Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni
Son güncelleme: 2026-04-29
1. Veri Sorumlusu
İşbu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca veri sorumlusu sıfatıyla [ŞİRKET ADI ATANMAMIŞ] ([EYALET ATANMAMIŞ] mevzuatına göre kurulmuş tüzel kişilik, adres: [ADRES ATANMAMIŞ]; bundan sonra "DentFlow" veya "Şirket") tarafından, Şirketimizin işlettiği https://app.labenta.com adresindeki DentFlow platformu ("Platform") kullanıcılarına yönelik olarak hazırlanmıştır.
2. Türkiye'deki Veri Sorumlusu Temsilcisi
Şirket merkezi yurt dışında olduğundan, KVKK madde 16 kapsamında Türkiye'de yerleşik bir veri sorumlusu temsilcisi atanmaktadır.
Türkiye temsilcisi atama süreci devam etmekte olup, en geç paralı abonelik hizmetlerinin başlatılmasından önce tamamlanacaktır. Bu süreç tamamlanana kadar veri sorumlusuna doğrudan destek@dentflow.local adresinden ulaşabilirsiniz.
3. İşlenen Kişisel Veri Kategorileri
Platform üzerinden aşağıdaki kişisel veri kategorileri işlenmektedir:
- Kimlik: Ad, soyad, e-posta adresi, kullanıcı adı (@username), şifre özeti (hash)
- İletişim: E-posta, telefon (varsa), şirket/klinik adresi
- Mesleki: Çalışılan kurum, rol (sahip / çalışan), uzmanlık alanı
- İşlem geçmişi: Oluşturulan iş emirleri, hasta kodları (yalnızca anonim kod, hasta isim/soyisim KESİNLİKLE TUTULMAZ), prova kayıtları, mesajlar
- Finansal: Cari hesap hareketleri, fatura kayıtları (paralı sürüm aktifleştiğinde)
- Teknik: IP adresi, tarayıcı bilgisi, oturum kayıtları, hata logları
- Görsel: Klinik tarafından yüklenen ağız içi fotoğrafları, dental görüntüler (hasta yüzü/kimlik tespit edilebilir görüntüler kullanıcı tarafından yüklenmemelidir; Şirket bu yükümlülüğün ihlali halinde sorumluluk kabul etmez)
Şirket politika gereği özel nitelikli kişisel veri işlemez: Hasta gerçek isimleri, T.C. kimlik numaraları, sağlık verisi ham metin olarak Platform'a kaydedilmez. Sistem, hasta tanımlama için yalnızca kullanıcı tarafından oluşturulan anonim hasta kodu kullanır.
4. İşleme Amaçları ve Hukuki Sebepler
| Amaç | Hukuki Sebep (KVKK m.5) |
|---|---|
| Hizmet sunumu (iş emri yönetimi, prova takibi, mesajlaşma) | Sözleşmenin kurulması ve ifası (m.5/2-c) |
| Hesap güvenliği, şifre sıfırlama, oturum yönetimi | Meşru menfaat (m.5/2-f) |
| Cari hesap & fatura kayıtları | Hukuki yükümlülük (m.5/2-ç — Türk Ticaret Kanunu m.82) |
| Hata izleme, performans optimizasyonu | Meşru menfaat (m.5/2-f) |
| Pazarlama e-postaları | Açık rıza (m.5/1, opt-in checkbox ile) |
| Hizmet kalitesi araştırmaları | Meşru menfaat (m.5/2-f) |
5. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Platform'un işletilmesi için aşağıdaki yurt içi ve yurt dışı veri işleyiciler ile çalışılmaktadır. Tüm aktarımlar KVKK m.9 ve 10 Temmuz 2024 tarihli "Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik" hükümlerine göre yapılmaktadır.
