SmileUp Platformu Gizlilik Politikası

Yürürlük Tarihi: [2025-09-30]
Sürüm No: [v2.3]

1. GİRİŞ VE KAPSAM

Özet: Bu politika, SmileUp Platformu’nu kullanırken kişisel verilerinizi nasıl topladığımızı, kullandığımızı, koruduğumuzunu ve kimlerle paylaştığımızı açıklar. Mahremiyetinize saygı duyuyor ve verilerinizi en yüksek standartlarda korumayı taahhüt ediyoruz.

1.1. Politikanın Amacı ve Kapsamı
İşbu Gizlilik Politikası (“Politika”), [Şirket Unvanı] (“Şirket”, “biz” veya “Veri Sorumlusu”) tarafından işletilen SmileUp mobil uygulaması ve [www.smileup.app] alan adlı web sitesi (birlikte “Platform” olarak anılacaktır) aracılığıyla sunulan hizmetlerden faydalanan tüm kullanıcıların (“Kullanıcı” veya “siz”) kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili diğer mevzuat uyarınca işlenmesine ilişkin usul ve esasları belirlemektedir.

Bu Politika, Platform’a kaydolan, misafir olarak kullanan veya herhangi bir şekilde erişim sağlayan herkes için geçerlidir.

1.2. SmileUp Platformu Hakkında
SmileUp, kullanıcıların ağız ve diş sağlığına ilişkin farkındalıklarını artırmak amacıyla geliştirilmiş bir teknoloji platformudur. Platform, kullanıcılar tarafından yüklenen ağız fotoğraflarını ve sağlanan anamnez (sağlık öyküsü) bilgilerini, yapay zeka (“AI”) destekli algoritmalar kullanarak analiz eder ve potansiyel bulgular hakkında bir ön değerlendirme raporu sunar. Ayrıca, kullanıcının açık talebi ve rızası doğrultusunda, profesyonel tıbbi danışmanlık alabileceği diş klinikleri veya sağlık profesyonellerine (“Klinikler”) yönlendirme hizmeti sağlar.

1.3. Bu Politikada Neler Bulunuyor?
Bu Politika, gizliliğinizi nasıl koruduğumuzu anlamanıza yardımcı olmak için aşağıdaki konuları detaylandırmaktadır:

Veri Sorumlusu: Verilerinizden kimin sorumlu olduğu ve iletişim bilgileri.
İşlenen Veriler: Hangi tür kişisel verilerinizi topladığımız.
İşleme Amaçları: Verilerinizi neden ve hangi hukuki dayanaklarla işlediğimiz.
Paylaşım ve Aktarım: Verilerinizi hangi durumlarda ve kimlerle paylaştığımız.
Saklama ve İmha: Verilerinizi ne kadar süreyle sakladığımız ve nasıl sildiğimiz.
Güvenlik: Verilerinizi korumak için aldığımız teknik ve idari önlemler.
Haklarınız: Verilerinizle ilgili yasal haklarınız ve bu hakları nasıl kullanabileceğiniz.
Çerezler ve Teknolojiler: Web sitemizde ve mobil uygulamamızda kullandığımız teknolojiler.

1.4. Tanımlar Sözlüğü
Bu Politikada kullanılan hukuki ve teknik terimlerin açıklamaları için lütfen bu belgenin sonundaki Bölüm 14 (Tanımlar Sözlüğü) bölümüne başvurunuz.

2. VERİ SORUMLUSU VE İLETİŞİM BİLGİLERİ

Özet: Verilerinizin yasal sorumlusu [Şirket Unvanı]’dır. Veri koruma ile ilgili tüm soru ve talepleriniz için bize bu bölümdeki kanallardan ulaşabilirsiniz.

2.1. Veri Sorumlusu
KVKK uyarınca kişisel verilerinizin işlenmesinden sorumlu olan tüzel kişilik:

Unvan: [Şirket Unvanı]
MERSİS No: [MERSİS Numarası]

2.2. İletişim Bilgileri
Gizlilik ve veri koruma ile ilgili her türlü soru, talep veya endişeniz için bizimle aşağıdaki kanallar aracılığıyla iletişime geçebilirsiniz:

KVKK Başvuru E-postası: [kvkk@smileup.app]
Genel Destek E-postası: [destek@smileup.app]
Posta Adresi: [Tam Adres, İlçe/İl, Posta Kodu]
Telefon Numarası: [Telefon Numarası]

2.3. Veri Sorumlusu Temsilcisi / İrtibat Kişisi
Yasal yükümlülüklerimiz gerektirdiğinde atanacak Veri Sorumlusu Temsilcisi veya VERBİS’e atanacak İrtibat Kişisi’nin kimlik ve iletişim bilgileri, atama yapıldığında Platform üzerinden ve ilgili kamuya açık sicillerde duyurulacaktır.

2.4. VERBİS Bilgileri
Şirketimiz, yasal yükümlülük doğması halinde Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt olacak olup, kayıt bilgileri talep üzerine veya ilgili kamuya açık sicil üzerinden erişilebilir olacaktır.

2.5. Kayıtlı Elektronik Posta (KEP) Adresi
Resmî tebligat ve başvurular için KEP adresimiz: [şirketkepadresi@kep.tr]. KEP üzerinden yapılan iletiler, ilgili mevzuat uyarınca resmî tebligat niteliği taşır.

3. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Özet: Hizmetlerimizi sunabilmek için kimlik, iletişim, sağlık, cihaz ve kullanım verileriniz gibi farklı kategorilerde kişisel verilerinizi topluyoruz.

Platformumuzu kullanmanız sırasında sizden doğrudan veya otomatik yollarla topladığımız kişisel veri kategorileri aşağıda özetlenmiştir:

