Gizlilik Politikası ve KVKK Aydınlatma Metni

1. Veri Sorumlusu

Veri sorumlusu, Uzman Takvimi (uzmantakvimi.net) markası altında faaliyet gösteren ve platformu şahıs adına işleten gerçek kişidir. Uzman Takvimi tüzel kişiliğe sahip bir şirket değildir; tüm KVKK yükümlülükleri bu gerçek kişi veri sorumlusu nezdinde yerine getirilir. Veri sorumlusunun ad-soyad bilgisi, KVKK Madde 11 kapsamındaki başvurularda kimlik doğrulaması amacıyla kvkk@uzmantakvimi.net adresine yazılı talep üzerine paylaşılır.

• Marka: Uzman Takvimi (uzmantakvimi.net)
• Tebligat Adresi: Bostancı Mah. Bostan Sok. 6/10, Kadıköy / İstanbul
• İletişim: kvkk@uzmantakvimi.net
• Web: https://uzmantakvimi.net

2. İşlenen Kişisel Veriler

Platformun sunulması için aşağıdaki veri kategorilerini işliyoruz:

• Kimlik ve iletişim verileri: ad, soyad, e-posta adresi, telefon numarası.
• Hesap güvenliği verileri: şifrelenmiş (bcrypt) parola, e-posta doğrulama ve parola sıfırlama token’ları, oturum bilgileri.
• Uzman profili verileri: unvan, biyografi, uzmanlık alanı, eğitim, deneyim, sertifikalar, dil, sosyal medya bağlantıları, profil fotoğrafı.
• Takvim ve randevu verileri: uygunluk saatleri, oluşturulan/iptal edilen randevular, randevu notları (uzman tarafından girilir; sağlık verisi içerebilir — aşağıda Bölüm 3’e bakınız), danışan adı/e-posta/telefonu (misafir rezervasyonlar için).
• Ön bilgi formu yanıtları: uzmanın oluşturduğu intake formlarına verdiğiniz cevaplar. Bu yanıtlar uzmanın mesleğine bağlı olarak sağlığa ilişkin veri içerebilir (aşağıda Bölüm 3).
• Bağlı takvim hesabı verileri: üçüncü taraf takvim sağlayıcılarından (Google, Outlook, Apple iCloud) çekilen etkinliklerin başlık, tarih ve saat bilgileri ile bu hesapların OAuth/CalDAV erişim belirteçleri.
• Abonelik ve ödeme verileri: seçilen plan, deneme süresi, fatura geçmişi, ödeme sağlayıcısının (LemonSqueezy) bize ilettiği abonelik kimliği. Kart numarası gibi tam ödeme verisi tarafımızda saklanmaz; doğrudan LemonSqueezy tarafından işlenir.
• Kullanım verileri: oturum açma günlükleri, IP adresi, tarayıcı/cihaz bilgisi, hata kayıtları.

3. Özel Nitelikli Kişisel Veriler (Sağlık Verisi)

Platform, başta sağlık ve psikolojik danışmanlık alanlarında faaliyet gösteren uzmanlara yönelik olduğundan, uzmanın oluşturduğu ön bilgi formlarına verdiğiniz yanıtlar ve randevu sırasında uzman tarafından girilen notlar, KVKK Madde 6 ve GDPR Madde 9 anlamında özel nitelikli kişisel veri — özellikle sağlık verisi — niteliği taşıyabilir.

Bu tür verilerin işlenmesinin hukuki dayanağı yalnızca açık rızanızdır (KVKK m.6/3, GDPR m.9/2-a). Bu nedenle ön bilgi formunu göndermeden önce sizden ayrı bir onay kutusu ile “Sağlık verilerimin işlenmesine açık rıza veriyorum” beyanınızı alırız. Onay verilmediği sürece form kaydedilmez.

Açık rızanızı dilediğiniz zaman geri alabilirsiniz. Rızanızın geri alındığını kvkk@uzmantakvimi.net adresine ileten her talep, en geç 30 gün içinde sonuçlandırılır ve ilgili form yanıtları ile sağlık verisi içeren notlar silinir veya anonimleştirilir. Rızanın geri alınması, geri alma tarihinden önceki işlemlerin hukuka uygunluğunu etkilemez.

Sağlık verisi içeren yanıtlarınız yalnızca randevu aldığınız uzman ve — saklama altyapısı için — alt işleyenlerimiz (Bölüm 6) tarafından görüntülenir. Pazarlama, profil oluşturma veya otomatize karar verme amaçlarıyla kullanılmaz.

Ayrıca uzmanlar, isteğe bağlı “AI Asistan” özelliğini kullanarak seans ses kaydının yazıya dökülmesini ve özetlenmesini talep edebilir. Bu özellik yalnızca uzmanın etkinleştirmesi ve danışanın o seans için ayrıca rıza vermesi hâlinde devreye girer; ses kaydı ve transkript, yazıya dökme için OpenAI’a (Whisper) ve özet oluşturmak için Anthropic’e iletilir (Bölüm 6). Bu alt işleyenler verileri model eğitiminde kullanmaz.

