Skip to content
  • 首页
  • 道达尔公司企业约束规则摘要

道达尔公司企业约束规则摘要

道达尔公司企业约束规则
摘要

  1.    引言

    道达尔集团(或“道达尔”)根据适用的法律,推行个人数据保护1 的文化和规范。为此,道达尔实施企业约束规则(“BCRs”)。

    本文件概括介绍了本公司BCRs所规定的个人数据保护原则,以及所赋予的权利。
     

  2.    目的

    本公司BCRs为一套内部约束规则,适用于所有实施该规则的道达尔子公司。该规则已获得欧洲数据保护当局审批。

    根据该规则,道达尔子公司可根据适用法律,将源自欧洲经济区(“EEA”)2 的个人数据转移到位于欧洲经济区以外的其他道达尔子公司。
     

  3.    实施范围

    本公司BCRs适用于所有由道达尔子公司所处理的源自欧洲经济体的个人数据,包括与前雇员和现雇员、求职者、客户和潜在客户、供应商和分包商、以及代表集团子公司的第三方公司的员工以及股东(以下简称“数据主体”)。
     

  4.    保护原则

    必须遵守本公司BCRs所述下列原则,其中:

       •   合法性

    每一步处理3 过程都有法律依据,符合适用法律规定。

    个人数据只能用作法定的、既定的和合法的用途。对数据的进一步处理不得有悖上述用途。

       •   相关性

    个人数据质量和数量必须准确,符合处理的用途。

       •   透明度

    个人数据的获得必须合法、诚实。数据主体有权获知对其个人数据进行处理的性质及其权利,除非经证明此举不可行或将导致不相称的成本开支。

       •   安全性

    必须采取适当的安全措施保护个人数据,以免数据未经授权被擅自查阅、损毁、更改或遗失。

    为此,本公司专门制定了一套内部准则,确保个人数据的安全和机密:

       •   《信息技术和通信资源使用章程》:要求按照规定和保密规则操作;
       •   《信息系统安全策略》:定义信息系统的安全管理模式;
       •   《信息系统安全参考系统》:通过19个详细主题,列举本集团对信息系统保护的不同要求;
       •   《信息保护政策》:指有关保护集团内部所属信息和交换信息的机密性、完整性和可用性方面的要求

    当要求第三方进行个人数据处理服务时,道达尔子公司应确保该第三方充分保护资料的安全性和机密性。

       •   保留权

    对个人数据的保留仅能出于对个人数据的处理用途,且仅限于合理且适时的时间长度。

    当保留期满时,将对该数据予以销毁、匿名处理销毁或存档。

       •   个人数据的4 国际交换

    道达尔不会将源自某欧洲经济区成员国的个人信息直接传输给位于第三方国家且无法为该信息提供充分保护的道达尔子公司,除非该子公司已经正式实施BCRs,或者施行欧盟委员会(European Commission)所认可的其他法律文件。

    如无适用法律和相关法律文件有关充分保护数据安全的合法依据(例如标准合同条款),道达尔不会将源自某欧洲经济区成员国的个人数据直接传输给本集团以外的公司,且该公司所在国未能提供充分的数据保护(数据控制商或处理商)。

    同样,当数据输入方将源自某欧洲经济区成员国的个人数据进一步传输给本集团以外的公司(数据控制商或处理商),且该公司所在国未能提供充分的数据保护,则该数据输入方应与该公司就有关承诺遵守BCRs原则达成协议。
     

  5.    数据主体的权利

    根据本公司BCRs规定,所处理个人数据的数据主体应享有下列权利:

       •   访问数据的权利

       •   修正、删除和锁定数据的权利

       •   反对处理的权利

       •   限制处理的权利

    [有关BCRs所述权利的完整清单详见下文附录1]。

    数据主体通过法律声明中提供的联系方式,就其数据处理提出要求,行使所述权利。道达尔子公司承诺在法律期限内及时回复有关在欧洲经济区以外区域的数据处理问题。

    此外,如数据主体认为道达尔子公司未能遵守BCRs,则有权通过以下途径进行投诉:

       -   发送电子邮件至:[email protected]

    或者

       -   写信到:TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX。

    数据主体将被告知所投诉事宜的当前状况,以及下一步措施。

    内部投诉程序见下文附录2。

    数据主体可对道达尔提起投诉的事实,并不影响其向相关欧洲经济区数据保护主管部门或向负责输出个人数据的道达尔子公司所在的欧洲经济区国家的法院提起诉讼的权利。
     

  6.    管理

    内部“个人数据保护网络”负责监控集团内部的BCRs实施情况。成员:
       •   企业数据隐私主管:负责监察和跟进集团层的合规行为;
       •   分公司数据隐私主管:负责领导和协调分公司层的合规行为;
       •   数据隐私联络人:负责领导和协调关联公司层的合规行为;
     

  7.    内部控制及审核

    为了确保正确使用本公司BCRs,本公司已着手实施相关内部控制和审核机制。

    根据个人数据保护网络,制定年度内部控制方案,以评估本集团处理本公司BCRs的合规程度。同时,定期编写报告,汇报评估后拟定的行动计划执行情况。

    此外,集团内部审计指导也在定期审计计划中纳入个人数据保护模式的控制。
     

  8.    道达尔规则的变更

    必要时,本公司将完成或更新BCRs。
     

  9.    更多信息
    如需本公司完整版BCRs和实施该规则的道达尔子公司名单,可发送电子邮件至[email protected]
     

