BARER CORPORATE YATIRIM HOLDING A.Ş.

POLÍTICA CORPORATIVA DE PROTECCIÓN DE DATOS PERSONALES

1. PROPÓSITO

El derecho de toda persona a exigir la protección de los datos personales que le conciernen es un derecho sagrado que emana de la Constitución. Como Barer Corporate Yatırım Holding A.Ş., consideramos el cumplimiento de los requisitos de este derecho como uno de nuestros deberes más valiosos. Por este motivo, damos importancia al tratamiento y protección de sus datos personales de conformidad con la ley. Como consecuencia de la importancia que le damos a la protección de los datos personales, se ha elaborado la Política Corporativa de Protección de Datos Personales con el fin de determinar los principios y procedimientos que aplicamos en el tratamiento y protección de los datos personales.

2. ALCANCE

La Política cubre todo tipo de procesos a realizar sobre los datos personales manejados por Barer Corporate Yatırım Holding A.Ş. tales como obtener, guardar, almacenar, retener, modificar, revisar, describir, transferir, asumir, poner a disposición, clasificar o bloquear el uso de datos personales por medios total o parcialmente automatizados o por medios no automatizados siempre que formen parte de cualquier sistema de registro de datos. La política se relaciona con todos los datos personales procesados de los socios, funcionarios, clientes, empleados, funcionarios y empleados de proveedores de Barer Corporate Yatırım Holding A.Ş. y terceros. Barer Corporate Yatırım Holding A.Ş. podrá modificar la Política para efectos del cumplimiento de las normas y decretos aplicables de la Autoridad de Protección de Datos Personales y de mejora en la protección de datos personales.

3. DEFINICIONES

Abreviatura	Definición
Grupo destinatario	La categoría de personas físicas o jurídicas a las que el controlador de datos transfiere datos personales.
Consentimiento Explícito	Consentimiento que se relaciona con un tema específico, basado en información y expresado con libre albedrío.
Anonimización	Hacer que los datos personales no se asocien con ninguna persona real identificada o identificable de ninguna manera, incluso cuando se cotejen con otros datos.
Titular de los datos	Persona física cuyos datos personales son objeto de tratamiento.
Usuario Relacionado	Las personas que traten datos personales dentro de la organización del responsable del tratamiento o de conformidad con la autorización e instrucción recibida del responsable del tratamiento, excepto la persona o unidad responsable técnicamente del almacenamiento, protección y respaldo de los datos.
Destrucción	Supresión, destrucción o anonimización de datos personales.
Ley/KVKK	Ley de Protección de Datos Personales no. 6698.
Medio de Registro	Cualquier medio en el que se traten datos personales, que sean total o parcialmente automatizados o no automatizados siempre que formen parte de algún sistema de registro de datos.
Datos Personales	Todo tipo de información relativa a una persona identificada o identificable.
Inventario de datos	El inventario creado y elaborado por los responsables del tratamiento mediante la asociación de las actividades de tratamiento de datos personales llevadas a cabo por los responsables del tratamiento según los procesos comerciales y los fines del tratamiento de datos personales y la razón legal con la categoría de datos, el grupo de destinatarios transferidos y el grupo de interesados, y donde explican el período máximo de retención requerido para los fines para los cuales se procesan los datos personales, los datos personales que se prevé transferir a países extranjeros y las medidas tomadas con respecto a la seguridad de los datos.
Procesamiento de Datos Personales	La Política cubre todo tipo de procesos realizados sobre datos personales tales como obtener, guardar, almacenar, retener, modificar, revisar, describir, transferir, asumir, poner a disposición, clasificar o bloquear el uso de datos personales por medios total o parcialmente automatizados o por medios no automatizados siempre que formen parte de cualquier sistema de registro de datos.
Comisión	Comisión de Protección de Datos Personales establecida por Barer Corporate Yatırım Holding A.Ş. para administrar la Política y otros procedimientos relacionados y garantizar la aplicación de la Política.
Consejo	Consejo de Protección de Datos Personales
Institución	Institución de Protección de Datos Personales
Datos personales confidenciales	Datos personales relativos a la raza, origen étnico, opinión política, creencia filosófica, religión, secta u otra creencia, indumentaria, pertenencia a asociaciones, fundaciones o sindicatos, salud, vida sexual, convicciones y medidas de seguridad, así como datos biométricos y genéticos datos.
Destrucción periódica	El proceso de supresión, destrucción o anonimización, que se realizará de oficio en intervalos repetitivos y especificados en la política de retención y destrucción de datos personales, en caso de que se eliminen todas las condiciones de tratamiento de datos personales previstas en la Ley.
Política	Política de Protección de Datos Personales
Controlador de datos	Persona real o jurídica que determina los fines y medios del tratamiento de datos personales y asume la responsabilidad de establecer y administrar el sistema de registro de datos.
Procesador de datos	Persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento con la autorización conferida por el responsable del tratamiento.

