Arҫelik impreuna cu filialele și societățile sale afiliate (împreună denumite „Compania”, „noi”) se angajează să protejeze confidențialitatea tuturor persoanelor cu care derulãm afaceri, inclusiv clienții, furnizorii, angajații și contractanţii noștri. În recunoașterea acestui aspect, Compania a adoptat această Politică de confidențialitate a datelor (“Politica”).

Legile aplicabile de protecţie a datelor - toate aspectele relevante privind confidențialitatea, protecția datelor sau legile și reglementările aferente din Turcia (Legea cu privire la protecția datelor cu caracter personal) din Spațiul Economic European (SEE), din Marea Britanie și Elveția, care se aplică Prelucrãrii datelor cu caracter personal, inclusiv, dar fără a se limita la Regulamentul general al UE privind protecția datelor 2016/679.

Date personale - orice date referitoare la o persoană fizică identificată sau identificabilă in mod direct sau indirect („Persoana vizată”); identificarea poate avea loc prin referire la un element de identificare precum  nume, număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale individului.

Personal - angajați, directori executivi, lucrători temporari, angajați cu normă întreagă sau parțială sau angajati ca siconsultanți terți și personal temporar care acționează în numele Arҫelik care fac obiectul prezentei politici.

A prelucra sau Prelucrare - orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, preluarea, consultarea, utilizarea, dezvăluirea, diseminarea sau punerea la dispoziție, transfer internațional, aliniere sau combinare, restrictionare, ștergere sau distrugere.

Imputernicit - orice entitate care prelucrează date cu caracter personal în numele oricărei entitãţi Arҫelik supuse acestei politici.

Încãlcarea securitãţii - o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal.

Mãsuri de securitate - măsuri, inclusiv măsuri legale, organizatorice și tehnice menite să asigure integritatea, disponibilitatea și confidențialitatea continuă a datelor cu caracter personal și prevenirea, atenuarea sau remedierea încălcărilor de securitate.

Date Personale Sensibile - orice date personale referitoare la originea rasială sau etnică a unei persoane, opinii politice, credințe religioase sau filozofice, apartenența la sindicat, caracteristicile genetice, biometrice, sănătate, viață sexuală, orientare sexuală sau condamnări penale.

• Personalul este responsabil pentru respectarea acestei politici atunci când prelucrează datele cu caracter personal in cadrul  activităților lor normale de muncă.

• Personalul de conducere din cadrul companiei este responsabil pentru aplicarea respectării acestei politici, inclusiv menținerea unei structuri de guvernare adecvate și alocarea resurselor necesare pentru a asigura respectarea și punerea în aplicare.

• Personalul va notifica imediat Responsabilul Global de Protecție a Datelor, dacă suspecteazã sau cunoaşte că această politică intră în conflict cu orice obligație legală sau de reglementare locală sau că o anumită practică a companiei încalcă această politică.

• Compania poate implementa politici, proceduri sau practici suplimentare, după caz,

  ce sunt necesare pentru a asigura respectarea acestei politici sau pentru a respecta Legile locale aplicabile privind protecția datelor. Entitatile Arҫelik nu trebuie să adopte sau să implementeze astfel de politici, proceduri sau practici fără consultarea și aprobarea prealabilă din partea Responsabilului Global de Protecție a datelor.

a. Compania se străduiește să prelucreze datele cu caracter personal in conformitate cu această politică și cu legile aplicabile privind protecția datelor. În cazul în care Legile aplicabile privind protecția datelor impun un nivel de protecție mai ridicat decât prezenta politică, Compania trebuie să respecte aceste legi sau reglementări.

b. Principii de bazã

I. Legalitate și limitare a scopului

Compania va prelucra datele cu caracter personal în mod legal, corect și pentru scopuri de afaceri specifice, explicite și legitime și cu o justificare adecvată (temei legal) în conformitate cu legile privind protecția datelor aplicabile. Această justificare poate fi reprezentatã de consimțământul persoanelor vizate, executarea unui contract sau luarea unor măsuri înainte de încheierea unui contract, o obligație legala sau un interes legitim al Companiei asupra căruia nu prevaleaza interesele sau drepturile si libertatile fundamentale alepersoanei vizate. În cazul în care Compania este obligata prin legea aplicabilă sau prin politici interne sa solicite și sa obținaconsimțământul persoanelor vizate înainte de prelucrarea anumitor date cu caracter personal, atunci Compania va solicita acest consimțământ și îl va respecta. Compania ține o evidență a consimtamintelor pe care le obține și pune în aplicare mijloace efective pentru persoanele vizate de a-și retrage consimțământul.