Veri Kategorisi	Örnek Veri Alanları	Zorunlu mu?	Veri Kaynağı
Kimlik ve İletişim Verileri	Ad, soyad, e-posta adresi, telefon numarası, şifrelenmiş parola.	Hesap oluşturmak için evet.	Doğrudan Kullanıcı
Sağlık Verileri (Özel Nitelikli)	Ağız içi fotoğraflarınız, anamnez formunda belirttiğiniz şikayetler, alışkanlıklar, geçmiş tedaviler, genel sağlık durumu bilgileri.	Hizmetin temelini oluşturduğu için evet.	Doğrudan Kullanıcı
Cihaz ve Teknik Veriler	IP adresi, cihaz modeli, işletim sistemi versiyonu, tarayıcı türü, benzersiz cihaz kimlikleri (IDFA, AAID), hata kayıtları (logları).	Hizmet sunumu ve güvenlik için evet.	Otomatik Olarak Toplanan
Kullanım ve Etkinlik Verileri	Oturum açma zamanları, Platform içinde geçirilen süre, tıklanan butonlar, görüntülenen sayfalar, yönlendirme talepleri.	Hizmet iyileştirme için evet.	Otomatik Olarak Toplanan
Konum Verileri	Klinik yönlendirme hizmeti için açık rızanızla işlenen anlık konum veya manuel olarak girdiğiniz yaklaşık konum (il/ilçe).	Yönlendirme hizmeti için evet.	Doğrudan Kullanıcı / Otomatik
Pazarlama ve Tercih Verileri	Ticari elektronik ileti (e-posta, SMS, anlık bildirim) izin durumunuz, iletişim tercihleri.	Hayır.	Doğrudan Kullanıcı
Talep ve İletişim İçerikleri	Destek talepleri, geri bildirimler veya diğer iletişim kanallarıyla bize ilettiğiniz metin, görsel veya diğer içerikler.	İletişime geçtiğinizde evet.	Doğrudan Kullanıcı

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ

Özet: Verilerinizi size hizmet sunmak, yasal yükümlülüklerimizi yerine getirmek ve meşru menfaatlerimizi korumak gibi amaçlarla, KVKK’da belirtilen hukuki sebeplere dayanarak işliyoruz. Sağlık verileriniz gibi hassas verileriniz için ise her zaman açık rızanızı alıyoruz.

4.1. Amaç ve Hukuki Sebep Eşleştirme Tablosu
Kişisel verilerinizi, aşağıda belirtilen amaçlar ve bu amaçlarla eşleştirilen hukuki sebeplere dayanarak işliyoruz:

Veri İşleme Faaliyeti	Amaç	İşlenen Veri Kategorileri	Hukuki Sebep (KVKK)
Hesap Yönetimi	Kullanıcı hesabı oluşturma, kimlik doğrulama, hesap ayarlarını yönetme.	Kimlik, İletişim, Cihaz	Madde 5/2(c): Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması.
AI Ön Değerlendirme Hizmeti	Ağız fotoğraflarınızı ve anamnez bilgilerinizi AI ile analiz ederek ön değerlendirme raporu sunma.	Sağlık Verileri, Kimlik	Madde 6/2: Açık Rıza. (Hizmetin özü özel nitelikli veri işlemeyi gerektirdiğinden.)
Klinik Yönlendirme Hizmeti	Talebiniz üzerine bilgilerinizi seçtiğiniz Kliniklerle paylaşarak randevu veya iletişim sürecini başlatma.	Sağlık Verileri, Kimlik, İletişim	Madde 6/2: Açık Rıza.
Teknik Operasyon ve Güvenlik	Platformun güvenliğini sağlama, dolandırıcılığı önleme, teknik sorunları giderme, sistem performansını izleme.	Cihaz, Teknik, Kullanım, IP	Madde 5/2(f): İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri.
Hizmet İyileştirme ve Analitik	Kullanıcı deneyimini iyileştirme, hizmet kullanımını analiz etme, yeni özellikler geliştirme.	Kullanım, Etkinlik, Cihaz	Madde 5/2(f): Meşru menfaat.
Yasal Yükümlülüklerin Yerine Getirilmesi	Yetkili makamların taleplerine yanıt verme, yasal süreçleri yürütme, mevzuata uyum sağlama.	İlgili tüm kategoriler	Madde 5/2(ç): Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
Kullanıcı Desteği ve İletişim	Sorularınıza yanıt verme, destek taleplerinizi yönetme, geri bildirimlerinizi işleme.	Kimlik, İletişim, Talep İçerikleri	Madde 5/2(c): Sözleşmenin ifası.
Pazarlama ve Tanıtım İletileri	Kampanyalar, yeni hizmetler ve promosyonlar hakkında bilgi verme.	İletişim, Pazarlama Tercihleri	Açık Rıza (Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında ayrıca alınır).

4.2. Açık Rıza Mekanizması
Platformumuz, özel nitelikli kişisel verileriniz olan sağlık verilerinizi işlemek için sizden açık ve bilgilendirilmiş rıza almak zorundadır. Bu rıza, hizmetin ayrılmaz bir parçasıdır.

Nasıl Alınır? Sağlık verisi (fotoğraf veya anamnez bilgisi) yüklemeden hemen önce, size aşağıdaki gibi bir arayüz sunulur:
[ÖRNEK ARAYÜZ METNİ]
Sağlık Verilerinizin İşlenmesi İçin Onay
SmileUp’ın size ön değerlendirme sunabilmesi için, yükleyeceğiniz ağız fotoğrafı ve sağlayacağınız sağlık bilgileri (anamnez) gibi özel nitelikli kişisel verilerinizin yapay zeka tarafından analiz edilmesi gerekmektedir.
[ ] Aydınlatma Metni’ni okudum, anladım.
[ ] Ağız fotoğrafımın ve anamnez bilgilerimin, yalnızca AI ön değerlendirme raporu oluşturulması amacıyla işlenmesine ve analiz edilmesine açık rıza gösteriyorum.
Bu onayı vermeden hizmetin bu bölümünden faydalanamazsınız. Onayınızı dilediğiniz zaman geri çekebilirsiniz.
Misafir (Guest) Kullanım: Platform’u misafir olarak kullanırken dahi, fotoğraf yükleme adımına geldiğinizde aynı açık rıza mekanizması size sunulur ve onayınız olmadan hiçbir sağlık verisi tarafımıza iletilmez.

4.3. Açık Rızanın Geri Çekilmesi
Verdiğiniz açık rızayı dilediğiniz zaman geri çekme hakkına sahipsiniz. Rızanızı geri çekmek için Platform içerisindeki Hesabım > Gizlilik Ayarları menüsünden ilgili onayı kaldırabilir veya [kvkk@smileup.app] adresine e-posta gönderebilirsiniz.

Sonuçları: Rızanızı geri çekmeniz, ileriye dönük olarak etki doğurur. Bu tarihten sonra sağlık verileriniz işlenmez. Ancak, rızanızı geri çekmenizden önce gerçekleştirilen veri işleme faaliyetleri hukuka uygun olarak kalmaya devam edecektir. Rızanın geri çekilmesi, AI ön değerlendirme hizmetini size sunamamamız anlamına gelecektir.

