GİZLİLİK VE GÜVENLİK POLİTİKASI

2. TANIMLAR

Bu Politika’da kullanılan temel kavramlar aşağıdaki anlamlara gelmektedir:

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
• Sağlık Verisi: Bir kişinin fiziksel veya ruhsal sağlık durumuna ilişkin bilgiler; tıbbi geçmiş, tanı, tedavi ve ilaç bilgileri dahil olmak üzere özel nitelikli kişisel veri kapsamındadır.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi (işbu Politika’da Dr. M. Siraç DEMİR).
• Veri İşleyen: Veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
• Anonim Hale Getirme: Kişisel verilerin, başka verilerle bir araya getirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
• İyzico (iyzico Ödeme Hizmetleri A.Ş.): Site üzerinden gerçekleştirilen çevrimiçi ödemelerde Veri Sorumlusu adına veri işleyen konumunda olan ödeme altyapısı sağlayıcısı.

 

3. TOPLANAN KİŞİSEL VERİLER VE İŞLEME AMAÇLARI

3.1 Kimlik ve İletişim Bilgileri

Randevu talepleri ve iletişim formları aracılığıyla ad-soyad, telefon numarası, e-posta adresi ve ikamet ili/ilçesi gibi bilgiler toplanabilir. Bu veriler; talep yönetimi, randevu koordinasyonu ve hasta iletişiminin sağlanması amacıyla işlenmektedir.

3.2 Sağlık Verileri (Özel Nitelikli)

Site üzerindeki form veya mesajlaşma kanalları aracılığıyla iletilen tıbbi sorular, semptom bildirimleri ile geçmiş tanı veya tedavi bilgileri sağlık verisi niteliği taşıyabilir. Bu tür veriler; yalnızca ilgili kişinin açık rızası alınarak ve KVKK’nın 6. maddesi ile Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik kapsamındaki koruma tedbirleri uygulanarak işlenmektedir.

3.3 Teknik ve Kullanım Verileri

Web sunucusu günlükleri ve çerezler aracılığıyla otomatik olarak IP adresi, tarayıcı türü, erişim tarih/saati, ziyaret edilen sayfa URL’leri ve yönlendiren site bilgisi toplanmaktadır. Bu veriler; Site’nin teknik işleyişinin sağlanması, güvenliğin korunması ve kullanıcı deneyiminin iyileştirilmesi amacıyla işlenmektedir.

3.4 Ödeme ve Finansal Veriler

Kredi kartı numarası, kart sahibi adı ve son kullanma tarihi gibi ödeme bilgileri, iyzico’nun PCI-DSS uyumlu güvenli altyapısı üzerinden aktarılır ve Dr. M. Siraç DEMİR tarafından depolanmaz. Bu alanda yalnızca işlem kimliği ve ödeme durumu bilgileri tutulmaktadır.

3.5 Çerezler ve Yeniden Pazarlama

Site’de oturum çerezleri, analitik çerezler (Google Analytics) ve yeniden pazarlama çerezleri (Google Ads) kullanılmaktadır. Çerez tercihlerinizi Site’ye ilk girişinizde sunulan çerez onay mekanizması aracılığıyla yönetebilirsiniz.

 

4. KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI

Kişisel verileriniz aşağıdaki hukuki dayanaklar çerçevesinde işlenmektedir:

• Açık Rıza (KVKK m. 5/1 ve m. 6/2): Sağlık verileri ve yeniden pazarlama faaliyetleri, yalnızca önceden alınan açık rızanıza dayanılarak işlenmektedir.
• Kanunlarda Açıkça Öngörülmüş Olması (KVKK m. 5/2-a): Tıbbi kayıt tutma yükümlülüğü başta olmak üzere ilgili sağlık mevzuatından doğan yükümlülüklerin yerine getirilmesi amacıyla işleme yapılmaktadır.
• Meşru Menfaat (KVKK m. 5/2-f): Site güvenliğinin sağlanması ve teknik sorunların giderilmesi, temel hak ve özgürlüklerinizi zedelememe koşuluyla meşru menfaat kapsamında değerlendirilmektedir.
• Sözleşmenin İfası (KVKK m. 5/2-c): Randevu veya hizmet sözleşmesinin kurulması ve ifası amacıyla zorunlu olan kişisel veriler işlenmektedir.
• Hukuki Yükümlülüğün Yerine Getirilmesi (KVKK m. 5/2-ç): Vergi, ödeme sistemleri ve sağlık mevzuatından kaynaklanan yükümlülüklerin karşılanması amacıyla işleme yapılmaktadır.

