1. Veri Sorumlusu
[ŞİRKET_ADI]
Adres: [ADRES]
Vergi No: [VERGI_NO] — MERSİS No: [MERSIS_NO]
E-posta: [DESTEK_EMAIL]
PsikoPanel hizmetini sunan yukarıda belirtilen tüzel kişi, 6698 sayılı KVKK kapsamında "veri sorumlusu" sıfatını taşımaktadır.
2. İşlenen Kişisel Veri Kategorileri
a) Kimlik ve İletişim Verileri
- Psikolog kullanıcısına ait: ad, soyad, e-posta adresi, uzmanlık alanı
- Sisteme giriş için kullanılan kimlik bilgileri (şifre hash formatında saklanır, düz metin tutulmaz)
b) Özel Nitelikli Kişisel Veriler — Sağlık / Psikolojik Veri
- Danışan klinik notları (seans içerikleri, gözlemler, değerlendirmeler)
- Seans kayıtları (tarih, süre, ücret, katılım bilgisi)
- Danışan demografik ve iletişim bilgileri
- Klinik form ve test sonuçları (yüklenirse)
- Ödeme ve fatura bilgileri
c) Çocuk / Ergen ve Veli Verileri
- 18 yaş altı danışanlara ait bilgiler: ad, yaş, iletişim, klinik notlar
- Veli/vasi bilgileri: ad soyad, telefon, meslek, eğitim durumu
- Veli rıza kaydı: rızanın alındığı tarih ve yöntem
- Kardeş ve aile bireylerinin demografik bilgileri (psikolog tarafından girildiyse)
d) Kullanım ve Sistem Verileri
- IP adresi, tarayıcı ve cihaz bilgisi (Supabase Auth altyapısı)
- Giriş/çıkış ve kritik işlem logları (aktivite kayıtları)
- Sistem hata kayıtları (klinik içerik tutulmaz)
- Çerez ve localStorage tabanlı oturum bilgisi
- Rıza verildiğinde: Google Analytics kullanım istatistikleri
3. Kişisel Verilerin İşlenme Amaçları
| Hizmetin ifası | Danışan kaydı, seans yönetimi, ödeme takibi, dosya yükleme, PDF/rapor üretimi |
| Sözleşme yükümlülüğü | Abonelik/lisans yönetimi, trial takibi, faturalama |
| Hukuki yükümlülük | KVKK silme/erişim taleplerine yanıt, yasal saklama süreleri |
| Meşru menfaat | Sistem güvenliği, hata tespiti ve giderimi, altyapı iyileştirme (klinik içerik tutulmaz) |
| Açık rıza | Analitik çerezler, yurt dışı aktarım (Supabase/Vercel/Sentry) |
4. Kişisel Verilerin Aktarımı
Yurt içi aktarım: Yasal zorunluluk kapsamında resmi mercilere talep halinde aktarım yapılabilir.
Yurt dışı aktarım — teknik hizmet sağlayıcılar:
| Supabase Inc. (ABD) | Veritabanı, kimlik doğrulama, dosya depolama altyapısı. TÜM uygulama verisi bu sistemde tutulmaktadır. |
| Vercel Inc. (ABD) | Uygulama sunucu altyapısı (Next.js hosting). HTTP istek logları, IP adresi geçici olarak işlenebilir. |
| Functional Software / Sentry (ABD) | Hata izleme servisi. Yalnızca anonimleştirilmiş hata metadata'sı iletilir; klinik not içerikleri gönderilmez. |
| Google LLC (ABD) | Google Analytics — yalnızca kullanıcı açık rızası verirse yüklenir. Sayfa ziyareti ve tıklama istatistikleri. |
Tüm yurt dışı aktarımlar, KVKK Madde 9 kapsamında standart sözleşme maddeleri veya açık rıza hukuki dayanağıyla gerçekleştirilmektedir.
