Veri İşleme Sözleşmesi (DPA)
Son güncelleme: Mart 2026
Bu Veri İşleme Sözleşmesi ("DPA"), HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ ("Veri İşleyen") ile Platform üzerinden hizmet sunan uzmanlar ("Veri Sorumlusu") arasında, Platform üzerinden işlenen kişisel verilerin korunmasına ilişkin karşılıklı hak ve yükümlülükleri düzenler.
Bu sözleşme, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde hazırlanmıştır.
1. Kapsam ve Tanımlar
Bu DPA, Veri Sorumlusu (Uzman) tarafından Platform üzerinden işlenen kişisel verilere uygulanır.
Veri Sorumlusu Ayrımı
Clinisyn, uzmanların danışanlarına ait verilere teknik altyapı sağlayan bir Veri İşleyen konumundadır. Clinisyn, danışanlara ait hiçbir veriyi toplamaz, okumaz veya işlemez. Uzman, kendi danışanlarının kişisel verilerine ilişkin KVKK kapsamında Veri Sorumlusu sıfatını taşır. Platform yalnızca şifreli saklama altyapısı sunar.
2. Sıfır Erişim Politikası
Clinisyn, uzmanlar tarafından platforma girilen klinik içeriklere (notlar, kayıtlar, formlar, ölçek yanıtları vb.) hiçbir koşulda erişmez, okumaz ve işlemez.
- Tüm klinik veriler AWS KMS ile yönetilen anahtarlarla AES-256 şifreleme ile korunur
- Şifre çözme anahtarları yalnızca yetkili uzmanın oturumu aracılığıyla kullanılabilir
- Clinisyn teknik personeli dahil hiç kimse şifreli verileri açık metin olarak görüntüleyemez
- Veritabanı yedeklerinde dahi veriler şifreli halde kalır
3. İşleme Kapsamı
3.1 Veri Konusu Kişi Grupları
- Uzmanlar (psikolog, psikolojik danışman, psikiyatrist vb.)
- Klinik yöneticileri ve personeli
- Danışanlar (yalnızca şifreli klinik kayıtlar kapsamında; açık metin olarak işlenmez)
3.2 İşlenen Kişisel Veri Kategorileri
| Veri Kategorisi | Açıklama |
|---|---|
| Kimlik Bilgileri | Ad, soyad (Veri Sorumlusunun kullanıcıları) |
| İletişim Bilgileri | E-posta, telefon |
| Hesap Bilgileri | Kullanıcı adı, şifreli parola, profil |
| Finansal Bilgiler | Fatura adresi, ödeme geçmişi |
| İşlem Güvenliği | IP adresi, log kayıtları, cihaz bilgileri |
| Klinik Veriler (şifreli) | AES-256 ile şifreli; Veri İşleyen açık metin olarak erişemez |
3.3 İşleme Süresi
Bu DPA kapsamındaki veri işleme, platform kullanım sözleşmesinin yürürlükte olduğu süre boyunca devam eder. Sözleşme sona erdiğinde yasal saklama süreleri saklı kalmak kaydıyla işleme durdurulur.
4. Veri İşleyenin Yükümlülükleri
Clinisyn (Veri İşleyen):
- Kişisel verileri yalnızca Veri Sorumlusunun talimatları doğrultusunda ve platform hizmetinin sunulması amacıyla barındırır
- KVKK madde 12 kapsamında gerekli teknik ve idari güvenlik önlemlerini alır
- Klinik verilere erişim sağlamaz; yalnızca şifreli saklama altyapısı sunar
- Alt veri işleyenleri yalnızca Veri Sorumlusunun bilgisi dahilinde görevlendirir
- Veri ihlali durumunda derhal ve en geç 24 saat içinde Veri Sorumlusuna bildirimde bulunur
- Sözleşme sona erdiğinde şifreli verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç kalıcı olarak siler
5. Gizlilik ve Sır Saklama Yükümlülüğü
Veri İşleyen ve çalışanları, işledikleri kişisel verileri süresiz olarak gizli tutmakla yükümlüdür. Bu yükümlülük, işbu Sözleşme sona erdikten sonra da devam eder. Tüm personel, göreve başlamadan önce gizlilik taahhütnamesi imzalar.
