Skip to content

토탈 BCR(BINDING CORPORATE RULES) 요약본

토탈 BCR(BINDING CORPORATE RULES)
요약본

  1.    서론

    토탈 그룹(“토탈”)은 관련 법률에 따라 개인 정보 보호1 를 위한 문화와 절차를 준수합니다. 이를 위해 토탈은 구속력있는 기업규칙(Binding Corporate Rules, BCR)을 적용하였습니다.

    본 문서는 BCR과 그에 따른 권리에 적용되는 정보 보호 원칙을 요약합니다.
     

  2.    목적

    본 BCR은 내부적으로 구속력 있는 규칙으로서, BCR을 채택한 모든 토탈의 자회사에 적용되며, 유럽 정보 보호 당국으로부터 승인을 받았습니다.

    이에 따라, 토탈 자회사는 유럽경제지역(“EEA”) 에서 생성한 개인 정보를 EEA 역외에 위치한 토탈 자회사에 관련 법률을 준수하는 조건으로 이전이 가능합니다.
     

  3.    적용 범위

    본 BCR은 EEA에서 토탈 자회사가 처리한 모든 개인 정보에 적용됩니다. 개인 정보의 주체는 현재 및 과거의 임직원, 지원자, 잠재 고객, 고객, 공급업체 및 협력업체, 토탈 자회사를 대리하는 제3자 기업 임직원, 주주 등입니다(이하 “정보 주체”).
     

  4.    보호 원칙

    토탈은 BCR에 있어서 다음의 원칙들을 준수합니다.

       •   합법성

    모든 정보 처리3 절차는 관련 법률에 따라 진행됩니다.

    개인 정보는 오직 합법적인 목적 아래 필요한 경우에만 처리됩니다. 목적을 벗어나는 정보 처리는 허가되지 않습니다.

       •   관련성

    개인 정보는 처리 목적에 따라 양적, 질적으로 비례성과 정확성을 갖추어야 합니다.

       •   투명성

    개인 정보는 합법적인 방법으로 투명하게 수집되어야 합니다. 정보 주체는 불가능하거나 비례성에 반하는 경우가 아닌 한 본인 정보의 처리 내용과 그에 따른 권리를 알 권리가 있습니다.

       •   보안성

    개인 정보는 인가되지 아니한 접근, 손상, 수정 등의 위험을 방지하기 위해 적절한 보안 절차를 통해 보호되어야 합니다.

    따라서 아래와 같은 내부 규칙을 통해 본 그룹은 개인 정보의 기밀성을 확보하고 있습니다.

       •   기밀 규칙 및 규정에 따라 행동할 것을 명시하는 IT 및 통신 자원 사용 헌장
       •   정보 시스템 보안 형식을 정의하는 정보 시스템 보안 정책
       •   정보 시스템의 보안을 위해 그룹이 준수해야 하는 19여 개의 세부 규칙 등을 포함한 정보 시스템 보안 참조 시스템
       •   그룹 내에서 교환 및 보관되는 정보의 보안성과 무결성을 보장하기 위한 조건을 제시하는 정보 보호 정책

    제3자에 개인 정보를 처리하도록 요청하는 경우, 토탈 자회사는 정보 기밀성 및 보안을 보장하기 위해 최선을 다합니다.

       •   보유

    개인 정보는 오직 합리적이며 처리에 필요한 최소한의 시간 동안만 보유해야 합니다.

    보유 기간이 종료되면 정보는 파기, 익명 혹은 보존 처리됩니다.

       •   개인 정보의 해외 이전 4

    토탈은 자회사가 BCR에 공식적으로 동의하거나 유럽연합 집행위원회가 인정한 법적 조치를 취하지 않은 한, 정보 보호 수준이 미비한 제3 국가에 위치한 토탈 자회사에 EEA에서 생성한 개인 정보를 직접 제공하지 아니합니다.

    또한, 표준 계약 조항과 같이 충분한 안전조치를 제공하는 조치와 관련 법률에 따른 법적 근거가 없는 경우에는, 정보 보호 수준이 미비한 국가에 위치한 토탈 그룹에 속하지 않은 회사(정보 컨트롤러 및 프로세서)에게 EEA에서 생성한 개인 정보를 직접 제공하지 아니합니다.

    이와 유사하게 만일 EEA에서 생성한 개인 정보가 적절한 정보 보호 수준을 제공하지 않는 국가에 위치한 토탈 그룹에 속하지 않은 회사(정보 컨트롤러 및 프로세서)에 전달되는 경우, 해당 정보를 이전 받는 회사는 BCR의 원칙을 준수하도록 정보를 이전한 회사와 계약을 체결해야 합니다.
     

  5.    정보 주체 권리

    본 BCR에 따라 본인의 개인 정보가 처리되는 정보 주체는 다음의 권리를 가집니다.

       •   정보 접근 권리

       •   정보 수정, 삭제, 잠금 권리

       •   처리에 이의를 제기할 권리

       •   처리를 제한할 권리

    (BCR에 따라 부여되는 권리 전체 목록은 하단 부록 1에 명시되어 있습니다.)

