KVKK Aydınlatma Metni

1. Veri Sorumlusu

Estekip Yazılım A.Ş. ("Estekip"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında veri sorumlusu sıfatıyla Hasta Portalı kullanıcılarının kişisel verilerini işler.

2. İşlenen Kişisel Veri Kategorileri

• Kimlik: Ad, soyad, doğum tarihi, TCKN/pasaport (şifreli)
• İletişim: E-posta, telefon, adres
• Sağlık: Tıbbi geçmiş, alerjiler, kullandığınız ilaçlar, foto/röntgen
• Finansal: Ödeme yöntemi (kart token, IBAN — ham veri saklanmaz), fatura kayıtları
• Yolculuk: Otel rezervasyonu, uçuş, transfer bilgileri
• İletişim İçeriği: Klinikle yazışmalarınız, AI asistan sohbetleri
• Log: IP adresi, oturum bilgileri, audit kayıtları

3. İşleme Amaçları

• Tedavi planınızın yürütülmesi ve klinik ile iletişiminizin sağlanması
• Kimlik doğrulama, sahtekarlık önleme, KYC süreçleri
• Ödeme işleme ve escrow akışı (Iyzico aracılığıyla)
• E-Fatura / e-Arşiv kesilmesi (BirFatura, GİB)
• Hukuki yükümlülüklerin yerine getirilmesi
• Hizmet kalitesinin artırılması (anonimleştirilmiş istatistik)

4. Hukuki Sebep

Verileriniz; KVKK m.5/2 (açık rıza), m.6/2-c (özel nitelikli verilerin açık rıza ile işlenmesi), m.5/2-ç (sözleşmenin ifası), m.5/2-a (hukuki yükümlülük) ve m.5/2-f (meşru menfaat) hükümlerine göre işlenir.

5. Aktarım

• Tedavi olduğunuz klinik (sözleşmenin ifası)
• Iyzico Ödeme Hizmetleri A.Ş. (ödeme işleme)
• BirFatura / GİB (e-fatura yasal zorunluluk)
• Anthropic / OpenAI (AI asistan — yalnız anonim mesaj)
• Yetkili kamu kurum/kuruluşları (yasal zorunluluk halinde)

6. Saklama Süresi

• Aktif hesap verileri: hesap silinene kadar
• Tıbbi kayıt: Sağlık Bakanlığı yönetmeliği gereği 20 yıl
• Mali kayıtlar (e-fatura): 10 yıl (VUK)
• Log kayıtları: 2 yıl
• Soft-delete sonrası tam silme: 30 gün geri alma penceresi

7. Haklarınız (KVKK Madde 11)

• İşlenen verileriniz hakkında bilgi talep etme
• Verilerinizin işlenme amacını öğrenme
• Eksik veya yanlış işlenmişse düzeltilmesini isteme
• Yurt içinde/yurt dışında aktarıldığı tarafları öğrenme
• Silme veya yok etme isteme (yasal yükümlülük dışında)
• Veri taşınabilirliği talep etme (JSON / CSV export)
• Otomatik sistemlerce yapılan analize itiraz

8. Başvuru

KVKK haklarınızı kullanmak için Portal > Profilim > Veri Yönetimi sayfasından doğrudan başvuru oluşturabilir veya kvkk@estekip.com adresine yazılı başvuru gönderebilirsiniz. Başvurunuza en geç 30 gün içinde yanıt veririz.

9. Güvenlik Önlemleri

Hassas veriler AES-256-GCM ile şifrelenir, veritabanına Row-Level Security uygulanır. Her erişim audit log'a yazılır. Veri merkezi Almanya (EU-Central). ISO/IEC 27001 ve KVKK Veri Güvenliği Rehberi çerçevesinde teknik ve idari tedbirler alınmıştır.