II. Minimizarea datelor

Compania își limitează prelucrarea datelor cu caracter personal la cantitatea minimă de informații necesare pentru indeplinirea scopului sau scopurilor stabilite. Atunci când este posibil, Compania va folosi informații care nu identifică persoanele vizate.

Compania trebuie să reducă la minimum prelucrarea, accesul și păstrarea datelor cu caracter personal la ceea ce este necesar pentru scopul sau scopurile stabilite. Accesul este limitat la necesitatea de cunoaștere. Cu anumite excepţii, datele cu caracter personal nu vor fi accesibile pentru un număr nedeterminat de persoane.

III. Menținerea integrității și calității

Compania va menține în orice moment integritatea proceselor informatice ale datelor cu caracter personal și va lua măsuri rezonabile pentru ca datele personale să fie corecte, complete, actualizate și fiabile pentru scopul avut în vedere al Datelor cu Caracter Personal.

IV. Păstrarea și ștergerea datelor cu caracter personal

Compania nu va păstra Datele cu caracter personal mai mult timp decât este necesar. Datele cu caracter personal vor fi distruse sau anonimizate în conformitate cu politicile companiei aplicabile și cu termenele de păstrare a înregistrărilor, inclusiv cu Politica privind Păstrarea înregistrărilor companiei. Aceste politici ale companiei și termene de păstrare a înregistrărilor iau în considerare nevoile de afaceri ale companiei, obligațiile legale ale acesteia și considerentele de cercetare științifică, statistică sau istorică.

V. Transparenţă

Compania va furniza informații clare persoanelor vizate despre cel puțin:

• identitatea și datele de contact ale Companiei care acționează în calitate de operator de date cu caracter personal și ale responsabilului său global pentru protecția datelor, dacă există, sau ale Responsabililor de protecție a datelor la nivel local;

• categoriile de date cu caracter personal referitoare la persoanele vizate pe care le prelucrează compania;

• scopurile pentru care sunt prelucrate datele cu caracter personal și justificările Companiei pentru o astfel de prelucrare;

• dezvăluirea datelor cu caracter personal către terți destinatari;

• drepturile persoanelor vizate cu privire la datele lor cu caracter personal, inclusiv dreptul lor de a depune o plângere cãtre o autoritate de supraveghere;

• transferuri de date cu caracter personal în afara Turciei, SEE, Regatul Unit și Elveția și garanțiile legale aplicabile acestor date cu caracter personal transferate;

• perioada de păstrare sau criteriul utilizat pentru a determina perioada de păstrare a datelor cu caracter personal

• dacă furnizarea datelor cu caracter personal este obligatorie și consecințele posibile dacă persoana fizică nu furnizează datele cu caracter personal; și

 • existența unei decizii automate care produce efecte juridice sau similare și informații despre logica implicată, acolo unde este relevant.

Persoanelor vizate trebuie să li se furnizeze orice informații suplimentare cerute de legile locale aplicabile privind protecția datelor.

Cu anumite excepții limitate, informațiile prezentate mai sus vor fi furnizate persoanelor vizate în momentul obținerii datelor lor personale.

Toate comunicările către persoanele vizate cu privire la prelucrarea datelor lor cu caracter personal sunt aprobate de Responsabilul local pentru protecția datelor și, dacă este necesar, de Responsabilul global pentru protecția datelor, pe baza modelelor companiei.

Legile aplicabile privind protecția datelor pot prevedea derogări de la cerința de transparență în cazuri excepționale, de exemplu, atunci când furnizarea acestor informații este disproporționată. Aceste derogări nu pot fi invocate fără consultarea prealabilă a Responsabilului global cu protecția datelor.

VI. Drepturile persoanelor vizate

I. Compania ia în considerare orice solicitare a persoanelor vizate în legătură cu drepturile lor de acces, rectificare, restricție, portabilitatea datelor, ștergerea sau opoziția sau orice indicație clară că persoanele vizate doresc să își retragă consimțământul. Aceste solicitări sunt gratuite.

II. Compania va răspunde acestor solicitări în termen de o lună și va depune toate eforturile pentru a răspunde cererii în acest interval de timp, în conformitate cu Politica privind drepturile persoanei vizate din cadrul companiei.

III. Compania nu este obligată să răspundă unei solicitări atunci când nu poate corela în mod legal datele personale cu persoana fizică solicitantã sau când o cerere este vădit nefondată sau excesivă din cauza caracterului repetitiv.

