Madde 1 — Taraflar
İşbu sözleşme, aşağıda bilgileri yer alan taraflar arasında akdedilmiştir:
Veri Sorumlusu (Kullanıcı): Asklepilos yazılımını kullanan aile hekimi / sağlık kuruluşu
Veri İşleyen (Yazılım Sağlayıcı): Asklepilos Yazılım — İlayda Dağcı
Vergi Dairesi / VKN: İlyasbey Vergi Dairesi / 2660730892
Adres: Osman Yılmaz Mah. 604. Sk. No:9 İç Kapı No:9 Gebze/Kocaeli
E-posta: projectownerhyp@gmail.com
Telefon: +90 501 121 2476
Web Sitesi: asklepilos.com
Madde 2 — Tanımlar
- KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
- Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
- Özel Nitelikli Kişisel Veri: Sağlık verileri dahil KVKK m.6'da sayılan hassas veriler
- İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem (toplama, kaydetme, saklama, değiştirme, aktarma, silme vb.)
Madde 3 — Sözleşmenin Konusu ve Amacı
İşbu sözleşme, Asklepilos yazılım hizmeti kapsamında Veri İşleyen'in, Veri Sorumlusu adına işlediği kişisel verilerin korunmasına ilişkin tarafların hak ve yükümlülüklerini düzenlemektedir.
Sözleşme, KVKK m.12 uyarınca veri güvenliğine ilişkin yükümlülüklerin yerine getirilmesini ve taraflar arasındaki veri işleme ilişkisinin hukuki çerçevesinin belirlenmesini amaçlamaktadır.
Madde 4 — İşlenen Kişisel Veriler ve İşleme Amaçları
Asklepilos yazılımı kapsamında işlenen kişisel veri kategorileri ve işleme amaçları aşağıda belirtilmiştir:
| Veri Kategorisi | Veri Türleri | İşleme Amacı | Hukuki Sebep |
|---|---|---|---|
| Kimlik Bilgileri | Ad, soyad | Hesap oluşturma, lisans yönetimi | Sözleşmenin ifası (m.5/2-c) |
| İletişim Bilgileri | E-posta adresi | Hesap doğrulama, bildirimler, destek | Sözleşmenin ifası (m.5/2-c) |
| İşlem Güvenliği | Lisans anahtarı, makine kimliği, IP adresi | Lisans doğrulama, güvenlik | Meşru menfaat (m.5/2-f) |
| Finansal Bilgiler | Abonelik durumu, ödeme geçmişi | Ödeme yönetimi | Sözleşmenin ifası (m.5/2-c) |
| Çerez / Analitik | Tarayıcı bilgisi, sayfa görüntülenme | Web sitesi iyileştirme | Açık rıza (m.5/1) |
Kritik Not: Asklepilos masaüstü yazılımı, hasta sağlık verilerini (özel nitelikli kişisel veri) kendi sunucularına aktarmaz. Tüm hasta verileri yalnızca kullanıcının yerel bilgisayarında işlenir ve AHBS/HYP Portal üzerinde kalır. Asklepilos sunucuları hiçbir hasta verisini saklamaz.
Madde 5 — Veri İşleyen'in Yükümlülükleri
Veri İşleyen (Asklepilos Yazılım):
- Kişisel verileri yalnızca işbu sözleşmede belirtilen amaçlar doğrultusunda ve Veri Sorumlusu'nun talimatlarına uygun olarak işleyecektir.
- Kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı erişilmesini önlemek amacıyla uygun teknik ve idari tedbirleri alacaktır.
- İşlenen kişisel verileri bu sözleşme ve KVKK hükümleri dışında hiçbir amaçla kullanmayacak, üçüncü kişilere aktarmayacak veya ifşa etmeyecektir.
- Kişisel verilere erişimi, yalnızca görevleri gereği erişmesi gereken personelle sınırlı tutacaktır.
