Ana içeriğe atla
0850 304 77 98 Sizi Arayalım
Güvenlik Yasal

Veri İşleme Sözleşmesi

Yürürlük: 16 Mart 2026 Versiyon 1.0 KVKK uyumlu

Veri İşleme Sözleşmesi (DPA)

Son güncelleme: Mart 2026

Bu Veri İşleme Sözleşmesi ("DPA"), HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ ("Veri İşleyen") ile Platform üzerinden hizmet sunan uzmanlar ("Veri Sorumlusu") arasında, Platform üzerinden işlenen kişisel verilerin korunmasına ilişkin karşılıklı hak ve yükümlülükleri düzenler.

Bu sözleşme, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde hazırlanmıştır.

1. Kapsam ve Tanımlar

Bu DPA, Veri Sorumlusu (Uzman) tarafından Platform üzerinden işlenen kişisel verilere uygulanır.

Veri Sorumlusu Ayrımı

Clinisyn, uzmanların danışanlarına ait verilere teknik altyapı sağlayan bir Veri İşleyen konumundadır. Clinisyn, danışanlara ait hiçbir veriyi toplamaz, okumaz veya işlemez. Uzman, kendi danışanlarının kişisel verilerine ilişkin KVKK kapsamında Veri Sorumlusu sıfatını taşır. Platform yalnızca şifreli saklama altyapısı sunar.

2. Sıfır Erişim Politikası

Clinisyn, uzmanlar tarafından platforma girilen klinik içeriklere (notlar, kayıtlar, formlar, ölçek yanıtları vb.) hiçbir koşulda erişmez, okumaz ve işlemez.

  • Tüm klinik veriler AWS KMS ile yönetilen anahtarlarla AES-256 şifreleme ile korunur
  • Şifre çözme anahtarları yalnızca yetkili uzmanın oturumu aracılığıyla kullanılabilir
  • Clinisyn teknik personeli dahil hiç kimse şifreli verileri açık metin olarak görüntüleyemez
  • Veritabanı yedeklerinde dahi veriler şifreli halde kalır

3. İşleme Kapsamı

3.1 Veri Konusu Kişi Grupları

  • Uzmanlar (psikolog, psikolojik danışman, psikiyatrist vb.)
  • Klinik yöneticileri ve personeli
  • Danışanlar (yalnızca şifreli klinik kayıtlar kapsamında; açık metin olarak işlenmez)

3.2 İşlenen Kişisel Veri Kategorileri

Veri KategorisiAçıklama
Kimlik BilgileriAd, soyad (Veri Sorumlusunun kullanıcıları)
İletişim BilgileriE-posta, telefon
Hesap BilgileriKullanıcı adı, şifreli parola, profil
Finansal BilgilerFatura adresi, ödeme geçmişi
İşlem GüvenliğiIP adresi, log kayıtları, cihaz bilgileri
Klinik Veriler (şifreli)AES-256 ile şifreli; Veri İşleyen açık metin olarak erişemez

3.3 İşleme Süresi

Bu DPA kapsamındaki veri işleme, platform kullanım sözleşmesinin yürürlükte olduğu süre boyunca devam eder. Sözleşme sona erdiğinde yasal saklama süreleri saklı kalmak kaydıyla işleme durdurulur.

4. Veri İşleyenin Yükümlülükleri

Clinisyn (Veri İşleyen):

  • Kişisel verileri yalnızca Veri Sorumlusunun talimatları doğrultusunda ve platform hizmetinin sunulması amacıyla barındırır
  • KVKK madde 12 kapsamında gerekli teknik ve idari güvenlik önlemlerini alır
  • Klinik verilere erişim sağlamaz; yalnızca şifreli saklama altyapısı sunar
  • Alt veri işleyenleri yalnızca Veri Sorumlusunun bilgisi dahilinde görevlendirir
  • Veri ihlali durumunda derhal ve en geç 24 saat içinde Veri Sorumlusuna bildirimde bulunur
  • Sözleşme sona erdiğinde şifreli verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç kalıcı olarak siler

5. Gizlilik ve Sır Saklama Yükümlülüğü

Veri İşleyen ve çalışanları, işledikleri kişisel verileri süresiz olarak gizli tutmakla yükümlüdür. Bu yükümlülük, işbu Sözleşme sona erdikten sonra da devam eder. Tüm personel, göreve başlamadan önce gizlilik taahhütnamesi imzalar.

