Skip to content

Bindende bedrijfsregels van TotalEnergies

1. Inleiding

Het bedrijf TotalEnergies (of 'TotalEnergies') bevordert een cultuur en praktijken die gericht zijn op de bescherming van persoonsgegevens1, in overeenstemming met de toepasselijke regelgeving. Hiertoe heeft TotalEnergies Binding Corporate Rules ('BCR' - bindende bedrijfsregels) geïntroduceerd. 

Dit document geeft een samenvatting van de principes voor de bescherming van persoonsgegevens die van toepassing zijn onder onze BCR, en de rechten die deze toekennen. 

2. Doel

Onze BCR zijn een reeks bindende interne regels die van toepassing zijn op alle ondernemingen van het bedrijf die de regels hebben aangenomen. De regels zijn goedgekeurd door de Europese gegevensbeschermingsautoriteiten. 

Ze stellen de ondernemingen van het bedrijf in staat om persoonsgegevens die afkomstig zijn uit de Europese Economische Ruimte ('EER')2 door te geven aan ondernemingen van het bedrijf die buiten de EER zijn gevestigd, in overeenstemming met de toepasselijke regelgeving. 

3. Toepassingsgebied

Onze BCR zijn van toepassing op alle persoonsgegevens die afkomstig zijn uit de EER en die worden verwerkt door de ondernemingen van het bedrijf, met inbegrip van gegevens met betrekking tot werknemers, sollicitanten, klanten, gegadigden, leveranciers, onderaannemers en personeel van derde bedrijven die handelen namens de ondernemingen van het bedrijf, evenals aandeelhouders (hierna 'Betrokken personen').  

4. Beschermingsprincipes

De principes in ons BCR moeten worden gerespecteerd.  

  • Wettigheid
    Elke verwerking3 die wordt uitgevoerd, heeft een rechtsgrondslag waarin de toepasselijke wetgeving voorziet. Persoonsgegevens mogen alleen worden verwerkt voor legitieme, specifieke en rechtmatige doeleinden. De gegevens mogen dan niet worden verwerkt op een manier die onverenigbaar is met deze doeleinden. 
  • Relevantie
    Persoonsgegevens moeten nauwkeurig zijn en in kwaliteit en kwantiteit in verhouding staan tot het doel van de verwerking.
  • Transparantie
    Persoonsgegevens moeten eerlijk en rechtmatig worden verkregen. Betrokken personen moeten worden geïnformeerd over de kenmerken van de verwerking en over hun rechten, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.
  • Beveiliging
    Persoonsgegevens moeten worden onderworpen aan passende beveiligingsmaatregelen om de risico's van onbevoegde toegang, vernietiging, wijziging of verlies te beperken.

Om dit te bereiken wordt een reeks interne normen toegepast om de veiligheid en vertrouwelijkheid van persoonsgegevens te garanderen: 

  • Het Handvest voor het gebruik van IT- en communicatiemiddelen, dat vereist dat de voorschriften en vertrouwelijkheidsregels worden nageleefd; 
  • Het beleid voor de beveiliging van informatiesystemen, waarin het beheer van de beveiliging van informatiesystemen wordt gedefinieerd; 
  • Het kader voor de beveiliging van informatiesystemen van TotalEnergies, waarin alle vereisten van het bedrijf op het gebied van de beveiliging van informatiesystemen in 19 gedetailleerde thema's zijn opgenomen; 
  • De Informatiebeveiligingsrichtlijn, die de vereisten uiteenzet voor de bescherming van de vertrouwelijkheid, integriteit, beschikbaarheid en controle van informatie die binnen het bedrijf wordt bewaard en uitgewisseld. Wanneer het bedrijf een derde inschakelt om persoonsgegevens te verwerken, zorgt het ervoor dat deze derde voldoende garanties biedt op het gebied van gegevensbeveiliging en vertrouwelijkheid. 
  • Bewaartermijn
    Persoonsgegevens mogen alleen worden bewaard voor een redelijke en niet-excessieve periode in verhouding tot het doel van de verwerking. Als de bewaartermijn is verstreken, worden de gegevens vernietigd, geanonimiseerd of gearchiveerd.
  • Internationale overdracht4 van persoonsgegevens
    TotalEnergies geeft geen persoonsgegevens die afkomstig zijn uit een EER-land rechtstreeks door aan een bedrijf dat gevestigd is in een land dat geen passend beschermingsniveau biedt, behalve wanneer het bedrijf formeel het BCR heeft aangenomen of een van de andere juridische instrumenten gebruikt die door de Europese Commissie zijn erkend. 
    TotalEnergies geeft geen persoonsgegevens die afkomstig zijn uit de EER rechtstreeks door aan een bedrijf buiten het Bedrijf (gegevensbeheerder of -verwerker), dat gevestigd is in een land dat geen passend beschermingsniveau biedt, zonder een rechtsgrondslag die wordt verschaft door de toepasselijke wetgeving en zonder een mechanisme dat voldoende waarborgen biedt, zoals standaard contractuele clausules. 
    Ook wanneer de gegevensimporteur vervolgens persoonsgegevens afkomstig uit de EER doorgeeft aan een bedrijf dat geen lid is van de Vennootschap (gegevensbeheerder of gegevensverwerker) en gevestigd is in een land dat geen adequaat niveau van gegevensbescherming biedt, moet deze een contract ondertekenen met dit derde bedrijf waarin laatstgenoemd bedrijf zich ertoe verbindt de beginselen van het BCR na te leven. 

