Skip to content

Samenvatting van de « Binding corporate rules » van Total

SAMENVATTING
VAN DE BINDING CORPORATE RULES VAN TOTAL

 1.    Inleiding
  De Total Groep (of “Total”) bevordert een cultuur en gebruiken betreffende de bescherming van persoonsgegevens² die voldoen aan de geldende wetgeving. Om deze reden heeft Total zijn Binding Corporate Rules ("BCR") geïmplementeerd.

  In dit document wordt een samenvatting gegeven van de principes van gegevensbescherming die van toepassing zijn in onze BCR en de rechten die eraan zijn toegekend.

 2.    Doelstelling

  Onze BCR bestaan uit bindende interne regels die van toepassing zijn op alle Total-dochtermaatschappijen die ze toepassen en zijn goedgekeurd door de Europese autoriteiten voor gegevensbescherming.

  Dankzij deze regels voldoen Total-dochtermaatschappijen aan de geldende wetgeving voor het versturen van persoonsgegevens afkomstig uit de Europese Economische Ruimte EER³ naar Total-dochtermaatschappijen buiten de EER.

 3.    Toepassingsgebied van implementatie

  Onze BCR zijn van toepassing op alle uit de EER-afkomstige persoonsgegevens die verwerkt zijn door de Total-dochterondernemingen waaronder gegevens betreffende voormalige en huidige werknemers, sollicitanten, klanten en mogelijke klanten, leveranciers en onderaannemers en het personeel van derde bedrijven die namens de dochterondernemingen van de Groep handelen alsmede de aandeelhouders (hierna "de personen op wie de gegevens betrekking hebben" genoemd).
   

 4.    Beschermingsprincipes

  De volgende principes in onze BCR moeten worden gerespecteerd, waaronder:

     •   Rechtmatigheid

  Elke uitgevoerde verwerkingshandeling3 heeft een wettelijke grondslag die wordt voorzien door de toepasselijke wetgeving.

  Persoonsgegevens mogen alleen voor legale, vastgestelde en legitieme doeleinden worden verwerkt. De gegevens mogen niet op een manier worden verwerkt die niet compatibel is met deze doeleinden.

     •   Relevantie

  Persoonsgegevens moeten accuraat en proportioneel (op het gebied van kwaliteit en kwantiteit) zijn in relatie tot de doeleinden van de verwerking.

     •   Transparantie

  Persoonsgegevens moeten legaal en te goeder trouw zijn verkregen. De personen op wie de gegevens betrekking hebben moeten geïnformeerd zijn over de kenmerken van de verwerking van hun persoonsgegevens en hun rechten, tenzij dit niet mogelijk is of er disproportioneel veel moeite moet worden gedaan om dit uit te voeren.

     •   Veiligheid

  Persoonsgegevens moeten worden beschermd door adequate veiligheidsmaatregelen om het risico op ongeautoriseerde toegang, vernietiging, wijziging of ongeautoriseerd verlies te beperken.

  Om de veiligheid en geheimhouding van de persoonsgegevens te kunnen garanderen, zijn daarom een aantal interne normen van toepassing:

     •   Het gebruikshandvest voor IT en communicatiebronnen, dat vereist dat er moet worden gehandeld conform de regelgeving en de geheimhoudingsvoorschriften;
     •   Het beleid voor de veiligheid van informatiesystemen waarin de wijze van bestuur van de veiligheid van informatiesystemen staat beschreven;
     •   Het veiligheidsreferentiesysteem voor informatiesystemen waarin aan de hand van 19 gedetailleerde thema's de verschillende eisen van de Groep wat betreffende de veiligheid voor informatiesystemen worden opgesomd;
     •   Het informatiebeveiligingsbeleid waarin de vereisten wat betreffende de bescherming van de geheimhouding, integriteit en de beschikbaarheid van de informatie gehouden en uitgewisseld binnen de Groep wordt beschreven.

  Wanneer gebruik wordt gemaakt van de diensten van een derde partij voor het verwerken van persoonsgegevens, moet de Total-dochteronderneming er zich van vergewissen dat deze partij voldoende garanties biedt wat betreft de veiligheid en de geheimhouding van de gegevens.

     •   Bewaring

  Persoonsgegevens mogen alleen worden bewaard voor een redelijke en niet excessief lange tijdsperiode met betrekking tot het doel van de verwerking.

  Wanneer de bewaarperiode verloopt, worden de gegevens vernietigd, geanonimiseerd of gearchiveerd.

