Beta sürümü — ücretsiz, geri bildirim için info@psikocrm.com
Giriş YapÜcretsiz Dene

Gizlilik Politikası ve KVKK Aydınlatma Metni

Son güncelleme: 1 Mayıs 2026 · Yürürlük tarihi: 1 Mayıs 2026

Beta Süreci Notu: PsikoCRM şu an beta sürecindedir; ücret tahsil edilmemekte ve tüzel kişilik henüz tescil aşamasındadır. Veri sorumlusu olarak info@psikocrm.com adresi üzerinden iletişim sağlanmaktadır. Tescil tamamlandığında ticari unvan, MERSİS, vergi dairesi ve KEP bilgileri bu sayfada güncellenecek; ön bildirim yapılarak Abone'ye duyurulacaktır.
Önemli: Bu metin iki bölümden oluşur. Bölüm A, PsikoCRM'e üye olan psikolog/terapistlerin ("Abone") kendi kişisel verilerinin işlenmesine ilişkindir; burada PsikoCRM veri sorumlusudur. Bölüm B, Abone tarafından Platform'a girilen danışan verilerine ilişkindir; burada PsikoCRM veri işleyen, Abone ise veri sorumlusudur.

Bölüm A — Abone Kişisel Verilerinin İşlenmesi (Veri Sorumlusu: PsikoCRM)

A.1. Veri Sorumlusu Bilgileri

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, Abone'ye ait kişisel veriler bakımından veri sorumlusu aşağıda belirtilmiştir:

  • Marka: PsikoCRM
  • E-posta: info@psikocrm.com
  • Web: psikocrm.com
  • Ticari Unvan, MERSİS, Vergi Dairesi ve KEP bilgileri tüzel kişilik tescili tamamlandığında bu sayfada yayımlanacak ve Abone'ye e-posta ile bildirilecektir. Şu an beta sürecinde olduğumuz için ücret tahsil edilmemektedir.

A.2. İşlenen Kişisel Veri Kategorileri

  • Kimlik verileri: Ad, soyad, T.C. kimlik numarası (şifreli saklanır)
  • İletişim verileri: E-posta, telefon, adres
  • Mesleki bilgiler: Unvan, uzmanlık alanı, klinik/muayenehane bilgisi, diploma/lisans bilgileri
  • Hesap verileri: Kullanıcı adı, şifrelenmiş (bcrypt) parola, oturum/log kayıtları
  • İşlem ve finansal veriler: Abonelik kayıtları, fatura bilgileri, ödeme tarihi (kart bilgileri PsikoCRM'de saklanmaz — iyzico/PCI-DSS)
  • Kullanım verileri: Erişim zamanları, IP adresi, tarayıcı ve cihaz bilgisi, çerez kayıtları
  • Pazarlama verileri (varsa): E-posta açma/tıklama, yalnızca açık rıza verildiyse

A.3. İşlenme Amaçları ve Hukuki Sebepleri

Verileriniz aşağıdaki amaçlarla ve belirtilen hukuki sebeplerle işlenir:

  • Sözleşme ifası (KVKK m. 5/2-c): Üyelik oluşturma, abonelik yönetimi, ödeme tahsili, teknik destek
  • Hukuki yükümlülük (KVKK m. 5/2-ç): Fatura düzenleme (VUK), muhtasar beyannamesi, mali kayıtların saklanması (VUK m. 253 — 10 yıl), 5651 sayılı Kanun kapsamında log tutma
  • Meşru menfaat (KVKK m. 5/2-f): Platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme, istatistiksel analiz (anonimleştirilerek)
  • Açık rıza (KVKK m. 5/1): Pazarlama iletişimi, yurtdışına aktarım (m. 9)

A.4. Toplama Yöntemi

Kişisel verileriniz; kayıt formu, abonelik işlemleri, destek yazışmaları, Platform kullanımı sırasındaki otomatik kayıtlar (çerez, log), iletişim formu ve e-posta kanalıyla elektronik ortamda toplanır.

