ClinicVi
Anasayfa
Yasal

Gizlilik Politikası

Bu metin, UDY Digital'ın işlettiği ClinicVi platformunda kişisel verilerinizin nasıl işlendiğini açıklar. AB Genel Veri Koruma Tüzüğü (GDPR) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde hazırlanmıştır.

Son güncelleme: 2026-04-27

1. Veri sorumlusu

UDY Digital
Rissenerstr. 42, 22880 Wedel, Almanya
Umut Deniz Yorulmaz
[email protected]

KVKK m.13 ve GDPR Art. 12 başvuruları için: [email protected]. KVKK kapsamında ayrı bir aydınlatma metni /kvkk sayfasında yer alır.

2. İşlenen kişisel veriler

a) Hesap ve sözleşme verileri

Kayıt sırasında: ad-soyad, e-posta, şifre (hash'li), klinik adı, şehir, rol. Hukuki sebep: sözleşmenin ifası — KVKK m.5/2-c, GDPR Art. 6 (1) (b).

b) Kullanım ve log verileri

Hizmete erişimde IP adresi, zaman damgası, user-agent ve URL otomatik olarak işlenir. Hukuki sebep: meşru menfaat (güvenlik, kötüye kullanım tespiti) — KVKK m.5/2-f, GDPR Art. 6 (1) (f).

c) Veri işleyen sıfatıyla işlenen hasta verileri

Klinikler ClinicVi'yi hasta talepleri, randevular ve iletişimi yönetmek için kullanır. Bu süreçte sağlık verisi de dahil olmak üzere hasta verileri yalnızca ilgili kliniğin talimatları doğrultusunda işlenir (KVKK m.12, GDPR Art. 28). Hastalara karşı veri sorumlusu kliniktir; her klinikle bir veri işleyen sözleşmesi imzalanır. Sağlık verileri KVKK m.6 anlamında özel nitelikli kişisel veri olup, hasta açık rızası veya hizmetin sunulması için zorunlu haller dışında işlenmez.

d) Pazarlama iletileri

Açık rıza vermişseniz e-posta adresinize ürün haberleri gönderilir. Rızanızı her e-postadaki abonelikten çıkış bağlantısı ya da e-postayla bize ulaşarak geri çekebilirsiniz.

3. Veri işleyenler ve aktarım yapılan taraflar

ServicePurposeRegion
Supabase Inc.Veritabanı, kimlik doğrulama, dosya depolamaAB (Frankfurt)
Resend, Inc.İşlemsel ve pazarlama e-postalarıAB / ABD (SCC)
Coolify (kendi sunucu)Uygulama hostingAB (Almanya)

ABD'ye aktarımlar yalnızca AB Standart Sözleşme Maddeleri (SCC) ve ek teknik önlemler ile yapılır. KVKK kapsamında yurt dışı aktarımlar için Kurul izni veya açık rızanız esastır.

4. Saklama süreleri

  • Hesap ve sözleşme verileri: sözleşme süresi + ticari ve vergisel mevzuat gereği 10 yıla kadar.
  • Kullanım ve log verileri: 90 güne kadar (güvenlik ve hata analizi).
  • Veri işleyen sıfatıyla işlenen hasta verileri: kliniğin talimatına ve ilgili sağlık mevzuatına göre.
  • Pazarlama: rıza geri alınana kadar.

5. Haklarınız

KVKK m.11 ve GDPR Art. 15-22 kapsamında:

  • Veri işlenip işlenmediğini öğrenme,
  • İşlenmiş ise bilgi talep etme,
  • İşlenme amacını öğrenme ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içi / yurt dışı aktarılan üçüncü kişileri öğrenme,
  • Eksik / yanlış işlenmesi halinde düzeltme,
  • KVKK m.7'de öngörülen şartlar çerçevesinde silme veya yok etme,
  • Düzeltme/silme/yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesi,
  • Yalnızca otomatik sistemlerle analizinden çıkan sonuca itiraz etme,
  • Kanuna aykırı işlenme nedeniyle uğradığınız zararın giderilmesini talep etme.

Başvurularınızı [email protected]üzerinden yapabilirsiniz. KVKK kapsamında 30 gün içinde, mümkün olan en kısa sürede yanıt verilir. Şikâyet hakkınız Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) yöneliktir.

6. Çerezler

Kullanılan çerezler, amaçları ve süreleri için Çerez Politikası'mıza bakın. Zorunlu olmayan çerezler yalnızca rızanızla yerleştirilir.

7. Otomatik işleme & yapay zekâ asistanı (GDPR Art. 22)

ClinicVi, kliniklerin hasta sorularına yanıt vermesini destekleyen bir yapay zekâ asistanı içerir. Yanıtlar son aşamada kliniğin bir çalışanı tarafından gözden geçirilip gönderilir; platform tarafından hastalara karşı hukuki etki doğuran salt otomatik karar verilmez. GDPR Art. 22/3 uyarınca her zaman insan incelemesi talep edebilirsiniz.

8. Güvenlik (GDPR Art. 32 / KVKK m.12)

Uygulanan teknik ve idari tedbirler (TOM):

  • İletim sırasında TLS 1.2+, depolamada AES-256 şifreleme.
  • Çok kiracılı tablolarda satır düzeyi yetki (RLS) — klinik verileri mantıksal olarak izole.
  • İdari erişim için çok faktörlü kimlik doğrulama; en az yetki ilkesi.
  • Güvenlik olayı incelemesi için erişim ve denetim logları.
  • Düzenli güvenlik açığı ve bağımlılık izleme.
  • Şifrelenmiş, coğrafi yedekli yedeklemeler (yalnızca AB).

9. Veri ihlali (GDPR Art. 33 / 34, KVKK m.12/5)

Gerçek kişilerin hak ve özgürlüklerini riske atması muhtemel kişisel veri ihlali, öğrenildikten sonra 72 saat içinde yetkili denetim makamına bildirilir (GDPR Art. 33). KVKK kapsamında en kısa sürede Kişisel Verileri Koruma Kurulu'na bildirim yapılır. Yüksek risk halinde, etkilenen klinik veya — veri işleyen sıfatıyla hareket ediyorsak — veri sorumlusu, gecikmeksizin doğrudan bilgilendirilir (GDPR Art. 33/2 ve Art. 34).

10. Değişiklikler

Veri işleme süreçleri veya yasal gereklilikler değiştikçe bu metin güncellenir. Güncel sürüm her zaman bu sayfada yayımlanır.