     •   Internationale overdracht4 van persoonsgegevens

  Total draagt geen persoonsgegevens afkomstig uit een EER-land direct over naar een Total-dochteronderneming in een derde land waar niet voldoende gegevensbescherming is, tenzij deze dochteronderneming formeel de BCR hanteert of een ander wettelijk instrument gebruikt dat is erkend door de Europese Commissie.

  Total draagt geen persoonsgegevens afkomstig uit de EER direct over aan een bedrijf dat niet behoort tot de Groep (gegevensbeheerder of -verwerker) in een land waar niet voldoende bescherming wordt geboden op het gebied van gegevensbescherming zonder wettelijke basis onder de wetgeving van toepassing en instrumenten die voldoende bescherming bieden, zoals de contractuele standaardclausules.

  Zo geldt ook dat als een gegevensimporteur de persoonsgegevens afkomstig uit de EER verder overdraagt naar een onderneming die niet tot de Groep behoort (gegevensbeheerder of -verwerker) gevestigd in een land waar niet voldoende bescherming wordt geboden op het gebied van gegevensbescherming, de gegevensimporteur een overeenkomst moet sluiten met deze onderneming waarin wordt vastgelegd dat de principes van de BCR in acht moeten worden genomen.
   

 5.    Rechten van de personen op wie de gegevens betrekking hebben

  Onder onze BCR hebben de personen op wie de gegevens betrekking hebben en van wie de persoonsgegevens worden verwerkt, de volgende rechten:

     •   Het recht tot inzage in de gegevens

     •   Het recht op rectificatie, vergetelheid en vergrendeling

     •   Het recht om bezwaar te maken tegen de gegevensverwerking

     •   Het recht op beperking van de verwerking

  [Een volledige lijst van de rechten toegekend door de BCR staan genoemd in BIJLAGE 1 hieronder vermeld].

  Voor het uitoefenen van deze rechten moeten personen op wie de gegevens betrekking hebben een verzoek indienen. Hiervoor moeten de contactdetails. zoals vermeld in de wettelijke kennisgeving betreffende de verwerking van hun gegevens, worden gebruikt. Total-dochterondernemingen moeten antwoorden binnen de wettelijke termijn op vragen over de verwerking buiten de EER.

  Bovendien, als de personen op wie de gegevens betrekking hebben van mening zijn dat door een Total-dochteronderneming de BCR niet in acht zijn genomen, dan hebben zij het recht een klacht in te dienen. Dit kan door:

     -   Een e-mail te sturen naar: [email protected]

  of

     -   Een brief te sturen naar TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX, FRANKRIJK.

  Personen op wie de gegevens betrekking hebben worden geïnformeerd over de status van hun klacht en de volgende stappen.

  De interne-klachtenprocedure is beschreven in BIJLAGE 2 hieronder vermeld.

  Het feit dat personen op wie de gegevens betrekking hebben een klacht bij Total kunnen indienen, heeft geen gevolgen voor hun rechten om een klacht in te kunnen dienen bij de competente EER-autoriteiten voor gegevensbescherming of gerechtelijke stappen te kunnen ondernemen bij de rechtbank van een EER-lidstaat waar de Total-dochteronderneming die verantwoordelijk is voor de export van de persoonsgegevens, is gevestigd.
   

 6.    Beheer

  Een intern "netwerk voor de bescherming van persoonsgegevens" is verantwoordelijk voor het toezicht en het beheer van de implementatie van de BCR binnen de Groep. Dit netwerk bestaat uit:
     •   Een Corporate Data Privacy Lead die de acties voor conformiteit controleert en volgt op Groepsniveau;
     •   Branch Data Privacy Leads die de acties voor conformiteit leiden en coördineren voor hun bedrijfstak;
     •   Data Privacy Liaisons die de acties voor conformiteit leiden en coördineren op filiaalniveau.
   

 7.    Interne controle en audit

  Om de juiste toepassing van onze BCR te kunnen garanderen zijn er interne controle- en audit-mechanismen ingesteld.

  Jaarlijks wordt door het netwerk voor de bescherming van persoonsgegevens een intern controleplan opgesteld om te kunnen beoordelen in welke mate de Groep onze BCR naleeft. Er is ook een reportagesysteem opgesteld om regelmatig te kunnen rapporteren over de actieplannen die zijn opgesteld na de evaluaties.

  De interne audit-directie voor de groep integreert tevens het toezicht op de persoonsgegevensbescherming in zijn periodieke auditplan.
   

 8.    Veranderingen aan de regels van Total

  Onze BCR kunnen worden aangevuld of geüpdatet, indien nodig.
   

