR an eine Gesellschaft, die nicht zum Unternehmen gehört und sich in einem Drittland befindet, das kein angemessenes Schutzniveau bietet (sei es ein externer Datenverarbeiter oder ein Unterauftragsverarbeiter), ohne eine Rechtsgrundlage, die im geltenden Recht vorgesehen ist, und ohne ein System, das ausreichende Garantien bietet;
-
Wenn eine Gesellschaft des Unternehmens der Ansicht ist, dass die für sie geltende Gesetzgebung sie daran hindern könnte, ihre Verpflichtungen gemäß den BCR von TotalEnergies zu erfüllen, und sich negativ auf die Garantien auswirken könnte, die diese BCR bieten, muss diese Gesellschaft den Datenexporteur unverzüglich darüber informieren, es sei denn, dies wird von einer Strafverfolgungsbehörde untersagt, insbesondere aufgrund eines strafrechtlichen Verbots zur Wahrung des Untersuchungsgeheimnisses;
-
Jede betroffene Person kann eine Beschwerde bei TotalEnergies über das interne Beschwerdemanagementverfahren gemäß den Bedingungen im Kapitel „Beschwerdemanagement“ einreichen;
-
Die Gesellschaften des Unternehmens, die die BCR übergenommen haben, müssen mit den zuständigen Aufsichtsbehörden zusammenarbeiten, deren Empfehlungen zur internationalen Datenübermittlung im Falle von Beschwerden oder besonderen Anfragen dieser Behörden befolgen und sich bereit erklären, sich jeder Prüfung durch die Aufsichtsbehörde ihres Niederlassungslandes zu unterziehen;
-
Jede betroffene Person kann eine Beschwerde bei den nationalen Aufsichtsbehörden oder eine Klage vor dem Gericht des EWR-Mitgliedsstaates, in dem der Datenexporteur niedergelassen ist, einreichen, um die oben genannten Grundsätze durchzusetzen und gegebenenfalls eine Entschädigung für den Schaden zu erhalten, der ihr durch eine Verletzung der BCR von TotalEnergies entstanden ist. Wenn der Datenimporteur bei der Übertragung personenbezogener Daten außerhalb des EWR die BCR von TotalEnergies nicht einhält, obliegt es dem Datenexporteur, die Beschwerde anzufechten, nachzuweisen, dass der Datenimporteur nicht gegen die BCR verstoßen hat, und die betroffene Person für den Schaden zu entschädigen, der ihr durch diesen Verstoß entstanden ist.
INTERNES VERFAHREN ZUM UMGANG MIT BESCHWERDEN
Wenn eine betroffene Person der Ansicht ist, dass eine Gesellschaft des Unternehmens die BCR von TotalEnergies nicht eingehalten hat, kann sie eine Beschwerde gemäß dem Verfahren einreichen, das in den verarbeitungsspezifischen Hinweisen oder in dem anwendbaren Vertrag festgelegt ist, oder gemäß dem nachstehend beschriebenen Verfahren.
1. Wie wird eine Beschwerde eingereicht?
Die betroffene Person kann eine Beschwerde einreichen, indem sie Folgendes sendet:
- Eine E-Mail an: [email protected]
oder
- Einen Brief an die folgende Adresse: TotalEnergies – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.
Die Beschwerde sollte eine möglichst detaillierte Beschreibung des angesprochenen Problems enthalten, die insbesondere Folgendes angibt:
- Das betroffene Land und das betroffene Unternehmen, die Verletzung der BCR nach Ansicht der betroffenen Person, die geforderte Wiedergutmachung;
- Name, Vorname und Kontaktdaten der betroffenen Person sowie eine Kopie ihres Personalausweises oder eines anderen Dokuments, das ihre Identifizierung ermöglicht;
- Jegliche frühere Korrespondenz, die sich auf das beschriebene Problem bezieht.
2. Antwort von TotalEnergies
Innerhalb von drei Monaten nach Eingang der Beschwerde wird die betroffene Person schriftlich darüber informiert, ob ihre Beschwerde zulässig ist und, falls sie für zulässig befunden wird, welche Abhilfemaßnahmen TotalEnergies ergriffen hat oder in Erwägung zieht, um der Beschwerde nachzukommen. Der zuständige Koordinatoren für den Schutz personenbezogener Daten in dem betreffenden Geschäftsbereich (oder „Branch Data Privacy Lead“ oder BDPL) stellt sicher, dass, falls erforderlich, geeignete Korrekturmaßnahmen zur Einhaltung der BCR von TotalEnergies durchgeführt werden.
Der zuständige BDPL übermittelt eine Kopie der Beschwerde und aller schriftlichen Antworten an den Koordinator für den Schutz personenbezogener Daten (oder „Corporate Data Privacy Lead“ oder CDPL).
3. Beschwerdemechanismus
Wenn die betroffene Person mit der Antwort des zuständigen BDPL nicht zufrieden ist (z. B. wenn die Beschwerde abgelehnt wurde), kann sie sich mit dem CDPL in Verbindung setzen, indem sie eine E-Mail oder einen Brief an die oben genannte Adresse schickt. Der CDPL prüft die Beschwerde und trifft innerhalb von drei Monaten nach Eingang des Antrags eine Entscheidung. Innerhalb dieser Frist teilt der CDPL der betroffenen Person mit, ob er die ursprüngliche Antwort bestätigt oder legt ihr anderenfalls eine neue Antwort vor.
Die Möglichkeit der betroffenen Personen, eine Beschwerde bei TotalEnergies einzureichen, beeinträchtigt in keiner Weise ihr Recht, eine Beschwerde bei der zuständigen nationalen Aufsichtsbehörde oder eine Klage vor dem Gericht des EWR-Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat, einzureichen.