1. Giriş
Viyasa ("Viyasa", "biz", "bizim") ameliyat sonrası hasta takibi ve bakım protokollerini yönetmek için tasarlanmış bir SaaS uygulamasıdır. Bu metin; Viyasa web sitesini ziyaret eden kullanıcıların, hesap oluşturan klinik çalışanlarının ve Viyasa aracılığıyla takip edilen hastaların kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuat çerçevesinde nasıl işlendiğini açıklar.
2. Veri Sorumlusu ve Veri İşleyen Rolleri
Viyasa, farklı veri kategorileri bakımından farklı rollerde hareket eder:
- Hesap ve site kullanım verileri için Veri Sorumlusu: Web sitesi ziyaretçileri ve hesap oluşturan klinik kullanıcıları bakımından Viyasa, KVKK m. 3 anlamında veri sorumlusu sıfatıyla hareket eder.
- Hasta verileri için Veri İşleyen:Klinikler tarafından Viyasa'ya girilen hasta verileri bakımından klinik, veri sorumlusu; Viyasa ise klinik adına ve onun talimatları doğrultusunda işleme yapan veri işleyen sıfatına sahiptir. Hastalara yönelik aydınlatma ve açık rıza yükümlülükleri kliniğe aittir.
Veri Sorumlusu / Veri İşleyen iletişim:
Unvan: Viyasa Yazılım Teknolojileri Anonim Şirketi
Adres: Ahmet Yesevi Mah. Kerem Sk. A Blok No: 9 İç Kapı No: 404 Pendik / İstanbul
E-posta: privacy@viyasa.app
3. İşlenen Kişisel Veri Kategorileri
Viyasa, hizmetlerinin niteliğine bağlı olarak aşağıdaki kişisel veri kategorilerini işleyebilir:
- Kimlik bilgileri: Ad, soyad, kuruluş içindeki rol (sahip, doktor, personel).
- İletişim bilgileri: E-posta adresi, hasta telefon numarası, klinik adresi ve harita bağlantısı.
- Hesap ve oturum bilgileri: Kimlik doğrulama kimlikleri (Supabase tarafından yönetilen), oturum çerezleri, davet jetonları, hesap durumu.
- Özel nitelikli sağlık verileri: Ameliyat sonrası takip kapsamında girilen ateş ölçümleri, ağrı skorları, fotoğraflar, ilaç kullanım bilgileri, triaj durumu (risk, uyarı, normal, yeni), doktor notları ve serbest metin cevapları.
- İletişim içerikleri: Hasta ile yapay zekâ destekli sohbet asistanı, hasta ve doktor arasındaki mesajlar, planlanmış hatırlatma mesajları ve gönderim kayıtları (WhatsApp mesaj kimlikleri dahil).
- Teknik veriler: IP adresi, tarayıcı türü, cihaz bilgileri, hata günlükleri, performans ölçümleri.
4. Özel Nitelikli Sağlık Verilerinin İşlenmesi
Hasta sağlık verileri KVKK m. 6 kapsamında özel nitelikli kişisel veri olarak değerlendirilir. Bu veriler yalnızca:
- Hastanın veya kanuni temsilcisinin açık rızasının bulunması; veya
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi
hâlinde işlenir. Sağlık verilerine yalnızca ilgili klinikte yetkilendirilmiş, sır saklama yükümlülüğü altındaki sağlık personeli erişebilir; erişim kuruluş bazında satır seviyesi güvenlik (Row-Level Security) ile kısıtlanmıştır.
5. İşleme Amaçları
- Klinik kullanıcı hesaplarının oluşturulması ve yönetilmesi
- Ameliyat sonrası hasta takibi, triaj ve bakım protokollerinin yürütülmesi
- Planlanmış hatırlatmaların ve protokol mesajlarının (WhatsApp dahil) gönderilmesi
- Yapay zekâ destekli sohbet asistanı aracılığıyla hasta-klinik iletişiminin kolaylaştırılması
- Hasta yanıtlarının analiz edilmesi ve raporlanması
- Hizmetin güvenliğinin sağlanması, hata teşhisi ve performansın izlenmesi
- Yasal yükümlülüklerin yerine getirilmesi
6. Hukuki Sebepler
Kişisel veriler, KVKK m. 5 ve m. 6 kapsamında şu hukuki sebeplere dayanılarak işlenir:
- Bir sözleşmenin kurulması veya ifası için gerekli olması (hizmet sözleşmesi)
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatler için zorunlu olması (güvenlik, hata teşhisi)
- Sağlık verileri bakımından KVKK m. 6/3 (sır saklama yükümlülüğü altındaki sağlık personeli tarafından işleme) veya açık rıza
- Ticarî iletişim/pazarlama amaçlı işlemelerde ilgili kişinin açık rızası
7. Veri Aktarımı ve Alt Yüklenici Hizmet Sağlayıcılar
Viyasa hizmetlerini sunabilmek için aşağıdaki alt yüklenici hizmet sağlayıcılardan yararlanmaktadır. Bu sağlayıcılar verilerinizi yalnızca Viyasa adına ve onun talimatları doğrultusunda işler. Bir kısmı yurt dışında (özellikle ABD ve AB) konumlanmıştır; bu nedenle kişisel verileriniz yurt dışına aktarılabilir.
- Supabase — kimlik doğrulama, veritabanı (PostgreSQL) ve dosya depolama altyapısı.
- Vercel — uygulamanın barındırılması ve içerik dağıtımı (CDN).
- Anthropic (Claude) — yapay zekâ destekli sohbet asistanının çalıştırılması. Sohbet içerikleri yanıt üretimi için Anthropic altyapısına gönderilir; Anthropic bu verileri kendi modellerini eğitmek için kullanmaz.
- WhatsApp / Meta Platforms— protokol mesajlarının ve hatırlatmaların hastaya iletilmesi. WhatsApp üzerinden gönderilen mesajlar uçtan uca şifrelidir ve WhatsApp'ın kendi gizlilik politikasına tabidir.
Yurt dışı aktarımlar KVKK m. 9 hükümlerine uygun olarak; yeterli korumayı sağlayan ülkeler bakımından doğrudan, diğer ülkeler bakımından ise açık rıza veya taahhütname/standart sözleşme hükümleri gibi uygun güvenceler temelinde gerçekleştirilir.
8. Veri Saklama Süreleri
Kişisel veriler, işleme amaçlarının gerektirdiği süre kadar ve ilgili mevzuatta öngörülen süreler boyunca saklanır. Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması hâlinde veriler KVKK m. 7 uyarınca silinir, yok edilir veya anonim hâle getirilir. Örnek saklama süreleri:
- Hesap verileri: hesabın aktif olduğu süre boyunca; hesap kapatıldıktan sonra en fazla 1 yıl.
- Hasta sağlık verileri: ilgili klinik veri sorumlusu tarafından belirlenen ve sağlık mevzuatının öngördüğü süreler boyunca.
- Sohbet ve mesaj kayıtları: hizmet sözleşmesi süresince ve ihtilaf hâlinde zamanaşımı süresince.
- Hata günlükleri ve teknik kayıtlar: en fazla 12 ay.
9. Veri Güvenliği
Viyasa, kişisel verilerin hukuka aykırı erişim, ifşa ve değişiklikten korunması için makul idari ve teknik tedbirleri alır. Bu tedbirler arasında aktarım sırasında TLS şifrelemesi, veri tabanında satır seviyesi güvenlik (Row-Level Security), rol bazlı erişim kontrolü, güvenli kimlik doğrulama (Supabase Auth) ve denetim kayıtları bulunur. Buna rağmen internet üzerinde hiçbir iletim yöntemi %100 güvenli değildir; bu nedenle mutlak bir güvenlik garantisi verilememektedir.
10. Çerezler ve Benzeri Teknolojiler
Viyasa, oturumunuzun açık tutulması ve hizmetin temel işlevlerinin sağlanması için zorunlu çerezler kullanır. Pazarlama veya üçüncü taraf izleme çerezleri kullanılmamaktadır. Tarayıcı ayarlarınızdan çerezleri yönetebilirsiniz; ancak zorunlu çerezlerin devre dışı bırakılması hizmetin doğru çalışmasını engelleyebilir.
11. Çocukların Verileri
Viyasa hesapları yalnızca 18 yaşını doldurmuş kişilere açıktır. 18 yaşından küçük hastaların verileri yalnızca kanuni temsilcisinin onayı ve klinik veri sorumlusunun talimatı doğrultusunda işlenir.
12. KVKK Madde 11 Kapsamındaki Haklarınız
Veri sahibi olarak, KVKK m. 11 uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
- Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
- KVKK m. 7 çerçevesinde silinmesini veya yok edilmesini isteme
- Yapılan işlemlerin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
- Otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhinize bir sonucun ortaya çıkmasına itiraz etme
- Kanuna aykırı işleme nedeniyle uğranılan zararın giderilmesini talep etme
Bu haklarınızı kullanmak için talebinizi privacy@viyasa.app adresine, kimliğinizi doğrulayıcı bilgilerle birlikte iletebilirsiniz. Talepler, KVKK m. 13 uyarınca en geç 30 gün içinde sonuçlandırılır. Hasta sağlık verilerine ilişkin taleplerin, ilgili klinik veri sorumlusuna iletilmesi gerekebilir; bu durumda talebiniz uygun klinik ile birlikte değerlendirilecektir.
13. Politika Değişiklikleri
Bu politika, hizmetlerde veya mevzuatta meydana gelen değişiklikler doğrultusunda güncellenebilir. Önemli değişiklikler kullanıcılara uygulama içinde veya e-posta yoluyla bildirilir. Yürürlük tarihi metnin başında belirtilmiştir.
14. İletişim
Bu politika veya kişisel verilerinizin işlenmesi hakkında her türlü soru, talep ve şikayet için bizimle privacy@viyasa.app adresinden iletişime geçebilirsiniz.