5. Rechten van de Betrokken personen 

Onze BCR verlenen met name de volgende rechten aan Betrokken personen van wie persoonsgegevens worden verwerkt: 

  • Recht op toegang tot gegevens, 

  • Recht op rectificatie, verwijdering of blokkering van gegevens, 

  • Recht om bezwaar te maken tegen gegevensverwerking, 

  • Recht om gegevensverwerking te beperken. 

[Een gedetailleerde lijst van rechten is bijgevoegd in BIJLAGE 1 hieronder]. 

Elke persoon kan diens rechten uitoefenen door een verzoek te sturen naar de contactpersoon die is vermeld in de informatie over de verwerking van diens persoonsgegevens. TotalEnergies verbindt zich ertoe binnen de wettelijke termijn te antwoorden. 

Bovendien, als een persoon van mening is dat een onderneming van het Bedrijf het BCR niet heeft nageleefd, kan hij of zij een klacht indienen bij het Bedrijf door het sturen van: 

of 

  • een brief naar het volgende adres: TotalEnergies - DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX, Frankrijk.

De persoon wordt geïnformeerd over de status van zijn of haar klacht en, indien van toepassing, over de maatregelen die TotalEnergies overweegt om hierop te reageren. 

De interne klachtenprocedure wordt beschreven in BIJLAGE 2 hieronder. 

Het indienen van een klacht bij TotalEnergies heeft op geen enkele wijze invloed op het recht om een klacht in te dienen bij de bevoegde autoriteiten voor de bescherming van persoonsgegevens in de EER of om een rechtszaak aan te spannen voor de rechtbanken van het EER-land waar het bedrijf dat verantwoordelijk is voor de overdracht van persoonsgegevens is gevestigd.  

6. Bestuur

Een intern netwerk voor de bescherming van persoonsgegevens is verantwoordelijk voor het bewaken en controleren van de implementatie van BCR binnen het bedrijf. Het bestaat uit: 

  • Een bedrijfscoördinator voor gegevensbescherming, die nalevingsacties op bedrijfsniveau organiseert en controleert;  
  • Coördinators voor gegevensbescherming op bedrijfsniveau, die nalevingsacties op bedrijfsniveau organiseren en controleren; 
  • Relais voor de bescherming van persoonsgegevens, die nalevingsacties op het niveau van hun entiteit of bedrijf beheren en coördineren. 

7. Interne controle en audit

Er worden interne controles en audits uitgevoerd om ervoor te zorgen dat onze BCR correct worden toegepast. Het netwerk voor de bescherming van persoonsgegevens stelt jaarlijks een intern controleplan op om te beoordelen of de verwerkingsactiviteiten van het bedrijf in overeenstemming zijn met onze BCR. Er wordt ook een rapportagesysteem opgezet om regelmatig updates te geven over de actieplannen die uit de beoordelingen voortvloeien. De Afdeling Interne Audit van de Groep neemt ook de controle van het systeem voor de bescherming van persoonsgegevens op in diens periodieke auditplan. 

8. Bijwerking van de BCR van TotalEnergies

Indien nodig kunnen onze BCR worden aangevuld of bijgewerkt. 

9. Voor meer informatie 

Een exemplaar van de volledige versie van onze BCR en een lijst van de bedrijven die deze hebben aangenomen, kunnen worden verkregen door een e-mail te sturen naar het volgende adres:  [email protected].