    정보 주체는 본인 정보 처리에 대하여 법적 고지에 제공된 연락처를 통해 이들 권리 행사 요청을 할 수 있습니다. 토탈 자회사는 EEA 역외에서의 정보 처리에 대한 질의에 대하여 법적 기한 내 답변을 제공할 의무가 있습니다.

    또한, 만일 토탈 자회사가 본 BCR을 위반하였다고 정보 주체가 판단하는 경우, 아래의 주소로 불만을 제기할 수 있습니다.

       -   아래 주소로 이메일을 보내십시오. [email protected]

    혹은

       -   다음 주소로 서면으로 불만을 제기할 수 있습니다. TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    정보 주체에게는 불만 처리 상태와 추가 조치에 대해 고지될 것입니다.

    내부 불만 처리 절차는 하단 부록 2에 명시되어 있습니다.

    정보 주체가 토탈에 불만을 제기한 사실은 유관 EEA 정보 보호 당국에 항의를 제기할 권리나, 토탈 자회사가 개인 정보 유출에 관련이 있는 경우 EEA 국가 법원에 소송을 제기할 권리를 침해하지 아니합니다.
     

  6.    관리 방식

    내부 <<개인 정보 보호 네트워크>>는 그룹 내에서 BCR의 적용을 관리 감독하는 의무를 집니다. 이 네트워크는 다음으로 구성되어 있습니다.
       •   그룹 수준에서 BCR 준수 여부를 관리 감독하는 기업 개인정보 보호 책임자
       •   지사 수준에서 BCR 준수 여부를 관리 조정하는 지사 개인정보 보호 책임자
       •   자회사 수준에서 BCR 준수 여부를 관리 조정하는 개인정보 보호 연락 담당자
     

  7.    내부 통제 및 감사

    본 BCR이 올바르게 준수될 수 있도록 일부 내부 통제 및 감사 메커니즘을 활용하고 있습니다.

    개인 정보 보호 네트워크는 연간 내부 통제 계획을 통해 그룹의 정보 처리에 있어 BCR을 얼마나 준수하는지 평가합니다. 평가 이후 수립된 실행 계획에 대해서는 정기적으로 보고서를 작성합니다.

    또한, 그룹 내부 감사 지침은 주기적인 감사 계획 안에 개인 정보 보호 패턴의 통제를 포함합니다.
     

  8.    토탈의 규칙 변경

    필요한 경우 본 BCR의 일부 혹은 전체를 수정할 수 있습니다.
     

  9.    더 많은 정보

    본 BCR의 전문이나 BCR을 도입한 토탈 자회사의 목록이 필요한 경우 아래 주소로 연락하여 받을 수 있습니다. [email protected]

    1 개인 정보란 자연인의 직접 혹은 간접적 식별을 가능하게 하는 모든 정보를 의미합니다.
    2 EEA는 유럽 연합 회원국과 아이슬란드, 리히텐슈타인, 노르웨이를 의미합니다.
    3 “정보 처리”란, 개인 정보에 관해 자동 내지 수동으로 이루어지는 모든 작업을 의미합니다(수집, 기록, 보관, 파기 등).
    4 해외 이전이란, EEA에서 생성한 개인 정보를 물리적으로, 혹은 가상으로 한 국가에서 다른 국가로 이전하는 것을 의미합니다.

부록 1
제3자 수익자 권리

본 BCR은 정보 주체가 제 3자 수익자로서 규칙을 집행할 수 있는 권리를 부여합니다.

자세히 말해, 정보 주체는 본 BCR의 조건에 따라 다음의 원칙을 집행할 수 있습니다.

  • 우선, 그룹 내 모든 정보 처리 절차는 관련 법률에 기반하여야 합니다.
  • 또한, 토탈은 합법, 특정, 확정적인 목적으로 개인 정보를 처리해야 하며, 수집된 목적에 부합하지 않는 방법으로 처리해서는 안됩니다.
  • 또한, 관련된 개인 정보만 처리해야 하며, 수집된 목적을 넘어서는 안됩니다. 수집된 정보는 정확하고 필요한 경우 갱신되어야 합니다.
  • 정보 주체에게는 본 BCR에 따른 본인의 권리에 대한 정보를 쉽고 영구적으로 제공하여야 합니다.
  • EEA에서 생성한 개인 정보의 대상이 되는 주체는 다음의 관련 법률에 따라 개인 정보 처리에 대해 접근, 수정, 이의를 제기할 권리를 가집니다.
  • EEA에서 생성한 개인 정보의 주체는 다음의 조건을 만족하지 않은 한, 특정 개인을 평가하는 목적을 가진 개인 정보 자동 처리에 단독으로 기반한 경우나, 주체에게 법적 효과를 발생시키는 결정의 대상이 되지 아니합니다.
    • 주체가 계약을 체결, 혹은 체결의 요청을 하여 이를 달성하기 위한 경우. 단 본인이 의견을 개진할 수 있도록 하는 등 법적 권리 보장을 위한 조치가 있어야 합니다.
    • 관련 법률에 따른 경우, 이 경우에도 법적 권리 보장을 위한 조치가 필요합니다.
  • 토탈이 개인 정보의 기밀성을 보장할 수 있도록 적절한 조치를 취해야 하는 경우, 이 경우에도 상황과 조치의 비용을 감안해야 합니다.
  • 토탈이 개인 정보를 처리하기 위해 임의의 서비스 제공자와 서면으로 처리 계약을 체결하는 경우, 단 해당 서비스 제공자는 토탈의 지시에 종속하며 적절한 보안 조치를 취하게 됩니다.
  • EEA의 회원 국가에서, 혹은 EEA에서 생성된 정보는 관련 법률의 법적 근거에 따르거나 충분한 안전 조치 없이는 그룹에 속하지 아니하면서 적절한 정보 보안 조치 수준을 제공하지 아니하는 제3 국가에 위치한 회사(또는 외부 정보 컨트롤러 및 프로세서)로 제공되지 아니합니다.
  • 토탈 자회사는 만일 해당 국가의 법령이 토탈의 BCR 상 의무를 이행하는 데 문제를 유발하거나, BCR 상의 보장 사항을 이행하는 데 있어 문제가 발생할 것이라 생각되는 경우 정보를 이전받은 측에게 바로 고지하여야 합니다. 단, 법적 집행의 경우와 같이 형법상 의무 발생으로 인하여 그러한 경우에는 해당하지 아니합니다.
  • 모든 정보 주체는 <<불만 처리>> 장에 명시된 규정에 따라 내부 불만 처리 메커니즘을 통해 토탈에 불만을 제기할 수 있습니다.
  • BCR을 준수하는 모든 토탈 자회사는 유관 감독 당국과 협업하고, 불만이 발생하거나 유관 당국의 요청이 있는 경우 정보 해외 이전에 대한 권고 사항을 준수하고, 해당 국가의 감독 당국이 실시하는 감사를 받아야 합니다.
  • 모든 정보 주체는 국가 감독 당국에 항의를 제기하거나, 정보를 이전한 측이 위치한 EEA 회원국의 법원에 소송을 제기하여 상기의 원칙을 준수하도록 하며, 만일 적절한 경우 토탈이 BCR을 위반함으로 발생한 손해에 대한 배상을 청구할 수 있습니다. 만일 EEA 역외로 개인 정보가 이전된 경우에 정보를 이전받은 측이 토탈의 BCR을 위반한 경우, 해당 정보를 이전한 측은 정보를 이전 받은 측이 BCR 위반하지 않았음을 규명하고, 모든 클레임을 방어하며, 해당 위반으로 인해 정보 주체에 발생한 손해를 배상할 책임을 집니다.

부록 2
내부 불만 처리 절차

토탈 자회사가 BCR을 위반하였다고 생각하는 경우, 정보 주체는 관련 개인정보 보호정책이나 아래의 절차에 따라 불만을 제기할 수 있습니다.

  1.    불만 제기 방법

    정보 주체는 다음의 주소로 불만 사항을 보낼 수 있습니다.

       -   아래 주소로 이메일을 보내십시오. [email protected]

    혹은

       -   다음 주소로 서면으로 불만을 제기할 수 있습니다. TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    불만을 작성할 경우, 문제 사항에 대해 최대한 자세하게 작성하시기 바라며, 다음 사항을 포함하여야 합니다.

       -   사안에 해당하는 토탈 자회사 및 소속 국가와 BCR 위반이라 생각되는 사항, 원하는 조치

       -   정보 주체의 이름 전체 및 연락처, 그리고 신분증 혹은 신분 확인이 가능한 서류의 사본

       -   해당 사안에 대한 과거 연락 사실
     

  2.    토탈의 답변

    불만을 접수한 후 3개월 이내에 유관 지사 개인정보 보호 책임자(“BDPL”)은 불만의 수용 가능성에 대하여 서면으로 정보 주체에 고지하여야 합니다. 만일 불만이 수용 가능한 경우, 수행되거나 수행될 시정 조치도 고지하게 됩니다. 유관 지사 개인정보 보호 책임자는, 필요한 경우, BCR 준수를 위한 시정 조치가 취해졌는지 확인합니다.

    또한 기업 개인정보 보호 책임자에게 불만과 서면 답변의 사본을 전달합니다.
     

  3.    소구 절차

    만일 정보 주체가 유관 지사 개인정보 보호 책임자가 제공한 답변에 만족하지 아니하는 경우(불만 처리 거부 등), 정보 주체는 기업 개인정보 보호 책임자에게 상기의 주소로 이메일이나 우편으로 소구할 수 있습니다. 기업 개인정보 보호 책임자는 불만을 검토한 후, 요청을 받은 지 3개월 이내에 결정을 내리게 됩니다. 해당 기간 이후, 기업 개인정보 보호 책임자는 처음 답변을 유지하거나, 새로운 답변을 정보 주체에 제공합니다.

    정보 주체가 토탈에 불만을 제기한 사실은 유관 국가 감독 당국에 항의를 제기하거나 정보를 이전한 측이 기반한 EEA 회원국 법원에 소송을 제기할 권리를 침해하지 아니합니다.