 9.    Meer informatie
  Een kopie van de volledige versie van onze BCR alsmede een lijst van Totals dochterondernemingen die de regels toepassen, kan worden aangevraagd door een e-mail te sturen naar: [email protected]
   

  1 Onder persoonsgegevens wordt alle informatie verstaan die kan leiden tot de directe en indirecte identificatie van een natuurlijk persoon.
  2 De EER bestaat uit de lidstaten van de Europese Unie en uit IJsland, Liechtenstein en Noorwegen.
  3 Verwerking betekent elke handeling uitgevoerd op persoonsgegevens, zowel door automatische als niet-automatische middelen (bijvoorbeeld het verzamelen, registreren, opslaan, vernietigen van gegevens, etc.).
  4 Overdracht betekent alle virtuele en fysieke overdracht van de EER afkomstige data van een land naar een andere.

BIJLAGE 1
RECHTEN VOOR BEGUNSTIGDE DERDEN

Onze BCR kent het recht toe aan de personen op wie de gegevens betrekking hebben om de regels als begunstigde derden toe te passen.

Meer specifiek kunnen zij de volgende principes toepassen in overeenstemming met de voorwaarden in onze BCR:

 • Dat elke verwerkingshandeling die wordt uitgevoerd binnen de Groep een wettelijke grondslag moet hebben zoals voorzien in de wetgeving van toepassing;
 • Dat Total persoonsgegevens moet verzamelen voor legitieme, specifieke en expliciete doeleinden en geen persoonsgegevens mag verwerken als die worden verwerkt voor doeleinden waarvoor zij niet waren bedoeld;
 • Dat Total persoonsgegevens moet verwerken die relevant en niet excessief zijn in relatie tot de doeleinden waarvoor zij zijn verzameld en dat deze gegevens accuraat moeten zijn en, waar nodig, moeten worden geüpdatet;
 • Dat personen op wie de gegevens betrekking hebben moeten worden voorzien van eenvoudige en permanente toegang tot de informatie over hun rechten onder deze BCR;
 • Dat personen op wie de gegevens betrekking hebben en van wie de persoonsgegevens afkomstig zijn uit de EER het recht hebben op inzage, rectificatie en bezwaar tegen de persoonsgegevensverwerking in overeenstemming met de toepasselijke wetgeving;
 • Dat personen op wie de gegevens betrekking hebben en van wie de persoonsgegevens afkomstig zijn uit de EER niet onderworpen zijn aan besluiten die wettelijke effecten hebben op hen of hen merkbaar aangaan en die alleen gebaseerd zijn op geautomatiseerde verwerking van persoonsgegevens bedoeld voor de beoordeling van bepaalde persoonlijke aspecten over hen. Dit geldt niet als dit besluit:
  • Is genomen tijdens het aangaan van of de uitvoering van een contract, op voorwaarde dat aan het verzoek voor het aangaan van of de uitvoering van het contract, ingediend door het persoon op wie de gegevens betrekking hebben, is voldaan of dat er geschikte maatregelen zijn genomen om zijn/haar rechtmatige belangen te beschermen, zoals regelingen waar hij/zij zijn/haar standpunt kan verkondigen; of
  • Is toegestaan onder de wetgeving van toepassing, die ook de maatregelen vastlegt om de rechtmatige belangen te beschermen van de persoon op wie de gegevens betrekking hebben;
 • Dat Total passende maatregelen moet nemen om de veiligheid en de geheimhouding van de persoonsgegevens te garanderen, daarbij rekening houdend met de nieuwste technologieën en de kosten van de implementatie hiervan;
 • Dat Total een schriftelijke verwerkingsovereenkomst moet sluiten met de serviceproviders die worden gebruikt voor de verwerking van persoonsgegevens. Hierbij moet worden gespecificeerd dat de serviceprovider alleen handelt op Totals aanwijzingen en dat deze provider passende veiligheids- en geheimhoudingsmaatregelen neemt;
 • Dat Total geen persoonsgegevens uit een EER-lidstaat of afkomstig van de EER overdraagt aan een onderneming (een externe gegevensbeheerder- of verwerker) die niet behoort tot de Groep en zich bevindt in een ander land waar niet voldoende bescherming wordt geboden op het gebied van gegevensbescherming zonder wettelijke basis onder de wetgeving van toepassing en instrumenten die voldoende bescherming bieden;
 • Dat een Total-dochteronderneming direct de gegevensexporteur op de hoogte moet stellen als de Total-dochteronderneming meent dat de wetgeving van toepassing in het rechtsgebied waarschijnlijk voorkomt dat voldaan kan worden aan de verplichtingen in de BCR van Total en een nadelig effect heeft op de garanties die in deze BCR worden geboden, tenzij dit verboden wordt door de autoriteiten, voornamelijk in het geval van een verbod onder strafrecht om de geheimhouding van een strafrechtelijk onderzoek te bewaren;
 • Dat een persoon op wie de gegevens betrekking hebben een klacht mag indien bij Total door het interne-klachtensysteem te gebruiken in overeenstemming met de voorwaarden bepaald in het hoofdstuk "Klachtenbehandeling";
 • Dat Total-dochterondernemingen die zich houden aan de BCR moeten samenwerken met de competente toezichthouders, hun aanbevelingen moeten opvolgen betreffende de internationale overdracht van gegevens in het geval van een klacht of een specifiek verzoek van zulke toezichthouders en moeten toestaan te worden gecontroleerd door de toezichthouder van hun land van vestiging;
 • Dat een persoon op wie de gegevens betrekking hebben een klacht kan indienen bij de nationale toezichtsautoriteiten of gerechtelijke stappen kan ondernemen bij de rechtbank van de EER-lidstaat waar de gegevensexporteur is gevestigd voor de handhaving van bovenstaande principes en, waar van toepassing, compensatie kan ontvangen voor geleden schade ten gevolge van een overtreding van Totals BCR. Indien tijdens een overdracht van persoonsgegevens buiten de EER de gegevensimporteur Totals BCR niet acht neemt, zal de gegevensexporteur zich tegen elke claim moeten verdedigen, moeten vaststellen dat de gegevensimporteur de BCR niet heeft overtreden en compensatie moeten betalen aan de persoon op wie de gegevens betrekking hebben voor de geleden schade ten gevolge van deze schending.

