النسخة الموجزة من القواعد المؤسسية الملزمة الخاصة بشركة TOTAL
النسخة الموجزة
من القواعد المؤسسية الملزمة الخاصة بشركة TOTAL
- مقدمة
تسعى مجموعة Total (أو "Total") إلى تعزيز ثقافة وممارسات تتعلق بحماية البيانات الشخصية1 ، وفقاً للقوانين المعمول بها. وتحقيقاً لهذه الغاية، اعتمدت Total قواعد مؤسسية ملزمة.
تلخص هذه الوثيقة مبادئ حماية البيانات الشخصية التي تنطبق بمقتضى القواعد المؤسسية الملزمة الخاصة بنا والحقوق المكفولة بموجبها.
- الغرض
القواعد المؤسسية الملزمة الخاصة بنا هي مجموعة من القواعد الداخلية الملزمة التي تنطبق على جميع شركات Total الفرعية التي اعتمدتها. وقد وافقت عليها السلطات الأوروبية المعنية بحماية البيانات.
تتيح هذه القواعد لشركات Total الفرعية نقل البيانات الشخصية الصادرة عن المنطقة الاقتصادية الأوروبية2 إلى شركات Total الفرعية الموجودة خارج المنطقة الاقتصادية الأوروبية، وفقاً للقوانين المعمول بها.
- نطاق التنفيذ
تنطبق القواعد المؤسسية الملزمة الخاصة بنا على جميع البيانات الشخصية التي تصدر عن المنطقة الاقتصادية الأوروبية والتي تعالجها شركات Total الفرعية، بما في ذلك البيانات المتعلقة بالموظفين والمتقدمين بطلبات عمل والعملاء والعملاء المحتملين والموردين والمقاولين من الباطن وموظفي الشركات الثالثة التي تعمل نيابة عن الشركات التابعة للمجموعة والمساهمين (المشار إليهم فيما يلي باسم "أصحاب البيانات").
- مبادئ الحماية
يجب احترام المبادئ التالية المنصوص عليها في القواعد المؤسسية الملزمة الخاصة بنا، ومنها:
• الشرعية
تستند أي عملية معالجة3 يجري تنفيذها إلى أساس قانوني، ينص عليه القانون المعمول به.
يجب أن تقتصر معالجة البيانات الشخصية على أغراض قانونية ومحددة ومشروعة. ويجب ألا تعالج البيانات إلى حد يتعارض مع تلك الأغراض.
• الملاءمة
يجب أن تكون البيانات الشخصية دقيقة ومتناسبة من حيث الجودة والكمية، فيما يتعلق بالغرض من المعالجة.
• الشفافية
يجب الحصول على البيانات الشخصية بصورة قانونية ونزيهة. ويجب إبلاغ أصحاب البيانات بخصائص معالجة بياناتهم الشخصية وبحقوقهم، إلا إذا استحال ذلك أو تطلب جهوداً غير متناسبة من الطرفين.
• الحماية
يجب حماية البيانات الشخصية من خلال اتخاذ تدابير أمنية مناسبة للحد من مخاطر الاطلاع عليها بدون إذن أو تلفها أو تعديلها أو فقدانها.
لهذا الغرض، تطبق مجموعة من القواعد الداخلية لضمان أمان وسرية البيانات الشخصية:
• ميثاق استخدام موارد تكنولوجيا المعلومات والاتصالات التي تقتضي العمل وفقاً للقوانين ولقواعد السرية؛
• سياسة أمن نظم المعلومات التي تحدد أسلوب إدارة أمن نظم المعلومات؛
• نظام أمن نظم المعلومات المرجعي الذي يحدد مختلف متطلبات المجموعة فيما يتعلق بأمن أنظمة المعلومات من خلال 19 موضوعاً تفصيلياً؛
• سياسة حماية المعلومات التي تنص على شروط حماية السرية والنزاهة وتوفر المعلومات المحفوظة والمتبادلة داخل المجموعةعند الاستعانة بخدمات طرف ثالث لمعالجة البيانات الشخصية، تتأكد شركة Total الفرعية من أن هذا الطرف يقدم ضمانات كافية بشأن أمن البيانات وسريتها.