 

1 Persoonsgegevens zijn alle informatie waarmee een natuurlijke persoon direct of indirect kan worden geïdentificeerd. 
2 EEE: Lidstaten van de Europese Unie, evenals IJsland, Liechtenstein en Noorwegen. 
3 Een verwerkingshandeling is elke handeling die al dan niet met behulp van geautomatiseerde processen wordt uitgevoerd en wordt toegepast op persoonsgegevens (bijv. verzamelen, vastleggen, opslaan, vernietigen, enz.). 
4 De overdracht heeft betrekking op alle uitwisselingen, virtueel of fysiek, van het ene land naar het andere, van persoonsgegevens binnen de EER. 

 

RECHTEN VAN DERDEN-BEGUNSTIGDEN 

Onze BCR geven Betrokken personen het recht om deze als derde begunstigden af te dwingen. 

Zij kunnen met name de volgende principes toepassen in overeenstemming met de voorwaarden die in onze BCR zijn uiteengezet: 

  • Alle verwerkingen die binnen de Groep worden uitgevoerd, hebben een wettelijke basis onder de toepasselijke wetgeving; 

  • TotalEnergies moet Persoonsgegevens verzamelen en verwerken voor legitieme, gespecificeerde en expliciete doeleinden, en mag Persoonsgegevens niet verder verwerken op een manier die onverenigbaar is met het doel waarvoor ze werden verzameld; 

  • TotalEnergies moet Persoonsgegevens verwerken die relevant en niet buitensporig zijn in verhouding tot de doeleinden waarvoor ze worden verzameld en ze moeten nauwkeurig zijn en, indien nodig, worden bijgewerkt; 

  • Betrokken personen kunnen te allen tijde gemakkelijk informatie inwinnen over hun rechten op grond van het BCR; 

  • Betrokken personen van wie de Persoonsgegevens afkomstig zijn uit de EER hebben recht op toegang tot, rectificatie van en verzet tegen de verwerking van hun gegevens in overeenstemming met de toepasselijke wetgeving; 

  • Betrokken personen wier Persoonsgegevens uit de EER afkomstig zijn, mogen niet worden onderworpen aan een besluit waaraan voor hen rechtsgevolgen zijn verbonden of dat hen in aanmerkelijke mate treft en dat uitsluitend op grond van een geautomatiseerde gegevensverwerking wordt genomen en dat bestemd is om bepaalde aspecten van hun persoonlijkheid te beoordelen, tenzij een dergelijk besluit: 

    • wordt genomen in verband met de sluiting of uitvoering van een overeenkomst, mits aan het verzoek tot sluiting of uitvoering van de overeenkomst van de Betrokken persoon is voldaan of mits passende maatregelen, zoals de mogelijkheid om diens standpunt kenbaar te maken, waarborgen dat diens gerechtvaardigde belangen worden beschermd; of 

    • wordt toegestaan door de toepasselijke wetgeving, die ook de maatregelen specificeert om de legitieme belangen van de Betrokken persoon te beschermen; 

  • TotalEnergies implementeert passende maatregelen om de veiligheid en vertrouwelijkheid van de gegevens te waarborgen, rekening houdend met de stand van de techniek en de kosten die gepaard gaan met de implementatie ervan; 

  • TotalEnergies moet een schriftelijke onderaannemingsovereenkomst sluiten met elke dienstverlener die Persoonsgegevens moet verwerken, waarin wordt bepaald dat de genoemde dienstverlener moet handelen volgens de instructies van TotalEnergies en passende maatregelen moet implementeren om de beveiliging en vertrouwelijkheid van de gegevens te waarborgen; 

  • TotalEnergies geeft geen gegevens door vanuit een Lidstaat van de EER of afkomstig uit de EER aan een bedrijf dat niet behoort tot het Bedrijf en dat gevestigd is in een Derde Land dat geen adequaat beschermingsniveau biedt (ongeacht of het een externe Gegevensverwerker of een Subcontractant is) zonder een rechtsgrondslag waarin wordt voorzien door de toepasselijke Wet en zonder een systeem dat voldoende garanties biedt; 

  • Indien een Bedrijf van mening is dat de wetgeving die op het Bedrijf van toepassing is, het waarschijnlijk zal verhinderen om zijn verplichtingen in het kader van de BCR van TotalEnergies na te komen, en een negatieve impact zal hebben op de garanties die door deze BCR worden geboden, moet dit Bedrijf de gegevensexporteur onmiddellijk op de hoogte brengen, tenzij dit verboden wordt door een autoriteit die verantwoordelijk is voor het toezicht op de naleving van de wet, in het bijzonder omwille van een verbod waarin het strafrecht voorziet om de vertrouwelijkheid van onderzoeken te bewaren; 