 

5. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Kişisel verileriniz, işleme amacının gerektirdiği süre ile ilgili mevzuatta öngörülen sürelerden uzun olanı esas alınarak saklanmaktadır:

• Hasta sağlık kayıtları ve tıbbi belgeler: Türk Tabipleri Birliği düzenlemeleri ve Sağlık Bakanlığı mevzuatı uyarınca en az 20 yıl süreyle muhafaza edilir.
• Ödeme ve fatura kayıtları: 213 sayılı Vergi Usul Kanunu gereği 5 yıl süreyle saklanır.
• İletişim formu ve genel yazışma kayıtları: Son iletişim tarihinden itibaren 2 yıl süreyle muhafaza edilir.
• Web sunucusu teknik günlükleri: 5651 sayılı Kanun kapsamında 2 yıl süreyle saklanır.
• Açık rızaya dayanan pazarlama verileri: Rızanın geri alınmasına kadar işlenir; rızanın geri alınmasının ardından derhal silinir.

Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması hâlinde kişisel verileriniz silinir, yok edilir ya da anonim hâle getirilir.

 

6. KİŞİSEL VERİLERİN AKTARILMASI

6.1 Yurt İçi Aktarımlar

Kişisel verileriniz, KVKK’nın 8. maddesi uyarınca aşağıdaki alıcılarla paylaşılabilir:

• İyzico (iyzico Ödeme Hizmetleri A.Ş.): Ödeme işlemlerinin gerçekleştirilmesi amacıyla, yalnızca işleme için zorunlu olan verilerle sınırlı olarak.
• Yasal Makamlar: Mahkeme kararı, savcılık talebi veya ilgili Türk mevzuatı kapsamındaki resmi talepler doğrultusunda.
• Denetçiler ve Mali Müşavirler: Yasal muhasebe ve vergi yükümlülüklerinin yerine getirilmesi amacıyla.
• Teknik Altyapı Sağlayıcıları: Gizlilik yükümlülüklerini kabul eden ve veri koruma sözleşmesi imzalamış hizmet sağlayıcılar.

6.2 Yurt Dışı Aktarımlar

Kişisel verileriniz, KVKK’nın 9. maddesi uyarınca yalnızca aşağıdaki koşullardan birinin varlığı hâlinde yurt dışına aktarılabilir:

• Kişisel Verileri Koruma Kurulu’nun yeterli koruma kararı verdiği ülkelere aktarım (söz konusu ülkelerin Kurul tarafından belirlenmesi kaydıyla).
• Standart Sözleşme Maddeleri veya bağlayıcı şirket kuralları gibi uygun güvencelerle korunan aktarımlar.
• İlgili kişinin açık rızasını verdiği aktarımlar.

Google Analytics ve Google Ads kullanımı nedeniyle teknik veriler, AB Standart Sözleşme Maddeleri veya muadil mekanizmalar aracılığıyla korunan şekilde yurt dışına aktarılabilir.

 

7. SANAL POS VE ONLINE ÖDEME SİSTEMİ

7.1 Genel İlkeler ve Hukuki Dayanak

Dr. M. Siraç DEMİR, https://www.siracdemir.com web sitesi üzerinden sunulan hizmetlere ilişkin ödemelerin tahsilatında sanal pos altyapısından yararlanmaktadır. Sanal pos hizmeti; 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) düzenlemeleri ile PCI-DSS (Payment Card Industry Data Security Standard) v4.0 gereklilikleri çerçevesinde yürütülmektedir.

