ccNote Mobil Uygulaması

1. Veri Sorumlusu Bilgileri

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") uyarınca, kişisel verileriniz; veri sorumlusu sıfatıyla aşağıda bilgileri yer alan ccNote Teknoloji A.Ş. ("ccNote", "Şirket" veya "Biz") tarafından işlenecektir.

2. Kapsam ve Amaç

Bu Gizlilik Politikası ve KVKK Aydınlatma Metni; ccNote mobil uygulamasını ("Uygulama") kullanan sağlık profesyonellerinin (özellikle hekimler, hemşireler ve diğer sağlık çalışanları) kişisel verilerinin nasıl toplandığını, işlendiğini, saklandığını, aktarıldığını ve korunduğunu açıklamaktadır.

ccNote, sağlık profesyonellerinin sesli klinik notlarını yapılandırılmış tıbbi dokümantasyona dönüştüren yapay zeka destekli bir iOS uygulamasıdır. Uygulama, Türkçe tıbbi terminolojiyi işleyebilen gelişmiş dil modelleri kullanmaktadır.

3. Tanımlar

• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (KVKK m.3/1-d).
• Özel Nitelikli Kişisel Veri: Kişilerin sağlığı, biyometrik verileri ve diğer hassas bilgileri dahil olmak üzere KVKK m.6'da sayılan veri kategorileri.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişi; ccNote Teknoloji A.Ş.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen kişi.
• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza (KVKK m.3/1-a).
• Sağlık Verisi: Bir gerçek kişinin fiziksel veya ruhsal sağlık durumuna ilişkin her türlü bilgi.
• Biyometrik Veri: Bir gerçek kişinin benzersiz fiziksel özelliklerine ilişkin veriler (ses kayıtları dahil).
• Kullanıcı: ccNote uygulamasını kullanan sağlık profesyoneli.

4. Toplanan Kişisel Veri Kategorileri

4.1. Kimlik ve İletişim Verileri

Hesap oluşturma sırasında toplanan veriler:

• Ad, soyad
• E-posta adresi
• Telefon numarası (isteğe bağlı)
• Kullanıcı adı ve şifre (hash'lenmiş olarak)
• Uzmanlık alanı ve mesleki unvan (isteğe bağlı)

4.2. Ses Verileri (Biyometrik Veri — Özel Nitelikli)

Uygulamanın ana işlevi kapsamında:

• Sesli kayıtlar (ses dalga dosyaları, .m4a formatında)
• Ses kayıt süresi ve zaman damgası
• Ses seviyesi metrikleri

4.3. Transkripsiyon ve Metin Verileri

• Apple Speech Recognition Framework aracılığıyla oluşturulan ham transkriptler (cihaz üzerinde)
• Tıbbi terminoloji ile zenginleştirilmiş transkriptler
• Yapılandırılmış klinik notlar (AI tarafından üretilen)
• Hasta bilgi notları (kullanıcının giriş yaptığı her türlü bilgi)

4.4. Yapay Zeka İşleme Verileri

• Transkripsiyon metinleri AI analizi için Şirketimize ait, Türkiye'de barındırılan sunuculardaki açık kaynak kodlu dil modeline gönderilir
• AI tarafından üretilen yapılandırılmış klinik çıktılar
• Tıbbi terim eşleştirme ve düzeltme verileri

4.5. Teknik ve Kullanım Verileri

• Cihaz bilgileri (model, işletim sistemi sürümü)
• Uygulama kullanım istatistikleri (anonim)
• Hata raporları ve performans metrikleri
• Uygulama tercihleri ve ayarlar
• Dil tercihi (Türkçe/İngilizce)

4.6. Ödeme Verileri

• Abonelik planı bilgileri
• Ödeme işlem geçmişi (iyzico aracılığıyla işlenir)
• Fatura bilgileri

4.7. Web Dashboard Verileri

• Web dashboard üzerinden erişilen kayıt ve metin içerikleri
• Oturum yönetimi verileri (JWT token)
• Web oturum bilgileri

5. Kişisel Verilerin İşlenme Amaçları

5.1. Birincil Amaçlar (Hizmet Sunumu)

• Sesli klinik notların transkripsiyonu ve yapılandırılmış dokümantasyona dönüştürülmesi
• Yapay zeka destekli tıbbi metin analizi ve iyileştirme
• Kullanıcı hesap yönetimi ve kimlik doğrulama
• Uygulama içi veri senkronizasyonu
• Web dashboard üzerinden HBYS sistemlerine veri aktarımı

5.2. İkincil Amaçlar

• Uygulama performansının izlenmesi ve iyileştirilmesi
• Hata tespiti ve giderimi
• Kullanıcı destek hizmetlerinin sunulması
• Yasal yükümlülüklerin yerine getirilmesi
• Abonelik ve ödeme işlemlerinin yürütülmesi

5.3. Açık Rıza Gerektiren İşlemler

• Tıbbi terim öğrenme ve adaptif kelime dağarcığı geliştirme
• Anonim ve toplu (aggregate) kullanım verilerinin analizi
• Gelecekte eklenebilecek isteğe bağlı özellikler

6. Kişisel Veri İşlemenin Hukuki Dayanakları

6.1. KVKK m.5/2 Kapsamında (Açık Rıza Gerekmeksizin)

(a) Kanunlarda açıkça öngörülme: 5651 sayılı Kanun kapsamında trafik loglarının tutulması; 213 sayılı VUK kapsamında fatura bilgileri.

(c) Sözleşmenin kurulması/ifası: Hesap oluşturma, abonelik yönetimi, uygulama hizmetlerinin sunulması.

(ç) Hukuki yükümlülük: Vergi mevzuatı, Tüketici Hukuku, Elektronik Ticaret Kanunu gereklilikleri.

(f) Meşru menfaat: Uygulama güvenliği, dolandırıcılık önleme, hizmet kalitesinin iyileştirilmesi (kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla).

6.2. KVKK m.6 Kapsamında (Özel Nitelikli Kişisel Veriler)

Ses kayıtları (biyometrik veri) ve sağlık verileri özel nitelikli kişisel veri kapsamındadır. Bu verilerin işlenmesi için:

• Kullanıcının AÇIK RIZASI alınır (KVKK m.6/2)
• Açık rıza, uygulamanın ilk kullanımında yazılı ve elektronik ortamda alınır
• Açık rıza her zaman geri alınabilir

7. Veri Güvenliği Önlemleri

7.1. Teknik Önlemler

• Ses kayıtları yalnızca kullanıcı cihazında (on-device) saklanır; Apple iOS güvenlik altyapısı (Data Protection, Keychain) kullanılır
• Kullanıcı hesap verileri Supabase altyapısı üzerinde şifreli olarak saklanır (AES-256 at-rest, TLS 1.3 in-transit)
• AI sunucuları ile iletişim TLS 1.2/1.3 şifreleme ile korunur
• Veritabanı erişimlerinde Row Level Security (RLS) politikaları uygulanır
• Şifreler bcrypt/argon2 ile hash'lenerek saklanır; düz metin olarak hiçbir zaman tutulmaz
• API erişimlerinde JWT tabanlı kimlik doğrulama ve yetkilendirme kullanılır
• Web dashboard oturumları JWT tabanlı kimlik doğrulama ile korunur; oturum bazlı izolasyon sağlanır
• Düzenli güvenlik taramaları ve zafiyet testleri gerçekleştirilir

7.2. İdari Önlemler

• Kişisel verilere erişim yetkilendirmesi en az ayrıcalık (least privilege) ilkesine göre yapılır
• Veri işleme süreçleri düzenli olarak denetlenir
• Çalışanlar KVKK ve veri güvenliği konusunda eğitilir
• Veri işleme envanterleri düzenli güncellenir
• Gizlilik sözleşmeleri (NDA) tüm çalışanlar ve tedarikçiler ile imzalanır
• Veri ihlali müdahale planı oluşturulmuş ve test edilmiştir

7.3. Veri Lokalizasyonu

ccNote, veri lokalizasyonu konusunda aşağıdaki ilkeleri uygular:

• Ses kayıtları: Yalnızca kullanıcı cihazında (Türkiye veya kullanıcının bulunduğu lokasyon)
• AI işleme: Türkiye Cumhuriyeti sınırları içindeki Şirketimize ait sunucularda
• Kullanıcı hesap verileri: Supabase altyapısı üzerinde (AB — Frankfurt, Almanya)
• Ödeme verileri: iyzico altyapısında (Türkiye)

8. Kişisel Verilerin Aktarımı

8.1. Yurt İçi Aktarma

Kişisel verileriniz, aşağıdaki hallerde yurt içindeki üçüncü kişilere aktarılabilir:

• iyzico: Ödeme işlem yönetimi (KVKK m.5/2-c, sözleşmenin ifası)
• Yetkili kamu kurum ve kuruluşları: Yasal zorunluluk hallerinde (KVKK m.5/2-ç)
• Hukuki danışmanlar ve denetçiler: Hukuki yükümlülük kapsamında

8.2. Yurt Dışı Aktarma

Kullanıcı hesap yönetimi için Supabase hizmetleri kullanılmaktadır. Supabase, AWS altyapısı üzerinde hizmet vermekte olup, veri merkezi AB (Frankfurt, Almanya) bölgesindedir.

