Geberıt Gerçek Kişi Müşterilerin Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni
1. Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Geberit Tesisat Sistemleri Ticaret Limited Şirketi (“Geberit” veya “Şirket”) tarafından aşağıda açıklanan kapsamda işlenebilecektir. Geberit kişisel verilerin işlenmesine ilişkin kapsamlı açıklamalar için lütfen Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.
2. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri
Geberit, kişisel verileri doğrudan ilgili kişinin kendisinden, aile veya yakınlarından, çalışanından fotoğraf ve video cihazları, e-posta, posta, internet sitesi ve sair iletişim kanalları aracılığıyla görsel, işitsel veya elektronik olarak ve Kanun’da belirtilen kişisel veri işleme şartlarına uygun bir biçimde; mal ve hizmet satış süreçlerinin yürütülmesi ile mal ve hizmet satış sonrası destek süreçlerinin yürütülmesi amaçları başta olmak üzere aşağıda belirtilen amaçlarla doğru orantılı olarak, Kanun’un 5. ve 6. Maddelerinde belirtilen aşağıdaki hukuki sebepler doğrultusunda toplamaktadır:
- Gerekli olduğu durumlarda sizlerden aldığımız açık rızanız (örn. profilleme, analiz, pazarlama ve reklam amaçları için kişisel verilerinizin işlenmesi)
- Kanunlarda kişisel verilerinizi işlediğimiz sürecin açıkça öngörülmesi (örn. ticari ileti onayında bulunan ad/soyad bilgisi ve imzanız)
- Sizlerle bir sözleşme ilişkisi kurmamız veya bu sözleşmeden kaynaklanan ifa yükümlülüğümüz ile doğrudan doğruya ilgili olması kaydıyla, sizlere ait kişisel verilerin işlenmesinin gerekli olması (örn. sözleşme kuruluş aşamasında kimlik bilgilerinizin işlenmesi)
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması (örn. işyerinin, çalışanın veya ziyaretçilerin güvenliğinin sağlanması amacıyla güvenlik kamerası bulundurulması)
- İlgili kişinin kendisi tarafından alenileştirilmiş olması (örn. halka açık sosyal medya platformları veya internet siteleri üzerinden faaliyet alanımıza giren malı/hizmeti temin etmek amacıyla paylaşmış olduğunuz iletişim bilgileriniz aracılığı ile sizinle iletişime geçilmesi)
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (örn. dava zamanaşımı süresi boyunca gerekli olabilecek kişisel verilerin saklanması)
- Temel hak ve özgürlüklerinize zarar vermemek kaydı ile, Geberit’in meşru menfaatleri doğrultusunda zorunlu olması (örn. Şirket’in birleşme, bölünme ve devralma gibi süreçlerinde yapılması gereken incelemelerde ödeme kayıtları kişisel verilerinizi içerebilecek belgelerin ilgili taraflara/kurumlara sunulması)
Kanun’un 6. maddesinin 3. fıkrası uyarınca, özel nitelikli kişisel veriler aşağıdaki şartlar doğrultusunda açık rızanız olmaksızın işlenebilecektir:
- Sağlık ve cinsel hayata ilişkin kişisel veriler dışında kalan özel nitelikli kişisel veriler açısından kanunlarda öngörülmesi
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler açısından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
Geberit işleme amacı doğrultusunda gerekli olmayan özel nitelikli kişisel verileri imha eder veya maskeler. Özel nitelikli kişisel verilerin işlenmesine ilişkin detaylı açıklamalar için lütfen Şirket’in resmi internet sitesinde yer alan Geberit Özel Nitelikli Kişisel Verilerin Korunması Politikası’nı inceleyiniz.
