Gizlilik Politikası

1. Veri Sorumlusu

TrichoSuite üzerinden işlenen verilerin veri sorumlusu, kayıtlı adresi Calle Gran Via 28, 28013 Madrid, İspanya olan ve Vergi Kimlik Numarası (CIF) B12345678 olan TrichoSuite Technologies S.L.'dir. Platformumuzu kullanan klinikler için, hasta verileri açısından klinik veri sorumlusu olarak hareket ederken, TrichoSuite GDPR'nin 28. Maddesi kapsamında veri işleyen olarak görev yapar. Her klinikle bir Veri İşleme Sözleşmesi (DPA) imzalanır.

2. Topladığımız Veri Türleri

Veri sahibiyle olan ilişkiye bağlı olarak farklı kategorilerde kişisel veri topluyoruz:

• •Klinik Personeli Verileri: Ad, e-posta, telefon numarası, mesleki rol, giriş bilgileri ve etkinlik günlükleri.
• •Hasta Kimlik Verileri: Ad, e-posta, telefon, doğum tarihi, adres ve kimlik numarası (tıbbi kayıtlar için gerekli olduğunda).
• •Tıbbi Veriler (Özel Kategori): Norwood/Ludwig sınıflandırması, saç derisi fotoğrafları, 3D taramalar, tıbbi geçmiş, alerjiler, ilaçlar, cerrahi kayıtlar ve takip belgeleri.
• •İletişim Verileri: Klinik personeliyle sohbet mesajları, yapay zekâ chatbot konuşmaları, görüntülü konsültasyon kayıtları (onay verildiğinde).
• •Teknik Veriler: IP adresleri, tarayıcı türü, cihaz bilgileri, erişim günlükleri ve güvenlik ile analitik amaçlı çerezler.

3. Tıbbi Verilerin İşlenmesi

Saç ekimi kliniklerine hizmet veren bir platform olarak, GDPR'nin 9(2)(h) Maddesi kapsamında — sağlık hizmetleri amacıyla işleme — özel kategori verileri (sağlık verileri) işliyoruz. Bunlar şunları içerir:

• •Tedavi planlama ve belgeleme için saç derisinin 3D LiDAR taramaları.
• •Sınıflandırma, simülasyon ve ilerleme takibi için fotoğrafik kayıtlar.
• •Saç yoğunluğu ölçümleri, donör alan analizi ve greft hesaplamaları.
• •Teknik (FUE, FUT, DHI), greft sayıları ve ameliyat notları dahil cerrahi kayıtlar.
• •Alopesi aile öyküsü, ilaçlar ve eşlik eden hastalıklar dahil tıbbi geçmiş.
• •Tedavi önerileri, reçeteler ve takip notları.
• •Elektronik imzalı dijital onam formları.

4. Yapay Zekâ ve Otomatik İşleme

TrichoSuite, klinik hizmetleri geliştirmek için yapay zekâ kullanır. Yapay zekânın verilerinizi nasıl işlediği konusunda şeffafız:

• •Yapay Zekâ Chatbot: Claude (Anthropic) tarafından desteklenen sanal asistanımız hasta sorularını, randevu planlamasını ve genel bilgi taleplerini yönetir. Konuşmalar hizmet kalitesini artırmak için saklanır ve yönlendirme yapıldığında insan temsilciler tarafından incelenebilir. Kişisel tıbbi tavsiyeler her zaman yetkili profesyonellere yönlendirilir.
• •Norwood/Ludwig Sınıflandırması: Saç dökülmesi sınıflandırması önermek için saç derisi fotoğraflarının yapay zekâ analizi. Sonuçlar her zaman tıp profesyonelleri tarafından doğrulanır.
• •3D Simülasyon: Olası nakil sonrası sonuçların yapay zekâ tarafından oluşturulan tahminleri. Bunlar yalnızca görsel yardımcılardır ve tıbbi garanti teşkil etmez.
• •Lead Puanlama: Klinik takibini önceliklendirmek için chatbot etkileşimlerinin otomatik analizi. Yasal etkileri olan otomatik kararlar yalnızca yapay zekâ tarafından verilmez.
• •RAG Bilgi Tabanı: Sık sorulan soruları doğru bir şekilde yanıtlamak için klinik tarafından sağlanan bilgi tabanlarından yapay zekâ ile bilgi çekme.
• •Pazarlama Amaçlı Profilleme Yok: Hastaları pazarlama amaçlı profillemek veya verileri üçüncü taraflara satmak için yapay zekâ kullanmıyoruz.