Bölüm B — Danışan Verilerine İlişkin Ayrım (PsikoCRM: Veri İşleyen, Abone: Veri Sorumlusu)

B.1. Kritik Ayrım

Abone'nin Platform'a girdiği tüm danışan kişisel ve sağlık verileri bakımından; Abone 6698 sayılı KVKK anlamında veri sorumlusu, PsikoCRM ise Abone'nin talimatları doğrultusunda yalnızca teknik işleme sağlayan veri işleyendir (KVKK m. 3/1-g, m. 12/2).

Bu ayrım gereği; Abone'nin danışanlarına yönelik her türlü aydınlatma yükümlülüğü (m. 10), açık rıza alınması (m. 6), veri sahibi başvurularının karşılanması (m. 11 / m. 13), VERBİS kaydı ve idari cezalara ilişkin sorumluluk münhasıran Abone'ye aittir. PsikoCRM'in bu yükümlülüklerin ihlalinden doğan sonuçlar bakımından Abone'ye rücu hakkı saklıdır.

B.2. Özel Nitelikli Kişisel Veri (Sağlık Verisi) Koruması

Platform'da işlenen seans notları, tanı bilgileri, ilaç bilgileri, test sonuçları ve diğer sağlık verileri KVKK m. 6 anlamında özel nitelikli kişisel veridir. Bu veriler için PsikoCRM aşağıdaki teknik ve idari tedbirleri uygular:

  • AES-256-CBC algoritması ile şifreli saklama; şifreleme anahtarı veritabanından ayrı ortamda tutulur
  • TLS 1.2+ ile aktarım şifrelemesi
  • Rol bazlı erişim kontrolü (RBAC); çoklu kullanıcılı kliniklerde psikolog bazında veri izolasyonu
  • Her kritik işlem için denetim izi (audit log)
  • T.C. kimlik numarası aramaları için HMAC-SHA256 tabanlı blind index (düz metin aranabilirlik yok)
  • Parolaların bcrypt ile karma hashlenmesi ve minimum karmaşıklık denetimi
  • API endpoint'lerinde oran sınırlama (rate limiting) ile brute-force koruması
  • 8 saatlik otomatik oturum sonlandırma
  • KVKK Kurul'un Kişisel Veri Güvenliği Rehberi ve Özel Nitelikli Kişisel Verilere İlişkin Kurul Kararı (31/01/2018, 2018/10) doğrultusundaki ek teknik/idari tedbirler

Sağlık verilerinin işlenmesinde 6698 sayılı KVKK, 1 Temmuz 2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik, Türk Ceza Kanunu 135–140. madde hükümleri ve ilgili mevzuata uyulur. Sağlık verilerinin hukuka aykırı işlenmesi veya ifşası TCK kapsamında ağırlaştırılmış cezayı gerektirir.

B.3. Abone'nin Taahhütleri

  • Platform'a danışan verisi girmeden önce her bir danışandan KVKK m. 10 kapsamında aydınlatma yapmak ve m. 6/2-3 uyarınca yazılı açık rıza almak
  • Veri sahibi (danışan) başvurularını m. 13 kapsamında 30 gün içinde yanıtlamak
  • Sağlık verisi işleyen gerçek/tüzel kişi olarak VERBİS kayıt yükümlülüğünü değerlendirmek ve gerekiyorsa kayıt olmak
  • Danışan verilerinin yalnızca yetkili personele açık olduğu şekilde erişim yönetimini sağlamak
  • Veri ihlali durumunda KVKK m. 12/5 uyarınca 72 saat içinde Kurul'a ve ilgili kişilere bildirim yapmak
  • Ölmüş kişi sağlık verilerini ilgili Yönetmelik uyarınca 30 yıl süreyle saklamak
⚠️ VERBİS Hakkında Önemli Uyarı — Abonelere

