KVKK Aydınlatma Metni ve Gizlilik Politikası
Hasta Mobil Uygulaması
İlk yayın: 2026-04-27 · Son güncelleme: 2026-05-27
Veri sorumlusu: HekimDoktor Sağlık Teknoloji A.Ş.
Kapsam: Bu metin, HekimDoktor hasta mobil uygulamasının (iOS / Android) veri işleme faaliyetlerini düzenler. Doktor/klinik B2B web platformumuz (klinik.bio) için ayrı bir KVKK metni mevcuttur.
1. Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu sıfatıyla:
HekimDoktor Sağlık Teknoloji A.Ş.
Esentepe Mah. Akademiyolu Sk. F Blok No: 10/6 İç Kapı No: 116
Serdivan / Sakarya — Sakarya Teknokent
E-posta: kvkk@hekimdoktor.com
Web: hekimdoktor.com
2. İşlenen Kişisel Veri Kategorileri
2.1 Genel Kişisel Veri
- Kimlik: ad-soyad, doğum tarihi, cinsiyet
- İletişim: e-posta, telefon numarası, adres
- Müşteri işlem: abonelik, ödeme geçmişi, randevu kayıtları
- İşlem güvenliği: IP adresi, tarayıcı/cihaz bilgisi, login zamanları
- Pazarlama (opsiyonel): e-bülten tercihleri
2.2 Özel Nitelikli Kişisel Veri (KVKK md.6)
Sağlık platformu işletmemiz nedeniyle aşağıdaki özel nitelikli verileri, ayrıca açık rızanız ile işliyoruz:
- Sağlık verisi: semptom, tanı, ilaç, lab tahlili, vital ölçümler (kan basıncı, glukoz vs.)
- Adet döngüsü, gebelik, kadın sağlığı verileri
- Ruh sağlığı, beslenme, egzersiz, uyku takibi
- Sigarayı bırakma, bağımlılık takibi
- Apple HealthKit / Google Health Connect üzerinden, kullanıcı onayıyla cihazdan okunan biyometrik veriler (adım, kalp atışı, uyku, kan basıncı vb.). Bu veriler cihazınız üzerinden okunur ve yalnızca seçtiğiniz özellikler için işlenir.
- T.C. kimlik numarası (yalnızca doktor-hasta dosyalarında, AES-256 şifreli)
3. Verilerin İşlenme Amaçları
- Üyelik oluşturma, kimlik doğrulama, hesap güvenliği (KVKK md.5/2-c, sözleşme ifası)
- Randevu, mesajlaşma, e-reçete, doktor-hasta dosyası yönetimi (md.5/2-c, md.6/3 açık rıza)
- AI destekli sağlık asistanı, semptom değerlendirme, beslenme/kalori önerileri (md.6/3 açık rıza). Mobil uygulamada hangi AI sağlayıcısına veri gönderileceği Profil → AI Veri Paylaşımı ekranından sağlayıcı bazında onaylanır / iptal edilir.
- Sesli arama özelliği (kalori arama, sesli semptom notu) iOS'ta Apple Speech Framework, Android'de Google Speech Services ile cihaz üzerinde çalışır; ses kaydı buluta gönderilmez, yalnızca metne dönüşmüş sonuç (kullanıcı onaylarsa) Anthropic'e iletilir.
- Hizmet kalitesini iyileştirme, hata izleme (md.5/2-f meşru menfaat)
- Pazarlama iletişimi (yalnızca opsiyonel rıza verirseniz)
- Yasal yükümlülüklerin yerine getirilmesi (md.5/2-a, ç)
3.1 AI Destekli İçeriklerin Niteliği ve Kaynak Gösterimi
Mobil uygulamamızdaki AI sağlık asistanları (Aylin, Aria, Milo, Mia, Zara vb.) tarafından sağlanan bilgiler genel bilgilendirme amaçlıdır ve tıbbi teşhis, tedavi veya profesyonel sağlık hizmetinin yerine geçmez. Tıbbi acil durumlarda 112'yi arayın veya en yakın sağlık kuruluşuna başvurun.
AI çıktılarında kullanılan kaynaklar uygulama içinde "Tıbbi İçerik Kaynakları" bölümünde listelenmiştir. Kaynaklarımız şunları içerir:
- T.C. Sağlık Bakanlığı klinik rehberleri
- Türk Tabipleri Birliği (TTB) yayınları
- Dünya Sağlık Örgütü (WHO) standartları
- ABD Hastalık Kontrol ve Önleme Merkezi (CDC) önerileri
- Kozmetik İçerik Güvenliği için CIR (Cosmetic Ingredient Review) ve EU CosIng veritabanları
- Beslenme bilgileri için USDA FoodData Central ve TÜBİTAK Türkiye Beslenme Rehberi (TÜBER)
4. Verilerin Aktarıldığı Üçüncü Kişiler — Yurt İçi ve Yurt Dışı (KVKK md.8 ve md.9)
Hizmet sunumu için verileriniz aşağıdaki hizmet sağlayıcılarla paylaşılır. Yurt dışı aktarımları için kayıt sırasında ayrıca açık rızanız alınır.