4. PRINCIPIOS GENERALES

Barer Corporate Yatırım Holding A.Ş. comprueba el cumplimiento de los datos a procesar con los siguientes principios en la fase de preparación de cada flujo de trabajo que requiere el procesamiento de nuevos datos personales. Los flujos de trabajo que no son compatibles con los principios relevantes no se implementan. Al procesar datos personales, Barer Corporate Yatırım Holding A.Ş. deberá;

((I) Cumplir con la ley y los principios de integridad.
(II) Asegurar que los datos personales sean exactos y actualizados cuando sea necesario.
(III) Asegurarse de que la finalidad del tratamiento sea determinada, explícita y legítima.
(IV) Confirmar que los datos procesados son relevantes para el propósito del procesamiento y que el procesamiento está restringido y limitado en la medida requerida para el propósito.
(V) Garantizar la conservación de los datos personales en la medida prevista en la normativa pertinente o requerida para el fin del procesamiento y destruir los datos personales una vez que el fin del procesamiento ya no sea aplicable.

5. DEBERES Y RESPONSABILIDADES

La Comisión de Protección de Datos Personales se ha establecido dentro de Barer Corporate Yatırım Holding A.Ş. con el fin de gestionar la Política y otros procedimientos relacionados y garantizar el cumplimiento de la Política. La Comisión está integrada por el Gerente General, el Oficial de Recursos Humanos, el Jefe de Asuntos Administrativos y Financieros y el Abogado de la Empresa. Barer Corporate Yatırım Holding A.Ş. también recibe el apoyo de consultoría de KVKK cuando sea necesario, a fin de cumplir con la Ley de Protección de Datos Personales No. 6698. La comisión, si lo considera necesario, puede convocar al consultor de KVKK a sus reuniones. Los deberes y responsabilidades de la comisión se especifican a continuación.

(I) Se reúne normalmente cada 6 meses. Podrán celebrarse reuniones extraordinarias si las circunstancias lo requieren (por ejemplo, en caso de una supuesta filtración de datos).
(II) Discute los temas que necesitan ser cambiados/mejorados en la Política.
(III) Identifica las cuestiones que pueden cumplirse para el tratamiento lícito y protección de datos personales.
(IV) La Comisión determina los pasos que se pueden tomar para aumentar la conciencia de KVKK dentro de la empresa y entre los socios comerciales.
(V) Identifica los riesgos que se pueden encontrar en el tratamiento y protección de los datos personales y adopta las medidas administrativas y técnicas necesarias.
(VI) Establece la comunicación con la institución y gestiona las relaciones.
(VII) Evalúa las solicitudes del Titular.
(VIII) Supervisa los procesos periódicos de destrucción.
(IX) Actualiza el Inventario de Datos.
(X) Hace las encomiendas relativas a las materias antes mencionadas.

6. MEDIDAS ADOPTADAS PARA LA SEGURIDAD DE LOS DATOS

Barer Corporate Yatırım Holding A.Ş. toma todo tipo de medidas técnicas y administrativas necesarias para garantizar el nivel adecuado de seguridad con el fin de (i) evitar el procesamiento ilegal de datos personales, (ii) evitar el acceso ilegal a los datos personales, (iii) garantizar la custodia de los datos personales.

6.1. Medidas Technicas
(I) Se garantiza la seguridad de la red y la seguridad de las aplicaciones.
II) Se adoptan medidas de seguridad en el ámbito de la adquisición, el desarrollo y el mantenimiento de sistemas de tecnología de la información.
(III) Los registros de acceso se mantienen regularmente.
(IV) Se utilizan los sistemas antivirus actuales.
(V) Se utilizan cortafuegos.
(VI) Se toman las precauciones de seguridad necesarias en el camino de entrada y salida de los medios físicos que contienen datos personales.
(VII) Los soportes físicos que contienen datos personales están protegidos contra riesgos externos (incendio, inundación, etc.).
(VIII) Se garantiza la seguridad de los medios que contienen datos personales.
(IX) Se realiza una copia de seguridad de los datos personales y también se garantiza la seguridad de los datos personales respaldados.
(X) Se implementa y supervisa el sistema de gestión de cuentas de usuario y control de autorización.
(XI) Los registros de registro se mantienen sin intervención del usuario.
XII) Se utilizan sistemas de detección y prevención de intrusiones.
(XIII) Se realiza el cifrado.