Psikolog / terapist olarak danışan sağlık verisi işlediğinizde veri sorumlusu sıfatıyla Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kaydı yapma yükümlülüğünüz bulunabilir. KVKK Kurul kararları uyarınca:

  • Ana faaliyeti özel nitelikli veri işleme olan (psikolog/terapist dahil) gerçek/tüzel kişi veri sorumluları için muafiyet sınırı: yıllık çalışan sayısı 10'un altında ve mali bilanço 10 milyon TL'nin altında (Kurul Kararı 2025/1572).
  • Bu iki şartı birden sağlıyorsanız VERBİS kayıt yükümlülüğünüz yoktur; aksi halde kayıt zorunludur.
  • Kayıt gerekliyse yapılmaması durumunda KVKK Kurul'u tarafından idari para cezası uygulanır (2026 değerleri: 68.083 ₺ — 3.404.371 ₺).

Lütfen muafiyet kapsamında olup olmadığınızı kontrol edin ve gerekiyorsa www.verbis.kvkk.gov.tr üzerinden kaydınızı yaptırın. Bu yükümlülük münhasıran Abone'ye aittir; PsikoCRM bu kapsamda danışmanlık veya hukuki tavsiye vermez.

Ortak Hükümler — Altyapı, Aktarım, Çerezler ve Haklar

1. Alt İşleyen (Sub-processor) Listesi

PsikoCRM hizmetin sunulabilmesi için aşağıdaki altyapı sağlayıcılarını ("alt işleyen") kullanır. Listede yapılacak değişiklikler en az 15 gün önceden e-posta ile duyurulur.

SağlayıcıAmaçLokasyon
Supabase (PostgreSQL)Veritabanı barındırmaFrankfurt / AB
VercelUygulama ve CDNAB / ABD (bölgesel)
CloudflareDNS, WAF, DDoS korumasıGlobal (Anycast)
iyzico Ödeme Hizmetleri A.Ş.Ödeme işleme (PCI-DSS)Türkiye
OpenAI / Anthropic / Google AIAI brifing (yalnızca anonimleştirilmiş veri — danışan kimliği aktarılmaz)ABD
E-posta gönderim sağlayıcıBildirim ve işlem e-postalarıAB / ABD

2. Yurtdışına Aktarım (KVKK m. 9)

Yukarıdaki alt işleyenlerin bir kısmı AB ve/veya ABD lokasyonludur. Abone, üyelik sırasında bu listeyi onaylamak suretiyle ilgili yurtdışı aktarımlara KVKK m. 9 kapsamında açık rıza verdiğini kabul eder. Abone bu rızayı dilediği zaman üye panelinden geri çekebilir; rızanın geri çekilmesi hizmetin sunumunu imkânsız kıldığı ölçüde abonelik sona erdirilir.

3. GDPR (AB Genel Veri Koruma Tüzüğü)

Abone'nin AB'de ikamet eden bir danışanının verisini işlemesi halinde, taraflar arasında GDPR m. 28 uyumlu ayrı bir Veri İşleme Sözleşmesi (DPA) aktedilir. PsikoCRM, GDPR m. 27 kapsamında AB temsilcisi atama yükümlülüğünün muafiyet sınırları içinde olduğunu değerlendirir; gerektiğinde temsilci ataması yapar.

4. Çerez Politikası

  • Zorunlu çerezler: Oturum ve güvenlik amaçlı; rıza aranmaz (ePrivacy ve KVKK istisnası).
  • Tercih çerezleri: Tema (açık/koyu), dil tercihi gibi ayarları hatırlar.
  • Analitik çerezler: Anonim kullanım istatistikleri; onay verildiğinde çalışır.
  • Reklam / izleme çerezi kullanılmamaktadır.