4.1 Mobil Hasta Uygulamasında AI Veri Akışı (Apple App Store 5.1.1(i) kapsamında)
iOS ve Android mobil hasta uygulamamızda yalnızca aşağıdaki üç hizmet sağlayıcısına kullanıcı verisi gönderilir. Her biri için Profil → AI Veri Paylaşımı ekranından ayrı onay vermeniz ve istediğiniz zaman iptal etmeniz mümkündür:
| Sağlayıcı | Amaç | Gönderilen Veri | Konum | Hukuki Dayanak |
|---|---|---|---|---|
| Anthropic, PBC (Claude API) | AI sohbet asistanı, sağlık içgörüsü, semptom değerlendirme, INCI içerik analizi | Mesaj metniniz + profil ipuçları (yaş aralığı, cinsiyet, dil). Ad-soyad, doğum tarihi tamamı, iletişim bilgisi gönderilmez. | ABD | Açık rıza (md.6/3, md.9) |
| Voyage AI, Inc. | Doktor / branş semantik araması | Arama metni (örn. "baş ağrım var"). Kullanıcı kimliği gönderilmez. | ABD | Açık rıza (md.6/3, md.9) |
| Functional Software, Inc. (Sentry) | Anonim hata raporlama ve sistem sağlığı | Stack trace, anonim oturum ID, cihaz/işletim sistemi türü. Kişisel veri veya sağlık verisi gönderilmez. | AB (Almanya) | Meşru menfaat (md.5/2-f) |
Önemli not: Diğer hizmet sağlayıcıları (ödeme, e-posta, SMS, push bildirim) hesap yönetimi ve genel altyapı amacıyla çalışır, mobil uygulamadaki AI özelliklerine veri sağlamaz.
4.2 Genel Altyapı ve Hesap Yönetimi Hizmet Sağlayıcıları
| Sağlayıcı | Amaç | Aktarılan Veri | Konum | Hukuki Dayanak |
|---|---|---|---|---|
| Radore Veri Merkezi A.Ş. | Sunucu altyapısı (hosting) | Hesap verileri, sağlık verileri, yüklenen dosyalar | Türkiye (yurt içi) | Sözleşme ifası |
| iyzico Ödeme Hizmetleri A.Ş. | Ödeme işleme (Türkiye) | E-posta, ödeme bilgisi, abonelik tutarı | Türkiye | Sözleşme ifası |
| PayTR Ödeme ve Elektronik Para Hizmetleri A.Ş. | Ödeme işleme (Türkiye) | E-posta, ödeme bilgisi, abonelik tutarı | Türkiye | Sözleşme ifası |
| Stripe Payments Europe Ltd. | Ödeme işleme (uluslararası) | E-posta, ödeme bilgisi, abonelik tutarı | İrlanda / ABD | Sözleşme ifası |
| Resend, Inc. | Transaksiyonel e-posta gönderimi | E-posta adresi, e-posta içeriği | ABD | Sözleşme ifası |
| Google LLC (OAuth) | Google ile giriş | OAuth kimliği, e-posta, ad-soyad | ABD | Açık rıza |
| Apple Inc. (Sign in with Apple) | Apple ile giriş | OAuth kimliği, e-posta (relay), ad-soyad | ABD | Açık rıza |
| Verimor Telekomünikasyon A.Ş. | SMS gönderimi (OTP, bildirim) | Telefon no, mesaj içeriği | Türkiye | Sözleşme ifası |
| Expo Push Notification Service (650 Industries, Inc.) | Mobil push bildirim orkestrasyonu | Cihaz token, bildirim içeriği | ABD | Sözleşme ifası |
| Apple Push Notification Service (APNs) | iOS push iletimi | Cihaz token, bildirim içeriği | ABD | Sözleşme ifası |
| Google Firebase Cloud Messaging (FCM) | Android push iletimi | Cihaz token, bildirim içeriği | ABD | Sözleşme ifası |
| Yetkili kamu kurum/kuruluşları | Kanunen talep edilebilecek bilgiler | Kanun kapsamındaki veriler | Türkiye | Yasal yükümlülük (md.5/2-a) |
4.3 Diğer Ürünlerimiz
HekimDoktor bünyesinde klinik web platformu (klinik.bio) ve doktorlara özel B2B hizmetlerimiz ayrıca bulunmaktadır. Bu hizmetler hasta mobil uygulamasından bağımsız çalışır ve hasta mobil uygulaması verileriniz bu hizmetlere aktarılmaz. Klinik müşterilerimiz için ayrı KVKK Aydınlatma Metni mevcuttur (klinik.bio/kvkk).
