PROCEDIMIENTO PARA EL TRATAMIENTO DE LA INFORMACIÓN SOBRE DATOS PERSONALES

PROCEDIMIENTO PARA EL TRATAMIENTO DE LA INFORMACIÓN SOBRE DATOS PERSONALES Generalidades El presente Procedimiento para el Tratamiento de la Información Sobre Datos Personales (en adelante el Procedimiento ) se aplicará a cada una de las bases de datos físicas y/o digitales con datos personales tratados por parte de Parex Resources Colombia Ltd. Sucursal, Parex Verano Limited Sucursal, AB Exploración y Producción B.V Sucursal, cualquier matriz, sucursal, subordinada, subsidiaria, asociada, filial y/o vinculada de PAREX RESOURCES INC (en adelante Las Compañías ), quienes son las responsables y/o encargadas de tratar las bases de datos personales, según lo establecido en la Ley 1581 de 2012, Decreto 1377 de 2013 y demás normatividad complementaria y concordante. Los datos serán recolectados, almacenados, usados y circulados en los términos legales vigentes y según el presente Procedimiento. Identificación del responsable del tratamiento de la información Las Compañías mencionadas, Parex Resources Colombia Ltd. Sucursal con Nit No. 900268747-9, Parex Verano Limited Sucursal con Nit No. 900331322-1, AB Exploración y Producción B.V Sucursal con Nit No. 900331068-5, tienen domicilio en la calle 113 No. 7 21, oficina 611 Torre A, en la ciudad de Bogotá, D.C., Colombia, correo electrónico leonardo.bohorquez@parexresources.com, teléfono 571 629 1716. En la página web de la compañía y en físico en las instalaciones principales de la compañía encontrará el presente Procedimiento. Definiciones Para los efectos del presente Procedimiento, se entiende por: a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales; b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento; c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento; e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos; f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento; 1

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Principios para el Tratamiento de datos personales En el desarrollo, interpretación y aplicación del presente Procedimiento, se aplicarán, de manera armónica e integral, los siguientes principios: a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere el presente Procedimiento y la Ley, es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen; b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular; c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento; d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error; e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan; f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones del presente Procedimiento, la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en el presente Procedimiento y la ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme al presente Procedimiento y la ley; g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente Procedimiento y la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento; h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en el presente Procedimiento, la ley y en los términos de los mismos. 2

Tratamiento y finalidad La información reflejada en las bases de datos de las Compañías será sometida a diferentes formas de tratamiento, tales como recolección, procesamiento, intercambio, actualización, compilación, reproducción, sistematización, organización y utilización, de conformidad con las finalidades establecidas en la ley, el presente documento y los que lo complementen. La información podrá ser suministrada, transferida, compartida, y/o trasmitida, a socios, accionistas, matrices, filiales, subsidiarias, subordinadas, vinculados, contratistas, proveedores, trabajadores, a entidades públicas o terceros, en Colombia o en el exterior, siempre que se cumpla con las finalidades de la respetiva base de datos y con la aplicación de la confidencialidad. A la información de las bases de datos se le podrá dar Tratamiento y utilizar para el desarrollo del objeto social de las Compañías y sus relaciones con terceros, por lo que se podrá recolectar, almacenar, utilizar, circular, actualizar y/o suprimir, los datos personales de las personas con las que sostiene o sostuvo relaciones, tales como, pero sin limitarse a ello, socios, accionistas, vinculados, proveedores, clientes, posibles clientes, deudores, contratistas, empleados y aspirantes a vacantes laborales, entre otros. Las Compañías están autorizadas para dar tratamiento y utilizar la información de las bases de datos para las finalidades siguientes: 1. Atender, guardar, procesar y tratar la información suministrada por cada uno de los Titulares en bases de datos según los mecanismos de control adoptados por las Compañías. 2. Clasificar, ordenar, evaluar, analizar, comparar, validar y/o investigar los datos informados y/o que se obtengan de los Titulares, de conformidad con las disposiciones legales vigentes y del objeto social de las Compañías. 3. Consultar, examinar y catalogar los datos de los Titulares que estén en bases de datos de las centrales de riesgo financiero, bancario y crediticio, así como de los antecedentes judiciales, policiales, administrativos, y/o relativos a la seguridad, tanto a nivel nacional como en el exterior. 4. Recopilar, individualizar, realizar cálculos, examinar, tratar y utilizar los datos de los Titulares para análisis, seguimiento, control y evaluación, así como para beneficios y actividades legales, extralegales, laborales, industriales, comerciales, contractuales, académicas, estadísticas, publicitarias y promocionales. Las Compañías podrán compartir la información entre ellas y con sus aliados comerciales o estratégicos que acuerden cumplir la presente Procedimiento y las disposiciones legales vigentes. 5. Enviar, recepcionar o intercambiar información, para atender peticiones, quejas, reclamos, felicitaciones, derechos de petición o atención de solicitudes y comunicaciones, como desarrollo del relacionamiento entre las Compañías, comunidades y cualquier otra persona de carácter público o privado. 3