4.4. Yalnızca Otomatik Karar Verme Mekanizmasının Bulunmaması
Platform, sizinle ilgili hukuki sonuçlar doğuran veya sizi benzer şekilde önemli ölçüde etkileyen kararları yalnızca otomatik veri işleme sistemlerine dayanarak almaz. Yapay zeka (AI) algoritmaları tarafından üretilen çıktılar, bir tıbbi tanı veya tedavi niteliği taşımayan, yalnızca bilgilendirme ve farkındalık amaçlı bir ön değerlendirme ve öneri niteliğindedir. Ağız ve diş sağlığınızla ilgili nihai tıbbi kararlar, mutlaka yetkili bir diş hekimi tarafından verilmelidir.

4.5. Model Eğitimi ve Ürün Geliştirme Amaçlı Veri Kullanımı (Ayrı Açık Rıza Gerektirir)
Platform, hizmet kalitesini artırmak ve yapay zeka modellerini iyileştirmek amacıyla, sağlık verileri (ağız fotoğrafları ve anamnez) dahil verilerin model eğitimi ve ürün geliştirme amacıyla kullanılmasını varsayılan olarak yapmaz. Bu amaca yönelik veri işleme ancak aşağıdaki şartlarla mümkündür:

Ayrı ve açık rıza alınması (sağlık verileri için),
Rızanın her zaman geri çekilebilir olması,
Veri minimizasyonu ve anonimleştirme/psödonimleştirme (takma ad kullanma) tekniklerinin uygulanması,
İlgili riskler ve saklama sürelerinin ayrıca bilgilendirme metninde açıklanması.
Rıza vermemeyi tercih etmeniz, temel hizmetlerden faydalanmanızı olumsuz etkilemez. Rızanızı geri çekmeniz, ileriye dönük etki doğurur ve saklama süreleri Bölüm 8’e göre uygulanır.

Örnek onay ekranı (ayrı checkbox):
[ ] Ağız fotoğrafım ve sağlık bilgilerimin, kimliğimle ilişkilendirilmeksizin, yapay zeka model eğitimi ve ürün geliştirme amacıyla işlenmesine ayrı olarak açık rıza veriyorum.

4.6. Profil Oluşturma ve Sınırlama
Platformumuz, pazarlama amaçlı geniş kapsamlı profil çıkarımı yapmaz. Analitik amaçlı veri işleme faaliyetleri, yalnızca hizmetlerimizi iyileştirmek, kullanıcı deneyimini optimize etmek ve genel eğilimleri anlamak için toplulaştırılmış (aggregate) veya takma adlı (psödonimleştirilmiş) verilerle, sınırlı düzeyde gerçekleştirilir.

4.7. Biyometrik Veri İşlenmesine İlişkin Açıklama
Platform kapsamında yüklenen ağız içi fotoğraflar, kişiyi benzersiz biçimde tanımlama amacıyla kullanılmamakta olup biyometrik tanımlama yapılmaz. Bu görseller yalnızca sağlık verisi kapsamında AI ön değerlendirme amacıyla işlenir ve Bölüm 8.2 uyarınca analiz sonrası aktif sistemlerden silinir.

5. ÇOCUKLAR VE KÜÇÜKLERİN VERİLERİ

Özet: Platformumuz 18 yaşından küçüklerin kullanımı için veli veya vasi onayı gerektirir. Özellikle 13 yaşından küçüklerin verilerinin korunmasına yönelik ek tedbirler uyguluyoruz.

5.1. Genel Kural ve Veli Onayı
Platformumuz, 18 yaşını doldurmuş ve fiil ehliyetine sahip bireylerin kullanımına yöneliktir. 18 yaşından küçük kişilerin Platform’u kullanması, yalnızca yasal veli veya vasilerinin gözetimi ve onayı ile mümkündür. Bu durumda, veri sahibi çocuk olsa dahi, yasal süreçlerde muhatabımız veli veya vasidir.

5.2. 13 Yaş Altı İçin Ek Koruma ve Pratik Kontroller
13 yaşından küçük olduğunu bildiğimiz veya makul olarak şüphelendiğimiz çocuklardan bilerek veri toplamayız. Platformumuzda yaş beyanı alınmakta ve veli e-posta adresi üzerinden onay mekanizması gibi pratik kontroller uygulanmaktadır. Uygunsuz veya yanlış beyan şüphesi halinde ek doğrulama talep edilebilir; doğrulama sağlanamazsa ilgili hesap ve veriler silinebilir veya kullanım kısıtlanabilir. Bir ebeveyn veya vasi, çocuğunun bize izinsiz olarak kişisel veri sağladığını fark ederse, derhal bizimle iletişime geçmelidir.

5.3. Tespiti ve Silme
Veli veya vasi onayı olmaksızın bir küçüğe ait kişisel verilerin Platform’a yüklendiğini tespit etmemiz halinde, bu verileri sistemlerimizden derhal silmek ve ilgili hesabı kısıtlamak veya sonlandırmak için makul adımları atarız.

6. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI

Özet: Verilerinizi, yalnızca rızanızla Kliniklere, hizmet altyapımızı sağlayan teknoloji ortaklarımıza veya yasal bir zorunluluk olduğunda yetkili makamlara aktarırız.

Kişisel verileriniz, aşağıda belirtilen alıcı grupları ve amaçlar doğrultusunda, gerekli güvenlik önlemleri alınarak üçüncü kişilere aktarılabilir:

Alıcı Grubu / Kategori	Paylaşım Amacı	Hukuki Dayanak (KVKK)	Alıcı Rolü
Klinikler	Kullanıcının talebi üzerine yönlendirme, randevu veya iletişim sürecini başlatmak.	Madde 6/2: Açık Rıza.	Bağımsız Veri Sorumlusu
Bulut ve Altyapı Sağlayıcıları (Örn: Google Cloud, AWS, Azure)	Veri saklama, sunucu barındırma, veritabanı yönetimi, Platformun çalıştırılması.	Madde 5/2(f): Meşru Menfaat.	Veri İşleyen
Analitik ve Hata İzleme Sağlayıcıları (Örn: Google Analytics, Firebase)	Platform performansını izlemek, hataları tespit etmek, kullanıcı deneyimini analiz etmek.	Madde 5/2(f): Meşru menfaat.	Veri İşleyen
Yetkili Kamu Kurum ve Kuruluşları	Mahkeme kararları, savcılık talepleri veya diğer yasal zorunluluklar gereği bilgi vermek.	Madde 5/2(ç): Hukuki Yükümlülük.	Bağımsız Veri Sorumlusu
Grup Şirketleri / İştirakler	[Varsa, merkezi yönetim, raporlama veya ortak hizmet sunumu gibi amaçlar belirtilir.]	[İlgili hukuki sebep belirtilir.]	[Veri Sorumlusu / Veri İşleyen]

6.6. Veri İşleyen Sözleşmeleri (Data Processing Agreements)
Hizmet aldığımız bulut, altyapı ve analitik sağlayıcıları gibi veri işleyen sıfatına haiz tüm üçüncü taraflarla, KVKK ve ilgili mevzuata uygun olarak veri işleme sözleşmeleri akdederiz. Bu sözleşmelerle, veri işleyenlerin asgari güvenlik tedbirlerini almasını, verileri yalnızca bizim talimatlarımız doğrultusunda işlemesini, alt yüklenici kullanımını kontrol altında tutmasını, denetim hakkımızı tanımasını ve hizmet sonunda verileri silmesini veya iade etmesini güvence altına alırız.

