KLİNİK ADMİN AYDINLATMA METNİ (KRATS Direkt Müşterileri için)

Yürürlük: 17 Mayıs 2026 Versiyon: 2.0 Veri Sorumlusu: HATİCE GÜCÜK (Şahıs Şirketi) — "KRATS" VERBİS Başvuru No: 1778852213

Bu aydınlatma metni, KRATS yazılımına doğrudan kayıt olan klinik sahipleri, doktorlar, klinik yöneticileri ve sağlık personeli için yapılır. Hasta verisi için ayrı aydınlatma vardır: Hasta Aydınlatma Metni.

1. KİM VE NEDEN?

KRATS yazılımına bir profesyonel olarak kayıt olduğunuzda, lisans satın aldığınızda veya destek talebi gönderdiğinizde KRATS doğrudan veri sorumlusu (controller) sıfatıyla kişisel verilerinizi işler. (Hasta verisi söz konusu olduğunda KRATS işleyen, Klinik kontrolör — farklı bir ilişki, ayrı bir aydınlatma metni var.)

KVKK m.10 + GDPR m.13 uyumudur.

2. İŞLENEN VERİLERİNİZ

A) Hesap Verisi

Kullanıcı adı, parola hash'i (bcrypt — KRATS sizin parolanızı göremez)
Ad-soyad
Ünvan (Dr., Hem., Diyetisyen vb.)
Uzmanlık alanı
Rol (admin / doctor / staff)
Aktiflik durumu

B) İletişim

E-posta
(Opsiyonel) Telefon
Klinik adresi

C) Mesleki Kayıt

Uzmanlık alanı
Tabip odası numarası (gerekirse, doğrulama amaçlı — şu an aktif değil ama gelecekte eklenirse)

D) Faturalama

Vergi kimlik numarası (kurumsal müşteri ise)
Şirket unvanı / fatura adresi
Ödeme yöntemi referansı (Paddle aracılığıyla — kart numaranız KRATS'ta SAKLANMAZ, Paddle PCI DSS Level 1 uyumlu tarafta tutar)
Fatura tarihçesi, plan tipi

E) Cihaz Kayıtları

Hardware ID (lisans bağlama için)
Cihaz adı
Cihaz aktiflik durumu
Son görülme tarihi

F) Kullanım İzleri

Login zamanları
Login denemeleri (başarılı/başarısız — güvenlik amaçlı)
IP adresi (anonimleştirilmiş /24)
Tarayıcı bilgisi
Hangi özellikleri kullandığınız (sayısal)
Audit log (CRUD işlemleri — ne zaman, neyi değiştirdiğiniz)

G) Destek Talepleri

Destek ticket içeriği
Ekran görüntüleri (siz gönderirseniz)

H) Token State (Güvenlik)

JWT token ID'leri (logout/iptal için blacklist)
Token expiration

3. NEDEN İŞLENİR?

#	Amaç	KVKK Hukuki Sebep
1	KRATS hizmet sözleşmesinin ifası (hesap, lisans, destek)	m.5/2-c
2	Faturalama ve mali kayıt	m.5/2-a (VUK, TTK)
3	Platform güvenliği, kötüye kullanım tespiti	m.5/2-f
4	Ürün geliştirme (anonim kullanım analitiği)	m.5/2-f
5	Pazarlama iletişimi (yeni özellik duyurusu)	m.5/1 (opt-in açık rıza)
6	Yasal yükümlülükler	m.5/2-ç
7	KVKK m.11 başvuru yönetimi	m.5/2-ç
8	DPA kapsamında veri işleyici yükümlülükleri (hasta verisi için)	KVKK m.8 — işleyici sıfatı

4. AKTARIM

Yurt İçi

Mali müşavir / hukuk danışmanı (sözleşme/yasal)
Resmi makamlar (talep halinde)

Yurt Dışı (DPF/SCC ile güvence)

Hizmet	Sağlayıcı	Veri	Mekanizma
Web altyapısı + audit log	Cloudflare (US/EU)	Login, IP, audit	DPF + SCC
Ödeme MoR	Paddle (UK)	Fatura, vergi no, kart referansı	UK adequacy + SCC
İşlemsel e-posta	Resend (US)	E-posta + işlem türü	DPF
Hata izleme (opt-in)	Sentry (US)	Anonimleştirilmiş hata izi	DPF + PII filtresi
Kaynak kod	GitHub (US)	Sizin verileriniz GİTMEZ	DPF (kapsam dışı)

