Veri Sorumlusu Bilgilendirmesi
Son güncelleme: Mart 2026
Bu belge, HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ ("Clinisyn") bünyesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında yürütülen kişisel veri işleme faaliyetlerine ilişkin Veri Sorumlusu bilgilendirmesini içermektedir.
1. Veri Sorumlusunun Kimliği
- Ünvan: HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ
- Adres: Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri
- MERSİS/Vergi No: 4642153776
- E-posta: kvkk@clinisyn.com
- KEP: hsdcorelabs@hs09.kep.tr
- Telefon: 0850 304 77 98
- Web: https://clinisyn.com
2. İrtibat Kişisi
KVKK madde 13 uyarınca atanan İrtibat Kişisi bilgileri:
- E-posta: kvkk@clinisyn.com
- KEP: hsdcorelabs@hs09.kep.tr
- Adres: Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri
Clinisyn Hangi Verileri İşler?
Clinisyn, yalnızca platforma kayıt olan kullanıcıların (uzman, klinik yöneticisi vb.) kendi kişisel bilgilerini işler. Danışanlara/hastalara ait hiçbir kişisel veri Clinisyn tarafından toplanmaz, işlenmez veya görüntülenmez. Uzmanların danışanlarına ait klinik kayıtları AWS KMS ile uçtan uca şifrelenir; Clinisyn dahil hiç kimse bu verilere erişemez.
3. VERBİS Kaydı
HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ, Kişisel Verileri Koruma Kurumu nezdinde Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüklerini yerine getirmektedir.
4. Veri Konusu Kişi Grupları ve Veri Kategorileri
4.1 Veri Konusu Kişi Grupları
- Uzmanlar: Psikolog, psikolojik danışman, psikiyatrist ve diğer ruh sağlığı profesyonelleri
- Klinik yöneticileri ve personeli: Klinik sahipleri, sekreterler, muhasebe personeli
- Platform ziyaretçileri: Web sitesi ziyaretçileri (çerez verileri)
4.2 Kişisel Veri Kategorileri
| Veri Kategorisi | İçerik | Azami Saklama Süresi |
|---|
| Kimlik Bilgileri | Ad, soyad | Hesap kapatma + 6 ay |
| İletişim Bilgileri | E-posta, telefon, adres | Hesap kapatma + 6 ay |
| Hesap Bilgileri | Kullanıcı adı, şifreli parola, profil fotoğrafı | Hesap kapatma + 6 ay |
| Mesleki Bilgiler | Diploma, uzmanlık belgesi | Hesap kapatma + 6 ay |
| Finansal Bilgiler | Fatura adresi, TC/VKN (fatura), ödeme geçmişi | 10 yıl (VUK md. 253) |
| İşlem Güvenliği | IP adresi, çerez, log kayıtları, cihaz bilgisi | 2 yıl (5651 md. 5) |
| Pazarlama | E-posta/SMS izinleri, iletişim tercihleri | Onay + ticari ilişki sona erdikten 3 yıl (6563) |
5. Kişisel Veri İşleme İlkeleri
Şirketimiz, kişisel verilerin işlenmesinde aşağıdaki temel ilkelere bağlı kalır (KVKK md. 4):
- Hukuka ve dürüstlük kurallarına uygunluk
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilme
6. Klinik Veri Güvenliği Politikası
Clinisyn, danışanlara ait klinik içeriklere erişmez, okumaz ve işlemez.
Uzmanlar tarafından platforma girilen tüm klinik veriler (notlar, kayıtlar, formlar, ölçek yanıtları vb.) AWS KMS (Key Management Service) tarafından yönetilen benzersiz anahtarlarla AES-256 algoritması ile şifrelenir. Bu şifreleme:
- Veri veritabanına yazılmadan önce uygulanır
- Şifre çözme anahtarları yalnızca yetkili uzmanın aktif oturumu aracılığıyla kullanılabilir
- Clinisyn çalışanları dahil hiç kimse şifreli verileri açık metin olarak görüntüleyemez
- Veritabanı yedeklerinde dahi veriler şifreli halde kalır
- Anahtarlar AWS HSM (Hardware Security Module) altyapısında korunur — FIPS 140-2 Level 3 sertifikalı
Uzmanlar, kendi danışanlarının klinik verilerine ilişkin KVKK kapsamında Veri Sorumlusu sıfatını taşır. Clinisyn, bu veriler açısından yalnızca şifreli saklama altyapısı sunan Veri İşleyen konumundadır.
