Gerçek Kişi Tedarikçilerin Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni | Geberit

Gerçek Kişi Tedarikçilerin Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Geberit Tesisat Sistemleri Ticaret Limited Şirketi (“Geberit” veya “Şirket”) tarafından aşağıda açıklanan kapsamda işlenebilecektir. Geberit kişisel verilerin işlenmesine ilişkin kapsamlı açıklamalar için lütfen
Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.

2. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri

Geberit, kişisel verileri kişisel verileri doğrudan ilgili kişinin kendisinden, aile veya yakınlarından, çalışanından Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak fotoğraf ve video cihazları, e-posta, posta, internet sitesi ve sair iletişim kanalları aracılığıyla görsel, işitsel veya elektronik olarak ve Kanun’da belirtilen kişisel veri işleme şartlarına uygun bir biçimde; mal ve hizmet tedarik süreçlerinin yürütülmesi ile mal ve hizmet satış sonrası destek süreçlerinin yürütülmesi amaçları başta olmak üzere aşağıda belirtilen amaçlarla doğru orantılı olarak, Kanun’un 5. ve 6. maddelerinde belirtilen aşağıdaki hukuki sebepler doğrultusunda toplamaktadır:

- Gerekli olduğu durumlarda sizlerden aldığımız açık rızanız (örn. tanıtım ve reklam amaçları için kişisel verilerinizin işlenmesi)

- Kanunlarda kişisel verilerinizi işlediğimiz sürecin açıkça öngörülmesi (örn. ticari ileti onayında bulunan ad/soyad bilgisi ve imzanız)

- Sizlerle bir sözleşme ilişkisi kurmamız veya bu sözleşmeden kaynaklanan ifa yükümlülüğümüz ile doğrudan doğruya ilgili olması kaydıyla, sizlere ait kişisel verilerin işlenmesinin gerekli olması (örn. sözleşme kuruluş aşamasında kimlik bilgilerinizin işlenmesi)

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması (örn. işyerinin, çalışanın veya ziyaretçilerin güvenliğinin sağlanması amacıyla güvenlik kamerası bulundurulması)

- İlgili kişinin kendisi tarafından alenileştirilmiş olması (örn: halka açık sosyal medya platformları veya internet siteleri üzerinden ürün/hizmet tedarik etmek amacıyla paylaşmış olduğunuz iletişim bilgileriniz aracılığı ile sizinle iletişime geçilmesi)

- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (örn. dava zamanaşımı süresi boyunca gerekli olabilecek kişisel verilerin saklanması)

- Temel hak ve özgürlüklerinize zarar vermemek kaydı ile, Geberit’in meşru menfaatleri doğrultusunda zorunlu olması (örn. Şirket’in birleşme, bölünme ve devralma gibi süreçlerinde yapılması gereken incelemelerde ödeme kayıtları kişisel verilerinizi içerebilecek belgelerin ilgili taraflara/kurumlara sunulması)

3. Veri Kategorileri ve Örnek Veri Türleri

3.1 Kişisel Veriler

Kişisel veriler, ilgili mevzuat veya Şirket uygulaması gereği daha uzun bir süre boyunca muhafaza edilmesi gerekmediği sürece, ortalama olarak aşağıdaki süreler doğrultusunda saklanacaktır.

Veri TipiVeri İçeriği
Kimlik BilgisiAd-Soyad, Kimlik Numarası, Pasaport Numarası, Doğum Tarihi, Doğum Yeri, T.C. Kimlik Numarası, Kimlik Fotokopisi
İletişim BilgisiTelefon, Cep Telefonu, E-posta Adresi, Ev Adresi, İş Adresi
Aile ve Yakın BilgisiAd-Soyad, Yakınlık Derecesi, Meslek, Doğum Tarihi, Cep Telefonu vb.
Özlük BilgisiMevcut Çalışmakta Olduğu İşyeri ve Pozisyon, Sektör Bilgisi, İşe Giriş Belgesi
Hukuki İşlem Bilgisiİmza Sirküleri, Faaliyet Bilgisi, Vekaletname, İhtarnameler
Tedarikçi İşlem BilgisiTedarikçi Numarası, Ticari İlişki Başlangıç/Bitiş Tarihi ve Nedeni, Talepler, Sunulan Ürün/Hizmet Bilgisi, Ürün/Hizmet Memnuniyet Bilgisi, Ürün/Hizmet Değişim ve Yenileme Bilgisi, Ürün/Hizmet Talep/Şikayet Bilgisi
Fiziksel Mekan GüvenliğiGüvenlik Kamerası Kayıtları, İşyerlerine Giriş Çıkış Kayıtları vb.
Risk YönetimiAraç Model ve Plaka Bilgisi, Ulaşım ve Konaklama Bilgisi
Finans BilgileriBanka Bilgisi, IBAN Numarası, Fatura Bilgileri, Banka Hesap Numarası, Havale Numarası, Kredi Kartı Numarası, Kredi Kartı Son Kullanma Tarihi, Findeks Puanı, Çek/Senet Bilgileri
PazarlamaAlışveriş Geçmişi Bilgisi, Anket, Çerez Kayıtları, Ürün Tercihi
Görsel ve İşitsel KayıtlarFotoğraf, Video

3.2 Özel Nitelikli Kişisel Veriler

Geberit, kural olarak tedarikçilerinin özel nitelikli kişisel verilerini işlemez. Ne var ki, aşağıda sayılan durumlarda özel nitelikli kişisel verilerinizi işlenmesi gerekli olabilecektir:

- Şirket’e iletmiş olduğunuz kimlik fotokopilerinde, imza sirkülerinde veya diğer resmi belgelerde yer alması halinde: Din, Mezhep ve Felsefi İnanç ve Sağlık Verisi (kan grubu bilgisi)

- Seyahat, işyeri/üretim alanı ziyareti gibi özel nitelikli kişisel verilerin işlenmesi gerekirse: Ceza ve Mahkumiyet Bilgisi, Sağlık Verisi

- Çalıştığınız/temsil ettiğiniz kurumun bir siyasi parti, dernek, vakıf, sendika vs. olması halinde: Dernek, Vakıf ve Sendika Üyeliği, Siyasi Düşünce

Geberit işleme amacı doğrultusunda gerekli olmayan özel nitelikli kişisel verileri imha eder veya maskeler.

Özel nitelikli kişisel verilerin işlenmesine ve kişisel verilerin saklanması ve imhasına ilişkin olarak lütfen Şirket’in resmi internet sitesinde yer alan Geberit Özel Nitelikli Kişisel Verilerin Korunması Politikası’nı ve Geberit Kişisel Verilerin Saklanması ve İmhası Politikası’nı inceleyiniz.

4. Kişisel Verilerin Hangi Amaçla İşleneceği

Geberit, kişisel verileri Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak ve mal ve hizmet tedarik süreçlerinin yürütülmesi ile mal ve hizmet satış sonrası destek süreçlerinin yürütülmesi amaçları başta olmak üzere aşağıda belirtilen amaçlarla doğru orantılı olarak, Kanun’un 5. ve 6. Maddelerinde belirtilen aşağıdaki işleme şartları doğrultusunda toplamaktadır:

4.1 Ticari İlişkinin Kurulması ve İfası:

Bilgi güvenliği süreçlerinin yürütülmesi; Eğitim faaliyetlerinin yürütülmesi; Faaliyetlerin mevzuata uygun yürütülmesi; Finans ve muhasebe işlerinin yürütülmesi; İletişim faaliyetlerinin yürütülmesi; İş faaliyetlerinin yürütülmesi / denetimi; İş sağlığı / güvenliği faaliyetlerinin yürütülmesi; İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi; İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi; Lojistik faaliyetlerinin yürütülmesi; Mal / hizmet satın alım süreçlerinin yürütülmesi; Mal / hizmet satış süreçlerinin yürütülmesi; Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi; Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi; Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi; Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi; Sözleşme süreçlerinin yürütülmesi; Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

4.2 Yönetim Süreçlerinin Yürütülmesi:

Denetim / etik faaliyetlerinin yürütülmesi; Eğitim faaliyetlerinin yürütülmesi; Fiziksel mekan güvenliğinin temini; Görevlendirme süreçlerinin yürütülmesi; Hukuk işlerinin takibi ve yürütülmesi; İletişim faaliyetlerinin yürütülmesi; Risk yönetimi süreçlerinin yürütülmesi; Saklama ve arşiv faaliyetlerinin yürütülmesi; Stratejik planlama faaliyetlerinin yürütülmesi; Talep / şikayetlerin takibi; Taşınır mal ve kaynakların güvenliğinin temini; Tedarik zinciri yönetimi süreçlerinin yürütülmesi; Veri sorumlusu operasyonlarının güvenliğinin temini; Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

4.3 Etkinlik ve Organizasyon Yönetimi

İletişim faaliyetlerinin yürütülmesi; Seyahat, ulaşım ve konaklama süreçlerinin planlanması; Organizasyon ve etkinlik alanının güvenliğinin sağlanması; Organizasyon ve etkinlik yönetimi; Etkinlik ve organizasyonların kayıt altına alınması

4.4 Pazarlama, Reklam ve Tanıtım Süreçlerinin Yürütülmesi:

Dergi, bülten, broşür, reklam görseli vb. materyallerin oluşturulması; İletişim faaliyetlerinin yürütülmesi; Pazarlama analiz çalışmalarının yürütülmesi; Reklam / kampanya / promosyon süreçlerinin yürütülmesi; Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi; Ticari elektronik ileti gönderilmesi

5. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

Toplanan kişisel veriler; yukarıda belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak; hissedarlarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve özel kişi veya kuruluşlar ile üçüncü kişilere Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve yukarıda belirtilen amaçlarla sınırlı olarak aktarılabilecek, yurt içinde veya yurt dışında işlenebilecektir.

