⚠️ AVUKAT İNCELEMESİNE TÂBİ DRAFT METİN ⚠️
Bu doküman 6698 sayılı KVKK gerekliliklerine uygun bir İSKELET'tir.
Klinik veri sorumlusu bilgileri, üçüncü taraf aktarımlar ve haklar bölümü
mutlaka klinik avukatı tarafından incelenip onaylanmalıdır.
Onaysız üretime alınmamalıdır. Son güncelleme tarihi: 2026-05-24
Versiyon: 1.0
Yürürlük tarihi:
[YÜRÜRLÜK_TARIHI]
KVKK Aydınlatma Metni
1. Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla aşağıdaki bilgileri sunarız:
| Bilgi | İçerik |
|---|---|
| Veri Sorumlusu Unvanı | [KLINIK_ADI] |
| VERBIS Kayıt Numarası | [VERBIS_NO] |
| Adres | [ADRES] |
| Telefon | [TELEFON] |
| E-posta | [EPOSTA] |
| KEP Adresi | [KEP_ADRESI] |
| MERSİS / Vergi No | [MERSIS_VERGI_NO] |
İşbu Aydınlatma Metni, DentalPreview adlı yazılım uygulaması ("Uygulama") aracılığıyla işlenen kişisel verilere ilişkindir.
2. İşlenen Kişisel Veri Kategorileri
Uygulama kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir:
2.1. Kimlik Verileri
- Ad, soyad
- Doğum tarihi (opsiyonel)
- T.C. kimlik numarası (yalnızca yasal yükümlülük gerektiğinde)
2.2. İletişim Verileri
- Telefon numarası
- E-posta adresi
2.3. Sağlık ve Biyometrik Veriler (özel nitelikli kişisel veri)
- Yüz fotoğrafı (kamera ile çekilen ham görsel)
- Yapay zekâ ile işlenmiş diş/gülümseme simülasyon görseli
- Klinik notlar, tedavi planı, tedavi tipi seçimi
2.4. İşlem Güvenliği Verileri
- IP adresi
- Cihaz tanımlayıcı (UDID, anonim cihaz kimliği)
- Oturum / log kayıtları (giriş tarihi, eylem geçmişi)
- Açık rıza onam tarihi ve sürümü
Önemli: Sağlık verisi ve biyometrik veriler, KVKK Madde 6 kapsamında özel nitelikli kişisel veri olarak kabul edilir ve işlenmesi açık rıza gerektirir.
3. Kişisel Verilerin İşlenme Amaçları
Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir:
1. Diş tedavi planlaması ve hasta bilgilendirme — hekimin hastayı tedavi seçenekleri konusunda görselleştirerek bilgilendirmesi
2. Yapay zekâ destekli before/after simülasyon hizmeti — yüz fotoğrafından muhtemel tedavi sonucu görselinin üretilmesi
3. Tıbbi kayıt tutma — Sağlık Bakanlığı mevzuatı kapsamında zorunlu hasta kayıtlarının oluşturulması ve saklanması
4. Yasal yükümlülüklerin yerine getirilmesi — vergi, denetim, mahkeme/kolluk talepleri
5. Hizmet kalitesinin iyileştirilmesi — uygulama hatalarının tespiti (yalnızca anonimleştirilmiş şekilde)
6. Bilgi güvenliği süreçlerinin yürütülmesi — yetkisiz erişim ve veri sızıntılarına karşı önlem
4. Hukuki Sebep (KVKK Madde 5 & 6)
| Veri Kategorisi | Hukuki Sebep |
|---|---|
| Kimlik, iletişim | KVKK Madde 5/2-c: Sözleşmenin kurulması ve ifası |
| Sağlık verisi (özel nitelikli) | KVKK Madde 6/2: Açık rıza |
| Sağlık hizmeti sunumu | KVKK Madde 6/3: Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi (sır saklama yükümlülüğü altındaki kişilerce) |
| İşlem güvenliği logları | KVKK Madde 5/2-f: Meşru menfaat |
| Yasal saklama | KVKK Madde 5/2-a: Kanunlarda açıkça öngörülmesi |
| Yurt dışı aktarım | KVKK Madde 9: Açık rıza |
5. Veri Aktarımı
Kişisel verileriniz, aşağıda belirtilen alıcı grupları ve amaçlar doğrultusunda paylaşılmaktadır:
5.1. Yurt İçi Aktarımlar
- Klinik personeli (hekim, asistan, klinik yöneticisi) — tedavi sürecinin yürütülmesi
