RootSchema

KVKK Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında

Son güncelleme: 17 Nisan 2026

İşbu Aydınlatma Metni; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında, veri sorumlusu sıfatıyla RootSchema(“Şirket” veya “Platform”) tarafından sizlere hizmet sunulması sürecinde toplanan ve işlenen kişisel verilerinize ilişkin olarak bilgilendirmek amacıyla hazırlanmıştır.

1. Veri Sorumlusunun Kimliği

Veri Sorumlusu: [Şirket Ünvanı / Şahıs Ticari Ünvanı]
Vergi Kimlik Numarası / T.C.: [VKN veya TCKN]
Mersis No: [MERSIS numarası (varsa)]
Adres: [Açık kayıtlı adres]
Telefon: [İletişim telefonu]
KEP Adresi: [KEP adresi]
E-posta: [email protected]

Not: Lansman öncesinde bu alan yetkili gerçek/tüzel kişi bilgileri ile doldurulmalıdır.

2. İşlenen Kişisel Veriler ve Veri Kategorileri

Platformumuzu kullanmanız sürecinde aşağıdaki kişisel verileriniz işlenmektedir:

2.1. Danışman (Abone) Kullanıcılar için

  • Kimlik Bilgileri: Ad, soyad, unvan (psikolog/psikiyatr/uzman).
  • İletişim Bilgileri: E-posta adresi, telefon numarası, klinik adresi.
  • Mesleki Bilgiler: Klinik adı, varsa meslek odası kayıt bilgisi.
  • İşlem Güvenliği Bilgileri: IP adresi, oturum bilgileri, iki faktörlü kimlik doğrulama kayıtları, tarayıcı/cihaz bilgisi, giriş/çıkış zamanları.
  • Finansal Bilgiler: Abonelik ücretlendirmesi sürecinde fatura bilgileri (ödeme altyapımız doğrudan tarafımızca kart bilgisi saklamaz).

2.2. Danışman Danışanları için (Özel Nitelikli Kişisel Veri)

  • Özel Nitelikli Sağlık Verileri (KVKK m. 6): Danışman tarafından platforma girilen ve/veya danışanın portal aracılığıyla yanıtladığı şema terapi ölçekleri (YŞÖ-K3, ŞME, YKÖ, YTÖ, YEÖ) kapsamındaki yanıtları, hesaplanan puanlar, şiddet seviyeleri, mod profilleri ve klinik notlar.
  • Kimlik Bilgileri: Yalnızca AES-256 ile şifreli olarak saklanan ad-soyad; veritabanında kimliği tanımlayan alan olarak yalnızca danışan kodu bulunur.

3. Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz aşağıdaki amaçlarla, KVKK m. 4’te yer alan ilkelere ve m. 5-6’da belirtilen hukuki sebeplere uygun olarak işlenmektedir:

  • Abonelik sözleşmesinin kurulması, hizmetin sunulması ve ifa edilmesi.
  • Şema terapi ölçek uygulamalarının dijital ortamda yürütülmesi ve klinik raporlama.
  • Kullanıcı hesabı oluşturma, kimlik doğrulama, iki faktörlü güvenlik (2FA) uygulama.
  • Platform güvenliğinin sağlanması, kötüye kullanım ve güvenlik ihlali tespiti.
  • Yasal yükümlülüklerin yerine getirilmesi (muhasebe, vergi, yetkili kurumlardan gelen talepler).
  • Kullanıcı destek, talep ve şikâyet yönetimi.
  • İstatistiksel analiz (kişisel veriler anonimleştirilerek).

4. Kişisel Verilerin İşlenmesinin Hukuki Sebepleri

  • KVKK m. 5/2-c: Sözleşmenin kurulması veya ifası.
  • KVKK m. 5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi.
  • KVKK m. 5/2-f: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatler.
  • KVKK m. 6/3: Sağlık verilerinin işlenmesi açısından, sır saklama yükümlülüğü altındaki kişiler tarafından işlenmesi veya açık rıza.
  • Açık Rıza: Mevzuatta ayrıca hüküm bulunmayan hâllerde sizin açık rızanız.

5. Kişisel Verilerin Aktarımı

Kişisel verileriniz aşağıdaki kategorilerde ve yalnızca belirtilen amaçlarla aktarılabilir:

  • Yetkili Kamu Kurum ve Kuruluşları: Mahkeme kararı, savcılık talimatı veya yasal yükümlülük gereği (örn. KVKK Kurulu, mahkemeler, Adli Tıp Kurumu).
  • Hizmet Altyapı Sağlayıcıları: Bulut barındırma (Supabase/AWS), e-posta gönderim altyapısı (Resend), ödeme altyapısı (ileride iyzico/Stripe), DNS ve CDN sağlayıcıları. Bu aktarımlar KVKK m. 8 ve m. 9 kapsamında, gerekli teknik ve idari tedbirler alınarak gerçekleştirilir.
  • Yurt Dışına Aktarım: Bazı altyapı sağlayıcılarının sunucuları yurt dışında (AB/ABD) konumlanabilir. Bu durumda KVKK m. 9 uyarınca yeterli koruma bulunan ülkeler bakımından veya açık rızanıza dayanılarak aktarım yapılır.

Önemli: Danışman tarafından platforma işlenen danışan verileri, danışman dışında hiçbir üçüncü kişiyle paylaşılmaz; platform yönetimi bu verileri ancak teknik zorunluluk/veri tabanı bakımı amacıyla şifreli olarak görebilir.

6. Kişisel Verilerin Saklanma Süresi

  • Abonelik aktifken ve sözleşme ifası gerekliliği devam ederken saklanır.
  • Abonelik sonlandığında, veriler 6 ay süreyle silinmeden beklemede tutulur (kullanıcı geri dönüş hakkı için).
  • Bu sürenin sonunda KVKK m. 7 kapsamında veriler silinir, yok edilir veya anonimleştirilir.
  • Hukuki yükümlülükler (muhasebe/vergi) kapsamındaki fatura ve finansal kayıtlar 10 yıl süreyle mevzuat gereği saklanır.
  • Özel nitelikli sağlık verileri için Sağlık Bakanlığı’nın belirlediği azami saklama süreleri esas alınır.

7. Veri Güvenliği Tedbirleri

  • Danışan kimlik verileri için AES-256 şifreleme.
  • Veritabanı erişimleri için rol bazlı yetkilendirme (RBAC) ve satır düzeyi güvenlik (RLS).
  • HTTPS/TLS 1.3 ile iletim güvenliği; HSTS preload.
  • İki faktörlü kimlik doğrulama (2FA/OTP).
  • Düzenli yedekleme; yedekler de şifreli saklanır.
  • Güvenlik başlıkları: CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Kötü niyetli istek ve bot tespitinde rate limiting.
  • İdari tedbirler: Gizlilik sözleşmeleri, erişim loglaması, güvenlik farkındalık eğitimleri.

8. İlgili Kişinin Hakları (KVKK m. 11)

Veri sorumlusuna başvurarak KVKK m. 11 kapsamındaki aşağıdaki haklarınızı kullanabilirsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme.
  • İşlenmişse buna ilişkin bilgi talep etme.
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme.
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme.
  • Eksik veya yanlış işlenmişse düzeltilmesini isteme.
  • KVKK m. 7’de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme.
  • Düzeltme, silme ve yok etme işlemlerinin aktarıldığı üçüncü kişilere bildirilmesini isteme.
  • İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi sonucu aleyhinize bir sonuç ortaya çıkmasına itiraz etme.
  • Hukuka aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

9. Başvuru Yöntemi

Haklarınıza ilişkin taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun olarak:

  • E-posta: [email protected] (kayıtlı e-posta adresinden)
  • KEP: [KEP adresiniz]
  • Posta: [Açık adres]

üzerinden iletebilirsiniz. Talebiniz KVKK m. 13 uyarınca en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Talebin ayrıca bir maliyet gerektirmesi hâlinde KVKK Kurulu tarafından belirlenen tarife üzerinden ücret talep edilebilir.

10. Değişiklikler

Bu Aydınlatma Metni, mevzuat değişiklikleri ve Platform’un hizmet kapsamındaki değişiklikler nedeniyle güncellenebilir. Güncel sürüm her zaman rootschema.com/kvkk adresinde yayınlanır.