- KVKK m.12/5 uyarınca, kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak elde edilmesi halinde, durumu en kısa sürede Veri Sorumlusu'na ve Kişisel Verileri Koruma Kurulu'na bildirecektir.
- Sözleşme süresinin sona ermesi veya feshi halinde, Veri Sorumlusu'nun talebi üzerine işlenen kişisel verileri iade edecek veya KVKK'ya uygun şekilde silecek/yok edecektir.
Madde 6 — Veri Sorumlusu'nun Yükümlülükleri
Veri Sorumlusu (Kullanıcı):
- Kendi hastalarına ait kişisel verilerin işlenmesinden birincil olarak sorumludur. Asklepilos yazılımını KVKK'ya uygun şekilde kullanacaktır.
- Yazılım üzerindeki hesap bilgilerinin güvenliğini sağlayacak, giriş bilgilerini üçüncü kişilerle paylaşmayacaktır.
- İlgili kişilerin (hastaların) KVKK kapsamındaki başvurularını kendi sorumluluğunda değerlendirecektir.
Madde 7 — Teknik ve İdari Tedbirler
Veri İşleyen, aşağıdaki güvenlik tedbirlerini uygulamaktadır:
7.1 Teknik Tedbirler
- SSL/TLS şifreleme ile veri iletimi
- Şifrelerin kriptografik hash algoritması ile saklanması (bcrypt/PBKDF2)
- Row Level Security (RLS) ile veritabanı satır bazlı erişim kontrolü
- Makine bazlı lisans kilidi (machine_id binding)
- Güvenli kimlik doğrulama (Supabase Auth, JWT token, OAuth 2.0)
- Düzenli güvenlik güncellemeleri
7.2 İdari Tedbirler
- Kişisel veri erişiminin yalnızca yetkili personelle sınırlandırılması
- Üçüncü taraf hizmet sağlayıcılarla veri güvenliği sözleşmelerinin bulunması
- Veri ihlali müdahale prosedürü
Madde 8 — Alt Veri İşleyenler
Asklepilos, hizmetlerini sunmak için aşağıdaki alt veri işleyenlerle çalışmaktadır:
- Supabase Inc. — Veritabanı, kimlik doğrulama ve dosya depolama (SOC 2 Type II sertifikalı)
- Vercel Inc. — Web sitesi barındırma
- Google LLC — OAuth kimlik doğrulama, Analytics (anonim)
- Iyzico / PayU — Ödeme işlemleri (kart bilgileri doğrudan Iyzico tarafından işlenir)
Alt veri işleyenlerle yapılan anlaşmalarda KVKK uyumluluğu gözetilmektedir. Bu listedeki değişiklikler kullanıcıya bildirilecektir.
Madde 9 — Veri Saklama ve İmha
- Hesap bilgileri: Hesap aktif olduğu sürece + hesap silindikten sonra 30 gün
- Ödeme kayıtları: Yasal zorunluluk gereği 10 yıl (6102 sayılı TTK, 213 sayılı VUK)
- Analitik veriler: Anonimleştirilerek süresiz saklanabilir
- İletişim kayıtları: 2 yıl
Saklama süresi dolan veriler, KVKK m.7 uyarınca re'sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Madde 10 — Sözleşme Süresi ve Fesih
- İşbu sözleşme, kullanıcının Asklepilos hizmetlerini kullanmaya başladığı tarihte yürürlüğe girer.
- Abonelik sona erdiğinde veya hesap silindiğinde sözleşme kendiliğinden sona erer.
- Fesih halinde Veri İşleyen, saklama süresi dolan tüm kişisel verileri KVKK'ya uygun şekilde siler.
Madde 11 — Uyuşmazlık Çözümü
İşbu sözleşmeden doğan uyuşmazlıklarda Türk hukuku uygulanır. Uyuşmazlıkların çözümünde Türkiye Cumhuriyeti mahkemeleri ve icra daireleri yetkilidir.
Versiyon 1.1 — 7 Nisan 2026