5. İşlemenin Hukuki Dayanağı

Kişisel verileri GDPR'nin 6. Maddesinde tanımlanan aşağıdaki hukuki dayanaklara göre işliyoruz:

• •Sözleşmenin İfası (Md. 6(1)(b)): Kliniklere TrichoSuite platform hizmetlerinin sağlanması için gerekli işleme.
• •Yasal Yükümlülük (Md. 6(1)(c)): Vergi, muhasebe ve sağlık hizmeti belgeleme gerekliliklerine uyum.
• •Meşru Menfaat (Md. 6(1)(f)): Platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme ve anonimleştirilmiş analitikler.
• •Açık Rıza (Md. 6(1)(a) ve Md. 9(2)(a)): Yapay zekâ simülasyonları, chatbot etkileşimleri, pazarlama iletişimleri ve belirli veri paylaşım senaryoları için.
• •Sağlık Hizmeti Sunumu (Md. 9(2)(h)): Sağlık profesyonellerinin sorumluluğu altında tıbbi tedavi için gerekli sağlık verilerinin işlenmesi.

6. Verilerinizi Nasıl Kullanıyoruz

Verileriniz aşağıdaki amaçlarla kullanılmaktadır:

• •TrichoSuite platformunun ve tüm özelliklerinin sağlanması ve sürdürülmesi.
• •Hasta yönetimi, randevu planlaması ve tıbbi kayıt tutma.
• •Saç sınıflandırması, simülasyonlar ve chatbot yanıtları dahil yapay zekâ destekli analiz.
• •Raporlar, tedavi önerileri ve takip belgeleri oluşturma.
• •Hizmet güncellemeleri, güvenlik uyarıları ve sistem bildirimlerinin iletilmesi.
• •Anonimleştirilmiş analitikler ve kullanım kalıpları aracılığıyla platform iyileştirme.
• •Yasal ve düzenleyici gerekliliklere uyum.
• •Müşteri desteği ve teknik yardım.

7. Veri Paylaşımı ve Üçüncü Taraflar

Verileri yalnızca hizmetlerimizi sağlamak için gerekli olduğunda paylaşırız; tümü sıkı veri işleme sözleşmeleri kapsamındadır:

• •Bulut Altyapısı: Barındırma için AWS (Amazon Web Services) ve Railway, AB'de (Frankfurt, İrlanda) veri merkezleriyle.
• •Yapay Zekâ Hizmetleri: Chatbot işlevselliği için Anthropic (Claude) ve gömülü vektörler için OpenAI — AB-ABD Veri Gizliliği Çerçevesi kapsamında.
• •E-posta Hizmetleri: GDPR uyumlu işleme ile işlemsel e-postalar için Resend.
• •Ödeme İşleme: Abonelik faturalandırması için Stripe — PCI-DSS uyumlu.
• •Analitik: AB'de depolanan verilerle gizlilik odaklı ürün analitiği için PostHog.
• •Hata İzleme: Uygulama kararlılığı izleme için Sentry.
• •Kişisel verileri asla üçüncü taraflara satmaz veya reklam amaçlı kullanmayız.

8. Uluslararası Veri Transferleri

Bazı hizmet sağlayıcılarımız AB/AEA dışında yerleşiktir. Bu transferler için uygun güvencelerin mevcut olmasını sağlıyoruz: Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri (SCC'ler) veya AB-ABD Veri Gizliliği Çerçevesine katılım. Geçerli güvencelerin bir kopyasını DPO'muzla iletişime geçerek talep edebilirsiniz. Hasta tıbbi verileri öncelikli olarak AB veri merkezlerinde depolanır.

9. Veri Saklama

Verileri, amaçlarımızı yerine getirmek ve yasal yükümlülüklere uymak için gereken minimum süre boyunca saklıyoruz:

• •Klinik Hesap Verileri: Abonelik süresi boyunca artı yasal uyum için 5 yıl saklanır.
• •Hasta Tıbbi Kayıtları: İspanya sağlık düzenlemelerinin (Ley 41/2002) gerektirdiği şekilde minimum 15 yıl.
• •3D Taramalar ve Fotoğraflar: Silme özellikle talep edilmediği ve yasal olarak izin verilmediği sürece tıbbi kaydın bir parçası olarak saklanır.
• •Chatbot Konuşmaları: Hizmet kalitesi ve uyuşmazlık çözümü için 3 yıl, ardından anonimleştirilir.
• •İmzalı Onam Belgeleri: Süresiz olarak veya ilgili tıbbi düzenlemelerin gerektirdiği şekilde saklanır.
• •Analitik Verileri: Toplanmadan itibaren 26 ay içinde anonimleştirilir.
• •Güvenlik Günlükleri: Güvenlik ve dolandırıcılık önleme amaçlı 1 yıl.

