Veri İşleme Sözleşmesi (DPA)

1. Amaç ve Kapsam

İşbu sözleşme, 6698 sayılı KVKK ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ilkeleri doğrultusunda, Revion platformu üzerinden işlenen kişisel verilere ilişkin veri sorumlusu ile veri işleyen arasındaki hak ve yükümlülükleri düzenler.

2. Taraflar ve Rol Ayrımı

Veri Sorumlusu: Kullanıcı İşletme — hangi kişisel verinin, hangi amaçla işleneceğine karar veren taraftır. İşletme, kendi müşterilerinin kişisel verilerinin sorumlusudur.

Veri İşleyen: Revion (Rıdvan Önal, Şahıs İşletmesi) — kişisel verileri yalnızca veri sorumlusunun talimatı ve platform hizmetinin ifası amacıyla işleyen taraftır.

3. İşleme Talimatları ve Sınırlar

Veri İşleyen, kendisine iletilen kişisel verileri yalnızca aşağıdaki koşullarda işler:

• Platformun teknik fonksiyonlarını (randevu yönetimi, SMS gönderimi, ödeme tahsilâtı, AI asistan, yorum yönetimi) yerine getirmek için.
• Veri sorumlusunun dashboard üzerinden verdiği açık komutlar ve yapılandırmalar doğrultusunda.
• Yasal zorunluluklar (mahkeme kararı, savcılık talebi) haricinde, veriler hiçbir koşulda üçüncü taraflara pazarlama veya profilleme amacıyla satılamaz, devredilemez veya kiralanmaz.

4. Teknik ve Organizasyonel Güvenlik Önlemleri

Veri İşleyen, aşağıdaki güvenlik önlemlerini uygulamayı taahhüt eder:

• Şifreleme: AES-256-GCM ile at-rest şifreleme, TLS 1.2+ ile transit şifreleme.
• PII Maskeleme (Iron Dome): Yapay zekâ hizmetlerine (Gemini) veri iletilmeden önce kişisel tanımlayıcılar deterministik hash ile maskelenir.
• Erişim Kontrolü: Role-based access control, multi-tenant veri izolasyonu (ClinicId bazlı global query filter).
• İzleme: Gerçek zamanlı risk skorlama (Redis Lua), rate limiting, device fingerprint, IP bazlı analiz.
• Audit Log: Tüm kritik işlemler silinemez audit kayıtlarına tâbidir.

5. Alt İşleyenler

Veri İşleyen, hizmetin ifası için aşağıdaki alt işleyenleri kullanmaktadır. Yeni bir alt işleyici eklenmesi durumunda Veri Sorumlusu dashboard üzerinden bilgilendirilir.

• PayTR: Ödeme işleme (PCI-DSS uyumlu).
• NetGSM: SMS iletimi.
• Google Cloud / Gemini: AI hizmetleri ve bulut altyapı.
• ElevenLabs / Groq: Sesli asistan TTS/STT hizmetleri.

Alt işleyenlerle yapılan sözleşmelerde, işbu DPA'da belirtilenlere eşdeğer güvenlik taahhütleri şart koşulmuştur.

6. Veri İhlal Bildirimi

Veri İşleyen, kişisel verilere ilişkin bir güvenlik ihlali tespit etmesi durumunda Veri Sorumlusunu en geç 72 saat içerisinde yazılı olarak (e-posta) bilgilendirmekle yükümlüdür. Bildirimde aşağıdaki bilgiler yer alır:

• İhlalin niteliği ve kapsamı (etkilenen veri kategorileri ve tahmini kayıt sayısı).
• İhlalin muhtemel sonuçları.
• Alınan ve alınması önerilen teknik/organizasyonel önlemler.
• İletişim bilgileri ve olay zaman çizelgesi.

7. Denetim Hakkı

Veri Sorumlusu, makul bir önceden bildirim ile (en az 15 iş günü) Veri İşleyen'in işbu sözleşme kapsamındaki yükümlülüklerine uyumunu denetleme hakkına sahiptir. Denetim, çalışma saatleri içerisinde ve gizlilik taahhüdü altında gerçekleştirilir.

8. Verilerin İadesi ve Silinmesi

Abonelik sona erdiğinde veya Veri Sorumlusunun talebi üzerine:

• Tüm kişisel veriler, yasal saklama süreleri saklı kalmak kaydıyla 30 gün içinde güvenli şekilde silinir veya anonimleştirilir.
• Veri Sorumlusu, silme öncesinde verilerinin dışa aktarılmasını (CSV/JSON) talep edebilir.
• Silme işlemi tamamlandığında Veri Sorumlusuna yazılı onay gönderilir.
• Yasal zorunluluk gereği saklanan veriler (audit log, finansal kayıtlar), zorunluluk süresi sonunda otomatik olarak imha edilir.

9. Süre ve Fesih

İşbu sözleşme, Revion hizmet aboneliği süresince geçerlidir. Hizmet sözleşmesinin herhangi bir nedenle sona ermesi halinde, veri işleme yükümlülükleri madde 8'de belirtilen şekilde devam eder.

10. Uygulanacak Hukuk

İşbu sözleşme Türkiye Cumhuriyeti hukukuna tâbidir. Uyuşmazlıklarda İzmir Mahkemeleri ve İcra Daireleri yetkilidir.