Veri İşleme Sözleşmesi
Son güncelleme: 3 Şubat 2026
Bu Veri İşleme Sözleşmesi (DPA), GDPR'nin (AB 2016/679) 28. Maddesi uyarınca imzalanmakta olup TrichoSuite ile klinik arasındaki hizmet sözleşmesinin ayrılmaz bir parçasını oluşturmaktadır.
Taraflar
Veri Sorumlusu
TrichoSuite hizmetlerini satın alan klinik ("Müşteri")
Veri İşleyici
TrichoSuite Technologies S.L. (CIF: — · Kayıt beklemede)
1. Konu ve Kapsam
Bu sözleşmenin amacı, TrichoSuite Technologies S.L.'nin (bundan böyle 'İşleyici' olarak anılacaktır) TrichoSuite platformu hizmetlerinin sağlanması çerçevesinde klinik adına (bundan böyle 'Sorumlu' olarak anılacaktır) kişisel verileri işleyeceği koşulları düzenlemektir.
Bu DPA, İşleyicinin Sorumlu adına gerçekleştirdiği tüm kişisel veri işlemlerine uygulanır; bu işlemler arasında verilerin saklanması, değiştirilmesi, sorgulanması, iletilmesi ve silinmesi yer almaktadır.
2. İşlenen Veriler
İşleyici aşağıdaki kişisel veri kategorilerini işleyecektir:
- •Hasta kimlik verileri: ad, soyad, kimlik belgesi, e-posta, telefon, doğum tarihi, adres.
- •Sağlık verileri (GDPR Mad. 9): Norwood/Ludwig sınıflandırması, klinik fotoğraflar, 3D taramalar, tıbbi geçmiş, alerjiler, ilaçlar, ameliyat kayıtları, takip belgeleri.
- •İletişim verileri: klinik personeli ile mesajlar, AI chatbot görüşmeleri, dijital imzalı onay formları.
- •Klinik personel verileri: ad, mesleki e-posta, rol, giriş bilgileri, faaliyet kayıtları.
- •Finansal veriler: faturalar, teklifler, ödeme kayıtları (Stripe üzerinden yönetilen).
ÖNEMLİ: Sağlık verileri, GDPR'nin 9. Maddesi kapsamında özel nitelikli kişisel verilerdir. İşleme, Mad. 9(2)(h) istisnası kapsamında gerçekleştirilmektedir: koruyucu tıp, tıbbi teşhis veya sağlık hizmetlerinin sunulması amaçları.
3. İşleyicinin Yükümlülükleri
İşleyici şunları taahhüt eder:
- •Verileri yalnızca Sorumlu'nun belgelenmiş talimatlarına uygun olarak işlemek.
- •Kişisel verileri pazarlama, profil oluşturma veya üçüncü taraflara satış dahil olmak üzere kendi amaçları için kullanmamak.
- •Veri işlemeye yetkili kişilerin gizlilik yükümlülükleri üstlendiğinden emin olmak.
- •GDPR'nin 32. Maddesi uyarınca uygun teknik ve organizasyonel önlemleri uygulamak.
- •Sorumlu'ya veri sahiplerinin hak taleplerini yerine getirmede yardımcı olmak.
- •Sorumlu'ya Veri Koruma Etki Değerlendirmeleri (DPIA) yapmada yardımcı olmak.
- •GDPR Madde 28 uyumluluğunu kanıtlamak için gerekli tüm bilgileri Sorumlu'nun kullanımına sunmak.
- •Bir veri sahibinden alınan herhangi bir talebi gecikmeksizin Sorumlu'ya bildirmek.
4. Sorumlu Tarafın Yükümlülükleri
Sorumlu şunları taahhüt eder:
- •Hastalardan sağlık verilerinin işlenmesi için uygun onay almak.
- •İşleyiciye yasal ve GDPR uyumlu talimatlar vermek.
- •Kişisel veri işleme için yasal dayanak bulunduğundan emin olmak.
- •İşleyiciyi işleme talimatlarındaki değişiklikler hakkında bilgilendirmek.
- •GDPR Madde 30 uyarınca işleme faaliyetleri kaydını tutmak.
