Veri İşleme Sözleşmesi (DPA)

Son güncelleme: Mart 2026

Bu Veri İşleme Sözleşmesi ("DPA"), HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ ("Veri İşleyen") ile Platform üzerinden hizmet sunan uzmanlar ("Veri Sorumlusu") arasında, Platform üzerinden işlenen kişisel verilerin korunmasına ilişkin karşılıklı hak ve yükümlülükleri düzenler.

Bu sözleşme, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve Kişisel Verileri Koruma Kurulu kararları çerçevesinde hazırlanmıştır.

1. Kapsam ve Tanımlar

Bu DPA, Veri Sorumlusu (Uzman) tarafından Platform üzerinden işlenen kişisel verilere uygulanır.

2. Sıfır Erişim Politikası

• Tüm klinik veriler AWS KMS ile yönetilen anahtarlarla AES-256 şifreleme ile korunur
• Şifre çözme anahtarları yalnızca yetkili uzmanın oturumu aracılığıyla kullanılabilir
• Clinisyn teknik personeli dahil hiç kimse şifreli verileri açık metin olarak görüntüleyemez
• Veritabanı yedeklerinde dahi veriler şifreli halde kalır

3. İşleme Kapsamı

3.1 Veri Konusu Kişi Grupları

• Uzmanlar (psikolog, psikolojik danışman, psikiyatrist vb.)
• Klinik yöneticileri ve personeli
• Danışanlar (yalnızca şifreli klinik kayıtlar kapsamında; açık metin olarak işlenmez)

3.2 İşlenen Kişisel Veri Kategorileri

Veri Kategorisi	Açıklama
Kimlik Bilgileri	Ad, soyad (Veri Sorumlusunun kullanıcıları)
İletişim Bilgileri	E-posta, telefon
Hesap Bilgileri	Kullanıcı adı, şifreli parola, profil
Finansal Bilgiler	Fatura adresi, ödeme geçmişi
İşlem Güvenliği	IP adresi, log kayıtları, cihaz bilgileri
Klinik Veriler (şifreli)	AES-256 ile şifreli; Veri İşleyen açık metin olarak erişemez

3.3 İşleme Süresi

Bu DPA kapsamındaki veri işleme, platform kullanım sözleşmesinin yürürlükte olduğu süre boyunca devam eder. Sözleşme sona erdiğinde yasal saklama süreleri saklı kalmak kaydıyla işleme durdurulur.

4. Veri İşleyenin Yükümlülükleri

Clinisyn (Veri İşleyen):

• Kişisel verileri yalnızca Veri Sorumlusunun talimatları doğrultusunda ve platform hizmetinin sunulması amacıyla barındırır
• KVKK madde 12 kapsamında gerekli teknik ve idari güvenlik önlemlerini alır
• Klinik verilere erişim sağlamaz; yalnızca şifreli saklama altyapısı sunar
• Alt veri işleyenleri yalnızca Veri Sorumlusunun bilgisi dahilinde görevlendirir
• Veri ihlali durumunda derhal ve en geç 24 saat içinde Veri Sorumlusuna bildirimde bulunur
• Sözleşme sona erdiğinde şifreli verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç kalıcı olarak siler

5. Gizlilik ve Sır Saklama Yükümlülüğü

Veri İşleyen ve çalışanları, işledikleri kişisel verileri süresiz olarak gizli tutmakla yükümlüdür. Bu yükümlülük, işbu Sözleşme sona erdikten sonra da devam eder. Tüm personel, göreve başlamadan önce gizlilik taahhütnamesi imzalar.