6. Denetim Hakkı

Veri Sorumlusu, Veri İşleyenin bu Sözleşme kapsamındaki yükümlülüklerine uyumunu denetleme hakkına sahiptir. Bu kapsamda:

  • Veri İşleyen, denetim talebi üzerine gerekli bilgi ve belgeleri 10 iş günü içinde sunar
  • Yerinde denetim, önceden yazılı bildirim ile gerçekleştirilebilir
  • Bağımsız denetim (audit) raporları talep edilebilir

7. Müteselsil Sorumluluk

KVKK madde 12/2 uyarınca, kişisel verilerin güvenliğine ilişkin yükümlülükler bakımından Veri Sorumlusu ve Veri İşleyen birlikte sorumludur. Veri İşleyenin kusuru nedeniyle meydana gelen zararlarda, Veri Sorumlusunun ilgili kişiye karşı tazmin yükümlülüğü saklı kalmak kaydıyla, Veri İşleyen Veri Sorumlusuna rücu edilen tutarları karşılar.

8. Teknik ve İdari Güvenlik Önlemleri

8.1 Teknik Önlemler

  • AWS KMS (Key Management Service) — merkezi anahtar yönetimi, anahtarlar HSM (Hardware Security Module) içinde saklanır
  • AES-256 bit şifreleme (beklemede — encryption at rest)
  • TLS 1.3 ile güvenli veri iletimi (encryption in transit)
  • AWS altyapısı — ISO 27001, SOC 2 Type II, PCI DSS sertifikalı veri merkezleri (EU-Central-1, Frankfurt)
  • Web Application Firewall (WAF) ve DDoS koruması
  • Ağ segmentasyonu ve VPC izolasyonu
  • Otomatik şifreli yedekleme (günlük, 35 gün saklama)
  • Düzenli zafiyet tarama ve penetrasyon testleri

8.2 İdari Önlemler

  • Personel gizlilik taahhütnameleri
  • Düzenli KVKK farkındalık eğitimleri
  • Rol tabanlı erişim yetkilendirme (RBAC) — 17 seviye
  • Veri ihlali müdahale ve bildirim planı
  • İş sürekliliği ve felaket kurtarma planları

9. Alt Veri İşleyenler

Alt Veri İşleyenHizmetKonum
Amazon Web Services (AWS)Şifreli veri barındırma, KMSEU-Central-1 (Frankfurt)
iyzico Ödeme Hizmetleri A.Ş.Ödeme işlemeTürkiye
AWS CognitoKimlik doğrulamaEU-Central-1 (Frankfurt)

Not: Alt veri işleyenlerin hiçbiri klinik verilere açık metin olarak erişemez.

10. Yurt Dışı Aktarım

Platform altyapısı kapsamında kişisel veriler, Veri Sorumlusunun danışanlarından aldığı açık rıza doğrultusunda aşağıdaki yurt dışı lokasyonlarda işlenebilir:

  • AWS EU-Central-1 (Frankfurt, Almanya): Veri depolama, KMS şifreleme, yedekleme
  • AWS Cognito EU-Central-1: Kimlik doğrulama

Yurt dışına aktarılan tüm veriler AES-256 şifreleme ile korunur. Klinik veriler şifreli halde aktarılır ve hiçbir tarafça açık metin olarak okunamaz.

11. Veri İhlali Bildirimi

  1. İhlal derhal tespit ve kayıt altına alınır
  2. Veri Sorumlusuna en geç 24 saat içinde yazılı bildirimde bulunulur
  3. KVKK madde 12/5 uyarınca Kurula 72 saat içinde bildirim yapılmasına yardımcı olunur
  4. Alınan ve alınacak önlemler raporlanır

12. Süre ve Fesih

Bu DPA, taraflar arasındaki Platform kullanım sözleşmesi süresince geçerlidir. Sözleşme sona erdiğinde Veri İşleyen, klinik verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç olmak üzere kalıcı olarak siler.

13. İletişim

Veri İşleme Sözleşmesi hakkında: kvkk@clinisyn.com

HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ
Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri

Verileriniz güvende.

Güvenlik altyapımızı inceleyin ya da hukuki bir sorunuz için bize ulaşın.