6.2. Medidas administrativas
(I) Existen disposiciones disciplinarias que incluyen disposiciones de seguridad de datos para los empleados.
(II) Periódicamente se llevan a cabo actividades de capacitación y sensibilización sobre la seguridad de los datos para los empleados.
III) Se han preparado y comenzado a aplicar políticas institucionales relativas al acceso, la seguridad, el uso, el almacenamiento y la destrucción de la información.
(IV) Las medidas de enmascaramiento de datos se aplican cuando es necesario.
(V) Se asumen compromisos de confidencialidad.
(VI) Se ha creado una matriz de autorización para los empleados.
(VII) Se eliminan las autorizaciones de los empleados que están asignados a otro puesto o que dejaron el trabajo en esta área.
(VIII) Los contratos firmados contienen disposiciones de seguridad de datos.
(IX) Se han establecido políticas y procedimientos de seguridad de los datos personales.
(X) Los problemas de seguridad de los datos personales se informan con prontitud.
(XI) Se supervisa la seguridad de los datos personales.
(XII) Los datos personales se reducen en la medida de lo posible.
(XIII) Se realizan auditorías internas periódicas y/o aleatorias y se las hace realizar.
XIV) Se han identificado los riesgos y amenazas existentes.
(XV) Se han adoptado y se están aplicando protocolos y procedimientos para la seguridad de los datos personales sensibles.
(XVI) Si los datos personales sensibles se van a enviar por correo electrónico, se envían necesariamente en forma cifrada y utilizando correo electrónico certificado o cuenta de correo electrónico corporativa.
XVII) Se garantiza el conocimiento de los proveedores de servicios de tratamiento de datos sobre la seguridad de los datos.

7. DERECHOS DEL INTERESADO CON RESPECTO A LOS DATOS PERSONALES

El interesado puede solicitar a Barer Corporate Yatırım Holding A.Ş. y realizar una solicitud para:
(I) Saber si se procesan sus datos personales,
(II) Solicitar información si sus datos personales han sido procesados,
(III) Conocer el propósito del procesamiento de los datos personales y si se utilizan para este propósito,
(IV) Conocer los terceros a quienes se transfieren sus datos personales en el país o en el extranjero,
(V) En el caso de que sus datos personales estén incompletos o se procesen incorrectamente, solicite la corrección y exija la notificación del proceso relevante a los terceros a quienes se han transferido sus datos personales,
(VI) Aunque el procesamiento se haya realizado de acuerdo con la KVKK y otras disposiciones legales relevantes, si se han eliminado las razones que requieren el procesamiento, solicitar la eliminación, destrucción o anonimización de sus datos personales y exigir la notificación del proceso pertinente a los terceros a los que se han transferido sus datos personales,
(VII) Objetar la aparición de cualquier resultado en detrimento de él / ella que surja del análisis de sus datos procesados exclusivamente por sistemas automatizados,
(VIII) Exigir la indemnización del daño en caso de pérdida por tratamiento de sus datos personales en violación de la ley.

8. NOTIFICACIÓN DE VIOLACIONES

Los empleados de Barer Corporate Yatırım Holding A.Ş. informan a la Comisión de cualquier trabajo, acción o evento que consideren que viola las disposiciones de la KVKK y/o la Política. Si la comisión lo considera necesario después de esta denuncia de violación, convoca y crea un plan de acción contra la violación.

Si la violación se ha producido mediante la adquisición de datos personales por parte de terceros por medios ilícitos, la Comisión comunicará esta situación al interesado y a la Junta en un plazo de 72 horas en el ámbito de la decisión de la Junta de fecha 24.01.2019 y numerada 2019/10.

9. MODIFICACIONES

Las modificaciones de la Política son preparadas por la Comisión y presentadas al Consejo de Administración de Barer Holding para su aprobación. La versión actualizada de la Política puede enviarse a los empleados por correo electrónico o publicarse en el sitio web.

10. FECHA DE ENTRADA EN VIGOR

Esta versión de la Política ha sido aprobada por el Consejo de Administración y entró en vigor el 02.11.2020.