VII. Menținerea securității adecvate și raportarea încălcărilor de securitate

I. Compania va implementa Măsuri de securitate pentru protejarea datelor cu caracter personal, în special în cazul transmiterilor de date cu caracter personal printr-o rețea sau stocarea datelor cu caracter personal pe dispozitive portabile sau media. Aceste Măsuri de Securitate trebuie să țină seama de riscurile reprezentate de Prelucrare, de natura Datelor Personale în cauză, de stadiul tehnicii și de costurile implementării Măsurilor de Securitate.

II. Măsurile de securitate vor fi prevazute în politici și proceduri de securitate scrise.

Personalul raportează imediat o încălcare de securitate către Responsabilul global pentru protecția datelor și Departamentele de securitate a informațiilor și telecomunicații din cadrul Arҫelik și ține o evidență a încălcărilor de securitate în conformitate cu Politica companiei privind încălcarea datelor.

VIII. Divulgarea Datelor Personale

Compania trebuie să dezvăluie datele personale numai către anumiţi terți, cum ar fi autoritățile de aplicare a legii sau instanțele judecătorești, partenerii de afaceri, furnizorii sau clienții, în cazul în care sunt autorizați în mod special să facă acest lucru prin legile aplicabile în Turcia, SEE, Marea Britanie sau Elveția sau altfel în conformitate cu Legile aplicabile de protecție a datelor.

Atunci când se bazează pe imputerniciti, Compania trebuie să-i selecteze cu atenție și să îi supună controalelor contractuale pentru a proteja confidențialitatea și securitatea datelor cu caracter personal în cauză și pentru a îndeplini cerințele legilor privind protecția datelor aplicabile.

IX.Transferuri internaţionale de date personale

Compania va transfera datele cu caracter personal numai într-o țară din afara Turciei, SEE, Regatul Unit și Elveția, în conformitate cu cerințele stabilite în Legile aplicabile privind protecția datelor.

Cu anumite excepții limitate în conformitate cu Legile aplicabile privind protecția datelor, Compania va pune la dispoziție garanții adecvate, cum ar fi acordurile de transfer pentru a depăși restricțiile privind transferurile internaționale de date cu caracter personal în conformitate cu legile privind protecția datelor aplicabile.

Compania se poate baza doar pe excepții din Legile aplicabile privind protecția datelor pentru restricțiile privind transferurile internaționale, în urma revizuirii și aprobării de către responsabilul global pentru protecția datelor.

X. Traininguri

Angajații care prelucrează datele cu caracter personal ca parte a rolului sau funcției lor sunt instruiți în mod regulat cu privire la respectarea prezentei politici. Instruirea trebuie să fie adaptată la rolul sau funcția personalului în cauză.

XI. Monitorizare şi înregistrãri

Responsabilul global pentru protecția datelor și Responsabilii locali pentru protecția datelor efectuează revizuiri și audituri periodice pentru a asigura respectarea acestei politici.

Compania ține un registru al operațiunilor de procesare. Înregistrarea trebuie să fie pusă la dispoziția autorităților de supraveghere la cerere.

XII. Conformitate şi Renunţãri

Cerințele impuse de această politică pot face obiectul unei renuntari numai de la caz la caz în circumstanțe excepționale și sub rezerva condițiilor, după aprobarea Responsabilului Global pentru Protecția Datelor.

Orice membru al personalului care nu respectă această politică poate face obiectul unor măsuri disciplinare, inclusiv încetarea contractului de muncă.

Compania va transmite această Politică către Personal și poate traduce Politica în limbi locale în scop informativ. În cazul discrepanțelor dintre limba locală și versiunea în limba engleză, va prevala versiunea în limba engleză a Politicii.

Întrebările sau îngrijorările cu privire la această Politică sau problemele de confidențialitate, în general, trebuie să fie adresate Responsabilului Global pentru Protecția Datelor (la telefon  +90 212 314 34 34 sau prin e-mail la compliance@arcelik.com).

Data versiunii: 2.12.2019

Arҫelik and its affiliates and subsidiaries (together “Company”, “we”, “us”) is committed to protecting the privacy of everyone we do business with, including our customers, suppliers, employees and contractors. In recognition thereof, Company has adopted this Data Privacy Policy (the “Policy”).

Applicable Data Protection Laws - all relevant privacy, data protection or related laws and regulations in Turkey (Law on the Protection of Personal Data) in the European Economic Area (EEA), in the UK and in Switzerland that apply to the Processing of Personal Data, including but not limited to the EU General Data Protection Regulation 2016/679.