6.7. Kliniklere Aktarımda Sorumluluk ve Roller
Yönlendirme kapsamında verilerinizin paylaşıldığı Klinikler, kendi hizmetleri özelinde bağımsız veri sorumlusu konumundadır. Kliniklerin veri işleme faaliyetleri, kendi aydınlatma metinleri ve gizlilik politikalarına tabidir. Kliniklerle paylaşılan veri kapsamı, yönlendirme işlevinin gerektirdiği asgari bilgilerle sınırlıdır (ör. ad, iletişim bilgisi, ön değerlendirme özeti; sağlık verisi paylaşımı varsa ayrı açık rıza ile).

6.8. Alt Yüklenici Kullanımı (Sub-processor)
Veri işleyen konumundaki üçüncü tarafların, hizmetlerini yerine getirmek için başka bir veri işleyenden (alt yüklenici) faydalanması, yalnızca bizim önceden yazılı onayımız ve alt yüklenicinin bizimle imzalanan sözleşmedekiyle eşdeğer veri koruma güvencelerini sağlaması koşuluyla mümkündür. Önemli alt yüklenici değişiklikleri, mümkün olan hâllerde Platform üzerinde güncellenmiş listelerle duyurulur (Bkz. EK-2).

6.9. Üçüncü Taraf Listesi Güncelleme Prosedürü
EK-2’de yer alan hizmet sağlayıcı listesi düzenli olarak gözden geçirilir. Önemli değişiklikler (yeni sağlayıcı eklenmesi, rol/konum değişikliği gibi) halinde liste güncellenir ve Platform içi bildirim ile duyurulur; gerekli hallerde aydınlatma ve/veya açık rıza süreçleri yenilenir.

7. KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMI

Özet: Kullandığımız küresel teknoloji altyapıları nedeniyle verileriniz yurt dışına aktarılabilir. Bu aktarımları, KVKK’nın getirdiği en sıkı kurallara ve güvenlik önlemlerine uygun olarak gerçekleştiriyoruz.

7.1. Aktarım Nedenleri ve Konumlar
Platformumuzun altyapısını oluşturan bulut hizmet sağlayıcıları gibi teknoloji ortaklarımızın veri merkezleri yurt dışında bulunabileceğinden, kişisel verileriniz aşağıdaki amaçlarla yurt dışına aktarılabilir:

Güvenli veri depolama ve yedekleme.
Platformun kesintisiz ve performanslı çalışmasının sağlanması.
Küresel standartlarda güvenlik altyapısından faydalanma.
Sunucu Lokasyonları: [Örn: Avrupa Birliği (Frankfurt, Dublin), ABD vb.]

7.2. Hukuki Dayanak ve Güvenceler
Yurt dışına veri aktarımlarını, KVKK’nın 9. maddesinde belirtilen mekanizmalara dayanarak gerçekleştiririz. Türkiye’de yeterlilik kararı bulunmayan ülkelere aktarımda; (i) taahhütname ve Kurul izni süreçlerini tamamlayarak aktarım yaparız veya (ii) bu mekanizmaların mümkün olmadığı durumlarda, ilgili veri aktarımının niteliği, potansiyel riskleri ve alınan önlemler hakkında sizi şeffaf bir şekilde bilgilendirerek açık rızanızı alırız. Açık rızaya dayalı bir aktarım söz konusu olduğunda, rızanızı her zaman geri çekme hakkına sahipsiniz; bu durumda ilgili aktarım ileriye dönük olarak durdurulur.

7.3. Uygulanan Ek Güvenlik Önlemleri
Yurt dışına aktarılan verilerinizin güvenliğini sağlamak için ek tedbirler alırız:

Veri Minimizasyonu: Yalnızca aktarım amacıyla sınırlı ve gerekli olan verileri aktarırız.
Şifreleme: Verilerinizi hem aktarım sırasında (in-transit) hem de saklandığı yerde (at-rest) güçlü şifreleme algoritmalarıyla koruruz.
Sözleşmesel Güvenceler: Hizmet sağlayıcılarımızla, veri koruma standartlarımızı karşılamalarını zorunlu kılan veri işleme sözleşmeleri imzalarız.

7.4. Zorunlu Aktarımlar ve Hizmet Bütünlüğü
Bazı üçüncü taraf hizmetleri (ör. bulut barındırma, içerik dağıtım ağı, güvenli yedekleme, hata izleme/çökmeler, anlık bildirim altyapısı) teknik olarak yurt dışında konuşlu olabilir. Bu hizmetler hizmetin çalışması için zorunlu ise, KVKK m.9 kapsamında belirtilen mekanizmalar uygulanır (Kurulca yeterlilik, taahhütname+Kurul izni veya ayrı açık rıza). Aktarım amaçla sınırlı ve gerekli ölçüdedir.

7.5. Veri Aktarımı Etki Değerlendirmesi
Yurt dışına veri aktarımı gereken senaryolarda; alıcı ülke mevzuatı, sağlayıcının güvenlik olgunluğu, şifreleme ve anahtar yönetimi, alt yüklenici zinciri, veri minimizasyonu ve saklama süreleri dikkate alınarak aktarımı konu alan bir etki değerlendirmesi yapılır ve sonuçları doğrultusunda teknik/idari tedbirler güncellenir.

8. VERİ SAKLAMA SÜRELERİ VE İMHA POLİTİKASI

Özet: Verilerinizi yalnızca işlendikleri amaç için gerekli olan süre kadar saklarız. Özellikle sağlık verileriniz, analiz tamamlandıktan sonra aktif sistemlerimizden derhal silinir.

8.1. Genel Saklama Prensibi
Kişisel verilerinizi, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami süre kadar muhafaza ederiz. Sürenin sona ermesiyle birlikte verilerinizi siler, yok eder veya anonim hale getiririz.

