Autosify Beauty

KVKK aydınlatma

KVKK Aydınlatma Metni

Versiyon: 2026-04-25-v1

1. Veri sorumlusu

Bu metin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, Autosify Beauty platformu ("Platform") üzerinden hizmet veren tarafça veri sahiplerine yönelik aydınlatma yükümlülüğünü yerine getirmek amacıyla hazırlanmıştır.

Pilot dönemde Platform işleticisi gerçek kişi olarak Haluk Kaan Beşen olup, şirket tüzel kişiliği kuruluş aşamasındadır. Şirket kuruluşu tamamlandığında işbu metin güncellenecek ve kullanıcılara yeniden onay sunulacaktır.

Klinik tarafından Platform’a girilen hasta verileri bakımından "veri sorumlusu" SALON’tir; Autosify Beauty "veri işleyen" sıfatıyla yalnızca Platform işleyişi için gerekli teknik faaliyetleri yürütür.

2. İşlenen kişisel veri kategorileri

Aşağıdaki kategorilerde veri toplanabilir, saklanabilir ve işlenebilir:

  • Kimlik bilgileri (ad, soyad, e-posta) — kullanıcı kaydı için
  • İletişim bilgileri (telefon, e-posta) — hesap güvenliği ve davet için
  • Klinik üyelik bilgileri (rol, klinik kimliği) — yetkilendirme için
  • İşlem güvenliği bilgileri (IP adresi, tarayıcı ayak izi, oturum kayıtları) — güvenlik için
  • Klinik tarafından girilen hasta verileri (ad, telefon, e-posta, doğum tarihi, randevu, işlem, ödeme notu) — yalnızca Platform’un teknik depolama hizmeti kapsamında, SALON’in veri sorumlusu olduğu sıfatıyla
  • WhatsApp Cloud API üzerinden alınan/giden mesaj geçmişi — yalnızca Platform’un teknik mesajlaşma altyapısı kapsamında

3. İşleme amaçları

Kişisel veriler aşağıdaki amaçlarla işlenir:

  • Platform hizmetinin sunulması, yönetilmesi ve geliştirilmesi
  • Kullanıcı kimliğinin doğrulanması ve yetkilendirme
  • Klinik operasyonel akışlarının (randevu, hatırlatma, iletişim) yürütülmesi
  • Yasal yükümlülüklerin yerine getirilmesi (vergi, denetim, mahkeme talepleri)
  • Hizmet güvenliğinin sağlanması, kötüye kullanımın önlenmesi
  • Hata kayıtlarının ve audit log’un tutulması (sistem kararlılığı için)

4. Hukuki sebepler

Veriler KVKK m.5/2 uyarınca aşağıdaki sebeplerden bir veya birkaçına dayanılarak işlenir:

  • Sözleşmenin kurulması ve ifası için zorunlu olması (m.5/2-c)
  • Hukuki yükümlülüğün yerine getirilmesi (m.5/2-ç)
  • İlgili kişi tarafından alenileştirilmiş olması (m.5/2-d)
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (m.5/2-e)
  • Temel hak ve özgürlüklere zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması (m.5/2-f)

Hasta sağlık bilgisi gibi özel nitelikli veriler için açık rıza alınması zorunludur (m.6/3). Klinik bu açık rızayı kendi hastasından almakla yükümlüdür ve Platform bu rızanın zaman damgasını teknik olarak kayıt altına alır.

5. Aktarım

Kişisel veriler, açık rıza aranmadan aşağıdaki üçüncü kişilere aktarılabilir:

  • Yetkili kamu kurum ve kuruluşları (yasal talep halinde)
  • Hizmet altyapısı sağlayıcıları: barındırma için bağımsız VPS sağlayıcısı (Türkiye dışı olabilir), e-posta gönderim için Resend (ABD), WhatsApp mesajlaşması için Meta Platforms (ABD/AB)

Yurtdışına aktarımda KVKK m.9 hükümlerine uygun olarak gerekli taahhütnameler tarafımızdan veya altyapı sağlayıcısından temin edilir.

6. Saklama süresi

Kullanıcı hesabı ve klinik verileri, hesap aktif olduğu sürece saklanır. Hesap kapatıldıktan sonra:

  • Aktif veriler 30 gün soft-delete tutulur (kullanıcı talebiyle erken silinebilir)
  • Yedeklerde 90 gün boyunca kalabilir, sonrasında otomatik temizlenir
  • Audit log ve denetim kayıtları yasal zorunluluk gereği 10 yıla kadar tutulabilir

7. Veri sahibinin hakları

KVKK m.11 uyarınca, ilgili kişi olarak:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • İşlenmişse buna ilişkin bilgi talep etme
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde/dışında aktarıldığı üçüncü kişileri bilme
  • Eksik/yanlış işlenmişse düzeltilmesini isteme
  • KVKK m.7 çerçevesinde silinmesini veya yok edilmesini isteme
  • Düzeltme/silme/yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
  • Otomatik sistemlerle yapılan analiz sonucunda aleyhinize bir sonuç çıkmasına itiraz etme
  • Kanuna aykırı işleme nedeniyle zarara uğramışsanız tazminat talep etme

Bu haklarınızı kullanmak için clinic@autosify.io adresine yazılı başvuru yapabilirsiniz. Talebiniz en geç 30 gün içinde sonuçlandırılır.

8. Güvenlik tedbirleri

Aşağıdaki teknik ve idari tedbirler uygulanır:

  • Tüm trafik HTTPS (TLS 1.2+) üzerinden şifrelenir
  • Şifreler argon2id ile hash’lenir; düz metin saklanmaz
  • Hassas alan değerleri (WhatsApp access token, Meta App secret) AES-256-GCM ile şifrelenip saklanır
  • Multi-tenant izolasyon PostgreSQL Row-Level Security ile DB seviyesinde uygulanır; bir kliniğin verisi başka klinikten teknik olarak görülemez
  • Tüm değişiklikler audit log’a yazılır
  • Günlük yedekleme yapılır (7 gün rolling)
  • En az ayrıcalık (least-privilege) prensibiyle erişim yönetimi uygulanır

KVKK başvuru: clinic@autosify.io