3. Veri Kategorileri ve Örnek Veri Türleri
3.1 Kişisel Veriler
| Kimlik Bilgisi | Ad-Soyad, Kimlik Numarası, Pasaport Numarası, Doğum Tarihi, Doğum Yeri, T.C. Kimlik Numarası, Kimlik Fotokopisi |
|---|---|
| İletişim Bilgisi | Telefon, Cep Telefonu, E-posta Adresi, Ev Adresi, İş Adresi |
| Özlük Bilgisi | Mevcut Çalışmakta Olduğu İşyeri ve Pozisyon, Sektör Bilgisi, İşe Giriş Belgesi |
| Hukuki İşlem ve Uyum Bilgisi | İmza Sirküleri, Faaliyet Bilgisi, Vekaletname, İhtarnameler |
| Müşteri İşlem Bilgisi | Müşteri Numarası, Ticari İlişki Başlangıç/Bitiş Tarihi ve Nedeni, Talepler, Tercih Edilen Ürün/Hizmet Bilgisi, Ürün/Hizmet Memnuniyet Bilgisi, Ürün/Hizmet Değişim ve Yenileme Bilgisi, Ürün/Hizmet Talep/Şikayet Bilgisi |
| Fiziksel Mekan Güvenliği | Güvenlik Kamerası Kayıtları vb. |
| Risk Yönetimi | Ulaşım ve Konaklama Bilgisi, Seyahat Sigortası Bilgisi |
| Finans Bilgileri | Banka Bilgisi, IBAN Numarası, Fatura Bilgileri, Banka Hesap Numarası, Havale Numarası, Kredi Kartı Numarası, Kredi Kartı Son Kullanma Tarihi, Findeks Puanı, Çek/Senet Bilgileri |
| Pazarlama | Alışveriş Geçmişi Bilgisi, Anket, Çerez Kayıtları, Ürün Tercihi |
| Görsel ve İşitsel Kayıtlar | Fotoğraf, Video |
3.2 Özel Nitelikli Kişisel Veriler
Geberit, kural olarak Müşterilerinin özel nitelikli kişisel verilerini işlemez. Ne var ki, aşağıda sayılan durumlarda özel nitelikli kişisel verilerinizi işlenmesi gerekli olabilecektir:
- Şirket’e iletmiş olduğunuz kimlik fotokopilerinde, imza sirkülerinde veya diğer resmi belgelerde yer alması halinde: Din, Mezhep ve Felsefi İnanç ve Sağlık Verisi (kan grubu bilgisi)
- Seyahat, işyeri/üretim alanı ziyareti gibi özel nitelikli kişisel verilerin işlenmesi gerekirse: Ceza ve Mahkumiyet Bilgisi, Sağlık Verisi
- Çalıştığınız/temsil ettiğiniz kurumun bir siyasi parti, dernek, vakıf, sendika vs. olması halinde: Dernek, Vakıf ve Sendika Üyeliği, Siyasi Düşünce
Geberit, işleme amacı doğrultusunda gerekli olmayan özel nitelikli kişisel verileri imha eder veya maskeler. Özel nitelikli kişisel verilerin işlenmesine ilişkin olarak lütfen Şirket’in resmi internet sitesinde yer alan Geberit Özel Nitelikli Kişisel Verilerin Korunması Politikası’nı inceleyiniz.
4. Kişisel Verilerin Hangi Amaçla İşleneceği
Geberit, kişisel verileri doğrudan müşterilerinin kendisinden, Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak ve mal ve hizmet satış süreçlerinin yürütülmesi ile mal ve hizmet satış sonrası destek süreçlerinin yürütülmesi amaçları başta olmak üzere aşağıda belirtilen amaçlarla doğru orantılı olarak, Kanun’un 5. ve 6. Maddelerinde belirtilen aşağıdaki işleme şartları doğrultusunda toplamaktadır:
4.1 Ticari İlişkinin Kurulması ve İfası:
Bilgi güvenliği süreçlerinin yürütülmesi; Eğitim faaliyetlerinin yürütülmesi; Faaliyetlerin mevzuata uygun yürütülmesi; Finans ve muhasebe işlerinin yürütülmesi; İletişim faaliyetlerinin yürütülmesi; İş faaliyetlerinin yürütülmesi / denetimi; İş sağlığı / güvenliği faaliyetlerinin yürütülmesi; İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi; İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi; Lojistik faaliyetlerinin yürütülmesi; Mal / hizmet satış süreçlerinin yürütülmesi; Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi; Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi; Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi; Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi; Sözleşme süreçlerinin yürütülmesi;
4.2 Yönetim Süreçlerinin Yürütülmesi:
Denetim / etik faaliyetlerinin yürütülmesi; Eğitim faaliyetlerinin yürütülmesi; Fiziksel mekan güvenliğinin temini; Görevlendirme süreçlerinin yürütülmesi; Hukuk işlerinin takibi ve yürütülmesi; İletişim faaliyetlerinin yürütülmesi; Risk yönetimi süreçlerinin yürütülmesi; Saklama ve arşiv faaliyetlerinin yürütülmesi; Stratejik planlama faaliyetlerinin yürütülmesi; Talep / şikayetlerin takibi; Taşınır mal ve kaynakların güvenliğinin temini; Tedarik zinciri yönetimi süreçlerinin yürütülmesi; Veri sorumlusu operasyonlarının güvenliğinin temini; Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