7.2 İşlenen Veriler ve Kapsam

Sanal pos işlemleri kapsamında aşağıdaki veriler işlenmektedir:

• Kart sahibi adı ve soyadı ile kart numarasının maskelenmiş hali (son 4 hane).
• İşlem tutarı, tarihi, saati ve benzersiz işlem kimliği (transaction ID).
• Ödeme sonucu ve banka onay/red kodu.
• Fatura adresi (vergi veya muhasebe yükümlülükleri kapsamında talep edilmesi hâlinde).

Tam kart numarası, CVV/CVC kodu ve son kullanma tarihi gibi hassas kimlik doğrulama verileri Dr. M. Siraç DEMİR’in sistemlerinde hiçbir surette depolanmaz, günlüğe kaydedilmez veya bu sistemler üzerinden iletilmez. Bu veriler yalnızca ödeme altyapısı sağlayıcısının PCI-DSS uyumlu güvenli ortamında işlenir.

7.3 Teknik Güvenlik Önlemleri

• Tüm ödeme sayfaları TLS 1.2 veya üzeri protokolle şifrelenmekte olup tarayıcıda kilit simgesi ile gösterilmektedir.
• 3D Secure (3DS2) kimlik doğrulama protokolü uygulanmakta; kart sahibinin kimliği işlem öncesinde ilgili banka tarafından doğrulanmaktadır.
• Ödeme formu ve kart giriş alanları doğrudan ödeme altyapısı sağlayıcısı tarafından sunulmakta; bu alanlar Dr. M. Siraç DEMİR’e ait sunuculardan geçmemektedir (iframe / yönlendirme yöntemi).
• Tokenizasyon yöntemiyle kart bilgileri, ilerleyen işlemler için güvenli bir token ile temsil edilmekte; ham kart verisi tekrar iletilmemektedir.
• Şüpheli işlem tespiti ve dolandırıcılık önleme sistemleri ödeme altyapısı sağlayıcısı tarafından aktif olarak izlenmektedir.

7.4 İade, İptal ve İtiraz Süreçleri

Ödeme işlemlerine ilişkin iade ve iptal talepleri, ödeme altyapısı sağlayıcısının belirlediği prosedürler ve ilgili banka kuralları çerçevesinde işleme alınır. Kart sahibinin itiraz (chargeback) başlatması hâlinde, işleme ait kayıtlar ilgili banka ve ödeme kuruluşu ile yasal süreler dahilinde paylaşılabilir. Ödeme kayıtları 213 sayılı Vergi Usul Kanunu uyarınca 5 (beş) yıl süreyle muhafaza edilir.

7.5 Veri Paylaşımı ve Sorumluluk Sınırı

Ödeme altyapısı sağlayıcısı (iyzico Ödeme Hizmetleri A.Ş.), KVKK kapsamında veri işleyen sıfatıyla hareket etmekte ve Dr. M. Siraç DEMİR ile imzalanan Veri İşleme Sözleşmesi hükümlerine tabi bulunmaktadır. Sağlayıcı; ödeme verilerini yalnızca hizmet ifası, sahtekarlık önleme ve yasal yükümlülüklerin karşılanması amacıyla işleyebilir, üçüncü taraflara ticari amaçla satamaz veya kiralayamaz. Dr. M. Siraç DEMİR; ödeme altyapısı sağlayıcısının kendi sistemlerinde meydana gelebilecek güvenlik ihlallerinden sorumlu tutulamaz. Güvenlik ihlali şüphesi durumunda derhal ödeme altyapısı sağlayıcısının destek hattı ile iletişime geçilmesi önerilir.

7.6 Kullanıcı Yükümlülükleri

Kullanıcılar; yalnızca kendi adlarına kayıtlı ve kullanım yetkisine sahip oldukları ödeme araçlarını kullanmakla yükümlüdür. Başkasına ait kart bilgilerinin rızasız kullanımı 5237 sayılı Türk Ceza Kanunu kapsamında suç oluşturmakta olup Dr. M. Siraç DEMİR bu tür işlemlere ilişkin gerekli hukuki ve idari adımları atmaya yetkilidir.

9. SAĞLIK VERİLERİNİN KORUNMASINA YÖNELİK ÖZEL TEDBİRLER

Sağlık verileri, KVKK’nın 6. maddesi kapsamında özel nitelikli kişisel veri olarak sınıflandırılmakta ve daha yüksek düzeyde bir korumaya tabi tutulmaktadır. Bu çerçevede uygulanan tedbirler şunlardır:

• Sağlık verileri yalnızca ilgili kişinin açık ve yazılı rızasına dayanılarak işlenir.
• Bu verilere erişim, yalnızca yetkilendirilmiş sağlık profesyonelleri ile ilgili idari personelle sınırlıdır.
• Site üzerinden iletilen sağlık bilgileri, şifreli kanallar aracılığıyla aktarılır.
• Site, kesin tıbbi tanı veya uzaktan tedavi hizmeti sunmamaktadır; bu nedenle Site aracılığıyla iletilen bilgiler klinik kayıt niteliği taşımaz.
• Sağlık verilerinin işlenmesinde Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümleri esas alınır.

 

10. İLGİLİ KİŞİNİN HAKLARI (KVKK MADDE 11)

6698 sayılı KVKK’nın 11. maddesi uyarınca kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme.
• İşlenmiş ise buna ilişkin bilgi talep etme.
• Kişisel verilerinizin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme.
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme.
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
• KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme.
• Yukarıdaki düzeltme ve silme işlemlerinin üçüncü kişilere bildirilmesini talep etme.
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi yoluyla kişi aleyhine bir sonuç doğurması durumunda bu sonuca itiraz etme.
• Kişisel verilerin kanuna aykırı işlenmesi nedeniyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Bu haklarınızı kullanmak için web sitemizdeki iletişim formu, kayıtlı e-posta veya noter vasıtasıyla yazılı başvuruda bulunabilirsiniz. Başvurularınız KVKK’nın 13. maddesi ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca en geç 30 gün içinde yanıtlanacaktır.

Başvurunuzun reddedilmesi, yetersiz bulunması veya süresinde yanıt verilmemesi hâlinde Kişisel Verileri Koruma Kurulu’na (www.kvkk.gov.tr) şikâyette bulunma hakkınız saklıdır.

 

11. VERİ GÜVENLİĞİ

KVKK’nın 12. maddesi kapsamında kişisel verilerin yetkisiz erişime, ifşaya, değiştirilmeye veya imha edilmesine karşı korunması amacıyla aşağıdaki teknik ve idari tedbirler alınmaktadır:

• Veri iletimlerinde SSL/TLS şifreleme protokolleri kullanılmaktadır.
• Kişisel verilere erişim, yetki ve görev gerektirme ilkesi doğrultusunda yalnızca yetkili personelle sınırlandırılmaktadır.
• Yazılım bileşenleri ve güvenlik altyapısı düzenli olarak güncellenmektedir.
• Site’nin barındırıldığı altyapıda güvenlik duvarı ve izinsiz giriş tespit sistemleri aktif olarak kullanılmaktadır.
• Ödeme güvenliği iyzico’nun PCI-DSS uyumlu altyapısı tarafından sağlanmaktadır.

İnternet üzerinden hiçbir veri iletim yöntemi veya elektronik depolama sistemi mutlak güvenliği garanti edemez. Bununla birlikte, kişisel verilerinizin korunması için ticari açıdan makul ve sektör standartlarına uygun her türlü tedbir titizlikle alınmaktadır.

 

12. ÇEREZLER VE İZLEME TEKNOLOJİLERİ

11.1 Kullanılan Çerez Türleri

• Zorunlu Çerezler: Site’nin temel işlevleri için gereklidir; rıza olmaksızın kullanılır.
• Analitik Çerezler (Google Analytics): Ziyaretçi davranışlarını ölçmek amacıyla kullanılır; gizli IP ile çalışır.
• Pazarlama/Yeniden Hedefleme Çerezleri (Google Ads): Yalnızca açık rızanıza dayanılarak etkinleştirilir.