5. Saklama Süreleri

  • Abone kişisel verileri: Üyelik süresi + 10 yıl (TBK zamanaşımı)
  • Fatura ve mali kayıtlar: 10 yıl (VUK m. 253)
  • Log kayıtları: 5651 sayılı Kanun uyarınca 2 yıl
  • Abone tarafından yüklenen danışan verileri: Abonelik süresince; iptalden sonra 30 gün askı döneminde aktif, ardından geri dönüşü olmayacak şekilde silinir. Abone, iptalden önce verileri dışa aktarmakla yükümlüdür.
  • Ölmüş kişi sağlık verisi: 30 yıl (Kişisel Sağlık Verileri Yönetmeliği)
  • Pazarlama onayı: Onay geri alınana kadar

6. Veri İhlali Bildirimi

PsikoCRM, kendi kontrolündeki sistemlerde meydana gelen veri ihlallerini öğrenme tarihinden itibaren 72 saat içinde KVKK m. 12/5 uyarınca Kurul'a ve ilgili kişilere bildirir. İhlal Abone'nin kendi şifre/cihaz/personel ihmalinden veya Abone'ye özgü yetkilendirme hatalarından kaynaklandığında bildirim yükümlülüğü ve sorumluluk Abone'ye aittir.

7. İlgili Kişinin Hakları (KVKK m. 11)

KVKK m. 11 uyarınca aşağıdaki haklara sahipsiniz: kişisel verinizin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde/dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini isteme, m. 7 çerçevesinde silinmesini/yok edilmesini talep etme, düzeltme/silmenin aktarılan üçüncü kişilere bildirilmesini isteme, yalnızca otomatik sistemlerle analiz sonucu aleyhinize sonuç doğmuşsa buna itiraz etme, kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme.

Başvurunuzu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ m. 5 uyarınca güvenli elektronik imza / mobil imza ile info@psikocrm.com adresine iletebilirsiniz. Tüzel kişilik tescilinden sonra KEP ve tescilli merkez adresi de başvuru kanalı olarak eklenecektir. Başvurunuz en geç 30 gün içinde ücretsiz olarak cevaplanır; 10 sayfayı aşan cevaplarda Kurul tarifesinden ücret alınabilir.

Not: Platform'u kullanan psikoloğun danışanı iseniz, danışan kişisel verileriniz bakımından veri sorumlusu psikoloğunuzdur. Başvurunuzu öncelikle psikoloğunuza yöneltmeniz gerekir.

8. Politikanın Güncellenmesi (Değişiklik Hakkı — Sabit)

PsikoCRM; işbu Gizlilik Politikası ve KVKK Aydınlatma Metni'ni yürürlükteki mevzuata, KVKK Kurul kararlarına, alt işleyen değişikliklerine, teknolojik gelişmelere ve ticari ihtiyaçlara uygun olarak tek taraflı ve her zaman değiştirme, güncelleme, genişletme veya daraltma hakkını saklı tutar. Bu hak sabit olup Abone, üyelik onayıyla birlikte peşinen kabul eder.

  • Önemli değişiklikler Abone'nin kayıtlı e-posta adresi ve uygulama içi bildirim yoluyla en az 15 gün önceden duyurulur.
  • Yürürlük tarihinden sonra Platform'un kullanılmaya devam edilmesi güncel politikanın kabulü anlamına gelir.
  • Abone değişikliği kabul etmiyorsa yürürlük tarihinden önce aboneliğini iptal edebilir.
  • Zorunlu yasal değişiklikler (mevzuat güncellemesi, Kurul kararı, mahkeme/idare kararı vb.) derhal ve bildirimsiz yürürlüğe girebilir; bu durumda ön bildirim süresi uygulanmaz.
  • Alt işleyen listesindeki değişiklikler ise yeni alt işleyenin devreye alınmasından en az 15 gün önce Abone'ye bildirilir; Abone bu süre içinde itiraz hakkına sahiptir.

9. İletişim

KVKK başvuruları ve gizlilik politikası hakkındaki sorularınız için info@psikocrm.com adresimize yazabilirsiniz. Tüzel kişilik tescilinden sonra KEP ve tescilli merkez adresi de iletişim kanalı olarak eklenecektir.