• الاحتفاظ
يجب الاحتفاظ بالبيانات الشخصية لفترة زمنية معقولة غير مفرطة نظراً إلى الغرض من المعالجة.
عند انتهاء فترة الاحتفاظ بالبيانات، يجري إتلافها أو إخفاء هوية صاحبها أو حفظها.
• نقل4 البيانات الشخصية دولياً
لا تنقل Total البيانات الشخصية الصادرة عن بلد من بلدان المنطقة الاقتصادية الأوروبية مباشرة إلى شركة تابعة لها تقع في بلد ثالث لا يتيح مستوى كافياً من الحماية، إلا إذا اعتمدت هذه الشركة الفرعية رسمياً القواعد المؤسسية الملزمة أو استخدمت صكًا قانونياً آخر يعترف به الاتحاد الأوروبي.
لا تنقل Total البيانات الشخصية الصادرة عن المنطقة الاقتصادية الأوروبية مباشرة إلى شركة لا تنتمي إلى المجموعة وموجودة في بلد لا يتيح مستوى كافياً من حماية البيانات (المسؤول عن مراقبة البيانات أو معالجتها) بدون أساس قانوني يستند إلى القوانين والصكوك السارية التي تنص على توفير ضمانات كافية، مثل الشروط التعاقدية الموحدة.
على نحو مماثل، عندما يُقْبل جامع البيانات على نقل البيانات الشخصية الصادرة عن المنطقة الاقتصادية الأوروبية إلى شركة لا تنتمي إلى المجموعة (المسؤول عن مراقبة البيانات أو معالجتها) وموجودة في بلد لا يتيح مستوى كافياً من حماية البيانات، يجب عليه إبرام اتفاق مع هذه الشركة لتلتزم بمراعاة المبادئ الخاصة بالقواعد المؤسسية الملزمة.
- حقوق أصحاب البيانات
عملاً بالقواعد المؤسسية الملزمة، يتمتع أصحاب البيانات الذين تُعالَج بياناتهم الشخصية بالحقوق التالية:
• الحق في الاطلاع على البيانات
• الحق في تصحيح البيانات وحذفها وحظرها
• الحق في الاعتراض على معالجة البيانات
• الحق في الحد من معالجة البيانات
[ترد قائمة شاملة للحقوق التي تكفلها القواعد المؤسسية الملزمة في الملحق 1 الوارد فيما بعد].
يجوز لأصحاب البيانات ممارسة هذه الحقوق عن طريق تقديم طلب إلى جهة الاتصال الواردة في الإشعار القانوني المتعلق بمعالجة بياناتهم. تتعهد شركات Total الفرعية بالرد على الاستفسارات المتعلقة بمعالجة البيانات خارج المنطقة الاقتصادية الأوروبية ضمن المهلة القانونية.
علاوة على ذلك، إذا اعتقد أصحاب البيانات أن إحدى شركات Total الفرعية لم تمتثل للقواعد المؤسسية الملزمة، يحق لهم تقديم شكوى عن طريق إرسال:
- بريد إلكتروني إلى: [email protected]
أو
- رسالة إلى TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DÉFENSE CEDEX.
يتم إبلاغ أصحاب البيانات بشأن وضع شكواهم وبأية تدابير أخرى.
ترد تفاصيل الإجراءات الداخلية لإدارة الشكاوى في الملحق 2 الوارد فيما بعد.
لا يؤثر تقديم أصحاب البيانات لشكوى إلى Total على حقهم في تقديم شكوى إلى السلطات المختصة المعنية بحماية البيانات والتابعة للمنطقة الاقتصادية الأوروبية، أو اتخاذ إجراءات قانونية أمام محاكم بلد المنطقة الاقتصادية الأوروبية حيث توجد شركة Total الفرعية المسؤولة عن نقل البيانات الشخصية.