Personal Data - any data relating to an identified or directly or indirectly identifiable natural person (“Data Subject”); identification can occur by reference to an identifier such as a name, identification number, location data, an online identifier, or to one or more factors specific to an Individual’s physical, physiological, genetic, mental, economic, cultural or social identity.

Personnel - employees, officers, contingent workers, employed on a full or part-time basis, or retained as third-party consultants, and temporary staff acting on behalf of any Arҫelik subject to this Policy.

Process or Processing - any operation or set of operations performed upon Personal Data, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure, dissemination or otherwise making available, international transfer, alignment or combination, blocking, erasure or destruction.

Processor - any entity who Processes Personal Data on behalf of any Arҫelik subject to this Policy.

Security Breach - a breach of security leading to the accidental or unlawful destruction, loss, alternation, unauthorized disclosure of, or access to, Personal Data.

Security Measures - measures, including legal, organizational and technical measures aimed at ensuring the ongoing integrity, availability, and confidentiality of Personal Data and at preventing, mitigating or remedying Security Breaches.

Sensitive Personal Data - any Personal Data relating to an Individual’s racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic characteristics, biometrics, health, sex life, sexual orientation, or criminal convictions.

• Personnel is responsible for complying with this Policy when they Process Personal Data in connection with their normal work activities.

• Senior management within Company is responsible for enforcing compliance with this Policy, including the maintenance of  an  appropriate  governance  structure  and the allocation of resources necessary to ensure compliance and enforcement.

• Personnel shall promptly notify the Global Data Protection Officer if they suspect orareaware that this Policy conflicts withany local legalor regulatory obligation or that a particular Company practice violates this Policy.

• Company may implement additional policies, procedures or practices as may be necessary to ensure compliance with this Policy or meet local Applicable Data Protection Laws. Arҫelik shall not adopt or implement such policies, procedures or practices without prior consultation and approval from the Global Data Protection Officer

a. Company strives to Process Personal Data in a manner consistent with this Policy and with Applicable Data Protection Laws. Where Applicable Data Protection Laws impose a higher level  of  protection  than  this  Policy,  Company must comply with  such laws or regulations.

b. Basic Principles

 

I. Lawfulness and Purpose Limitation

Company shall only Process Personal Data lawfully, fairly and for specified, explicit and legitimate business purposes and  with  an  appropriate  justification  (legal  basis) under Applicable Data Protection Laws.  This  justification  can  be  consent  of  the Data Subjects, the performance of an agreement or  taking  steps  prior  to  entering  into an agreement, a legal obligation, or a legitimate interest of Company that is not outweighed by the interests or fundamental rights and freedoms of the Data Subjects. Where Company is required by applicable law or by internal policies to request and obtain the consent of the Data Subjects prior to the Processing of certain Personal  Data  then  Company  shall  seek  such  consent  and  honor  it.  Company  shall  keep a record of consents that it obtains and put in place  effective means for Data Subjects to withdraw their consent.

II. Data Minimization

Company shall limit its Processing of Personal Data to the minimum amount of information necessary to pursue the established purpose or purposes.  Where  possible, Company shall rely on information that does not identify Data Subjects.

Company shall minimize the extent of its Processing, access to and retention of Personal Data to what is necessary for the established purpose or purposes. Access shall be limited to a need-to-know basis. Save exceptions, Personal Data shall not be made accessible to an indefinite number of individuals.

III. Maintaining Integrity and Quality

Company shall at all times maintain the integrity of the Personal Data IT Processes   and take reasonable steps to keep Personal  Data  accurate,  complete,  up-to-date  and reliable for its intended use.

IV. Retaining and Deleting Personal Data

Company  shall  not  retain  Personal  Data  for  longer  than  necessary.  Personal  Data shall be destroyed or anonymized in compliance with  applicable Company  policies and record retention schedules, including the Company Records Retention Policy. These Company policies and record retention schedules take into account Company’s business needs, its legal obligations, and scientific, statistical or historical research considerations.

c. Transparency

 

I. Company shall provide clear information to Data Subjects about, at a minimum:

• the identity and the contact details of Company acting as the controller.of the Personal Data and of its Global Data Protection Officer, if such exists, or of its Data Protection Officers at local level;

 

• thecategoriesofPersonalDatarelatingtoDataSubjectsthatCompanyProcesses;

 

• the purposes for which the Personal Data is Processed, and the justifications for such Processing;

 

• disclosures of the Personal Data to third-party recipients;

 

• the rights of Data Subjects in respect of  their  the  Personal  Data, their right to lodge a complaint with a supervisoryauthority;

 

• transfers of Personal Data outside Turkey, the EEA, the UK and Switzerland and the legal safeguards applying to such transferred Personal Data;

• the retention period or the criterion used to determine the retention period of the Personal Data;

 

• whether the provision of the Personal Data is mandatory and the possible consequences if the Individual fails to provide the Personal Data; and

 • the existence of automated decision-making which produces legal or similar effects and information about the logic involved, where relevant.