8.2. AI Analizi Sonrası Sağlık Verilerinin Silinmesi
Platformun temel hizmeti olan AI ön değerlendirmesi için yüklediğiniz ağız fotoğrafları ve anamnez bilgileri, analiz süreci tamamlanıp size sonuç raporu sunulduktan hemen sonra aktif sistemlerimizden kalıcı olarak silinir. Bu veriler, analiz amacı dışında sistemlerimizde tutulmaz.

8.3. Kullanıcı Talebiyle Silme
Hesabınızı kapatma veya verilerinizi sildirme talebinde bulunduğunuzda, kimliğinizi doğruladıktan sonra, başka bir yasal zorunluluk bulunmadığı takdirde, ilgili tüm kişisel verilerinizi en geç 30 gün içinde sileriz.

8.4. Yedekleme Sistemlerinde Saklama ve İmha
İş sürekliliği ve felaket kurtarma amacıyla düzenli olarak alınan sistem yedeklerinde, silinen verilerinizin kopyaları bir süre daha kalabilir. Bu yedekler üzerindeki veriler;

Erişilemez ve başka hiçbir amaçla işlenemez şekilde izole edilir.
Yedekleme döngülerimiz çerçevesinde, silme talebinizden itibaren en geç 90 gün içinde geri döndürülemez şekilde anonim hale getirilir veya imha edilir.

8.5. Saklama Süreleri Tablosu
Detaylı saklama süreleri için lütfen bu belgenin sonundaki EK-1: Saklama Süreleri Tablosu bölümüne bakınız.

8.6. Periyodik İmha Takvimi
Bu Politikada ve eklerindeki saklama süreleri sona eren kişisel veriler, tarafımızca belirlenen 6 (altı) aylık periyodik imha takvimleri çerçevesinde silinir, yok edilir veya anonim hale getirilir. Kanunen daha kısa sürede imha edilmesi gereken veri kategorileri veya kullanıcı talebi üzerine yapılan silme işlemleri için bu periyot beklenmez.

9. VERİ GÜVENLİĞİ ÖNLEMLERİ

Özet: Verilerinizi yetkisiz erişime, kayba veya hasara karşı korumak için uluslararası standartlarda teknik ve idari güvenlik tedbirleri uyguluyoruz.

Verilerinizin güvenliğini sağlamak amacıyla aldığımız başlıca önlemler şunlardır:

9.1. Şifreleme: Tüm kişisel verileriniz, hem sunucularımızda saklanırken (at-rest) hem de cihazınız ile sunucularımız arasında aktarılırken (in-transit) TLS gibi güçlü protokollerle şifrelenir.
9.2. Erişim Kontrolü: “En az yetki” prensibiyle çalışırız. Çalışanlarımızın kişisel verilere erişimi, yalnızca görevlerini yerine getirmeleri için zorunlu olan verilerle sınırlandırılmıştır ve tüm erişimler kayıt altına alınır.
9.3. Ağ Güvenliği: Güvenlik duvarları (Firewall), Web Uygulama Güvenlik Duvarı (WAF), Dağıtık Hizmet Engelleme (DDoS) saldırılarına karşı koruma sistemleri gibi katmanlı ağ güvenliği önlemleri kullanırız.
9.4. Güvenlik Denetimleri: Platformumuzun güvenliğini sağlamak için düzenli olarak sızma testleri (penetration testing) ve zafiyet taramaları yaptırırız.
9.5. İdari Önlemler: Çalışanlarımıza düzenli olarak veri güvenliği ve gizlilik eğitimleri verir, gizlilik sözleşmeleri imzalatır ve yetki matrisleri ile sorumlulukları net bir şekilde belirleriz.
9.6. Tedarikçi Yönetimi: Birlikte çalıştığımız tüm üçüncü taraf hizmet sağlayıcılarının, bizimle aynı düzeyde veri güvenliği standartlarına sahip olduğunu doğrulamak için özenli bir değerlendirme süreci yürütürüz.
9.7. Olay Müdahale Planı: Olası bir veri ihlali durumunda atılacak adımları, sorumlulukları ve bildirim süreçlerini içeren bir Olay Müdahale Planımız bulunmaktadır. Detaylı akış için EK-6’ya bakabilirsiniz.
9.8. Şifreleme Anahtar Yönetimi: Uygulanan şifreleme kontrollerine ilişkin anahtar yönetimi sektör standartlarına uygundur. Anahtar erişimi yetkilendirme ve kayıt altına alma süreçlerine tabidir; rotasyon, versiyonlama ve güvenli saklama politikaları uygulanır.

10. ÇEREZLER, SDK’LAR VE BENZER TEKNOLOJİLER

Özet: Platformumuzun düzgün çalışması, analizi ve iyileştirilmesi için çerezler (web sitesinde) ve SDK’lar (mobil uygulamada) gibi teknolojiler kullanıyoruz. Bu teknolojiler üzerindeki kontrol size aittir.

10.1. Kullanılan Teknolojiler ve Amaçları
Platformumuzda, kullanıcı deneyimini geliştirmek ve hizmetlerimizi optimize etmek amacıyla çerezler, pikseller, yerel depolama ve Yazılım Geliştirme Kitleri (SDK’lar) gibi teknolojilerden faydalanırız. Bu teknolojileri aşağıdaki kategorilerde kullanırız:

Zorunlu Teknolojiler: Platformun temel işlevlerinin (örneğin, oturum açma, güvenlik) çalışması için gereklidir. Kapatılamazlar.
İşlevsel Teknolojiler: Dil tercihlerinizi veya ayarlarınızı hatırlayarak size daha kişiselleştirilmiş bir deneyim sunar.
Analitik/Performans Teknolojileri: Platformun nasıl kullanıldığını (örneğin, en çok hangi özelliklerin kullanıldığı, hata oranları) anonim veya takma adlı verilerle analiz ederek hizmetlerimizi iyileştirmemize yardımcı olur.
Pazarlama/Reklam Teknolojileri: (Varsa) İlgi alanlarınıza yönelik reklamlar göstermek veya pazarlama kampanyalarımızın etkinliğini ölçmek için kullanılır.

10.2. Tercih Yönetimi

Web Sitesi (Çerezler): Web sitemizi ilk ziyaret ettiğinizde karşınıza çıkan Çerez Yönetim Platformu (CMP) veya çerez bandı aracılığıyla, zorunlu çerezler dışındaki tüm çerez kategorileri için onay verebilir veya reddedebilirsiniz. Web sitemizdeki “Çerez Ayarları” bağlantısından dilediğiniz an kategorik tercihlerinizi güncelleyebilir, onaylarınızı geri çekebilirsiniz. Zorunlu çerezler haricinde, rızanıza dayanarak (opt-in) çalışma prensibi uygulanır.
Mobil Uygulama (SDK’lar): Mobil cihazınızın işletim sistemi ayarlarından (örneğin, reklam kimliğini sıfırlama veya reklam takibini sınırlama) SDK’ların veri toplamasını kısmen kontrol edebilirsiniz.