5. TOPLAMA YÖNTEMİ

Doğrudan sizden (kayıt formu, destek talebi)
Otomatik (login, IP, kullanım davranışı)
Üçüncü taraf doğrulama (ileride aktive edilirse, izninizle — örn. tabip odası entegrasyonu)

6. SAKLAMA SÜRELERİ

Veri	Süre	Sebep
Aktif hesap verisi (User, Device, Tenant)	Sözleşme süresi + 30 gün	Sözleşme + DPA
Faturalama / mali kayıt	10 yıl	VUK m.253, TTK m.82
Audit log (AuditLog)	5 yıl	KVKK m.12, ISO 27001
Login denemeleri	2 yıl	Güvenlik analizi
Token blacklist	Token expiry + 30 gün	Güvenlik
Kullanım analitiği (anonim)	2 yıl	İstatistik
Pazarlama tercihleri	İptal/3 yıl	Açık rıza
Destek yazışmaları	3 yıl	KVKK m.13
Hesap silindikten sonra (anonim istatistik)	Süresiz	Anonim — geri döndürülemez

7. HAKLARINIZ (KVKK m.11)

Hak	Nasıl Kullanılır
Bilgi alma	Bu metni okuyun; support@kratsonline.com
Erişim (data export)	Hesap → Ayarlar → "Verilerimi indir" (JSON export, 7 gün içinde)
Düzeltme	Hesap → Profil düzenle (anlık); sistem alanı için destek
Silme	Hesap → "Hesabımı kapat" — 30 gün içinde R2 yedeği dahil silme + sertifika
Aktarım/taşınabilirlik	"Verilerimi indir" JSON (GDPR m.20 uyumlu)
İtiraz	E-posta veya KEP
Pazarlama itirazı	Hesap → İletişim Tercihleri → Tüm pazarlama mesajlarını durdur (anlık)
Şikayet (KVKK Kurulu)	30 gün dolduktan veya yanıt yetersiz olduğunda

Başvuru:

E-posta: support@kratsonline.com
KEP: hatice.gucuk@hs03.kep.tr
Posta: Akarca Mah. 313 Sk. Dımlıoğulları Apt. B Blok No: 18/1, Anamur / Mersin
Telefon: 0850 346 86 01

Yanıt süresi: 30 gün.

8. ÇEREZLER

KRATS web sitesi + müşteri portalı çerez kullanır. Detay: Çerez Politikası

9. VERİ GÜVENLİĞİ

KVKK m.12 + ISO 27001 uyumu tedbirler:

TLS 1.2+ tüm trafik (TLS pinning kritik vendor'larda)
bcrypt cost 12 parola hash
HMAC-SHA256 lisans token
Audit log + hash zinciri tüm yönetici işlemlerinde
RBAC (rol bazlı erişim), en az yetki ilkesi
Sızma testi yıllık (planlı)
72 saat ihlal bildirimi
Cloudflare R2 yedekleme sıfır-bilgi şifreleme

10. OTOMATİK KARAR

KRATS hizmet kalitesini iyileştirmek için anonim kullanım analitiği yapar. Klinik admin hesabınız üzerinde otomatik profilleme veya otomatik karar YOKTUR (KVKK m.11/g + GDPR m.22).

AI klinik özet özelliği (Klinik aktive ederse hasta verisi için) — bu özellik hasta verisi üzerinde çalışır, sizin admin verinizde değil.

11. ÇOCUK VERİSİ

KRATS klinik admin hesabı 18 yaş üstü profesyoneller içindir. Çocuk admin hesabı oluşturulmaz.

12. DEĞİŞİKLİK

Bu metin güncellendiğinde e-posta ile 30 gün önceden bildirim yapılır. Önemli değişikliklerde login sonrası onay ekranı gösterilir.

EK-A: KVKK m.10 UYUM BEYANI

✓ Veri sorumlusu kimliği (HATİCE GÜCÜK / KRATS)
✓ İşleme amaçları (Bölüm 3)
✓ Aktarım (Bölüm 4)
✓ Toplama yöntemi (Bölüm 5)
✓ KVKK m.11 hakları (Bölüm 7)

Sürüm:

v1.0 — 17.05.2026 — İlk taslak
v2.0 — 17.05.2026 — Gerçek envantere göre güncellendi