II. Data Subjects shall be provided with any additional information required by local Applicable Data Protection Laws.

III. Save limited exceptions, the information set out above shall be provided to the Data Subjects at the time their Personal Data is obtained.

IV. All communications to Data Subjects about the Processing of their Personal Data shall be approved by the local Data Protection Officer and, where necessary, by the Global Data Protection Officer based on Company’s templates.

V. Applicable Data Protection Laws may provide for derogations to the transparency requirement in exceptional cases, for example, where providing such information imposes a disproportionate burden. Such derogations shall not be relied upon without prior consultation of the Global Data Protection Officer.

d. Rights of Data Subjects

I. Company shall consider any request from Data Subjects in relation to their rights of access, rectification, restriction, data portability, erasure, or opposition or any clear indication that the Data Subjects want to withdraw their consent. Such requests shall be free of charge.

II. Company shall respond to such requests within one month and make all efforts to meet the request within this timeframe in accordance with the Company Data Subject Rights Policy.

III. Company is not obliged to meet a request when it cannot lawfully relate Personal Data to the Individual making the request or when a request is manifestly unfounded or excessive because of its repetitive nature.

e. Maintaining Appropriate Security and Reporting Security Breaches

I. Company shall implement Security Measures to protect Personal Data, in particular in case of transmissions of Personal Data over a network or the storage of Personal Data on portable devices or media. These Security Measures shall take into account the risks represented by the Processing, the nature of the Personal Data concerned, the state of the art and cost of the implementation of the Security Measures.

II. The Security Measures shall be set out in written security policies and procedures.

III. Personnel shall promptly report a Security Breach to the Global Data Protection Officer and Information Security and Telecommunications Departments of Arҫelik and keep a record of the Security Breaches in accordance with the Company Data Breach Policy.

f. Disclosure of Personal Data

I. Company shall only disclose Personal Data to third parties, such as law enforcement authorities or courts, business partners, suppliers or customers where specifically authorized to do so by applicable laws in Turkey, the EEA, the UK or Switzerland or otherwise in accordance with Applicable Data Protection Laws.

II. When relying on Processors, Company shall select Processors carefully and subject them to contractual controls in order to protect the confidentiality and security of the Personal Data concerned and meet the requirements of Applicable Data Protection Laws.

g. International Transfers of Personal Data

I. Company shall only transfer Personal Data to a country outside Turkey, the EEA, the UK and Switzerland in accordance with the requirements set out in Applicable Data Protection Laws.

II. Save limited exceptions under Applicable Data Protection Laws, Company shall put in place appropriate safeguards, such as transfer agreements to overcome restrictions on international transfers of Personal Data under Applicable Data Protection Laws.

III. Company may only rely on exceptions under Applicable Data Protection Laws to restrictions on international transfers following review and approval by the Global Data Protection Officer.

h. Training

Employees Processing Personal Data as part of their role or function shall be regularly trained on compliance with this Policy. Training should be adapted to the role or function of the Personnel concerned.

i. Monitoring and Records

I. The Global Data Protection Officer and the local Data Protection Officers shall conduct periodic reviews and audits to ensure compliance with this Policy.

II. Company shall maintain a record of Processing operations. The record must be made available to supervisory authorities upon request.

j. Compliance and Waivers

I. Requirements imposed by this Policy may be waived only on a case-by-case basis in exceptional circumstances and subject to conditions, following approval from the Global Data Protection Officer.

II. Any member of Personnel not compliant with this Policy may be subject to disciplinary measures, including termination of employment.

Company shall circulate this Policy to the Personnel and may translate the Policy into local languages for information purposes. In case of discrepancies between local language and the English version, the English version of the Policy shall prevail.
Questions or concerns regarding this Policy or privacy matters more generally must be directed to the Global Data Protection Officers Office (contactable via phone on +90 212 314 34 34 or e-mail at compliance@arcelik.com).

Version Date: 2.12.2019