- الإدارة
تتولى "شبكة حماية البيانات الشخصية" الداخلية مسؤولية رصد ومراقبة تنفيذ القواعد المؤسسية الملزمة ضمن المجموعة. تتألف هذه الشبكة مما يلي:
• منسق حماية خصوصية بيانات الشركة الذي يراقب ويرصد تدابير الامتثال على مستوى المجموعة؛
• منسقو فروع حماية خصوصية البيانات الذين ينسقون تدابير الامتثال على مستوى فروعهم ويشرفون عليها؛
• موظفو الاتصال الذين يتولون حماية خصوصية البيانات والذين ينسقون تدابير الامتثال على مستوى فروعهم ويشرفون عليها.
- الرقابة الداخلية والتدقيق
سعياً إلى ضمان التطبيق السليم للقواعد المؤسسية الملزمة الخاصة بنا، طبقت بعض آليات الرقابة الداخلية والتدقيق.
تحدد شبكة حماية البيانات الشخصية خطة رقابة داخلية سنوية لتقييم مستوى امتثال المجموعة للقواعد المؤسسية الملزمة الخاصة بنا عند معالجة البيانات. ووضعت آلية إبلاغ أيضاً من أجل الإبلاغ بانتظام عن خطط العمل التي وضعت عقب عمليات التقييم.
بالإضافة إلى ذلك، تدمج إدارة التدقيق الداخلي التابعة للمجموعة أيضاً آلية مراقبة حماية البيانات الشخصية في خطتها الدورية الخاصة بالتدقيق.
- تحديث القواعد المؤسسية الملزمة التي تعتمدها Total
قد يجري استكمال القواعد المؤسسية الملزمة الخاصة بنا أو تحديثها إذا لزم الأمر ذلك.
- مزيد من المعلومات
يمكن الحصول على نسخة شاملة من القواعد المؤسسية الملزمة الخاصة بنا إلى جانب قائمة بشركات Total الفرعية التي تعتمدها عن طريق إرسال بريد إلكتروني إلى: [email protected]
1يُقصد بالبيانات الشخصية أية معلومات تتيح تحديد هوية شخص طبيعي بصفة مباشرة أو غير مباشرة.
2يُقصد بالمنطقة الاقتصادية الأوروبية الدول الأعضاء في الاتحاد الأوروبي بالإضافة إلى أيسلندا وليختنشتاين والنرويج.
3يُقصد بالمعالجة أي عملية تخضع لها البيانات الشخصية بالوسائل الآلية أو غير الآلية (على سبيل المثال: التجميع والتسجيل والتخزين والإتلاف...).
4يُقصد بالنقل جميع عمليات التبادل الافتراضية والفعلية للبيانات الشخصية الصادرة عن المنطقة الاقتصادية الأوروبية من بلد إلى آخر.
الملحق 1
حقوق الأطراف الثالثة المستفيدة
تمنح القواعد المؤسسية الملزمة الخاصة بنا أصحاب البيانات الحق في إنفاذها باعتبارهم أطرافاً ثالثة مستفيدة.