11.2 Çerez Tercihlerinin Yönetimi

Zorunlu çerezler dışındaki çerezleri, Site’ye ilk girişinizde sunulan çerez yönetim aracı aracılığıyla kabul edebilir, reddedebilir veya dilediğiniz zaman değiştirebilirsiniz. Tarayıcınızın ayarlar menüsünden de çerez tercihlerinizi düzenleyebilirsiniz; ancak bu durumda Site’nin bazı özelliklerinin kısıtlanabileceğini hatırlatırız.

 

13. ÜÇÜNCÜ TARAF BAĞLANTILAR

Site’de üçüncü taraflara ait bağlantılar yer alabilir. Bu siteler, Dr. M. Siraç DEMİR tarafından işletilmemekte olup söz konusu sitelerin içerik ve gizlilik uygulamaları üzerinde herhangi bir denetim yetkimiz bulunmamaktadır. Her siteyi ziyaret etmeden önce ilgili gizlilik politikasını incelemenizi öneririz. Bağlantılı siteler arasında iyzico (www.iyzico.com) ve Google (www.google.com) yer almaktadır.

 

14. AÇIK RIZA

Belirli veri işleme faaliyetleri için açık rızanız alınacaktır. Bu rızayı her zaman geri alabilirsiniz; geri alma işlemi, geri almadan önceki dönemde gerçekleştirilen işlemlerin hukuka aykırılığına yol açmaz. Rızanızı geri almak için aşağıdaki iletişim kanallarını kullanabilirsiniz:

• Web sitesindeki iletişim formu aracılığıyla.
• Kayıtlı elektronik posta (KEP) göndererek.
• Yazılı ve imzalı dilekçeyle iadeli taahhütlü posta yoluyla.

 

15. POLİTİKA DEĞİŞİKLİKLERİ

Bu Politika; mevzuat değişiklikleri, Kişisel Verileri Koruma Kurulu kararları veya operasyonel gelişmeler doğrultusunda güncellenebilir. Önemli değişiklikler, Site ana sayfasında duyuru yayınlanması ve/veya kayıtlı kullanıcılara e-posta bildirimi gönderilmesi suretiyle kullanıcılara iletilecektir. Politika’nın güncel versiyonu her zaman https://www.siracdemir.com/gizlilik-politikasi adresinde yayımlanacaktır.

 

16. UYGULANACAK HUKUK VE YETKİLİ MAHKEME

Bu Politika, Türkiye Cumhuriyeti hukuku, özellikle 6698 sayılı KVKK, 5651 sayılı Kanun ve ilgili sağlık mevzuatı kapsamında yorumlanır ve uygulanır. Bu Politika’dan veya kişisel verilerinizin işlenmesinden doğabilecek her türlü uyuşmazlıkta İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

 

16. İLETİŞİM VE BAŞVURU

Bu Politika’ya ilişkin sorularınız, KVKK kapsamındaki haklarınızı kullanmaya yönelik talepleriniz veya veri ihlali bildirimleriniz için aşağıdaki kanalları kullanabilirsiniz:

 

Veri Sorumlusu: Dr. M. Siraç DEMİR

Adres: Maltepe Mah. Yedikule Çırpıcı Yolu No:9, Kat: 26, Daire: 26, Zeytinburnu – 34010 İstanbul, Türkiye

Telefon: 0090 540 313 0604

E-posta: info@siracdemir.com

Web: https://www.siracdemir.com

 

KVKK’nın 13. maddesi kapsamındaki başvurular kimlik doğrulamasını gerektirmekte olup anılan Kanun’da ve ilgili yönetmeliklerde belirlenen biçim şartlarına uygun şekilde yapılmalıdır.

 

Bu Politika Dr. M. Siraç DEMİR tarafından onaylanmıştır.

Dr. M. Siraç DEMİR

Hekim / Veri Sorumlusu

İstanbul, Mayıs 2025