Veri İşleme Sözleşmesi (DPA)
KVKK Md. 12 + GDPR Art. 28 uyumlu · 2026-05-03
Bu sözleşme terapist.io ile Pro paket kullanıcısı arasında, hasta verisi işleme süreçlerini düzenleyen ek sözleşmedir. Free planda otomatik geçerli değildir; Pro'ya geçişte örtülü olarak kabul edilmiş sayılır.
1. Taraflar ve Roller
- Veri Sorumlusu: Terapist (Kullanıcı) — kendi danışan verilerini kontrol eder
- Veri İşleyen: terapist.io — altyapı sağlar ama veriye erişmez
2. İşleme Konusu ve Amacı
terapist.io aşağıdaki verileri Kullanıcı adına işler:
- Anonim hasta UUID + dosya numarası (cloud)
- Randevu meta verisi (tarih, süre, format, ödeme durumu)
- Online görüşme bağlantısı (içerik kayıt edilmez)
İşlemediği veriler:
- Hasta adı, TC kimlik, iletişim bilgisi
- Seans notları, tedavi planları
- Hasta dosyaları (PDF, ses kaydı)
3. terapist.io'nun Yükümlülükleri
- Verileri yalnızca yazılı talimatlar (bu sözleşme + Kullanım Sözleşmesi) çerçevesinde işlemek
- Veri güvenliği için uygun teknik tedbirleri almak (TLS 1.3, AES, EU bölgesi)
- Personelin gizlilik yükümlülüğünü sağlamak
- Alt yüklenicileri (Cloudflare, iyzico, vs.) listeleyip onayını almak (bkz: Gizlilik Politikası)
- Veri ihlalini 72 saat içinde Kullanıcıya bildirmek (KVKK Md. 12/5)
- Kullanıcının veri sahibi taleplerini (KVKK Md. 11) yanıtlamasına yardımcı olmak
- Sözleşme bittiğinde verileri silmek veya iade etmek (30 gün içinde)
- KVKK denetimine açık olmak
4. Kullanıcının (Terapistin) Yükümlülükleri
- Hasta verisini KVKK + mesleki gizlilik kurallarına uygun toplamak (açık rıza)
- Yerel cihazda master parolayı güvenli saklamak (kayıp = veri kaybı)
- VERBİS kayıt yükümlülüğünü kontrol etmek (yıllık ciro 25M+ ise zorunlu)
- Kendi danışanlarına aydınlatma yükümlülüğünü yerine getirmek
- Hassas veri (sağlık) için 6/2 madde uyarınca açık rıza almak
- Veri ihlali durumunda KVK kuruluna ve danışana bildirim yapmak
5. Alt Yükleniciler
terapist.io aşağıdaki alt yüklenicileri kullanır (yeni eklendiğinde önceden bildirim):
| Sağlayıcı | Konum | Amaç |
|---|---|---|
| Cloudflare | EU (Frankfurt, Amsterdam) | Compute, depolama, video, network |
| iyzico | Türkiye | Ödeme |
| Stripe | İrlanda (EU) | Uluslararası ödeme |
| Resend | EU | Mail (transactional) |
| Sentry | EU (Frankfurt) | Hata izleme (anonim) |
6. Veri Lokasyonu
Tüm veriler EU bölgesinde tutulur (Cloudflare D1 + R2 EEUR). Türkiye dışına aktarım, bu sözleşme ve KVKK 9. madde kapsamında işlenir.
7. Veri Sahibi Talepleri
Hasta (veri sahibi) tarafından gelen taleplerde Kullanıcı (terapist) muhataptır. terapist.io destek olur ama doğrudan cevap vermez. Süre: 30 gün.
8. Sözleşmenin Sonlanması
- Hesap silindiğinde veriler 30 gün içinde silinir
- Yedek var mı kontrolü: Kullanıcı yerel veriyi de silmekle yükümlü
- Yasal saklama süresi (10 yıl mali kayıt) için bazı meta veri saklanır
9. Yasal Çerçeve
- 6698 sayılı KVKK
- GDPR (Avrupa danışanları için)
- 6563 sayılı Elektronik Ticaret Kanunu
- Türk Tabipleri Birliği etik kuralları (mesleki bağlam)
DPA hakkında sorularınız için: [email protected]