7. Alınan Teknik ve İdari Güvenlik Tedbirleri
7.1 Teknik Tedbirler
- AWS KMS (Key Management Service) — merkezi anahtar yönetimi, HSM (FIPS 140-2 Level 3) içinde saklama
- AES-256 bit şifreleme — beklemede (encryption at rest)
- TLS 1.3 — aktarımda (encryption in transit)
- AWS altyapısı — ISO 27001, SOC 2 Type II, PCI DSS sertifikalı veri merkezleri (EU-Central-1, Frankfurt)
- Web Application Firewall (WAF) koruması
- DDoS saldırı koruması (AWS Shield)
- Ağ segmentasyonu ve VPC izolasyonu
- Otomatik şifreli günlük yedekleme (35 gün saklama)
- Düzenli zafiyet tarama ve penetrasyon testleri
- Intrusion Detection System (IDS) / Log izleme
- İki faktörlü kimlik doğrulama (MFA) desteği
7.2 İdari Tedbirler
- Kişisel Veri İşleme Envanteri hazırlanmıştır
- Kişisel Veri Saklama ve İmha Politikası belirlenmiştir
- Tüm personel gizlilik taahhütnamesi imzalamıştır
- Düzenli KVKK farkındalık ve veri güvenliği eğitimleri verilmektedir
- Rol tabanlı erişim yetkilendirme (RBAC) — 17 farklı yetki seviyesi
- Erişim loglarının düzenli olarak gözden geçirilmesi
- Veri işleyen (üçüncü taraf) sözleşmelerinde KVKK uyumluluk maddeleri
- Veri ihlali müdahale ve bildirim prosedürü oluşturulmuştur
8. Veri İhlali Bildirim Prosedürü
- Tespit ve Kayıt: İhlal derhal tespit, kayıt altına alınır ve etki analizi yapılır
- Kurul Bildirimi: KVKK madde 12/5 uyarınca Kişisel Verileri Koruma Kurulu'na en geç 72 saat içinde bildirim yapılır
- İlgili Kişi Bildirimi: İhlalden etkilenen kişilere en kısa sürede bilgilendirme yapılır
- Müdahale: İhlalin etkisini azaltmak ve tekrarını önlemek için gerekli önlemler alınır
- Raporlama: İhlal süreci dokümante edilir
Not: Klinik veriler KMS ile şifreli olduğundan, olası bir veritabanı ihlalinde dahi bu veriler şifreli ve okunamaz halde kalır.
9. Kişisel Veri Saklama ve İmha
Kişisel veriler, işleme amaçlarının ve yasal saklama sürelerinin sona ermesinin ardından:
- Periyodik imha süreleri kapsamında (6 ayda bir) resen silinir, yok edilir veya anonim hale getirilir
- İlgili kişinin talebi halinde, yasal saklama yükümlülükleri saklı kalmak kaydıyla en geç 30 gün içinde silinir
- Şifreli klinik veriler, hesap kapatma işlemiyle birlikte ilgili KMS anahtarları geçersiz kılınarak kriptografik olarak imha edilir
Periyodik İmha Süresi: 6 ay (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca). İmha işlemleri kayıt altına alınır ve kayıtlar en az 3 yıl saklanır.
10. İlgili Kişi Başvuru Süreci
- E-posta: kvkk@clinisyn.com
- KEP: hsdcorelabs@hs09.kep.tr
- Posta: Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri (noter/iadeli taahhütlü)
Başvurular en geç 30 gün içinde ücretsiz olarak cevaplanır.
11. Kişisel Verileri Koruma Kurulu'na Şikâyet
Başvurunuzun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde cevap alınamaması halinde, Kişisel Verileri Koruma Kurulu'na şikâyette bulunma hakkınız mevcuttur.
12. İletişim
HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ
Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri
KVKK Başvuruları: kvkk@clinisyn.com
KEP: hsdcorelabs@hs09.kep.tr
Telefon: 0850 304 77 98
Web: https://clinisyn.com