BIJLAGE 2
INTERNE-KLACHTENBEHANDELINGSPROCEDURE

Als een persoon op wie de gegevens betrekking hebben meent dat een Total-dochteronderneming de BCR van Total niet heeft nageleefd, mag hij/zij een klacht indienen die voldoet aan de klachtenprocedure die uiteengezet is in het relevante privacybeleid of voldoet aan de procedure die hieronder beschreven is.

 1.    Het indienen van een klacht

  Personen op wie de gegevens betrekking hebben kunnen een klacht indienen door:

     -   Een e-mail te sturen naar: [email protected]

  of

     -   Een brief te sturen naar TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX, FRANKRIJK.

  De klacht moet zo veel mogelijk details bevatten over de kwestie. Zo moet de volgende informatie worden vermeld:

     -   Het land en de betreffende dochteronderneming van Total, wat de persoon op wie de gegevens betrekking hebben weet over de overtreding van de BCR, de gevraagde correctie;

     -   De volledige naam en de contactdetails van de persoon op wie de gegevens betrekking hebben alsmede een kopie van zijn/haar identiteitsbewijs of een document waarmee zijn/haar identiteit mee kan worden vastgesteld;

     -   Eerdere correspondentie, indien die er is geweest, over deze specifieke kwestie.
   

 2.    Antwoord van Total

  Binnen drie maanden na het ontvangen van de klacht, zal de aangewezen Branch Data Privacy Lead (“BDPL”) de persoon op wie de gegevens betrekking hebben informeren over de ontvankelijkheid van de klacht en, indien deze inderdaad ontvankelijk is, over de corrigerende maatregelen die Total heeft genomen of zal nemen als antwoord hierop. De aangewezen BDPL zal ervoor zorgen dat, indien nodig, de geschikte corrigerende maatregelen worden genomen om naleving met de BCR te garanderen.

  De aangewezen BDPL zal een kopie van de klacht en een eventueel schriftelijk antwoord sturen aan de Corporate Data Privacy Lead (“CDPL”).
   

 3.    Proces voor bezwaar aantekenen

  Indien de persoon op wie de gegevens betrekking hebben niet tevreden is met het antwoord van de aangewezen BDPL (bijvoorbeeld omdat de klacht is afgewezen), mag hij/zij zich richten tot de CDPL door een e-mail of een brief te sturen zoals hierboven beschreven. De CDPL zal de klacht bekijken en binnen een periode van drie maanden na ontvangst van de vraag een beslissing nemen. Volgend op deze periode zal de CDPL de persoon op wie de gegevens betrekking hebben informeren of het aanvankelijke antwoord zal worden gehandhaafd of een nieuw antwoord sturen.

  Het feit dat personen op wie de gegevens betrekking hebben een klacht bij Total kunnen indienen, heeft geen gevolgen voor hun recht om een klacht in te kunnen dienen bij een competente Nationale Toezichtsautoriteit of gerechtelijke stappen te kunnen ondernemen bij de rechtbank van de EER-lidstaat waar de gegevensexporteur gevestigd is.