Çalıştığımız tüm hizmet sağlayıcılarla KVKK md.12 kapsamında veri işleme sözleşmeleri yapılmıştır.
5. Verilerin Toplanma Yöntemi ve Hukuki Sebep (KVKK md.5/6)
- Web sitesi ve mobil uygulama formları (kayıt, profil, randevu)
- Çerezler ve analiz araçları (Çerez Politikamıza bakınız)
- OAuth (Google/Apple) entegrasyonları
- Apple HealthKit / Google Health Connect cihaz API'leri (kullanıcı onayıyla)
- Doktorların hasta dosyasına manuel girişleri
Genel kişisel veriler md.5/2-c (sözleşme ifası) ve md.5/2-f (meşru menfaat) ile, özel nitelikli sağlık verileri md.6/3 açık rıza ile, yurt dışı aktarımlar md.9 açık rıza ile işlenir.
6. Veri Saklama Süreleri (KVKK md.5/2-d)
- Hesap verileri: Hesabınız aktif olduğu sürece + silme talebi sonrası 30 gün grace period.
- Tıbbi kayıtlar (VisitRecord, Prescription): Tıbbi sorumluluk + SGK saklama yükümlülüğü gereği 20 yıl. Hesap silinse bile kayıt anonimleştirilir, silinmez.
- Login + admin audit logları: 365 gün
- AI sohbet meta (içerik değil, IP+persona+token): 90 gün
- AI Veri Paylaşım onay/iptal kayıtları (KVKK savunma kanıtı): 5 yıl
- E-posta gönderim logları: 180 gün
- Bildirim logları: 90 gün
- Anonim analytics olayları: 14 ay
- Kayıt IP/UA: 12 ay sonra anonimleştirilir
7. Yaş Sınırı ve Reşit Olmayan Kullanıcılar
HekimDoktor mobil hasta uygulaması 13 yaş ve üstü kullanıcılar için tasarlanmıştır. 13 yaş altındaki çocukların kişisel verisini bilerek toplamayız.
13-17 yaş arası kullanıcılar için: KVKK md.6/2 ve Türk Medeni Kanunu kapsamında, 18 yaşını doldurmamış kullanıcılarımızın özel nitelikli sağlık verilerinin işlenmesi için veli/vasi açık rızası gerekmektedir. Kayıt sırasında doğum tarihi sorulur ve 18 yaş altı kullanıcılar için veli onayı akışı çalıştırılır.
Veli/vasi olarak çocuğunuzun verilerinin işlendiğinden haberdar olduysanız ve bu işleme son verilmesini istiyorsanız kvkk@hekimdoktor.com adresine başvurabilirsiniz.
8. Veri Sahibinin Hakları (KVKK md.11)
Aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içi/dışı aktarıldığı üçüncü kişileri bilme
- Eksik/yanlış işlenmişse düzeltilmesini isteme
- Silinmesini veya yok edilmesini isteme
- İşlemeye itiraz etme
- Kanuna aykırı işleme sebebiyle uğradığınız zararın giderilmesini talep etme
- Otomatik sistemlerle yapılan analiz sonuçlarına itiraz etme
Bu hakları kullanmak için kvkk@hekimdoktor.com adresine başvuru yapabilir, ya da hesap ayarlarınızdan veri export ve hesap silme işlemlerini doğrudan gerçekleştirebilirsiniz.
KVKK md.13 uyarınca başvurularınızı en geç 30 gün içinde yanıtlarız.
9. Veri Güvenliği (KVKK md.12)
- Aktarımda TLS 1.3 şifreleme
- Hassas alanlar (TC kimlik, MFA secret) için AES-256-GCM at-rest şifreleme
- Şifreler bcrypt hash'leme
- Rol bazlı erişim kontrolü ve admin işlem audit log'u
- Düzenli güvenlik denetimleri ve sızma testleri
- Veri erişim kayıtları (login audit) 365 gün saklanır
10. Çerez Kullanımı
Detaylı bilgi için Çerez Politikası sayfamıza bakınız.
11. Aydınlatma Metni Güncellemeleri
Bu metni güncellediğimizde kvkkConsentVersion ve aiDataConsentVersion alanlarını değiştirir ve sizden tekrar onay isteriz. Onay vermeden hizmetin sağlık verisi işleyen bölümlerini ve AI özelliklerini kullanmaya devam edemezsiniz.
12. İletişim
Sorularınız ve KVKK başvurularınız için: kvkk@hekimdoktor.com
İlk yayın: 2026-04-27 · Son güncelleme: 2026-05-27. Sürüm değiştiğinde tekrar onayınız istenecektir.