5. Alt İşleyiciler
Sorumlu, İşleyiciye alt işleyici kullanması için genel yetki verir. İşleyici değişiklikler hakkında en az 30 gün önceden bilgi verecektir.
| Sağlayıcı | Hizmet | Konum | Güvence |
|---|---|---|---|
| AWS | Bulut altyapısı | EU (Frankfurt) | SCCs + DPA |
| Railway | Hosting | EU | SCCs + DPA |
| Anthropic | AI (Claude Chatbot) | US | EU-US DPF + SCCs |
| OpenAI | Embeddings | US | EU-US DPF + SCCs |
| Stripe | Ödemeler | EU/US | PCI-DSS + SCCs |
| Resend | EU | DPA | |
| PostHog | Analitik | EU | DPA |
| Sentry | İzleme | EU/US | SCCs + DPA |
6. Güvenlik Önlemleri
İşleyici, GDPR Mad. 32 kapsamında aşağıdaki önlemleri uygulayacaktır:
- •İletim sırasında (TLS 1.3) ve dinlenme halinde (AES-256) şifreleme.
- •En az ayrıcalık ilkesiyle rol tabanlı erişim kontrolü (RBAC).
- •Yöneticiler için zorunlu çok faktörlü kimlik doğrulama (MFA).
- •Tüm erişim ve değişikliklerin değiştirilemez denetim kayıtları.
- •Coğrafi yedeklilik ile şifreli yedeklemeler.
- •Düzenli güvenlik değerlendirmeleri ve yıllık sızma testleri.
- •Sürekli izleme ve tehdit tespiti.
- •Belgelenmiş olay müdahale prosedürleri.
7. Veri İhlali Bildirimi
Veri ihlali durumunda, İşleyici Sorumlu'yu 24 saat içinde bildirecektir. Bildirim şunları içerecektir:
- •İhlalin niteliği, kategoriler ve etkilenen veri sahiplerinin yaklaşık sayısı.
- •Veri Koruma Görevlisi iletişim bilgileri.
- •İhlalin olası sonuçları.
- •Alınan veya önerilen düzeltici önlemler.
İşleyici, denetim otoritesine (72 saat, GDPR Mad. 33) ve etkilenen veri sahiplerine (GDPR Mad. 34) bildirimde Sorumlu'ya yardımcı olacaktır.
8. Veri Sahiplerinin Hakları
İşleyici, Sorumlu'ya hak taleplerini (erişim, düzeltme, silme, kısıtlama, taşınabilirlik ve itiraz) yerine getirmede yardımcı olacaktır. Platform, veri dışa aktarımı ve seçici kayıt silme için entegre araçlar sunmaktadır.
9. Uluslararası Transferler
Tıbbi veriler öncelikle AB içinde saklanmaktadır. AEA dışına transferler için Standart Sözleşme Maddeleri (SCM) veya AB-ABD Veri Gizliliği Çerçevesine bağlılık güvence altına alınmaktadır.
10. Süre ve Fesih
Bu DPA, hizmet sözleşmesinin süresi boyunca yürürlükte kalacak ve sözleşmenin sona ermesiyle otomatik olarak sonlanacaktır. Gizlilik yükümlülükleri fesihten sonra da devam edecektir.
11. Veri İadesi ve Silinmesi
Fesih üzerine, İşleyici tüm kişisel verileri (kopyalar dahil) Sorumlu'nun tercihine göre iade edecek veya silecektir. İade, standart formatlarda (CSV, JSON, PDF) 30 gün içinde gerçekleştirilecektir. Yedeklemeler 90 gün içinde silinecektir.
12. Denetim ve Gözetim
İşleyici, uyumluluğu kanıtlamak için gerekli tüm bilgileri sunacak ve en az 30 gün önceden haber vererek, mesai saatlerinde ve hizmet operasyonlarına müdahale etmeksizin denetimlere izin verecektir.
İmzalar
Veri Sorumlusu Adına:
Ad, unvan, tarih ve imza
Veri İşleyici Adına:
TrichoSuite Technologies S.L.
İletişim
Bu DPA hakkında sorularınız veya imzalı bir kopya talep etmek için: