Yasal
KVKK Aydınlatma Metni
Son güncelleme: Mayıs 2025 · 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hazırlanmıştır.
1. Veri Sorumlusu
Bu aydınlatma metni, FocusPath ("Platform", "Biz") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi uyarınca hazırlanmıştır. FocusPath; klinisyenler ve sağlık kuruluşları için dijital dikkat ve bilişsel değerlendirme hizmeti sunan, çok kiracılı (multi-tenant) bir B2B SaaS platformudur.
İletişim: info@focuspath.dev
2. İşlenen Kişisel Veriler ve Kategorileri
Platform üzerinden aşağıdaki kişisel veri kategorileri işlenmektedir:
| Kategori | Veri Türleri | Nitelik |
|---|---|---|
| Kimlik | Ad, soyad, doğum tarihi, cinsiyet | Genel |
| İletişim | E-posta adresi (veli / klinisyen) | Genel |
| Sağlık (Özel Nitelikli) | Psikometrik test yanıtları, tepki süreleri, dikkat ve bilişsel performans ölçüm verileri, değerlendirme skorları, klinisyen yorumları, AI destekli puanlama çıktıları | Özel Nitelikli |
| İşlem Güvenliği | IP adresi, kullanıcı ajanı (user-agent), oturum zamanları, denetim kaydı (audit log) verileri | Genel |
| Onam | Veli / yasal temsilci onam kaydı, onam tarihi, onam belgesinin versiyonu, onam işlemini yapan kullanıcı | Genel |
⚠ Psikometrik test verileri, KVKK m. 6 kapsamında özel nitelikli kişisel veri (sağlık verisi) sayılmakta olup işlenmesi açık rızaya tabidir.
3. Kişisel Verilerin İşlenme Amaçları
- Klinik dikkat ve bilişsel değerlendirme testlerinin yürütülmesi
- Değerlendirme sonuçlarının otomatik puanlanması ve raporlanması
- Klinisyen incelemesine sunulacak PDF ve dijital raporların oluşturulması
- Tekrar değerlendirmelerde ilerlemenin izlenmesi ve trend analizleri
- Veli/yasal temsilci onam süreçlerinin yönetilmesi ve belgelenmesi
- Platform güvenliği, yetkisiz erişimin önlenmesi ve denetim kaydının tutulması
- Yasal yükümlülüklerin yerine getirilmesi
4. Hukuki İşleme Dayanağı
Genel kişisel veriler için işleme dayanağı: KVKK m. 5/2(c) — sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması; ve m. 5/2(ç) — veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi.
Özel nitelikli sağlık verileri için işleme dayanağı: KVKK m. 6/2 — veri sahibinin (veya reşit değilse yasal temsilcisinin) açık rızası. Bu rıza, platform üzerindeki dijital onam akışı aracılığıyla alınmakta ve kaydedilmektedir.
Açık rızanın geri çekilmesi halinde devam eden değerlendirmeler durdurulur; ancak önceden alınan yasal kayıtlar mevzuat gereği saklı tutulabilir.
5. Kişisel Verilerin Aktarılması
FocusPath, müşteri (tenant) verilerini üçüncü taraflara satmaz, kiralamaz veya ticari amaçla paylaşmaz. Veriler yalnızca aşağıdaki durumlarda aktarılabilir:
- Açık uçlu görev puanlaması: T06–T08 görevlerindeki (Zihinsel Sıralama, Kavram Eşleştirme, Kısa Hikâye Çıkarımı) metin yanıtları, puanlama için büyük dil modeli (LLM) API'sine anonim biçimde iletilir. Bu yanıtlar modeli eğitmek amacıyla kullanılmaz.
- Altyapı hizmetleri: Platform, Avrupa Birliği veri merkezi altyapısı üzerinde barındırılmaktadır. Barındırma sağlayıcısı, GDPR kapsamındaki işlemci statüsündedir.
- Yasal zorunluluk: Yetkili kamu kurum veya kuruluşlarının talepleri doğrultusunda yasal yükümlülük kapsamında paylaşım yapılabilir.
6. Kişisel Verilerin Saklanma Süreleri
| Veri Türü | Saklama Süresi |
|---|---|
| Değerlendirme ve test verileri | Aktif onam boyunca + onam iptali / hesap silinmesinden itibaren 2 yıl |
| Onam kayıtları | Onam tarihinden itibaren 10 yıl (hukuki uyumluluk) |
| Denetim kayıtları (audit log) | 2 yıl |
| Klinisyen / kullanıcı hesabı | Hesap silinmesinden itibaren 30 gün (yedekleme döngüsü dahil) |
7. Veri Güvenliği
- Tüm veri iletimi TLS 1.2+ ile şifrelenmektedir.
- Her tenant (kurum) verisi veritabanı düzeyinde izole edilmiştir; başka bir kurumun verilerine erişim teknik olarak mümkün değildir.
- Rol tabanlı erişim kontrolü (RBAC): super_admin, tenant_admin, operatör rolleri farklı yetki seviyelerine sahiptir.
- Tüm kritik işlemler (onam, revokasyon, değerlendirme atama, rapor oluşturma) zaman damgalı denetim kaydına düşmektedir.
- Sunucu erişimi ağ güvenlik duvarı (firewall) ile kısıtlanmış, SSH anahtar doğrulaması zorunlu kılınmıştır.
8. Veri Sahibinin Hakları (KVKK m. 11)
KVKK'nın 11. maddesi kapsamında veri sahibi olarak aşağıdaki haklarınız mevcuttur:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK m. 7 çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme veya yok etme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
9. Başvuru Yöntemi
Yukarıda belirtilen haklarınızı kullanmak için aşağıdaki kanallardan birini tercih edebilirsiniz:
- E-posta: kvkk@focuspath.dev (Güvenli elektronik imza veya kayıtlı e-posta adresi ile)
- Posta: Kimlik doğrulama belgesiyle ıslak imzalı dilekçe ile veri sorumlusu adresine gönderim.
Başvurunuz, KVKK m. 13 uyarınca en geç 30 gün içinde yanıtlanacaktır. Taleplerin karmaşıklığına göre bu süre bir kez 30 gün daha uzatılabilir; uzatma durumunda tarafınıza bildirim yapılır.
Başvurunuzun reddedilmesi veya verilen yanıtı yeterli bulmamanız hâlinde Kişisel Verileri Koruma Kurumu'na (KVKK) şikâyette bulunabilirsiniz: www.kvkk.gov.tr
10. Çocuklara İlişkin Özel Hükümler
FocusPath, çocuklara yönelik klinik değerlendirme amacıyla tasarlanmıştır. 18 yaşından küçük bireylere ait sağlık verilerinin işlenebilmesi için veli veya yasal temsilci açık rızası zorunludur.Bu rıza, Platform'daki dijital onam akışı aracılığıyla alınır, tarihlendirilir, IP adresiyle birlikte kayıt altına alınır ve her zaman geri çekilebilir. Rıza geri çekildiğinde, devam eden tüm değerlendirmeler otomatik olarak durdurulur.