- Sağlık Bakanlığı ve diğer yetkili kamu kurumları — yasal yükümlülükler
5.2. Yurt Dışı Aktarımlar (açık rıza gerektirir — KVKK Madde 9)
| Alıcı | Konum | Aktarılan Veri | Amaç |
|---|---|---|---|
| Google Cloud Platform / Firebase | Amerika Birleşik Devletleri ve diğer Google bölgeleri | Kimlik, iletişim, sağlık verileri (fotoğraf, vaka bilgileri), log | Bulut tabanlı veri saklama (Firestore, Cloud Storage) ve kimlik doğrulama (Firebase Auth) |
| Google AI / Gemini API | Amerika Birleşik Devletleri / Avrupa | Yüz fotoğrafı (kısa süreli) | AI tabanlı diş/gülümseme simülasyonunun üretilmesi |
| Apple Inc. (Push Notification / Crashlytics) | Amerika Birleşik Devletleri | Cihaz tanımlayıcı, çökme raporu | Bildirim teslimi ve uygulama kararlılığı |
Google ve Apple, ABD merkezli olduğundan kişisel verilerin yurt dışına aktarımı söz konusudur. Bu aktarım için ayrıca açık rıza alınmaktadır (Açık Rıza Beyanı).
Yurt dışı aktarımlarda KVKK Madde 9 kapsamında ya (a) ilgili kişinin açık rızası, ya da (b) yeterli korumanın bulunduğu ülkelerde yetkili kurum yazılı taahhüdü aranır. Türkiye-Google/Apple arasında yeterli koruma kararı bulunmadığından açık rıza esastır.
6. Saklama Süreleri
| Veri Kategorisi | Saklama Süresi | Dayanak |
|---|---|---|
| Hasta sağlık kayıtları, fotoğraflar, AI çıktıları | Tedavi sonrası en az 10 yıl | Sağlık Hizmetleri Sunumunda Tıbbi Kayıt Yönetmeliği |
| Kullanıcı (klinik personeli) hesap verileri | Hesap aktif + iş ilişkisi sona erdikten 5 yıl sonra silinir | İş Kanunu, BTK |
| Log kayıtları | 2 yıl | 5651 Sayılı Kanun |
| Açık rıza onam kayıtları | Aktarımın gerçekleştiği işlem süresi + 10 yıl (ispat yükümlülüğü) | KVKK Madde 12 |
Süreler sonunda veriler silinir, yok edilir veya anonim hale getirilir (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik).
7. Veri Sahibi Hakları (KVKK Madde 11)
KVKK Madde 11 uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:
1. Kişisel verilerinizin işlenip işlenmediğini öğrenme
2. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
5. Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
6. KVKK Madde 7'de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
7. Düzeltme / silme / yok etme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
9. Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme
8. Başvuru Yöntemi
Yukarıdaki haklarınızı kullanmak için başvurularınızı:
- E-posta:
[KVKK_BASVURU_EPOSTA](örn. kvkk@klinikadi.com.tr) - Posta:
[POSTA_ADRESI] - KEP:
[KEP_ADRESI] - Şahsen başvuru: Klinik adresine kimlik doğrulaması ile
göndererek yapabilirsiniz. Başvuru formuna [BASVURU_FORM_LINKI] adresinden erişebilirsiniz.
Veri sorumlusu, talebinizi en geç 30 gün içinde sonuçlandıracaktır. Talebin reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hâllerinde Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız saklıdır.
9. Güncellemeler
İşbu Aydınlatma Metni, mevzuat değişiklikleri veya işleme faaliyetlerindeki değişiklikler nedeniyle güncellenebilir. Güncel sürüm Uygulama içerisinden ve [WEB_SITESI] adresinden erişilebilir tutulur. Sürüm değişikliklerinde kullanıcıdan açık rıza yeniden alınır.
Sürüm: 1.0
Yayım tarihi: [YAYIM_TARIHI]