| İşleyici | Kategori | Konum | Yasal Mekanizma |
|---|---|---|---|
| Vercel Inc. | Web hosting / CDN | ABD + AB | Standart Sözleşme (KVKK 2024/959) |
| Railway / Render | Backend hosting | ABD | Standart Sözleşme (KVKK 2024/959) |
| Supabase | Veritabanı (PostgreSQL) | AB (Frankfurt) | Standart Sözleşme + AB Adequacy |
| Cloudflare R2 | Dosya depolama | AB | Standart Sözleşme + AB Adequacy |
| Resend | E-posta gönderim | AB | Standart Sözleşme + AB Adequacy |
| Sentry.io | Hata takibi | AB (Frankfurt) | Standart Sözleşme + AB Adequacy |
| Stripe (paralı sürüm aktifleştiğinde) | Ödeme işleme | ABD + AB | Standart Sözleşme + PCI-DSS |
Yukarıdaki işleyicilerle imzalanan Standart Sözleşmelerin imza tarihinden itibaren 5 iş günü içinde KVKK Kurumuna bildirim yapılmıştır (veya ödeme entegrasyonu öncesi yapılacaktır).
Yurt dışı aktarım gerekçesi: Hizmetin teknolojik altyapısının önemli bir kısmı bu sağlayıcılar üzerinde kurulduğundan, hizmet sunumu için aktarım zorunlu ve orantılıdır. AB sağlayıcıları için Avrupa Birliği'nin yeterli koruma kararı kapsamında ek güvence sağlanmaktadır.
6. Veri Saklama Süreleri
| Veri Türü | Saklama Süresi |
|---|---|
| Aktif hesap verileri | Hesap aktif olduğu sürece |
| Hesap silindi | Silinme talebinden itibaren 90 gün içinde imha |
| Fatura ve ticari kayıtlar | 10 yıl (Türk Ticaret Kanunu m.82 gereği) |
| Hata logları | 90 gün (Sentry retention) |
| Oturum kayıtları (refresh token) | 30 gün veya çıkış yapılana kadar |
| Mesajlaşma içeriği | İş emri aktif olduğu sürece |
| İptal edilmiş davet kayıtları | 1 yıl (anti-abuse audit için) |
7. Veri Sahibi Hakları (KVKK m.11)
Kişisel verileriniz hakkında aşağıdaki haklara sahipsiniz:
- Verilerin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik / yanlış işlenmişse düzeltilmesini isteme
- KVKK ve diğer kanunlarda öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme
- Düzeltme / silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme
- Otomatik sistemlerle yapılan analiz sonucu aleyhinize bir sonuç doğmasına itiraz etme
- Kanuna aykırı işleme nedeniyle zarar uğrarsanız zararın giderilmesini talep etme
Bu hakları kullanmak için destek@dentflow.local adresine yazılı talebinizi iletebilirsiniz. Şirket, talebinizi en geç 30 gün içinde sonuçlandıracaktır.
Şirket cevabından memnun değilseniz, Kişisel Verileri Koruma Kurumu'na (kvkk.gov.tr) şikâyette bulunma hakkınız saklıdır.
8. Çerezler
Platform, hizmet sunumu için zorunlu çerezler kullanmaktadır. Detaylı bilgi için Çerez Politikası sayfasını ziyaret ediniz.
9. Veri Güvenliği
Şirket, KVKK m.12 kapsamındaki teknik ve idari tedbirleri almıştır:
- Şifrelerin bcrypt (12 round) ile özetlenmesi
- Veri tabanı bağlantılarının TLS ile şifrelenmesi
- JWT bazlı oturum yönetimi (15 dk access + 30 gün refresh)
- Çok-kiracılı (multi-tenant) izolasyon — her sorguda organizationId filtresi
- Refresh token reuse detection ile oturum çalmaya karşı koruma
- Rol-bazlı erişim kontrolü (RBAC)
- Düzenli güvenlik denetimleri (2026-04-28 tarihli son denetim raporu mevcuttur)
10. Aydınlatma Metnindeki Değişiklikler
Şirket bu metni gerektiğinde güncelleyebilir. Önemli değişiklikler kullanıcıya e-posta veya Platform içi bildirim yoluyla duyurulur. Güncel metin her zaman https://app.labenta.com/legal/aydinlatma adresinde yayınlanır.
11. İletişim
Veri sorumlusu: [ŞİRKET ADI ATANMAMIŞ]
İletişim kişisi: [İLETİŞİM KİŞİSİ ATANMAMIŞ]
E-posta: destek@dentflow.local
Adres: [ADRES ATANMAMIŞ]
Türkiye temsilcisi bilgileri için 2. bölüme bakınız.