4.3 Etkinlik ve Organizasyon Yönetimi
İletişim faaliyetlerinin yürütülmesi; Seyahat, ulaşım ve konaklama süreçlerinin planlanması; Organizasyon ve etkinlik alanının güvenliğinin sağlanması; Organizasyon ve etkinlik yönetimi; Etkinlik ve organizasyonların kayıt altına alınması
4.4 Pazarlama, Reklam ve Tanıtım Süreçlerinin Yürütülmesi:
Dergi, bülten, broşür, reklam görseli vb. materyallerin oluşturulması; İletişim faaliyetlerinin yürütülmesi; Pazarlama analiz çalışmalarının yürütülmesi; Reklam / kampanya / promosyon süreçlerinin yürütülmesi; Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi; Ticari elektronik ileti gönderilmesi
5. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan müşteri kişisel verileri; yukarıda belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak; hissedarlarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve özel kişi veya kuruluşlar ile üçüncü kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve yukarıda belirtilen amaçlarla sınırlı olarak aktarılabilecek, yurt içinde veya yurt dışında işlenebilecektir. Bu kapsamda gerçekleştirilen kişisel veri aktarımları güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üçüncü taraflardan alınan hizmetin içeriği ve kapsamına bağlı olarak; ilgili kişi, kişisel verilerinin aktarımına gerek olmayan tüm hallerde Pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır. Yurt içi ve yurt dışı aktarımlarında Geberit, güncel teknolojilerin sunduğu ve ilgili uygulamanın maliyet dengesi çerçevesinde mümkün olan her türlü idari ve teknik tedbiri almakta, bu kapsamda ilgili yasal düzenlemeler ile Kurul kararları doğrultusunda güvenliğe ilişkin uygulamalarını güncel tutmaktadır. Söz konusu idari ve teknik tedbirler kapsamında, aktarım yapılan taraflar ile veri aktarımına ve işlenmesine ilişkin özel sözleşmeler yapılmakta ve gerekli taahhütler alınmaktadır. Kanun’un 9. Maddesi uyarınca, kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. Bunun karşısında, kişisel veriler, aşağıdaki aktarım şartlarının varlığı halinde, yeterli korumanın bulunduğu ülkelere; yeterli korumanın bulunmadığı hallerde ise aktarım yapılan veri sorumlusu ile imzalanan taahhütnamenin Kurul tarafından onaylanması durumunda, ilgili kişilerin açık rızası alınmaksızın yurt dışına aktarılabilecektir;
- Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi
- Kişisel verilerin yurt dışına aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
- Kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı olarak yurt dışına aktarılması - Kişisel verilerin yurt dışına aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel verilerin yurt dışına aktarımı faaliyetinde bulunulmasının zorunlu olması
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması
- Sağlık ve cinsel hayata ilişkin kişisel veriler dışında kalan özel nitelikli kişisel veriler açısından kanunlarda öngörülmesi
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler açısından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
Ayrıntılı olarak kişisel verilerinizin kimlerle ve hangi amaçlarla paylaşılabileceği aşağıda belirtilmiştir:
| Paylaşılan Taraf | Amaç | Örnek |
|---|---|---|
| Tedarikçi | Bilgi, İşlem ve Kişisel Verilerin Güvenliğinin Sağlanması | Müşterilere ilişkin ticari süreçlerin takip edilmesi ve yönetilmesi amacıyla bulut bilişim vb. yollarla yazılım hizmeti sunan tedarikçilere aktarım yapılması |