10.3. Kullanılan Çerez ve SDK’lar
Platformumuzda kullanılan başlıca çerez ve SDK’ların detaylı listesi, sağlayıcıları, amaçları ve saklama süreleri için lütfen bu belgenin sonundaki EK-3 (Web Çerezleri Matrisi) ve EK-4 (Mobil SDK Matrisi) bölümlerine bakınız.

10.4. Cihaz İzinleri Hakkında Şeffaflık (Mağaza Uyum Notu)
Platform’un işlevlerini yerine getirebilmesi için mobil cihazınızda aşağıdaki izinlere ihtiyaç duyabiliriz:

Kamera/Galeri: Yalnızca hizmet kapsamında analiz edilecek ağız içi fotoğrafını çekmek veya mevcut fotoğraflardan yüklemek için kullanılır; başka bir amaçla erişilmez ve galeriniz taranmaz.
Konum: Yalnızca Klinik yönlendirme hizmeti kapsamında, açık rızanızla size en yakın klinikleri önermek için kullanılır; arka planda sürekli izleme yapılmaz.
Bildirimler (Push): Randevu hatırlatma, işlem durumları ve tercihiniz halinde kampanyaları bildirmek için; Hesap > İletişim Tercihleri ve cihaz ayarlarından dilediğiniz an kapatabilirsiniz.
Depolama/Dosyalar: Seçtiğiniz fotoğrafı yüklemek için geçici erişim sağlanır; yerel medya içeriğinizin geneli taranmaz veya işlenmez.

10.5. ‘Do Not Track’ (DNT) Sinyalleri
Halihazırda, web tarayıcılarından gönderilen “Do Not Track” (DNT) sinyallerine yanıt vermek için endüstri standardı bir yöntem bulunmamaktadır. Bu nedenle, şu anki teknik altyapımız bu sinyalleri tanımamakta ve yanıt vermemektedir. Çerezler ve izleme teknolojileri üzerindeki tercihlerinizi, Bölüm 10.2’de açıklanan Çerez Yönetim Platformu aracılığıyla yönetebilirsiniz.

11. PAZARLAMA İLETİLERİ VE TERCİHLERİNİZ

Özet: Size ticari amaçlı e-posta, SMS veya anlık bildirim göndermeden önce mutlaka onayınızı alırız ve bu onayınızı dilediğiniz zaman kolayca geri çekme imkanı sunarız.

11.1. Ticari Elektronik İleti Onayı
Platformumuzdaki kampanyalar, indirimler, yeni özellikler veya diğer tanıtım faaliyetleri hakkında sizi bilgilendirmek amacıyla ticari elektronik ileti (e-posta, SMS, anlık bildirim) göndermek için, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun uyarınca sizden ayrıca ve açıkça onay alırız. Onayınızı, iletişim kanalı bazında (örneğin, sadece e-posta, SMS yok) ayrı ayrı verme imkanınız bulunur.

11.2. Onayın Geri Alınması (Reddetme Hakkı)
Pazarlama iletileri alma onayınızı dilediğiniz zaman, hiçbir gerekçe göstermeksizin ve ücretsiz olarak geri çekebilirsiniz. Bunun için:

E-posta: Gelen e-postanın altındaki “Abonelikten Ayrıl” bağlantısına tıklayabilirsiniz.
SMS: SMS metninde belirtilen reddetme talimatını (örneğin, “IPTAL” yazıp belirli bir numaraya göndermek) uygulayabilirsiniz.
Anlık Bildirimler (Push Notifications): Cihazınızın işletim sistemi ayarlarından (Ayarlar > Bildirimler > SmileUp) veya Platform içerisindeki “İletişim Tercihleri” bölümünden anlık bildirim izinlerini dilediğiniz zaman kapatabilirsiniz.
Platform: Hesap ayarlarınızdaki “İletişim Tercihleri” bölümünden tüm onaylarınızı yönetebilirsiniz.

11.3. Onay Kayıtları
Verdiğiniz onaylar ve reddetme işlemlerine ilişkin kayıtlar, yasal zorunluluklar gereği ilgili mevzuatta öngörülen süreler boyunca sistemlerimizde saklanır.

11.4. İYS (İleti Yönetim Sistemi) Bilgilendirmesi
Ticari elektronik iletilere ilişkin onay/ret yönetimi İYS (İleti Yönetim Sistemi) üzerinden yürütülür. Onaylarınızı İYS üzerinden de görüntüleyebilir ve dilediğiniz an reddedebilirsiniz. Platform içindeki İletişim Tercihleri bölümünde yaptığınız değişiklikler İYS kayıtlarıyla uyumlu şekilde işlenir.

12. KİŞİSEL VERİLERİNİZE İLİŞKİN HAKLARINIZ VE BAŞVURU SÜRECİ

Özet: KVKK kapsamında verileriniz üzerinde birçok hakka sahipsiniz. Bu haklarınızı kullanmak için bize kolayca başvurabilir ve 30 gün içinde yanıt alabilirsiniz.

12.1. KVKK Kapsamındaki Haklarınız
KVKK’nın 11. maddesi uyarınca, Veri Sorumlusu olarak bize başvurarak aşağıdaki haklarınızı kullanabilirsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
İşlenmişse buna ilişkin bilgi talep etme,
İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında verilerinizin aktarıldığı üçüncü kişileri bilme,
Verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVKK’da öngörülen şartlar çerçevesinde verilerinizin silinmesini veya yok edilmesini isteme,
Düzeltme, silme veya yok etme işlemlerinin, verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
Verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

12.2. Başvuru Yöntemleri
Haklarınızı kullanmak için taleplerinizi, kimliğinizi teyit edici belgelerle birlikte aşağıdaki yöntemlerden biriyle bize iletebilirsiniz:

E-posta Yoluyla: Kayıtlı e-posta adresinizden veya güvenli elektronik imzalı olarak [kvkk@smileup.app] adresine e-posta göndererek.
Yazılı Olarak: Islak imzalı bir dilekçe ile [Şirket Adresi] adresine iadeli taahhütlü mektup veya noter kanalıyla.
Başvuru Formu: [Başvuru Formu URL Adresi] adresindeki Veri Sahibi Başvuru Formu’nu doldurarak.

