Gizlilik Politikası ve Aydınlatma Metni
Verilerini nasıl işlediğimizi, neden işlediğimizi ve haklarını burada bulursun.
İçindekiler
1. Kim olarak işliyoruz
"AI Sağlık" hizmetini işleten veri sorumlusu aşağıdaki bilgilerde tanımlı kişidir:
| İşletmeci | Bireysel — şirketleşme süreci devam ediyor; kurum tamamlandığında bu bölüm güncellenecek |
|---|---|
| İletişim | [email protected] |
| Web | aisaglik.com.tr |
| Veri sorumlusu temsilcisi | İşletmecinin kendisi |
2. Hangi verileri işliyoruz
2.1. Anonim kullanıcı (giriş yapmamış)
- IP adresi — kötüye kullanım önleme + günlük kullanım limiti (24 saatte 10 soru, 2 görsel)
- Tarayıcı bilgisi (User-Agent) — uyumluluk + bot tespiti
- Anonim oturum tanımlayıcı (cookie:
anon_tk) — sohbet geçmişini cihazınla eşleştirmek - Sohbet metni + yüklediğin görseller — sorduğun şey ve aldığın yanıt
2.2. Google ile giriş yapan kullanıcı
- Yukarıdaki tüm anonim veriler
- Google ID (sub), e-posta adresi, ad-soyad, profil fotoğrafı URL'si — Google OAuth'tan alınır
- Oturum çerezi (
ais_session) — sohbet geçmişini hesabına bağlamak - Kullanım sayaçları — günlük 60 soru / 10 görsel limiti takibi
2.3. Sağlık ile ilgili paylaştığın detaylar — özel nitelikli
Sohbet sırasında belirti, hastalık geçmişi, ilaç kullanımı, tahlil sonucu, vücut görseli vb. paylaşırsan, bu bilgiler KVKK m.6 kapsamında özel nitelikli kişisel veri'dir. Bu veriler:
- Sadece yanıt üretmek için AI sağlayıcılara aktarılır
- Pazarlama, satış, üçüncü taraf paylaşımı yapılmaz
- İşleme için açık rızan, sohbet alanına soru yazıp gönder butonuna basmanla alınmış sayılır
3. İşleme amaçları ve hukuki sebepler
| Amaç | Hukuki sebep (KVKK m.5/6) |
|---|---|
| Yapay zeka destekli sağlık bilgi yanıtı üretmek | Açık rıza (m.5/1, m.6/2) |
| Hizmetin teknik olarak çalışması (oturum, sohbet geçmişi) | Sözleşmenin kurulması ve ifası (m.5/2/c) |
| Kötüye kullanımı önlemek (rate limit, IP) | Meşru menfaat (m.5/2/f) |
| Yasal yükümlülükler (mahkeme/savcılık talepleri) | Kanunlarda öngörülmesi (m.5/2/a) |
| Hizmet kalitesini analiz etmek (anonim agregat) | Meşru menfaat — sadece anonimleştirilmiş veri |
4. Verilerin aktarıldığı taraflar
4.1. Yurt dışı aktarım — yapay zeka sağlayıcılar
Sohbet metninin ve yüklediğin görselin yanıtlanabilmesi için aşağıdaki sağlayıcılara içerik aktarımı yapılır. Bu aktarım, KVKK m.9 kapsamında açık rızana dayanır:
| Sağlayıcı | Hizmet | Konum |
|---|---|---|
| Google LLC (Gemini) | Metin sorularına yanıt | ABD / Avrupa |
| Anthropic PBC (Claude) | Karmaşık metin sorularına yanıt | ABD |
| OpenAI Inc. (GPT-4o vision) | Görsel yorumlama | ABD |
Bu sağlayıcılar verileri kendi modellerinin eğitimi için kullanmaz (API kullanım koşulları gereği). Saklama süreleri sağlayıcının politikasına bağlıdır (genelde 30 gün abuse monitoring; sonra silinir).