    1个人数据是指能够直接或间接识别自然人的任何信息。
    2EEA是指欧盟成员国、冰岛、列支敦士登和挪威。
    3处理是指对个人数据进行的任何操作,无论该操作是否通过自动方式进行(例如:收集、记录、储存、销毁……)。
    4交换是指将源自欧洲经济体的个人数据从一个国家到另一个国家的所有虚拟和物理交换。

附录1
第三方受益人权利

根据本公司BCRs,数据主体有权作为第三方受益人执行本规则。

更具体地说,他们可根据本公司BCRs所述条款及条件执行以下原则:

  • 在本集团内进行的任何处理行为必须符合适用法律规定的法律依据;
  • 道达尔对个人数据的收集和处理必须出于合法、规定和明确的目的,且对该数据的任何进一步处理均不得违背最初收集该数据时的目的;
  • 道达尔对所个人数据的处理必须出于并符合最初收集目的,且该数据必须准确,并在必要时予以最新;
  • 应确保数据主体能够轻松和永久查阅根据本BCRs规定其应有权利的相关资料;
  • 个人数据源自欧洲经济区的数据主体,应有权根据适用法律查阅、改正和拒绝其个人数据的处理。
  • 个人数据源自欧洲经济区的数据主体,不得受制于任何对其产生法律效力或重大影响的决定,且该等决定仅能基于因评估某些个人因素所需而对个人数据的自动处理,除非该等决定:
    • 在合同达成或履行阶段作出,但签订或履行合同的要求应经数据主体提出,且已经得到满足,或者制定了适当措施保护其合法利益,例如允许其表达自己观点的协议;或者
    • 符合适用法律规定,并制定保护数据主体合法权益的措施;
  • 道达尔必须采取适当的措施,确保个人数据的安全和机密,并充分考虑到实施的情况和所需成本;
  • 道达尔必须与任何处理个人数据的服务提供商签订书面处理协议,规定该服务提供商的一切行为必须遵照道达尔的要求,并应采取适当的安全和保密措施;
  • 如无适用法律和相关法律文件作为充分保护数据安全的合法依据(例如标准合同条款),道达尔不得将某欧洲经济区成员国或源自欧洲经济区的个人数据,传输给本集团以外的公司,且该公司所在国未能提供充分的数据保护(数据控制商或处理商);
  • 如果道达尔子公司认为其管辖范围内所适用的法律可能妨碍其履行道达尔BCRs规定义务,且对该BCRs所确保事宜造成不利影响,则该子公司必须立即通知数据输出方;但由执法部门禁止的除外,尤其是因保护执法调查机密需要的刑法禁令;
  • 任何数据主体可根据“投诉处理”章节所述条款,通过内部投诉机制向道达尔提出投诉:
  • 任何已经实施BCRs的道达尔子公司,必须根据监督主管部门要求,遵循其有关国际数据传输的建议,向该主管部门提出投诉或具体要求,并接受所在国监管部门的审计。
  • 为履行上述原则,任何数据主体可向国家监管机构投诉,或者向数据输出方所在的欧洲经济区成员国法院提起诉讼,并在适当情况下,获得因违反道达尔BCRs而招致损失的赔偿。如果在欧洲经济区以外的地区进行个人数据传输时,数据输入方未能遵守道达尔BCRs,则数据输出方可对任何索赔进行辩护,明确数据输入方并无违规行为,并对数据主体因此而造成的损失予以赔偿。.

附录2
内部投诉处理流程

如果数据主体认为道达尔子公司未能遵守公司BCRs,可根据相关隐私政策或合同所述投诉流程,或根据下文所述流程进行投诉。

  1.    如何投诉

    数据主体投诉渠道:

       -   发送电子邮件至:[email protected]

    或者

       -   写信到:TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX。

    投诉书应尽可能清楚和详尽地描述所投诉的问题,包括:

       -   所涉及的国家和道达尔子公司、数据主体对违反BCRs的了解、赔偿要求;

       -   数据主体全称、详细联系信息、身份证复印件或其他任何身份证明材料;

       -   以前关于这个问题的任何通信。
     

  2.    道达尔的反馈

    道达尔在收到投诉三(3)个月内,相关的分公司数据隐私主管(BDPL)应以书面形式通知数据主体,告知投诉已收悉,以及道达尔已经或将采取何种纠正措施。如有必要,相关的分公司数据隐私主管应确保已经采取适当的纠正措施,来满足BCRs的要求。

    相关的分公司数据隐私主管应向企业数据隐私主管(CDPL)抄送该投诉书和任何书面回复。
     

  3.    追诉程序

    如果数据主体对相关的分公司数据隐私主管的反馈不满意(例如,投诉被拒绝),可向企业数据隐私主管发送电子邮件或信函(如上)继续提起。企业数据隐私主管将审核投诉,并在收到申请后三(3)个月内做出决定。在此之后,无论是否维持最初回复,或做出新决定,企业数据隐私主管都将通知数据主体。

    数据主体可向道达尔提出投诉的事实,并不影响他们向有关国家监管机构投诉的权利,或向数据输出方所在的欧洲经济共同体成员国的法院提起诉讼的权利。