12.3. Başvuruların Yanıtlanması
Talebiniz, niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret talep edilebilir. Talebinizin olumlu veya olumsuz gerekçeli yanıtı, yazılı olarak veya elektronik ortamda tarafınıza bildirilecektir. Başvuru sürecimizin detaylı akışı için EK-5’e bakabilirsiniz.

12.4. Kişisel Verileri Koruma Kurumu’na Şikâyet Hakkı
Başvurunuza verdiğimiz yanıttan memnun kalmazsanız veya başvurunuzun reddedilmesi durumunda, yanıtımızı öğrendiğiniz tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilirsiniz.

12.5. Vekâlet ve Başvuru Reddi Şartları
Veri sahibi adına üçüncü kişilerce yapılacak başvurularda noter onaylı vekâletname veya usulüne uygun yetki belgesi aranır. Kimlik doğrulamanın sağlanamadığı, talebin yasalara aykırı veya kötüye kullanım niteliğinde olduğu ya da KVKK kapsamı dışında kaldığı hallerde, başvuru gerekçesi açıklanarak reddedilebilir.

13. VERİ İHLALİ BİLDİRİMLERİ

Özet: Olası bir veri ihlali durumunda, yasal yükümlülüklerimiz doğrultusunda sizi ve Kişisel Verileri Koruma Kurumu’nu bilgilendirmek için hazırlıklı bir sürecimiz bulunmaktadır.

13.1. Tespit ve Müdahale
Kişisel verilerinizi etkileyen bir güvenlik ihlali (siber saldırı, yetkisiz erişim, veri sızıntısı vb.) tespit etmemiz durumunda, Olay Müdahale Planımızı derhal devreye sokarız.

13.2. Bildirim Süreçleri

Kurul’a Bildirim: İhlali öğrendiğimiz tarihten itibaren en kısa sürede Kişisel Verileri Koruma Kurumu’na gerekli bildirimleri yaparız.
İlgili Kişilere Bildirim: İhlalin haklarınız ve özgürlükleriniz açısından yüksek bir risk oluşturması söz konusuysa, mümkün olan en kısa sürede e-posta veya Platform içi duyuru gibi uygun kanallarla sizi bilgilendirir; zararı azaltmak için alabileceğiniz önlemleri açıklarız.

13.3. Veri İhlali Bildirim Formatı (Operasyonel Netlik)
Bildirim, asgari olarak aşağıdaki unsurları içerir:

İhlalin niteliği ve gerçekleşme tarihi,
Etkilenen kişi/ kayıt kategorileri ve tahmini sayılar,
Muhtemel sonuçlar ve riskler,
Alınan/önerilen önlemler,
İrtibat noktası (e-posta/telefon).

14. TANIMLAR SÖZLÜĞÜ

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (ad, soyad, e-posta, IP adresi vb.).
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık ve kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. Politikamız kapsamında sağlık verileri bu kategoriye girer.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (Bu Politikada [Şirket Unvanı]).
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi (Örn: Bulut hizmeti sağlayıcısı).
AI/ML Modeli: Yapay Zeka (Artificial Intelligence) / Makine Öğrenmesi (Machine Learning) modeli; belirli bir görevi (bu durumda ağız fotoğraflarını analiz etme) yerine getirmek üzere büyük veri setleriyle eğitilmiş algoritma.
Yönlendirme: Kullanıcının talebi üzerine, iletişim bilgilerinin veya ön değerlendirme sonuçlarının bir Klinik ile paylaşılması işlemi.
Misafir Kullanıcı: Platform’a üye olmadan, sınırlı özelliklerden faydalanan kullanıcı.

15. ULUSLARARASI KULLANIM

Özet: Platformumuza Türkiye dışından erişiyorsanız, kendi ülkenizdeki yasalara uymak sizin sorumluluğunuzdadır.

Platformumuz Türkiye Cumhuriyeti yasalarına tabi olarak işletilmektedir. Platform’a Türkiye dışından erişim sağlayan kullanıcılar, kendi bulundukları yargı bölgesinin yerel yasa ve düzenlemelerine uymaktan münhasıran sorumludur. Veri işleme faaliyetlerimiz, bu Politikada belirtildiği gibi KVKK çerçevesinde yürütülür.

16. POLİTİKA GÜNCELLEMELERİ VE YÜRÜRLÜK

Özet: Bu Politikayı zaman zaman güncelleyebiliriz. Önemli değişiklikleri size bildireceğiz.

16.1. Güncelleme
İş süreçlerimizde veya yasal mevzuatta meydana gelen değişikliklere bağlı olarak bu Gizlilik Politikası’nı zaman zaman güncelleyebiliriz. Politikada yapılacak esaslı değişiklikleri, yürürlüğe girmeden önce size e-posta veya Platform üzerinden bildireceğiz.

16.2. Yürürlük ve Geçmiş Sürümler
Bu Politika, belgenin başında belirtilen tarihte yürürlüğe girmiştir. Politikanın güncel versiyonuna her zaman Platform üzerinden erişebilirsiniz. Önceki sürümlerin bir kaydını, talep üzerine temin edebilirsiniz.

16.3. İletişim
Bu Politika veya kişisel verilerinizin işlenmesi hakkında daha fazla bilgi için [kvkk@smileup.app] adresinden bizimle iletişime geçmekten çekinmeyiniz.

16.4. Politika Erişimi
Bu Gizlilik Politikası’na, uygulama mağazaları (Apple App Store, Google Play Store) ve diğer platformların gerekliliklerine uygun olarak tekil ve sabit bir URL üzerinden her zaman erişim sağlanır. Bu URL, ilgili mağazaların “Privacy Policy URL” alanına girilen adrestir.

16.5. Çok Dilli Metinler ve Bağlayıcılık
Platform, kolaylık sağlaması amacıyla Gizlilik Politikası’nın diğer dillerde çevirilerini sunabilir. Her durumda bağlayıcı metin Türkçe versiyondur. Çeviri ile Türkçe metin arasında farklılık olması halinde Türkçe metin esas alınır.