4.2. Yurt içi altyapı sağlayıcılar
| Sağlayıcı | Hizmet | Konum |
|---|---|---|
| Hetzner Online GmbH | Sunucu barındırma | Almanya (AB - GDPR) |
| Cloudflare Inc. | CDN, DDoS koruma, e-posta yönlendirme | Küresel (AB veri merkezleri öncelikli) |
4.3. Yetkili merciler
Yargı mercilerinin, KVKK Kurulu'nun veya yetkili kamu kurumlarının hukuki taleplerine cevaben gerekirse veri aktarılabilir.
5. Saklama süreleri
| Veri türü | Saklama süresi |
|---|---|
| Sohbet geçmişi (giriş yapan) | Hesap aktif olduğu sürece; hesap silindiğinde 30 gün |
| Sohbet geçmişi (anonim) | 90 gün |
| IP + kullanım logları | 90 gün (rate limit + abuse) |
| Sunucu erişim logları | 30 gün |
| Yedekler | İlgili kayıtların silimi sonrası 60 gün |
6. Veri sahibi olarak haklarınız (KVKK m.11)
Aşağıdaki haklara sahipsiniz:
- Kişisel verinizin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşleme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde/dışında aktarıldığı tarafları bilme
- Eksik veya yanlış işlenmişse düzeltilmesini isteme
- KVKK'da öngörülen şartlarda silinmesini veya yok edilmesini isteme
- Düzeltme/silme/yok etme işlemlerinin verilerin aktarıldığı taraflara bildirilmesini isteme
- Otomatik işleme ile aleyhinize bir sonucun ortaya çıkmasına itiraz etme
- Hukuka aykırı işleme nedeniyle zarara uğramışsanız zararın giderilmesini talep etme
Bu haklarınızı kullanmak için [email protected] adresine yazılı talepte bulunabilirsiniz. 30 gün içinde ücretsiz yanıt veririz (KVKK m.13).
7. Çerezler
AI Sağlık sadece teknik (zorunlu) çerezleri kullanır:
| Çerez | Amaç | Süre |
|---|---|---|
ais_session | Giriş yapmış kullanıcının oturumu | 60 gün |
anon_tk | Anonim sohbet geçmişini cihazınla eşleştirme | 180 gün |
Üçüncü taraf çerez, analitik çerez (Google Analytics, Facebook Pixel vb.) kullanmıyoruz. Bu nedenle kabul/red banner'ı göstermiyoruz; çerezler hizmetin teknik gereği olarak KVKK m.5/2/c kapsamında işleniyor.
8. Güvenlik önlemleri
- HTTPS şifreleme (TLS 1.3) tüm trafik üzerinden zorunlu
- Veritabanı parolaları Argon2id ile hashleniyor
- Oturum çerezleri
HttpOnly + Secure + SameSite=Lax - API anahtarları sunucu tarafında, asla istemciye ifşa edilmez
- Rate limiting + IP bazlı abuse tespiti
- Sunucu erişim logları (kim, ne zaman, hangi IP) tutuluyor
- Düzenli yedekleme + olağanüstü durum kurtarma
9. Politika değişiklikleri
Bu politikayı yasal değişiklikler veya hizmet güncellemeleri sonucunda güncelleyebiliriz. Önemli değişikliklerde sayfanın başında bildirim gösteririz. Tarih en üstteki "Son güncelleme" alanından takip edilebilir.
10. İletişim
Veri işleme, gizlilik veya hakların kullanımı ile ilgili her türlü soru, talep ve şikayetinizi:
adresine iletebilirsiniz. KVKK kapsamındaki başvurular için Veri Sorumluları Sicili (VERBİS) kayıt numarası şirket kurulumu tamamlanınca bu sayfada paylaşılacaktır.
Bu metin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında hazırlanmıştır. AB GDPR uyumu için ayrıca bir İngilizce versiyon (yakında) yayınlanacaktır.