En el evento en que una o algunas de las Compañías no tenga la posibilidad de efectuar el tratamiento de las bases de datos de forma directa, lo podrá hacer por intermedio de terceros siempre que cumplan las condiciones de seguridad y confidencialidad. Las bases de datos estarán vigentes hasta la culminación del objeto social de cada una de las Compañías, respectivamente. Datos sensibles El Titular de los datos tiene derecho a abstenerse de contestar información sensible que requiera alguna de las Compañías, en relación con datos sobre raza, etnia, participación sindical, organizaciones de derechos humanos, filiación política, religión, orientación sexual, biometría y/o la salud. Menores de edad Los datos personales de los menores de edad se entregarán de forma facultativa y se requerirá la autorización de los padres de familia o de sus representantes legales. Manejo de las Peticiones, Quejas, Consultas y Reclamos Las peticiones, quejas, consultas y reclamos, asociadas con el ejercicio del derecho a actualizar, conocer, suprimir, rectificar o revocar la autorización del tratamiento de la información se podrá atender por parte de las Compañías entre los días lunes a viernes, en el horario de horario 8:00 a.m. y 5:00 p.m., de lunes a viernes, teléfono 571 6291716 y/o dirigidas al correo electrónico leonardo.bohorquez@parexresources.com Procedimiento para ejercicio del derecho En atención al ejercicio del derecho a solicitar prueba de la autorización del tratamiento de la información, a conocer, actualizar y/o rectificar los datos personales, el proceso se puede surtir de lunes a viernes, en el horario de horario 8:00 a.m. y 5:00 p.m., de lunes a viernes, teléfono 571 6291716 y/o dirigidas al correo electrónico leonardo.bohorquez@parexresources.com Las solicitudes de consultas de los Titulares deberán estar acompañadas de los documentos siguientes: (i) Titular: Copia del documento de identificación. (ii) Causahabiente: Documento de identificación, registro civil de defunción del Titular, soporte que acredite la calidad en que se actúa y el número del documento de identidad del respectivo Titular. (iii) Representante legal y/o apoderado: Documento de identificación reconocido legalmente, documentación que acredite la calidad en la que se actúa y el número del documento de identificación del Titular. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. En los casos de reclamo, el Titular o causahabiente, acreditará su condición de igual forma que en la consulta. En estos casos la reclamación estaría orientada a que la información contenida en una base 4

de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: 1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. 2. Una vez recibido el reclamo completo, se incluirá en la base de datos un mensaje que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicho mensaje deberá mantenerse hasta que el reclamo sea decidido. 3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento. Seguridad sobre la información Cada una de las Compañías adopta las herramientas idóneas de seguridad para guardar y proteger los datos de los Titulares, para impedir el ingreso sin autorización a las bases, de tal forma que se garantice el acceso restringido a personas autorizadas. Sin embargo, las Compañías no son responsables por ataques informáticos u otros que vulneren la seguridad propia o de terceros. 5