10. Güvenlik Önlemleri

Verilerinizi korumak için kapsamlı teknik ve organizasyonel önlemler uyguluyoruz:

• •Şifreleme: Tüm veriler aktarım sırasında (TLS 1.3) ve depolamada (AES-256) şifrelenir.
• •Erişim Kontrolü: En az yetki ilkesiyle rol tabanlı erişim kontrolü (RBAC).
• •Kimlik Doğrulama: Çok faktörlü kimlik doğrulama (MFA) ve WebAuthn/geçiş anahtarı desteği.
• •Denetim Günlüğü: Tüm veri erişimi ve değişikliklerin kapsamlı günlüğü.
• •Altyapı Güvenliği: SOC 2 uyumlu bulut sağlayıcıları, düzenli güvenlik değerlendirmeleri ve sızma testleri.
• •Çalışan Eğitimi: Tüm ekip üyeleri için düzenli gizlilik ve güvenlik eğitimi.
• •Olay Müdahale: 72 saatlik ihlal bildirimi ile belgelenmiş olay müdahale prosedürleri.
• •Veri Yedekleme: Coğrafi yedeklilik ve test edilmiş kurtarma prosedürleriyle şifrelenmiş yedeklemeler.

11. Çerezler ve İzleme

Temel işlevsellik, kullanıcı tercihleri ve anonimleştirilmiş analitikler için çerezler ve benzeri teknolojiler kullanıyoruz. Temel çerezler güvenlik için gereklidir ve devre dışı bırakılamaz. İşlevsel ve analitik çerezler onayınızı gerektirir ve bunu istediğiniz zaman çerez ayarları panelinden yönetebilirsiniz. Üçüncü taraf reklam çerezleri kullanmıyoruz. Ayrıntılı bilgi için lütfen alt bilgiden erişilebilen Çerez Politikamıza bakın.

12. Haklarınız

GDPR ve LOPDGDD kapsamında kişisel verilerinizle ilgili aşağıdaki haklara sahipsiniz:

• •Erişim Hakkı (Md. 15): Hakkınızda tuttuğumuz verilerin onayını ve bir kopyasını elde edin.
• •Düzeltme Hakkı (Md. 16): Yanlış veya eksik kişisel verileri düzeltin.
• •Silme Hakkı (Md. 17): Yasal saklama gerekliliklerine tabi olarak verilerinizin silinmesini talep edin.
• •Kısıtlama Hakkı (Md. 18): Belirli durumlarda verilerinizi nasıl işlediğimizi sınırlayın.
• •Veri Taşınabilirliği Hakkı (Md. 20): Verilerinizi yapılandırılmış, makine tarafından okunabilir bir biçimde alın.
• •İtiraz Hakkı (Md. 21): Meşru menfaate dayalı işlemeye veya doğrudan pazarlamaya itiraz edin.
• •Rızayı Geri Çekme Hakkı: Daha önce verilen rızayı, önceki işlemeyi etkilemeksizin istediğiniz zaman geri çekin.
• •Otomatik Kararlarla İlgili Haklar (Md. 22): Yasal etkileri olan yalnızca otomatik işlemeye dayalı kararlara tabi olmayın.
• •Bu hakları kullanmak için privacy@trichosuite.com adresine başvurun. 30 gün içinde yanıt vereceğiz. Kliniklerin elindeki tıbbi veriler için, veri sorumlusu oldukları için lütfen doğrudan kliniğe başvurun.

13. Çocukların Gizliliği

TrichoSuite, tıp profesyonelleri için bir B2B platformudur. 16 yaşın altındaki bireylerden bilerek veri toplamıyoruz. Bir klinik 18 yaşın altındaki hastaları tedavi ediyorsa, verilerinin işlenmesi için ebeveyn onayı gereklidir. Uygun onay olmadan bir çocuktan yanlışlıkla veri topladığımızı düşünüyorsanız, lütfen derhal bizimle iletişime geçin.

14. Bu Politikadaki Değişiklikler

Uygulamalarımızdaki veya yasal gerekliliklerdeki değişiklikleri yansıtmak için bu gizlilik politikasını güncelleyebiliriz. Önemli değişiklikler, yürürlüğe girmeden en az 30 gün önce kayıtlı kullanıcılara e-posta ile bildirilecektir. Bu politikanın üst kısmındaki 'Son Güncelleme' tarihi, en son ne zaman revize edildiğini gösterir. Değişiklikler yürürlüğe girdikten sonra platformu kullanmaya devam etmeniz, güncellenen politikayı kabul ettiğiniz anlamına gelir.

15. İletişim Bilgileri

Gizlilikle ilgili sorularınız, veri koruma talepleri veya haklarınızı kullanmak için lütfen Veri Koruma Ekibimizle privacy@trichosuite.com adresinden iletişime geçin. Resmi sorular veya şikâyetler için kayıtlı adresimize de yazabilirsiniz: TrichoSuite Technologies S.L., Calle Gran Via 28, 28013 Madrid, İspanya.

16. Denetim Makamı

Veri koruma haklarınızın ihlal edildiğini düşünüyorsanız, İspanya Veri Koruma Ajansı'na (AEPD - Agencia Española de Protección de Datos) www.aepd.es adresinden veya C/ Jorge Juan 6, 28001 Madrid adresine posta yoluyla şikâyette bulunma hakkına sahipsiniz. AB'de ikamet edenler ayrıca yerel veri koruma otoritelerine de başvurabilirler.