ويجوز لهم بصورة خاصة إنفاذ المبادئ التالية وفقاً للشروط والأحكام المنصوص عليها في القواعد المؤسسية الملزمة الخاصة بنا:
- يجب أن تستند أي عملية معالجة تُنفَذ داخل المجموعة إلى أساس قانوني على النحو المنصوص عليه في القانون المعمول به؛
- يجب على Total جمع البيانات الشخصية ومعالجتها لأغراض مشروعة ومحددة وصريحة ويجب ألا تعالج أي بيانات شخصية بطريقة تتنافى مع الغرض الذي جُمعت من أجله؛
- يجب أن تعالج Total البيانات الشخصية المهمة وغير المبالغ فيها وفقاً للأغراض التي جُمعت من أجلها، ويجب أن تكون هذه البيانات دقيقة وأن يجري تحديثها عند الضرورة؛
- يجب تزويد أصحاب البيانات بإمكانية الاطلاع بسهولة وبصورة دائمة على المعلومات المتعلقة بحقوقهم وفقاً للقواعد المؤسسية الملزمة هذه؛
- يجب أن يتمتع أصحاب البيانات الصادرة بياناتهم الشخصية عن المنطقة الاقتصادية الأوروبية بحق الاطلاع على بياناتهم الشخصية وتصحيحها والاعتراض على معالجتها وفقاً للقانون المعمول به؛
- يجب ألا يخضع أصحاب البيانات الصادرة بياناتهم الشخصية عن المنطقة الاقتصادية الأوروبية لقرار تترتب عنه آثار قانونية تطالهم، أو يؤثر عليهم تأثيراً بالغاً وأن يكون ذلك القرار قائماً بصورة حصرية على المعالجة الآلية للبيانات الشخصية الرامية إلى تقييم بعض الجوانب الشخصية المتعلقة بهم، ما لم يكن ذلك القرار يستوفي الشروط الآتية:
- اتُخذ في سياق إبرام عقد أو تنفيذه، شريطة قبول طلب إبرام أو تنفيذ العقد الذي قدمه الشخص المعني أو وجود تدابير مناسبة لحماية مصالحه/مصالحها الشرعية، مثل الترتيبات التي تسمح له/لها بالتعبير عن وجهة نظره/نظرها؛ أو
- أجازه القانون الساري الذي يحدد أيضاً التدابير التي تضمن المصالح المشروعة لأصحاب البيانات؛
- يجب أن تنفذ Total التدابير المناسبة لضمان أمن البيانات الشخصية وسريتها، مع مراعاة الأطر المثلى لتنفيذها وتكلفة تنفيذها؛
- يجب أن تبرم Total اتفاقية معالجة مكتوبة مع أي مزود خدمة تستعين به لمعالجة البيانات الشخصية، ويجب أن يعمل مزود الخدمة بتعليمات Total فقط وأن يطبق تدابير الأمن والسرية المناسبة؛
- يجب ألا تنقل Total البيانات الشخصية الصادرة عن إحدى الدول الأعضاء في المنطقة الاقتصادية الأوروبية أو عن المنطقة الاقتصادية الأوروبية مباشرة إلى شركة لا تنتمي إلى المجموعة والتي تعمل في بلد ثالث لا يتيح مستوى كافياً من حماية البيانات (مسؤول خارجي عن مراقبة البيانات أو معالجتها) في ظل غياب أساس قانوني في القوانين والصكوك السارية التي تنص على توفير ضمانات كافية؛
- يجب أن تبلغ شركة Total الفرعية ناقل البيانات على الفور إذا رأت أن التشريع الساري في ولايتها القضائية قد يمنعها من الوفاء بالتزاماتها المنصوص عليها في القواعد المؤسسية الملزمة التي اعتمدتها Total، وأنه قد يؤثر سلباً على الضمانات التي تكفلها القواعد المؤسسية الملزمة هذه، إلا إذا حظرت سلطات معنية بإنفاذ القانون ذلك، ولا سيما في سياق حظر منصوص عليه في القانون الجنائي من أجل الحفاظ على سرية تحقيق متعلق بإنفاذ القانون؛
- يجوز لأي شخص معني تقديم شكوى إلى Total من خلال آلية تقديم الشكاوى الداخلية وفقاً للشروط المنصوص عليها في الفصل المعنون "إدارة الشكاوى"؛
- يجب أن تتعاون أي شركة من شركات Total الفرعية التي اعتمدت القواعد المؤسسية الملزمة مع الهيئات المشرفة المختصة، وأن تتبع توصياتها بشأن نقل البيانات دولياً إذا قُدمت شكوى أو صدر طلب معين عن هذه الهيئات، وأن توافق على الخضوع لتدقيق تجريه هذه الهيئة المشرفة التابعة للبلد الذي تأسست فيه؛
- يجوز لأي شخص معني تقديم شكوى إلى الهيئات المشرفة الوطنية أو اتخاذ إجراءات قضائية أمام محكمة الدولة العضو في المنطقة الاقتصادية الأوروبية حيث تأسست الشركة ناقلة البيانات لإنفاذ المبادئ المذكورة آنفاً والحصول، عند الاقتضاء، على تعويض عن الضرر الناجم عن انتهاك القواعد المؤسسية الملزمة التي اعتمدتها Total. وإذا لم يلتزم جامع البيانات بالقواعد المؤسسية الملزمة التي اعتمدتها Total حين نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية، ينبغي أن يستأنف ناقل البيانات أي شكاوى، ويثبت أن جامع البيانات انتهك القواعد المؤسسية الملزمة، ويطالب ناقل البيانات بدفع تعويض للشخص المعني عن الأضرار التي لحقت به نتيجة لهذا الانتهاك.