| Mal / Hizmet Satış ve Satış Sonrası Destek Süreçlerinin Yürütülmesi | Kişisel verilerin, sözleşmesel ilişkinin ifası kapsamında yetkili satıcılar, bankalar, kargo şirketleri, danışmanlar, lojistik şirketleri ve benzeri kapsamda destek veren diğer üçüncü taraflarla paylaşılması | |
| İletişim Süreçlerinin Yürütülmesi | Güvenli bir şekilde e-posta üzerinden iletişim kurulması amacıyla, sunucu ve bulut hizmeti kullanarak e-posta hizmeti sağlayan tedarikçilere aktarılması | |
| Pazarlama, Kampanya ve Reklam Süreçlerinin Yürütülmesi | Kişisel verilerin, ticari ileti göndermek, kampanya duyuruları yapmak ve ürün/hizmet reklamları sunmak amacıyla bu hizmetleri veren üçüncü taraflarla paylaşılması | |
| Organizasyon ve Etkinlik Yönetimi | Seyahat, konferans, kongre, eğitim, lansman, toplantı, kutlama, tanıtım vb. organizasyonların düzenlenmesinde rol oynayan hizmet sağlayıcılara yapılan paylaşımlar | |
| Hukuki Süreçlerin Takibi | Kişisel verilerin, tüketici hakem heyeti ve dava süreçleri dahil olmak üzere danışmanlık alınan avukat veya hukuk hizmetleri tedarikçileriyle paylaşılması | |
| İştirak ve Bağlı Ortaklıklar | Yönetim Faaliyetlerinin Yürütülmesi | Kişisel verilerin, iştirak ve bağlı ortaklılara karşı olan hukuki, mali ve idari yükümlülüklerin yerine getirilmesi ve raporlama yapılması amacıyla aktarılması |
| Kişisel Verilerin Güvenliğinin Sağlanması, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini | Kişisel verilerin güvenli bir şekilde saklanması amacıyla iştirak ve bağlı ortaklıkların kullanımına özgülenmiş güvenli sunucular, bulut bilişim vb. yollar kullanılarak muhafaza edilmesi | |
| Yetkili, Kişi, Kurum ve Kuruluşlar | Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi | Kişisel verilerin, kanun tarafından kendilerine yetki verilmiş kişi, kurum ve kuruluşlara ilgili mevzuat yükümlülüğü çerçevesinde paylaşılması |
6. Kişisel Verilerin Saklanma Süreleri
Geberit işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak fiziki ve/veya elektronik ortamlarda muhafaza eder. Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Saklanması ve İmhası Politikası’nda [OAU4] bu süreler yaklaşık olarak aşağıdaki gibidir:
| Veri Tipi | Saklama Süresi | Hukuki Dayanağı | İmha Süresi |
|---|---|---|---|
| Müşterilere İlişkin Kişisel Veriler | Hukuki ilişki sona erdikten itibaren 10 yıl | 6563 Sayılı Kanun ve ikincil mevzuat, 6102 Sayılı Kanun | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Potansiyel Müşterilere İlişkin Kişisel Veriler | 2 yıl | Geriye ve İleriye Dönük Olarak Analiz Yapılması | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Ticari Elektronik İleti Gönderimine İlişkin Kayıtlar | Ticari elektronik ileti onaylarına ilişkin kayıtlar, onayın geçersizlik tarihinden itibaren 3 yıl; ticari elektronik iletiye ilişkin diğer kayıtlar toplanma tarihinden itibaren 3 yıl | 6563 Sayılı Kanun; Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
| Çağrı Merkezi Ses Kayıtları | 6 ay | 6563 Sayılı Kanun ve ilgili ikincil mevzuat | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
7. Veri Güvenliği Tedbirleri
Geberit, kişisel verilerinizin korunması ve güvenliği için güncel teknolojilerin sunduğu ve ilgili uygulamanın maliyet dengesi çerçevesinde mümkün olan her türlü idari ve teknik tedbiri almakta, bu kapsamda ilgili yasal düzenlemeler ile Kişisel Verileri Koruma Kurulu kararları doğrultusunda güvenliğe ilişkin uygulamalarını güncel tutmaktadır. Geberit tarafından alınan teknik ve idari tedbirler için lütfen Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.
8. Kanun’un 11. Maddesinde Sayılan Haklarınız
İlgili kişiler olarak, Kanun’un 11. maddesi doğrultusunda aşağıda sıralanan haklara sahipsiniz.
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
Kişisel verilerinizin korunmasına ilişkin haklarınıza yönelik detaylı açıklamalar için lütfen Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.