6. Denetim Hakkı
Veri Sorumlusu, Veri İşleyenin bu Sözleşme kapsamındaki yükümlülüklerine uyumunu denetleme hakkına sahiptir. Bu kapsamda:
- Veri İşleyen, denetim talebi üzerine gerekli bilgi ve belgeleri 10 iş günü içinde sunar
- Yerinde denetim, önceden yazılı bildirim ile gerçekleştirilebilir
- Bağımsız denetim (audit) raporları talep edilebilir
7. Müteselsil Sorumluluk
KVKK madde 12/2 uyarınca, kişisel verilerin güvenliğine ilişkin yükümlülükler bakımından Veri Sorumlusu ve Veri İşleyen birlikte sorumludur. Veri İşleyenin kusuru nedeniyle meydana gelen zararlarda, Veri Sorumlusunun ilgili kişiye karşı tazmin yükümlülüğü saklı kalmak kaydıyla, Veri İşleyen Veri Sorumlusuna rücu edilen tutarları karşılar.
8. Teknik ve İdari Güvenlik Önlemleri
8.1 Teknik Önlemler
- AWS KMS (Key Management Service) — merkezi anahtar yönetimi, anahtarlar HSM (Hardware Security Module) içinde saklanır
- AES-256 bit şifreleme (beklemede — encryption at rest)
- TLS 1.3 ile güvenli veri iletimi (encryption in transit)
- AWS altyapısı — ISO 27001, SOC 2 Type II, PCI DSS sertifikalı veri merkezleri (EU-Central-1, Frankfurt)
- Web Application Firewall (WAF) ve DDoS koruması
- Ağ segmentasyonu ve VPC izolasyonu
- Otomatik şifreli yedekleme (günlük, 35 gün saklama)
- Düzenli zafiyet tarama ve penetrasyon testleri
8.2 İdari Önlemler
- Personel gizlilik taahhütnameleri
- Düzenli KVKK farkındalık eğitimleri
- Rol tabanlı erişim yetkilendirme (RBAC) — 17 seviye
- Veri ihlali müdahale ve bildirim planı
- İş sürekliliği ve felaket kurtarma planları
9. Alt Veri İşleyenler
| Alt Veri İşleyen | Hizmet | Konum |
|---|---|---|
| Amazon Web Services (AWS) | Şifreli veri barındırma, KMS | EU-Central-1 (Frankfurt) |
| iyzico Ödeme Hizmetleri A.Ş. | Ödeme işleme | Türkiye |
| AWS Cognito | Kimlik doğrulama | EU-Central-1 (Frankfurt) |
Not: Alt veri işleyenlerin hiçbiri klinik verilere açık metin olarak erişemez.
10. Yurt Dışı Aktarım
Platform altyapısı kapsamında kişisel veriler, Veri Sorumlusunun danışanlarından aldığı açık rıza doğrultusunda aşağıdaki yurt dışı lokasyonlarda işlenebilir:
- AWS EU-Central-1 (Frankfurt, Almanya): Veri depolama, KMS şifreleme, yedekleme
- AWS Cognito EU-Central-1: Kimlik doğrulama
Yurt dışına aktarılan tüm veriler AES-256 şifreleme ile korunur. Klinik veriler şifreli halde aktarılır ve hiçbir tarafça açık metin olarak okunamaz.
11. Veri İhlali Bildirimi
- İhlal derhal tespit ve kayıt altına alınır
- Veri Sorumlusuna en geç 24 saat içinde yazılı bildirimde bulunulur
- KVKK madde 12/5 uyarınca Kurula 72 saat içinde bildirim yapılmasına yardımcı olunur
- Alınan ve alınacak önlemler raporlanır
12. Süre ve Fesih
Bu DPA, taraflar arasındaki Platform kullanım sözleşmesi süresince geçerlidir. Sözleşme sona erdiğinde Veri İşleyen, klinik verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç olmak üzere kalıcı olarak siler.
13. İletişim
Veri İşleme Sözleşmesi hakkında: kvkk@clinisyn.com
HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ
Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri