Veri Sorumlusu (Controller): DentinCloud platformunu kullanan diş kliniği veya yetkili kuruluş.

Veri İşleyen (Processor): DentinCloud — platform altyapısını işleten ve klinik adına verileri işleyen taraf.

İlgili Kişi: Verisi işlenen hasta veya klinik çalışanı.

Kişisel Veri: KVKK Madde 3 ve GDPR Madde 4 kapsamında tanımlandığı şekilde, kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi.

Özel Nitelikli Kişisel Veri: Sağlık ve biyometrik veriler dahil KVKK Madde 6 ve GDPR Madde 9 kapsamındaki veriler (diş kliniği ortamında tedavi kayıtları bu kategoriye girebilir).

DentinCloud, veri sorumlusu adına yalnızca aşağıdaki hizmetlerin sunulması amacıyla kişisel veri işler:

• Randevu ve takvim yönetimi
• Hasta kaydı, tedavi notları ve diş şeması
• Faturalama ve sigorta talepleri
• SMS/WhatsApp/e-posta bildirimleri
• Stok ve klinik yönetimi
• Raporlama ve analitik

DentinCloud, kişisel verileri hiçbir koşulda veri sorumlusunun talimatı dışında işleyemez; üçüncü taraflara satamaz veya reklam amacıyla kullanamaz.

• Verileri yalnızca veri sorumlusunun yazılı talimatları doğrultusunda işlemek
• Verilere erişen tüm personelin gizlilik yükümlülüğünü yerine getirmesini sağlamak
• GDPR Madde 32 kapsamında uygun teknik ve idari güvenlik önlemlerini almak (AES-256 şifreleme, TLS 1.2+, erişim kontrolü, düzenli denetimler)
• Alt işlemci kullanımı için veri sorumlusuna önceden bildirimde bulunmak ve yazılı onay almak
• Veri ihlali durumunda 72 saat içinde veri sorumlusunu bilgilendirmek
• Sözleşme sona erdiğinde veya talep üzerine tüm verileri iade etmek ya da güvenli biçimde silmek
• Veri sorumlusunun uyum denetimlerine izin vermek ve gerekli bilgileri sağlamak

• Kişisel verilerin işlenmesi için gerekli hukuki dayanak ve onayları sağlamak
• Hastalar dahil ilgili kişileri KVKK/GDPR kapsamında bilgilendirmek
• Platforma yalnızca hizmetle ilgili ve gerekli verileri girmek
• Özel nitelikli kişisel veri (sağlık verisi) işleniyorsa açık rıza almak
• Personel erişim yetkilerini düzenli olarak gözden geçirmek

DentinCloud, hizmetin sunulması için aşağıdaki alt işlemcilerden yararlanmaktadır:

Alt işlemci listesindeki değişiklikler en az 14 gün önceden veri sorumlularına bildirilir.

Kişisel verilerin Türkiye veya AB/AEA dışına aktarılması yalnızca aşağıdaki güvencelerden biriyle mümkündür:

• GDPR kapsamında Standart Sözleşme Maddeleri (SCC — Komisyon Kararı 2021/914/EU)
• Yeterlilik kararı bulunan ülkeler için doğrudan aktarım
• KVKK Madde 9 kapsamında açık rıza (diğer durumlarda)

ABD merkezli Intercom ile yapılan aktarım, güncel SCC'ler ve ek teknik güvenceler (uçtan uca şifreleme, veri minimizasyonu) kapsamında gerçekleştirilmektedir.

• Dinlenme ve iletim halindeki veriler için AES-256 şifreleme
• TLS 1.2+ ile güvenli iletişim
• Rol tabanlı erişim kontrolü (RBAC) ve çok faktörlü kimlik doğrulama
• Yıllık penetrasyon testi ve bağımsız güvenlik denetimi
• ISO 27001 uyumlu süreçler (hedef: 2026 Q4 sertifikasyonu)
• SOC 2 Type II hazırlık değerlendirmesi

DentinCloud, kişisel veri ihlali tespitinden itibaren 72 saat içinde veri sorumlusunu bilgilendirir. Bildirim şu bilgileri içerir: ihlalin niteliği, etkilenen veri kategorileri ve yaklaşık kişi sayısı, olası sonuçlar, alınan ve planlanan önlemler.

KVKK Kurumuna ve/veya ilgili AB Veri Koruma Otoritesine yapılacak bildirimler için veri sorumlusuyla koordineli hareket edilir.

Bu sözleşme, taraflar arasındaki Kullanım Koşulları sona erdiğinde kendiliğinden sona erer. DentinCloud, sona erme tarihinden itibaren 90 gün içinde veri sorumlusunun verilerini iade eder veya kalıcı olarak siler; silme işlemine ilişkin yazılı onay sağlar.

Veri işleme sözleşmesine ilişkin talepler: [email protected]