5. Saklama Süreleri
| Klinik notlar, seans kayıtları | Hizmet bitiminden itibaren 20 yıl (tıbbi kayıt mevzuatı) |
| Ödeme ve fatura kayıtları | 10 yıl (TTK Madde 82) |
| Kullanıcı profili | Hesap silme talebi + 3 yıl hukuki ihtiyat |
| Aktivite denetim logları | 2 yıl |
| Sistem hata kayıtları | 1 yıl |
| KVKK talep kayıtları | 3 yıl (ispat yükümlülüğü) |
| Çerez rıza kaydı | 6 ay (yenileme istenebilir) |
6. Veri Güvenliği Önlemleri
- Satır düzeyinde güvenlik (Row Level Security): psikolog yalnızca kendi danışanlarının verilerine erişebilir
- Şifreler hiçbir zaman düz metin olarak saklanmaz; Supabase Auth bcrypt hash kullanır
- Klinik veriler yalnızca ilgili psikoloğa ve yönetim amacıyla admin rolüne açıktır
- Dosya erişimi Supabase Storage politikalarıyla izole edilmiştir
- HTTPS zorunluluğu; HTTP içerik güvenlik politikası (CSP) uygulanmaktadır
- Hata izleme sistemine klinik not içerikleri, isimler ve kimlik bilgileri gönderilmez
- Aktivite log metadata'sında danışan kimliği ve klinik içerik tutulmaz
7. Veri Silme ve İmha
Kullanıcılar hesap ayarları üzerinden KVKK kapsamında veri silme talebinde bulunabilir. İki tür talep desteklenmektedir:
- Kapsam bazlı silme: Seçilen veri türleri (danışan, seans, ödeme, dosya) kalıcı olarak silinir
- Tam hesap silme: Tüm klinik veriler, profil ve kimlik bilgileri kalıcı olarak yok edilir
Silme işlemleri sunucu tarafında yönetici onayıyla tamamlanır; Supabase Storage'daki fiziksel dosyalar da dahil olmak üzere kalıcı imha gerçekleştirilir. Silme sonrası aktivite ve hata loglarındaki kişisel veriler anonimleştirilir.
8. Veri Dışa Aktarımı (Export)
Psikologlar kendi danışan ve seans verilerini CSV/PDF formatında dışa aktarabilir. Bu işlem aktivite loglarına kaydedilir. Dışa aktarılan dosyalar yalnızca kullanıcının yerel cihazına indirilir; platformda depolanmaz.
9. İlgili Kişi Hakları (KVKK Madde 11)
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- Verilerin eksik veya yanlış işlenmiş olması halinde düzeltilmesini isteme
- KVKK Madde 7 kapsamında silinmesini veya yok edilmesini isteme
- Düzeltme ve silme işlemlerinin üçüncü kişilere bildirilmesini isteme
- Otomatik sistemler vasıtasıyla aleyhinize sonuç doğurmasına itiraz etme
- Kanuna aykırı işleme nedeniyle zarara uğramanız halinde tazminat talep etme
Taleplerinizi [DESTEK_EMAIL] adresine yazılı olarak iletebilirsiniz. Talebiniz en geç 30 gün içinde sonuçlandırılır. Platform içi KVKK talep akışı için Hesap Ayarları → Veri ve Gizlilik bölümünü kullanabilirsiniz.
10. Çocuk ve Ergen Verilerine Özel Düzenleme
18 yaş altı danışanlar için işlenen veriler özel koruma altındadır. Bu kişilere ait veriler psikolog kullanıcının danışan kaydı oluşturmasıyla sisteme girer. Psikolog, ilgili yasal düzenlemeler kapsamında veli/vasi açık rızasını almakla yükümlüdür. Platform, veli rıza bilgisinin kayıt altına alınmasına destek sağlar ancak rızanın fiilen alınması psikolog profesyonelin sorumluluğundadır.
Veli/vasi bireylerinin kişisel verileri (ad, telefon, meslek gibi) de bu metin kapsamında işlenmekte olup aydınlatma yükümlülüğü psikolog kullanıcı aracılığıyla yerine getirilir.