• Supabase ile Veri İşleme Sözleşmesi (DPA) imzalanmıştır
• Standart Sözleşme Hükümleri (SCC) uygulanmaktadır
• Veriler transit ve at-rest olarak şifrelenmektedir

8.3. Üçüncü Taraf Hizmet Sağlayıcıları

9. Kişisel Verilerin Saklanma Süresi

Kişisel verileriniz, işlenme amaçlarının gerektirdiği süre boyunca ve yasal zorunluluklar çerçevesinde saklanır:

Saklama süresi dolan kişisel veriler, KVKK m.7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri uyarınca silinir, yok edilir veya anonim hale getirilir.

10. İlgili Kişinin Hakları (KVKK m.11)

KVKK'nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme
• KVKK m.7'deki koşullar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme
• Düzeltme ve silme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme

10.1. Başvuru Yöntemi

Haklarınızı kullanmak için aşağıdaki yöntemlerden birini tercih edebilirsiniz:

• E-posta: info@ccnote.ai adresine kimliğinizi teyit edici belgelerle birlikte başvuru
• Uygulama içi: Ayarlar > Gizlilik > Veri Talebi menüsünden
• Yazılı başvuru: Şirket adresine noter kanalıyla veya iadeli taahhütlü mektupla

Başvurularınız en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılır.

10.2. Hesap ve Veri Silme

KVKK m.7 ve Apple App Store Kuralları (Guideline 5.1.1(v)) uyarınca:

• Hesabınızı uygulama içinden silebilirsiniz (Ayarlar > Hesap > Hesabı Sil)
• Hesap silme talebi üzerine tüm kişisel verileriniz 30 gün içinde kalıcı olarak silinir
• Yasal saklama yükümlülüğü bulunan veriler (fatura, trafik logu) ilgili süre sonunda silinir
• Cihazınızdaki ses kayıtları ve notlar doğrudan sizin kontrolünüzdedir

11. Açık Rıza Yönetimi

Aşağıdaki işlemler için ayrı ayrı açık rızanız alınacaktır:

• Ses kayıtlarının (biyometrik veri) işlenmesi
• Transkript metinlerinin AI sunucusuna gönderilmesi
• Hesap verilerinin Supabase üzerinde saklanması (yurt dışı aktarma)
• Anonim kullanım verilerinin toplanması

Her bir açık rıza: belirli bir konuya ilişkindir; bu aydınlatma metnine dayanarak bilgilendirilmiş şekilde verilir; özgür iradeyle açıklanır ve her zaman geri alınabilir (Ayarlar > Gizlilik > İzinler).

12. Çerez ve İzleme Teknolojileri

ccNote mobil uygulaması, geleneksel web çerezleri kullanmamaktadır. Ancak:

• Supabase Auth: Oturum yönetimi için JWT token'lar kullanılır
• Cihaz üzerinde: UserDefaults ve Keychain ile uygulama tercihleri saklanır
• Analitik: Şu an için üçüncü taraf analitik aracı kullanılmamaktadır

Web dashboard (ccnote.ai) için oturum yönetimi amaçlı teknik çerezler ve JWT token'lar kullanılmaktadır.

13. Çocukların Kişisel Verileri

ccNote, yalnızca sağlık profesyonellerinin kullanımına yönelik bir uygulamadır. 18 yaşın altındaki bireylerin kullanımına yönelik değildir. 18 yaşın altındaki bireylerin kişisel verilerini bilerek toplamayız. Böyle bir durumun tespiti halinde ilgili veriler derhal silinecektir.

14. Veri İhlali Bildirimi

Herhangi bir kişisel veri ihlali durumunda:

• Kişisel Verileri Koruma Kurulu'na en geç 72 saat içinde bildirim yapılır (KVKK m.12/5)
• Etkilenen kullanıcılara makul süre içinde bilgi verilir
• İhlalin kapsamı, etkileri ve alınan önlemler kamuya açıklanır
• İhlal müdahale ekibi derhal devreye girer ve gerekli teknik önlemleri alır

15. Politika Değişiklikleri

Bu Gizlilik Politikası zaman zaman güncellenebilir. Önemli değişiklikler yapılması halinde:

• Uygulama içi bildirim gönderilir
• E-posta ile bilgilendirme yapılır
• Gerekli hallerde yeniden açık rıza alınır
• Güncel metin uygulama içinde ve ccnote.ai adresinde yayımlanır

16. Uygulanacak Hukuk ve Yetkili Merci

Bu Gizlilik Politikası Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

Kişisel Verileri Koruma Kurumu'na şikayette bulunma hakkınız saklıdır (KVKK m.14). Şikayet başvurusu için: www.kvkk.gov.tr