الملحق 2
الإجراءات الداخلية لإدارة الشكاوى
إذا رأى صاحب البيانات أن شركة Total الفرعية لم تمتثل لالتزامات القواعد المؤسسية الملزمة التي اعتمدتها Total، يجوز له/لها تقديم شكوى وفقاً لإجراءات الشكاوى المنصوص عليها في سياسة الخصوصية أو العقد المعني أو وفقاً للإجراءات الواردة أدناه.
- كيفية تقديم شكوى
يجوز لصاحب البيانات تقديم شكوى عن طريق إرسال:
- بريد إلكتروني إلى: [email protected]
أو
- رسالة إلى TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DÉFENSE CEDEX.
يجب أن يرد في الشكوى أكبر قدر ممكن من التفاصيل بشأن المسألة المطروحة، بما في ذلك:
- البلد وشركة Total الفرعية المعنية، وموقف الشخص المعني من انتهاك القواعد المؤسسية الملزمة، وجبر الضرر المطلوب؛
- الاسم الكامل للشخص المعني وتفاصيل الاتصال به، بالإضافة إلى نسخة من بطاقة هويته أو أي وثيقة أخرى تسمح بتحديد هويته؛
- أي مراسلات سابقة بشأن هذه المسألة المحددة.
- رد Total
في غضون ثلاثة أشهر من تلقي Total للشكوى، يجب على منسق فروع حماية خصوصية البيانات إبلاغ الشخص المعني كتابياً بقبول الشكوى من حيث الشكل، وبالتدابير التصحيحية التي اتخذتها Total أو ستتخذها في هذا الشأن. يجب أن يضمن منسق فروع حماية خصوصية البيانات، عند الضرورة، اتخاذ التدابير التصحيحية الملائمة لتحقيق الامتثال للقواعد المؤسسية الملزمة.
يجب أن يرسل منسق فروع حماية خصوصية البيانات نسخة من الشكوى ومن أي رد مكتوب إلى منسق حماية خصوصية بيانات الشركة.
- عملية التقاضي
إذا لم يرض الشخص المعني برد منسق فروع حماية خصوصية البيانات (إذا رُفضت الشكوى مثلاً)، يجوز له/لها الاتصال بمنسق حماية خصوصية بيانات الشركة عن طريق إرسال بريد إلكتروني أو رسالة على النحو الوارد أعلاه. ينظر المسؤول عن حماية سرية بيانات الشركة في الشكوى ويبت فيها في غضون ثلاثة أشهر من استلام الطلب. بعد انقضاء هذه الفترة، يبلغ منسق حماية خصوصية بيانات الشركة الشخص المعني عن تأكيد الرد الأول أو اتخاذ قرار جديد.
لا يحول تقديم أصحاب البيانات لشكوى إلى Total دون ممارسة حقهم في تقديم شكوى إلى الهيئات المشرفة الوطنية المختصة أو اتخاذ إجراءات قانونية لدى محكمة الدولة العضو في المنطقة الاقتصادية الأوروبية حيث تعمل الشركة ناقلة البيانات.