Kişisel Verilerin Korunması Hakkında Aydınlatma Metni
1. Veri Sorumlusu
İşbu Aydınlatma Metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla, DrPando uygulamasını ("Uygulama" veya "DrPando") işleten gerçek kişi Kadircan İşbilen tarafından hazırlanmıştır.
- Veri sorumlusu: Kadircan İşbilen (gerçek kişi, Türkiye Cumhuriyeti vatandaşı)
- Adres: Talatpaşa Mh., 34513 Esenyurt / İstanbul
- İletişim: contact@drpando.com
2. İşlenen Kişisel Veriler
DrPando uygulamasını kullanmanız sırasında aşağıdaki kişisel verileriniz işlenmektedir:
| Veri kategorisi | İçerik |
|---|---|
| Kimlik verileri | Ad, soyad |
| İletişim verileri | E-posta adresi, telefon numarası |
| Müşteri işlem verileri | Hesap oluşturma, hizmet kullanım kayıtları, oturum tokenları, abonelik durumu |
| Finansal veriler | Abonelik ödeme kayıtları (kart bilgileriniz tarafımıza ulaşmaz — Apple App Store / Google Play tarafından işlenir) |
| Kullanıcı işlem güvenlik verileri | Şifre (geri döndürülemez biçimde hash'lenmiş), şifre sıfırlama ve hesap aktivasyon tokenları, IP adresi, cihaz bilgileri |
| Klinik verileri | Çalıştığınız klinik adı, adresi |
| Personel verileri | Asistan/resepsiyonist hesapları için (sizin kendi personelinize ait) ad, soyad, e-posta |
Hasta verileri hakkında özel not
DrPando, ortodontistler için bir hasta yönetim aracıdır. Hekim olarak Uygulama'ya kendi hastalarınıza ait kişisel ve sağlık verilerini (kimlik, iletişim, tedavi planı, randevular, ödemeler, tıbbi görüntüler) girersiniz. Bu durumda:
- Sizler (hekim) hasta verisinin veri sorumlususunuz.
- DrPando, sizin adınıza bu verileri saklayan veri işleyendir.
Hastalarınıza yönelik aydınlatma yükümlülüğü ve açık rıza alma süreçleri sizin sorumluluğunuzdadır. DrPando, veri işleyen sıfatıyla teknik ve idari güvenlik önlemlerini sağlar (şifreleme, erişim kısıtlaması, denetim kayıtları, yedekleme).
3. Kişisel Verilerin İşlenme Amaçları
- Üyelik hesabınızın oluşturulması ve yönetilmesi
- Hizmetin sunulması (ortodontist pratik yönetim aracı)
- Abonelik ücretlerinin tahsil edilmesi
- Yasal yükümlülüklerin yerine getirilmesi (vergi, KVKK, ticari mevzuat)
- Bilgi güvenliği süreçlerinin yürütülmesi (yetkisiz erişimin önlenmesi, log analizi)
- Hizmet kalitesinin iyileştirilmesi, hata ayıklama
- Müşteri destek talepleri ile iletişim
- Açık rıza vermeniz halinde: pazarlama iletişimi
4. Kişisel Veri İşleme Hukuki Sebepleri
Verileriniz KVKK Madde 5 uyarınca aşağıdaki hukuki sebeplerden bir veya birkaçına dayanılarak işlenir:
- Sözleşmenin kurulması veya ifası için zorunlu olması (üyelik sözleşmesi, hizmet sunumu, abonelik tahsilatı)
- Hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması (mali, vergisel, kayıt tutma yükümlülükleri)
- Veri sorumlusunun meşru menfaati için zorunlu olması (bilgi güvenliği, hizmet iyileştirme, dolandırıcılık önleme — temel hak ve özgürlüklerinize zarar vermemek koşuluyla)
- Açık rıza (yalnızca açık rıza gerektiren işlemeler için — örn. pazarlama iletişimi, isteğe bağlı analitik)
5. Kişisel Verilerin Aktarımı
Hizmetin sunulabilmesi için verileriniz aşağıdaki üçüncü taraflarla (alt-işleyenlerle) paylaşılmaktadır. Tüm aktarımlar KVKK Madde 8 ve 9 uyarınca gerçekleştirilmektedir.
