1. Veri Sorumlusu
SynClinic, Dr. Semih Yıldız Muayenehanesi tarafından geliştirilen ve klinik yönetim hizmeti veren bir SaaS uygulamadır. Veri Sorumlusu: SynClinic / Dr. Semih Yıldız Muayenehanesi Adres: Meşrutiyet Mah. Vali Konağı Cad. Hasan Varol Apt. No:105 İç Kapı No:2 Şişli / İstanbul E-posta: contact@drsemihyildiz.com
2. İşlenen Veri Kategorileri
(a) Klinik personeli bilgileri: ad, e-posta, telefon, rol, oturum verisi. (b) Hasta bilgileri: ad, iletişim, kimlik, randevu, fatura, ödeme, sağlık verisi (notlar, ameliyat raporu, KVKK onamı). (c) İletişim verileri: e-posta, WhatsApp, SMS gönderim logları. (d) Sistem verileri: log kayıtları, audit kayıtları, kullanım metrikleri.
3. Veri Toplama Amacı
Veriler aşağıdaki amaçlarla işlenir: (a) klinik operasyonunun sürdürülmesi (randevu, fatura, hatırlatma), (b) hasta-klinik iletişimi (WhatsApp, e-posta, SMS), (c) yasal zorunluluklar (vergi, MBYS), (d) hizmet kalitesinin geliştirilmesi (anonim metrik).
4. Verilerin Saklanma Süresi
Hasta verileri ilgili mevzuatın gerektirdiği süre boyunca saklanır (sağlık verileri için minimum 15 yıl). Pazarlama amaçlı iletişim verileri, kullanıcı isteği üzerine veya en fazla 2 yıl sonra anonim hale getirilir.
5. Üçüncü Taraflarla Paylaşım ve Yurtdışı Aktarım
Veriler sadece şu üçüncü taraflarla paylaşılır: (a) Supabase (veritabanı barındırma — AB / Frankfurt veri merkezi), (b) Vercel (uygulama barındırma — AB / Frankfurt edge), (c) Meta Platforms Inc. (WhatsApp Business Cloud API üzerinden hasta-klinik iletişimi için — ABD merkezli), (d) Google LLC (Google ile oturum açma ve e-posta entegrasyonu için — ABD merkezli), (e) iyzico / PayTR (ödeme işlemleri — Türkiye), (f) yasal zorunluluk doğan resmi makamlar (mahkeme, Bakanlık vb.). YURTDIŞI AKTARIM: Meta ve Google entegrasyonlarını kullandığınızda ilgili mesaj/e-posta verisi ABD'deki sunuculara aktarılır. Bu hizmetleri etkinleştirerek KVKK md. 9 çerçevesinde yurtdışı aktarıma açık rıza vermiş olursunuz. Hizmeti etkinleştirmemek (toggle kapalı) yurtdışı aktarımı engeller. Supabase ve Vercel için veriler AB sınırları içindedir ve uluslararası transfer gerçekleşmez. SynClinic verileri pazarlamacılarla veya analitik 3. taraflarla paylaşmaz.
6. Google API Services Kullanımı
SynClinic, Google API Services User Data Policy'ye uygun olarak Google kullanıcı verisini yalnızca kullanıcının açıkça yetki verdiği entegrasyonları çalıştırmak için kullanır. Google verisi reklam, yeniden hedefleme, kullanıcı profilleme veya AI/ML model eğitimi için kullanılmaz ve satılmaz. (a) ERİŞİLEN GOOGLE VERİLERİ: - Google ile giriş: Google hesap kimliği, e-posta adresi, ad/profil bilgisi ve oturum doğrulama bilgileri. - Gmail entegrasyonu etkinleştirilirse: bağlı e-posta adresi, verilen OAuth izinleri, şifrelenmiş OAuth access/refresh token'ları ve gönderilen e-postalara ait teknik gönderim kimlikleri. SynClinic Gmail içeriğini okumaz; gmail.send izni yalnızca kullanıcının kendi posta kutusundan e-posta göndermek için kullanılır. - Google Calendar entegrasyonu etkinleştirilirse: takvim listesi, uygunluk bilgisi ve randevu senkronizasyonu için gerekli etkinlik bilgileri. - Google Business Profile entegrasyonu etkinleştirilirse: işletme hesabı, lokasyon, çalışma saatleri, profil ve yorum/veri yönetimi için gerekli bilgiler. (b) VERİ KULLANIMI: Google verisi kullanıcıyı oturum açtırmak, klinik adına e-posta göndermek, randevuları takvimle senkronize etmek, Google Meet bağlantısı üretmek ve klinik tarafından bağlanan Google Business Profile bilgilerini yönetmek/göstermek için kullanılır. Her entegrasyon varsayılan olarak kapalıdır; kullanıcı ayarlar ekranından bağlamadıkça çalışmaz. (c) VERİ PAYLAŞIMI: Google kullanıcı verisi yalnızca hizmetin çalışması için Supabase (veritabanı), Vercel (uygulama barındırma) ve ilgili Google API'leri tarafından işlenir. E-posta içeriği yalnızca kullanıcının seçtiği alıcılara gönderilir. Google verisi pazarlamacılarla, reklam ağlarıyla veya ilgisiz üçüncü taraflarla paylaşılmaz. (d) SAKLAMA ve KORUMA: OAuth token'ları AES-256-GCM ile uygulama katmanında şifrelenir. Tüm trafik TLS üzerinden iletilir. Klinik verisi Row Level Security ile tenant bazında ayrılır; yetkisiz klinik veya kullanıcılar başka bir kliniğin Google bağlantılarına erişemez. Erişimler audit log ile kayıt altına alınır. (e) SAKLAMA SÜRESİ ve SİLME: Google bağlantı bilgileri entegrasyon aktif olduğu sürece saklanır. Kullanıcı entegrasyonu kaldırdığında SynClinic'teki OAuth token'ları silinir veya geçersizleştirilir. Hesap/veri silme talebi /privacy/delete-data üzerinden yapılabilir; SynClinic verileri 30 gün içinde siler. Kullanıcı ayrıca Google Account permissions ekranından SynClinic erişimini istediği anda kaldırabilir.
7. WhatsApp Business API Kullanımı
Klinik personeli WhatsApp Business Cloud API üzerinden hasta ile iletişim kurar. SynClinic mesaj göndermeden önce her hasta için açık rızanın (opt-in) saklı olduğunu kontrol eder. (a) AÇIK RIZA ALMA YOLLARI: - Public online randevu formundaki "WhatsApp ile bilgilendirilmek istiyorum" checkbox'ı (varsayılan: işaretsiz; hasta aktif olarak işaretlemelidir). - Klinik personelinin hasta detay sayfasındaki "WhatsApp izni" toggle'ı, sadece hastadan sözlü onay alındıktan sonra açılır. Her iki yöntemde de onay tarihi (whatsapp_opt_in_at) veritabanında zaman damgalı kayıt altına alınır. (b) MESAJ KATEGORİLERİ — sadece opt-in olan hastalara: - Randevu hatırlatma (24 saat ve 1 saat öncesi) - Tedavi/randevu onay mesajı - Tedavi sonrası takip mesajları (klinik tarafından zaman planlı) - Hasta tarafından talep edilen teklif/fatura iletimi - 24 saatlik müşteri hizmeti penceresi içinde personelin serbest metinli yanıtları (Meta'nın WhatsApp Business policy'sine uyumlu) Pazarlama veya promosyon mesajı gönderilmez. (c) OPT-OUT (RIZADAN VAZGEÇME) YOLLARI: - Hasta WhatsApp üzerinden klinik numarasına aşağıdaki anahtar kelimelerden birini gönderdiğinde: STOP, DUR, İPTAL, IPTAL, ÇIKAR, CIKAR, UNSUBSCRIBE, KAPAT. - Sistem 2 saniye içinde rızayı iptal eder, otomatik onay yanıtı gönderir ve o hastaya bir daha otomatik mesaj atmaz. - Klinik personeli aynı toggle'ı kapatarak da opt-out yapabilir. Opt-out durumunda zamanlanmış mesaj işçisi (outbound worker) o hastaya mesaj göndermeyi reddeder ve nedeni log'a yazar. (d) META İLE PAYLAŞIM ve SAKLAMA: Mesaj içeriği iletim için Meta sunucularına geçici olarak gönderilir ve Meta'nın Privacy Policy'sine tabidir (https://www.facebook.com/policy.php). SynClinic kendi sunucularındaki log kopyalarını saklamaya devam eder; bunlar veri silme talebi üzerine 7 iş günü içinde silinir (bkz. /privacy/delete-data).
8. AI Asistan ve Klinik Dokümanları
Klinik admin tarafından yüklenen klinik bilgi dokümanları, OpenAI text-embedding-3-small modeli ile vektörlere çevrilir. Embedding'ler SynClinic Supabase veritabanında saklanır. Hasta bilgisi içeren doküman yüklenmesi önerilmez; klinik admin yüklediği veriden sorumludur.
9. Veri Güvenliği Önlemleri (KVKK md. 12)
SynClinic, kişisel verilerin hukuka aykırı erişimini, ifşasını veya değiştirilmesini önlemek için aşağıdaki teknik ve idari tedbirleri uygular: Teknik tedbirler: - Aktarım katmanı şifrelemesi (TLS 1.2+) — tüm istek/yanıt trafiği - Veritabanı katmanı: Supabase üzerinde at-rest şifreleme + Row Level Security (her tenant kendi verisinden sorumlu, çapraz erişim engellenmiş) - Hassas alanlarda (OAuth refresh token, entegrasyon secret'ları) uygulama katmanı ek şifrelemesi (AES-256-GCM) - Düzenli otomatik yedek (Supabase point-in-time recovery) - Güvenlik bültenlerine göre güncellenen bağımlılık taraması - Audit log: kritik işlemler (silme, izin değişikliği, dil değişikliği) zaman damgalı kayıt altına alınır İdari tedbirler: - Üretim sunucularına erişim sadece yetkili teknik personelle sınırlıdır - Personel ile gizlilik yükümlülüğü mevcuttur - Süper-admin işlemleri ek kimlik doğrulama ve audit kaydı gerektirir - Veri ihlali durumunda KVKK md. 12/5 ve GDPR md. 33 gereği Kurul'a 72 saat içinde, etkilenen kullanıcılara makul süre içinde bildirim yapılır.
10. Çerezler
SynClinic sadece oturum (session) ve dil tercihi çerezleri kullanır. Üçüncü taraf analitik çerezler kullanılmaz.
11. Kullanıcı Hakları (KVKK md. 11 / GDPR md. 15-21)
Veri sahibi aşağıdaki haklara sahiptir: KVKK md. 11 uyarınca: (a) verilerinin işlenip işlenmediğini öğrenme, (b) işlenmişse buna ilişkin bilgi talep etme, (c) işleme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, (d) yurt içinde ve dışında aktarıldığı 3. tarafları bilme, (e) eksik veya yanlış işlenmişse düzeltilmesini isteme, (f) silinmesini veya yok edilmesini isteme, (g) işlemlere itiraz etme, (h) otomatik analiz sonucunda aleyhe çıkan sonuca itiraz etme, (i) zarar görmesi halinde tazminat talep etme. GDPR (AB kullanıcıları için ek haklar): - md. 15 Erişim hakkı - md. 16 Düzeltme hakkı - md. 17 Silinme hakkı ("right to be forgotten") - md. 18 İşlemenin kısıtlanması - md. 20 Veri taşınabilirliği (makine okunabilir formatta export) - md. 21 İtiraz hakkı Talep için: contact@drsemihyildiz.com — 30 gün içinde yanıtlanır.
12. Veri Silme
Kullanıcı hesabını sildiğinde tüm kişisel verileri 30 gün içinde veritabanından silinir. Google OAuth token'ları, entegrasyon bağlantı kayıtları ve SynClinic'teki ilgili Google işlem log'ları da silinir. Google hesabınızda kalabilecek gönderilmiş e-postalar, takvim etkinlikleri veya Google Business Profile verileri Google'ın kendi ürün saklama politikalarına tabidir; Google Account permissions ekranından SynClinic erişimini ayrıca kaldırabilirsiniz. WhatsApp Cloud API üzerinden Meta'ya gönderilen mesaj log'ları, Meta'nın veri saklama politikasına tabidir. Meta'dan veri silme isteği için: facebook.com/help/contact/507739850846588
13. Reşit Olmayan Kullanıcılar
SynClinic, 18 yaşın altındaki kişilerin doğrudan kullanımına yönelik bir hizmet değildir; klinik personeli olarak hesap açılması için kullanıcının reşit olması gerekir. 18 yaş altı hastaların verileri klinik tarafından (veli/yasal temsilci onayı ile) sisteme girilebilir; bu durumda veli onayı klinik tarafından alınmış sayılır ve sorumluluk klinik personeline aittir.
14. Bu Politikadaki Değişiklikler
Politikada önemli değişiklik olduğunda kullanıcılara e-posta ile bildirim yapılır. Son güncelleme tarihi: 26 Mayıs 2026.