17. EKLER

EK-1: SAKLAMA SÜRELERİ TABLOSU

Veri Kategorisi	Saklama Süresi	Gerekçe / Notlar
Muhasebe/Finans Kayıtları	Düzenlendiği yılı takip eden takvim yılı başından itibaren 10 yıl	Türk Ticaret Kanunu ve Vergi Usul Kanunu kapsamındaki yasal yükümlülükler.
Sözleşmesel Talep Kayıtları (Destek yazışmaları dahil)	Hukuki ilişkinin sona ermesinden itibaren 10 yıl	Türk Borçlar Kanunu uyarınca genel dava zamanaşımı süresi.
Hesap Profili Verileri (Fatura dışı ad, e-posta vb.)	Hesap kapatıldıktan sonra 2 yıl	Meşru menfaat; olası uyuşmazlıklarda görev ve yetki ispatı.
Pazarlama Onay Kayıtları	Onayın geri çekildiği tarihten itibaren 3 yıl	Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Yönetmeliği.
Sağlık Verileri (Fotoğraf, Anamnez)	AI analizi tamamlandıktan hemen sonra	Amaçla sınırlılık ilkesi; aktif sistemlerden silinir. Yedeklerde 90 gün içinde anonimleştirilir.
Kullanım ve Cihaz Verileri	Son etkileşimden itibaren 2 yıl	Güvenlik analizi, hata tespiti ve hizmet iyileştirme amaçlarıyla anonimleştirilerek saklanır.
Erişim/İşlem Logları	Oluşturulduğu tarihten itibaren 2 yıl	5651 sayılı Kanun ve meşru menfaat (güvenlik analizi, olay yanıtı); sonrasında anonimleştirilir.
Sunucu/Altyapı İz Kayıtları	Oluşturulduğu tarihten itibaren 2 yıl	Meşru menfaat ve uyum; sonrasında anonimleştirilir.

EK-2: ÜÇÜNCÜ TARAFLAR / ALICI GRUPLARI LİSTESİ (ÖRNEK)
Not: Bu liste, Politika’nın yürürlük tarihi itibarıyla geçerlidir ve düzenli olarak gözden geçirilir. Hizmet sağlayıcılarımızda meydana gelen önemli değişiklikler, Platform içi bildirimle duyurulur.

Klinikler: Yönlendirme talebiyle Kullanıcı tarafından seçilen diş klinikleri ve sağlık profesyonelleri (Bağımsız Veri Sorumlusu).
Bulut Altyapı Sağlayıcıları: [Google Cloud Platform (Google LLC) – Veri Barındırma], [Amazon Web Services (AWS) – Veritabanı ve Sunucu].
Analitik Sağlayıcılar: [Firebase (Google LLC) – Uygulama Analitiği ve Crashlytics], [Sentry.io – Hata İzleme].
Ödeme Hizmeti Sağlayıcıları (Gelecekte): [Iyzico, Stripe vb. listesi].
İleti Gönderim Servisleri: [İlgili SMS ve E-posta gönderim sağlayıcıları].

EK-3: WEB ÇEREZLERİ MATRİSİ (ÖRNEK)

Çerez Adı	Sağlayıcı	Kategori	Amaç	Hukuki Sebep	Saklama Süresi	Veri Tutma Konumu	Sorumlu Birim
sessionid	SmileUp	Zorunlu	Oturumu aktif tutmak, güvenliği sağlamak.	Sözleşmenin İfası	Oturum Sonunda	AB (Frankfurt)	Platform Ekibi
_ga	Google LLC	Analitik	Kullanıcıları ayırt etmek, site trafiğini analiz etmek.	Açık Rıza	2 Yıl	ABD	Pazarlama Ekibi
lang_pref	SmileUp	İşlevsel	Dil tercihini hatırlamak.	Açık Rıza	1 Yıl	AB (Frankfurt)	Platform Ekibi
cookie_consent	SmileUp	Zorunlu	Çerez tercihlerini saklamak.	Meşru Menfaat	6 Ay	AB (Frankfurt)	Platform Ekibi

EK-4: MOBİL SDK MATRİSİ (ÖRNEK)

SDK Adı	Sağlayıcı	Amaç	Hukuki Sebep	Veri Tutma Konumu	Toplanan Veri Örnekleri
Firebase Crashlytics	Google LLC	Çökmeleri ve hataları raporlamak.	Meşru Menfaat	ABD	Cihaz modeli, OS versiyonu, çökme anındaki durum, anonim ID.
Firebase Analytics	Google LLC	Kullanım analizi, iyileştirme.	Meşru Menfaat	ABD	Oturum süresi, ekran görüntülemeleri, coğrafi konum (şehir), anonim ID.
Sentry	Sentry.io	Hata takibi, performans izleme.	Meşru Menfaat	ABD / AB	Hata logları, ağ istek süreleri, cihaz bilgileri, işlem adımları.

EK-5: VERİ SAHİBİ BAŞVURU (DSAR) SÜREÇ AKIŞI

Başvurunun Alınması: Talep, Bölüm 12.2’de belirtilen kanallardan birinden alınır.
Kimlik Doğrulama: Başvuranın gerçekten veri sahibi olup olmadığını teyit etmek için ek bilgi (örn: kayıtlı e-postaya doğrulama linki gönderme) istenebilir.
Talebin Değerlendirilmesi: Talep (silme, düzeltme, erişim vb.) hukuki ve teknik olarak incelenir. Talebin reddini gerektiren yasal bir sebep olup olmadığı kontrol edilir.
Talebin Yerine Getirilmesi: Talep geçerliyse, ilgili departmanlar tarafından gerekli teknik işlemler (veritabanından silme, rapor oluşturma vb.) gerçekleştirilir.
Yanıtın Hazırlanması ve Gönderilmesi: Yapılan işlemi ve sonucunu açıklayan gerekçeli yanıt hazırlanır ve başvuru tarihinden itibaren en geç 30 gün içinde başvuru sahibine iletilir.

EK-6: VERİ İHLALİ OLAY MÜDAHALE AKIŞI

Tespit ve Raporlama: Potansiyel ihlal, otomatik sistemler veya manuel olarak tespit edilir ve Olay Müdahale Ekibi’ne bildirilir.
Sınırlama ve Kontrol: İhlalin yayılmasını önlemek ve etkisini azaltmak için acil önlemler alınır (örn: etkilenen sistemin izole edilmesi, yetkisiz erişimin engellenmesi).
Değerlendirme ve Analiz: İhlalin kaynağı, kapsamı, etkilenen veri türleri ve kişi sayısı belirlenir. Risk analizi yapılır.
Yasal Bildirimler: Risk seviyesine göre, en kısa sürede KVKK Kurumu’na ve yüksek risk durumunda etkilenen veri sahiplerine bildirim yapılır (Bkz. Bölüm 13.3).
İyileştirme ve Kök Neden Analizi: Olay tamamen çözüldükten sonra, tekrarını önlemek için kök neden analizi yapılır ve güvenlik önlemleri güncellenir. Tüm süreç kayıt altına alınır.

SmileUp Platformu Gizlilik Politikası