6. Denetim Hakkı

Veri Sorumlusu, Veri İşleyenin bu Sözleşme kapsamındaki yükümlülüklerine uyumunu denetleme hakkına sahiptir. Bu kapsamda:

• Veri İşleyen, denetim talebi üzerine gerekli bilgi ve belgeleri 10 iş günü içinde sunar
• Yerinde denetim, önceden yazılı bildirim ile gerçekleştirilebilir
• Bağımsız denetim (audit) raporları talep edilebilir

7. Müteselsil Sorumluluk

KVKK madde 12/2 uyarınca, kişisel verilerin güvenliğine ilişkin yükümlülükler bakımından Veri Sorumlusu ve Veri İşleyen birlikte sorumludur. Veri İşleyenin kusuru nedeniyle meydana gelen zararlarda, Veri Sorumlusunun ilgili kişiye karşı tazmin yükümlülüğü saklı kalmak kaydıyla, Veri İşleyen Veri Sorumlusuna rücu edilen tutarları karşılar.

8. Teknik ve İdari Güvenlik Önlemleri

8.1 Teknik Önlemler

• AWS KMS (Key Management Service) — merkezi anahtar yönetimi, anahtarlar HSM (Hardware Security Module) içinde saklanır
• AES-256 bit şifreleme (beklemede — encryption at rest)
• TLS 1.3 ile güvenli veri iletimi (encryption in transit)
• AWS altyapısı — ISO 27001, SOC 2 Type II, PCI DSS sertifikalı veri merkezleri (EU-Central-1, Frankfurt)
• Web Application Firewall (WAF) ve DDoS koruması
• Ağ segmentasyonu ve VPC izolasyonu
• Otomatik şifreli yedekleme (günlük, 35 gün saklama)
• Düzenli zafiyet tarama ve penetrasyon testleri

8.2 İdari Önlemler

• Personel gizlilik taahhütnameleri
• Düzenli KVKK farkındalık eğitimleri
• Rol tabanlı erişim yetkilendirme (RBAC) — 17 seviye
• Veri ihlali müdahale ve bildirim planı
• İş sürekliliği ve felaket kurtarma planları

9. Alt Veri İşleyenler

Alt Veri İşleyen	Hizmet	Konum
Amazon Web Services (AWS)	Şifreli veri barındırma, KMS	EU-Central-1 (Frankfurt)
iyzico Ödeme Hizmetleri A.Ş.	Ödeme işleme	Türkiye
AWS Cognito	Kimlik doğrulama	EU-Central-1 (Frankfurt)

Not: Alt veri işleyenlerin hiçbiri klinik verilere açık metin olarak erişemez.

10. Yurt Dışı Aktarım

Platform altyapısı kapsamında kişisel veriler, Veri Sorumlusunun danışanlarından aldığı açık rıza doğrultusunda aşağıdaki yurt dışı lokasyonlarda işlenebilir:

• AWS EU-Central-1 (Frankfurt, Almanya): Veri depolama, KMS şifreleme, yedekleme
• AWS Cognito EU-Central-1: Kimlik doğrulama

Yurt dışına aktarılan tüm veriler AES-256 şifreleme ile korunur. Klinik veriler şifreli halde aktarılır ve hiçbir tarafça açık metin olarak okunamaz.

11. Veri İhlali Bildirimi

1. İhlal derhal tespit ve kayıt altına alınır
2. Veri Sorumlusuna en geç 24 saat içinde yazılı bildirimde bulunulur
3. KVKK madde 12/5 uyarınca Kurula 72 saat içinde bildirim yapılmasına yardımcı olunur
4. Alınan ve alınacak önlemler raporlanır

12. Süre ve Fesih

Bu DPA, taraflar arasındaki Platform kullanım sözleşmesi süresince geçerlidir. Sözleşme sona erdiğinde Veri İşleyen, klinik verileri dışa aktarım imkânı sunar ve ardından yasal saklama süreleri hariç olmak üzere kalıcı olarak siler.

13. İletişim

Veri İşleme Sözleşmesi hakkında: kvkk@clinisyn.com

HSDCORE LABS TEKNOLOJİ ANONİM ŞİRKETİ
Erciyes Üniversitesi Teknoloji Geliştirme Bölgesi, Yıldırım Beyazıt Mah. Aşık Veysel Blv. Tekno 1 No:61, İç Kapı No:37, Melikgazi/Kayseri