| Alıcı | Hizmet | Lokasyon |
|---|---|---|
| Hetzner Online GmbH | Sunucu altyapısı, veritabanı barındırma | Almanya (AB) |
| Cloudflare, Inc. | Dosya depolama (R2), CDN, DNS, DDoS koruması | AB (R2 EU jurisdiction), küresel CDN |
| Resend, Inc. | İşlem e-postaları (aktivasyon, şifre sıfırlama) | ABD |
| Apple Inc. | iOS App Store dağıtımı, abonelik ödemesi, push notification altyapısı | ABD / küresel |
| Google LLC | Google Play dağıtımı, abonelik ödemesi, Firebase Cloud Messaging | ABD / küresel |
Yurt dışına aktarım: Yukarıdaki alıcıların bir kısmı Türkiye dışında konumlanmaktadır. Yurt dışına aktarımlar KVKK Madde 9 uyarınca açık rızanız veya Kişisel Verileri Koruma Kurulu'nun belirleyeceği yeterli korumayı haiz ülkeler ile sözleşmesel güvenceler (Standard Contractual Clauses dahil) çerçevesinde yapılmaktadır.
6. Kişisel Verilerin Toplanma Yöntemi
- Doğrudan sizden: Uygulama içi kayıt formu, hesap güncelleme, ödeme bilgisi formları, müşteri destek iletişimi
- Otomatik: Uygulamayı kullanımınıza ilişkin sistem logları (giriş/çıkış, IP, cihaz bilgisi), oturum tokenları, hata kayıtları
7. Saklama Süreleri
| Veri kategorisi | Saklama süresi |
|---|---|
| Hesap bilgileri | Hesap aktif olduğu sürece + hesap kapatıldıktan sonra 5 yıl (TBK m. 146 zamanaşımı) |
| Hasta sağlık verileri (veri işleyen sıfatıyla) | Hekim tarafından silinmesi talep edilmedikçe ve mevzuatın izin verdiği ölçüde saklanır; asgari 5 yıl (sağlık mevzuatı + KVKK) |
| Finansal kayıtlar (faturalar, abonelik) | 10 yıl (VUK m. 253) |
| Log kayıtları, güvenlik denetim verileri | 2 yıl |
| Pazarlama izinlerine ilişkin kayıtlar | İzin geri alınıncaya + 3 yıl |
| Aktivasyon ve şifre sıfırlama tokenları | Kullanılana veya süresi dolana kadar (en fazla 24 saat) |
Saklama süresi sona eren veriler periyodik imha politikamız çerçevesinde silinir, yok edilir veya anonim hale getirilir.
8. Veri Sahibi Hakları (KVKK Madde 11)
Kişisel verilerinize ilişkin olarak aşağıdaki haklara sahipsiniz:
- (a) Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- (b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- (c) Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- (ç) Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- (d) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- (e) KVKK Madde 7'de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
- (f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- (g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- (ğ) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
9. Başvuru Yöntemi
KVKK Madde 11'de düzenlenen haklarınızı kullanmak için Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca aşağıdaki yöntemlerden biriyle başvurabilirsiniz:
- Elektronik posta: contact@drpando.com adresine, kayıtlı elektronik posta (KEP) veya güvenli elektronik imza yahut mobil imza ile.
- Yazılı: Talatpaşa Mh., 34513 Esenyurt / İstanbul adresine, kimlik tespiti yapılabilecek belge ile.
Başvurunuz en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Başvurunun ayrıca bir maliyet gerektirmesi halinde Kurulca belirlenen tarife uygulanabilir.
Başvurunuzun usulüne uygun yapılmaması veya reddedilmesi halinde Kişisel Verileri Koruma Kuruluna şikayette bulunma hakkınız saklıdır.
10. Politika Değişiklikleri
İşbu Aydınlatma Metni'nde değişiklik yapılması halinde güncel metin Uygulama içinde ve drpando.com/privacy adresinde yayınlanacak; önemli değişiklikler için size ayrıca bildirim yapılacaktır.
İletişim: contact@drpando.com