  • Elke Betrokken persoon kan een klacht indienen bij TotalEnergies via het interne klachtenbeheerproces in overeenstemming met de voorwaarden die worden uiteengezet in het hoofdstuk 'Klachtenbeheer'; 

  • De vennootschappen van de Vennootschap die het BCR hebben aangenomen, moeten samenwerken met de bevoegde toezichthoudende autoriteiten, hun aanbevelingen opvolgen met betrekking tot internationale gegevensoverdrachten in geval van een klacht of een specifiek verzoek van deze autoriteiten en ermee instemmen zich te onderwerpen aan elke audit die wordt uitgevoerd door de toezichthoudende autoriteit van hun land van vestiging; 

  • Elke Betrokken persoon kan een klacht indienen bij de nationale toezichthoudende autoriteiten of een vordering instellen bij de rechtbanken van de EER-lidstaat waar de gegevensexporteur is gevestigd om de bovengenoemde beginselen toegepast te krijgen en, indien van toepassing, een vergoeding te verkrijgen voor eventuele schade die is geleden als gevolg van een inbreuk op de BCR van TotalEnergies. Als tijdens een doorgifte van Persoonsgegevens buiten de EER de gegevensimporteur de BCR van TotalEnergies niet naleeft, is het aan de gegevensexporteur om de klacht te betwisten, om vast te stellen dat de gegevensimporteur de BCR niet heeft geschonden en om de Betrokken persoon te vergoeden voor de schade die hij als gevolg van deze schending heeft geleden. 

INTERNE KLACHTENPROCEDURE 

Als een Betrokken persoon van mening is dat een onderneming van het Bedrijf de BCR van TotalEnergies niet heeft nageleefd, kan hij of zij een klacht indienen in overeenstemming met de procedure die is uiteengezet in de informatieberichten die specifiek zijn voor de verwerking of het toepasselijke contract of in overeenstemming met de hieronder beschreven procedure. 

1. Hoe dien ik een klacht in? 

De Betrokken persoon kan een klacht indienen door het sturen van: 

of 

  • een brief naar het volgende adres: TotalEnergies - DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX, Frankrijk. 

De klacht moet een zo gedetailleerd mogelijke beschrijving van het aan de orde gestelde probleem bevatten, waarbij met name: 

  • Het betrokken land en bedrijf, de overtreding van het BCR volgens de Betrokken persoon, de gevraagde oplossing; 
  • De naam, voornaam en contactgegevens van de Betrokken persoon, samen met een kopie van hun identiteitsbewijs of een ander document waarmee ze kunnen worden geïdentificeerd; 
  • Alle eerdere correspondentie met betrekking tot de kwestie in kwestie. 

2. Antwoord van TotalEnergies 

Binnen drie maanden na ontvangst van de klacht wordt de Betrokken persoon schriftelijk op de hoogte gesteld van de ontvankelijkheid van zijn klacht en, indien deze ontvankelijk wordt geacht, van de corrigerende maatregelen die TotalEnergies heeft genomen of overweegt om op de klacht te reageren. De coördinator afdeling bescherming persoonsgegevens (of: Branch Data Privacy Lead - 'BDPL') zorgt ervoor dat, indien nodig, passende corrigerende maatregelen worden geïmplementeerd om te voldoen aan de BCR van TotalEnergies. 

De betreffende BDPL stuurt een kopie van de klacht en een schriftelijke reactie naar de bedrijfscoördinator van bescherming persoonsgegevens (of: Corporate Data Privacy Lead- CDPL). 

3. Verhaalmechanisme

Als de betrokkene niet tevreden is met het antwoord van de desbetreffende BDPL (bijv. als de klacht is afgewezen), kan hij of zij contact opnemen met de CDPL door een e-mail of brief te sturen naar het hierboven vermelde adres. De CDPL onderzoekt de klacht en neemt binnen drie maanden na ontvangst van het verzoek een beslissing. Binnen deze periode zal het CDPL de Betrokken persoon informeren of deze het eerste antwoord bevestigt en, indien dit niet het geval is, een nieuw antwoord geven. 

De mogelijkheid voor Betrokken personen om een klacht in te dienen bij TotalEnergies doet geen afbreuk aan hun recht om een klacht in te dienen bij de bevoegde nationale toezichthoudende autoriteit of een vordering in te stellen bij de rechtbanken van de EER-lidstaat waar de gegevensexporteur is gevestigd.