Bu kapsamda gerçekleştirilen kişisel veri aktarımları güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üçüncü taraflardan alınan hizmetin içeriği ve kapsamına bağlı olarak; ilgili kişi, kişisel verilerinin aktarımına gerek olmayan tüm hallerde Pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır.

Yurt içi ve yurt dışı aktarımlarında Geberit, güncel teknolojilerin sunduğu ve ilgili uygulamanın maliyet dengesi çerçevesinde mümkün olan her türlü idari ve teknik tedbiri almakta, bu kapsamda ilgili yasal düzenlemeler ile Kurul kararları doğrultusunda güvenliğe ilişkin uygulamalarını güncel tutmaktadır. Söz konusu idari ve teknik tedbirler kapsamında, aktarım yapılan taraflar ile veri aktarımına ve işlenmesine ilişkin özel sözleşmeler yapılmakta ve gerekli taahhütler alınmaktadır.

Kanun’un 9. Maddesi uyarınca, kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. Bunun karşısında, kişisel veriler, aşağıdaki aktarım şartlarının varlığı halinde, yeterli korumanın bulunduğu ülkelere; yeterli korumanın bulunmadığı hallerde ise aktarım yapılan veri sorumlusu ile imzalanan taahhütnamenin Kurul tarafından onaylanması durumunda, ilgili kişilerin açık rızası alınmaksızın yurt dışına aktarılabilecektir;

- Kişisel verilerin yurt dışına aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi

- Kişisel verilerin yurt dışına aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması

- Kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

- Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı olarak yurt dışına aktarılması

- Kişisel verilerin yurt dışına aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel verilerin yurt dışına aktarımı faaliyetinde bulunulmasının zorunlu olması

- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması

- Sağlık ve cinsel hayata ilişkin kişisel veriler dışında kalan özel nitelikli kişisel veriler açısından kanunlarda öngörülmesi

- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler açısından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi

Ayrıntılı olarak kişisel verilerinizin kimlerle ve hangi amaçlarla paylaşılabileceği aşağıda belirtilmiştir:

Paylaşılan TarafAmaçÖrnek
TedarikçiBilgi, İşlem ve Kişisel Verilerin Güvenliğinin SağlanmasıTedarikçilere ilişkin ticari süreçlerin takip edilmesi ve yönetilmesi amacıyla bulut bilişim vb. yollarla yazılım hizmeti sunan tedarikçilere aktarım yapılması
Mal / Hizmet Satış ve Satış Sonrası Destek Süreçlerinin YürütülmesiKişisel verilerin, sözleşmesel ilişkinin ifası kapsamında yetkili satıcılar, bankalar, kargo şirketleri, danışmanlar, lojistik şirketleri ve benzeri kapsamda destek veren diğer üçüncü taraflarla paylaşılması
İletişim Süreçlerinin YürütülmesiGüvenli bir şekilde e-posta üzerinden iletişim kurulması amacıyla, sunucu ve bulut hizmeti kullanarak e-posta hizmeti sağlayan tedarikçilere aktarılması
Pazarlama, Kampanya ve Reklam Süreçlerinin YürütülmesiKişisel verilerin, ticari ileti göndermek, kampanya duyuruları yapmak ve ürün/hizmet reklamları sunmak amacıyla bu hizmetleri veren üçüncü taraflarla paylaşılması
Kişisel verilerin, reklam/kampanya faaliyetlerinin yürütülmesi, ürün ve firma tanıtımının yükseltilmesi amacıyla sosyal medya mecralarında paylaşılması
Organizasyon ve Etkinlik YönetimiSeyahat, konferans, kongre, eğitim, lansman, toplantı, kutlama, tanıtım vb. organizasyonların düzenlenmesinde rol oynayan hizmet sağlayıcılara yapılan paylaşımlar
Tanıtım ve Reklam Süreçlerinin YürütülmesiDergi, bülten, broşür gibi elektronik veya basılı ortamlarda oluşturulan materyallerin paylaşılması
Hukuki Süreçlerin TakibiKişisel verilerin, tüketici hakem heyeti ve dava süreçleri dahil olmak üzere danışmanlık alınan avukat veya hukuk hizmetleri tedarikçileriyle paylaşılması
MüşteriMal / Hizmet Satış ve Satış Sonrası Destek Süreçlerinin YürütülmesiŞirket tarafından yürütülen satış süreçlerine ilişkin iletişim, lojistik, kurulum, destek vs. süreçlerinin tamamlanması adına tedarikçilere ilişkin kişisel verilerin müşteriler ile paylaşılması
Tanıtım ve Reklam Süreçlerinin YürütülmesiDergi, bülten, broşür gibi elektronik veya basılı ortamlarda oluşturulan materyallerin paylaşılması
İştirak ve Bağlı OrtaklıklarYönetim Faaliyetlerinin YürütülmesiKişisel verilerin, iştirak ve bağlı ortaklılara karşı olan hukuki, mali ve idari yükümlülüklerin yerine getirilmesi ve raporlama yapılması amacıyla aktarılması
Kişisel Verilerin Güvenliğinin Sağlanması, Veri Sorumlusu Operasyonlarının Güvenliğinin TeminiKişisel verilerin güvenli bir şekilde saklanması amacıyla iştirak ve bağlı ortaklıkların kullanımına özgülenmiş güvenli sunucular, bulut bilişim vb. yollar kullanılarak muhafaza edilmesi
Tanıtım ve Reklam Süreçlerinin YürütülmesiDergi, bülten, broşür gibi elektronik veya basılı ortamlarda oluşturulan materyallerin paylaşılması
Yetkili, Kişi, Kurum ve KuruluşlarYetkili Kişi, Kurum ve Kuruluşlara Bilgi VerilmesiKişisel verilerin, kanun tarafından kendilerine yetki verilmiş kişi, kurum ve kuruluşlara ilgili mevzuat yükümlülüğü çerçevesinde paylaşılması
3. KişilerTanıtım ve Reklam Süreçlerinin YürütülmesiDergi, bülten, broşür gibi elektronik veya basılı ortamlarda oluşturulan materyallerin paylaşılması

6. Kişisel Verilerin Saklanma Süreleri

Geberit işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak fiziki ve/veya elektronik ortamlarda muhafaza eder. Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Saklanması ve İmhası Politikası’nda bu süreler yaklaşık olarak aşağıdaki gibidir:

Veri TipiSaklama SüresiHukuki Dayanağıİmha Süresi
Tedarikçilere İlişkin Kişisel VerilerHukuki ilişki sona erdikten itibaren 10 yıl6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı KanunSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Potansiyel Tedarikçilere İlişkin Kişisel Veriler2 yılGeriye ve İleriye Dönük Olarak Analiz YapılmasıSaklama süresinin bitimini takip eden ilk periyodik imha süresinde
Elektronik veya Basılı Ortamda Yayınlanan Materyallerde Yer Alan Kişisel VerilerSüresizVeri Sorumlusunun Meşru Menfaati 
Ticari Elektronik İleti Gönderimine İlişkin KayıtlarTicari elektronik ileti onaylarına ilişkin kayıtlar, onayın geçersizlik tarihinden itibaren 3 yıl; ticari elektronik iletiye ilişkin diğer kayıtlar toplanma tarihinden itibaren 3 yıl6563 Sayılı Kanun; Ticari İletişim ve Ticari Elektronik İletiler Hakkında YönetmelikSaklama süresinin bitimini takip eden ilk periyodik imha süresinde

7. Veri Güvenliği Tedbirleri

Geberit, kişisel verilerinizin korunması ve güvenliği için güncel teknolojilerin sunduğu ve ilgili uygulamanın maliyet dengesi çerçevesinde mümkün olan her türlü idari ve teknik tedbiri almakta, bu kapsamda ilgili yasal düzenlemeler ile Kişisel Verileri Koruma Kurulu kararları doğrultusunda güvenliğe ilişkin uygulamalarını güncel tutmaktadır.

Geberit tarafından alınan teknik ve idari tedbirler için lütfen Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.

8. Kanun’un 11. Maddesinde Sayılan Haklarınız

İlgili kişiler olarak, Kanun’un 11. maddesi doğrultusunda aşağıda sıralanan haklara sahipsiniz.

a) Kişisel veri işlenip işlenmediğini öğrenme

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme

e) Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Kişisel verilerinizin korunmasına ilişkin haklarınıza yönelik detaylı açıklamalar için lütfen Şirket’in resmi internet sitesinde yer alan Geberit Kişisel Verilerin Korunması ve Gizlilik Politikası’nı inceleyiniz.