AI Asistan’ın bir alt seçeneği olarak, randevuya özel olarak etkinleştirildiğinde, görüntülü randevularda (Google Meet / Zoom) seans sırasında otomatik olarak bir “toplantı botu” katılır ve seansın sesini kaydeder. Bot, üçüncü taraf alt işleyenimiz Recall.ai aracılığıyla çalışır (Bölüm 6); ses kaydı Recall.ai’nin Frankfurt (AB) bölgesinde geçici olarak tutulur ve ardından bizim tarafımızdan alınıp yazıya dökme (Groq Whisper-Large-v3) ve özetleme (Anthropic Claude Haiku 4.5) için aynı AI Asistan akışına aktarılır. Bot yalnızca uzmanın o randevu için açıkça etkinleştirmesi ve danışanın AI Asistan rızası bulunması hâlinde dispatch edilir; danışan toplantıda bot’un katıldığını açıkça görür (görünür katılımcı adı ile). Recall.ai, Groq ve Anthropic sağladığınız verileri model eğitiminde kullanmaz.

Aynı AI Asistan akışının bir uzantısı olarak, seans özetinden yola çıkılarak danışana gönderilmek üzere yapay zekâ tarafından bir “takip e-postası taslağı” oluşturulabilir. Taslak yalnızca özetin türetilmiş bir metnidir; uzmanın panelinden okunup düzenlenmeden ve uzman tarafından gönderilmesi onaylanmadan danışana iletilmez. Taslak metni, Anthropic’e (Bölüm 6) iletilen seans özeti üzerinden oluşturulur; uzmanın gönder düğmesine basmasıyla nihai e-posta, transaksiyonel e-posta sağlayıcımız Resend (Bölüm 6) üzerinden danışanın e-posta adresine iletilir. Tanı, teşhis, reçete veya ilaç önerisi içerebilecek ifadeler otomatik olarak engellenir; ayrıca özette ciddi risk işareti (örn. kendine zarar verme, intihar düşüncesi, üçüncü kişiye yönelik tehdit, çocuk güvenliği, acil tıbbi durum) tespit edilen seanslar için takip e-postası taslağı oluşturulmaz ve gönderilmez. Bu işlemenin hukuki sebebi, sağlık verisi niteliği taşıyabileceğinden, danışanın açık rızasıdır (KVKK m.6/3, GDPR m.9/2-a); danışan, her takip e-postasının altındaki bağlantı (RFC 8058 uyumlu “List-Unsubscribe” başlığı) ile veya kvkk@uzmantakvimi.net adresine yazarak ileride kendisine AI tabanlı takip e-postası gönderilmemesini talep edebilir.

4. İşleme Amaçları ve Hukuki Dayanaklar

Verileriniz, KVKK Madde 5 ve GDPR Madde 6 çerçevesinde aşağıdaki amaçlarla ve hukuki dayanaklarla işlenir:

• Sözleşmenin kurulması ve ifası (KVKK m.5/2-c, GDPR m.6/1-b): hesap oluşturma, randevu yönetimi, abonelik faturalandırma.
• Hukuki yükümlülüğün yerine getirilmesi (KVKK m.5/2-ç, GDPR m.6/1-c): vergi ve ticari mevzuat kapsamında belge saklama, yetkili makam talepleri.
• Meşru menfaat (KVKK m.5/2-f, GDPR m.6/1-f): platform güvenliği, dolandırıcılık önleme, hizmet kalitesinin iyileştirilmesi, sınırlı kullanım analitiği.
• Açık rıza (KVKK m.5/1 ve m.6/3, GDPR m.6/1-a ve m.9/2-a): pazarlama amaçlı e-posta gönderimi, isteğe bağlı çerez tercihleri, sağlık verisi içerebilecek ön bilgi formu yanıtlarının işlenmesi ve AI Asistan kapsamındaki seans ses kaydı / transkript / özet işleme ile bu özetten türetilen takip e-postası taslağının danışana gönderilmesi.

5. Veri Saklama Süreleri

• Hesap ve profil verileri: hesabınız aktif olduğu sürece; hesap silme talebinizden sonra en geç 30 gün içinde silinir veya anonimleştirilir.
• Randevu ve takvim verileri: hesap silindiğinde birlikte silinir; muhasebe yükümlülükleri kapsamında özetlenmiş fatura kayıtları 10 yıl boyunca saklanabilir (Türk Ticaret Kanunu m.82).
• Faturalandırma ve abonelik kayıtları: yasal saklama süresi olan 10 yıl boyunca tutulur.
• Pazarlama izinleri ve çerez tercihleri: rızanızı geri alana kadar; aksi halde en fazla 12 ay.
• Sunucu ve güvenlik logları: en fazla 90 gün.
• Destek/iletişim mesajları (iletişim formundan gönderilen soru, hata bildirimi, şikayet ve talepler): mesajınızı ele alıp çözüme kavuşturabilmek için veritabanımızda kaydedilir ve en fazla 365 gün saklanır; çözüme bağlanan (kapatılan) kayıtlar en fazla 180 gün içinde silinir. Bu mesajlar, aşağıda Bölüm 11’de açıklanan iletişim kapsamında işlenir ve yeni bir alt işleyene aktarılmaz.
• AI Asistan verileri: ses kayıtları varsayılan olarak en fazla 30 gün; transkript ve özetler varsayılan olarak en fazla 365 gün saklanır. Bu süreler ortam değişkenleri ile yönetilir; güncel değer hesap silindiğinde verilerin de silindiği garantisini etkilemez.
• AI tabanlı takip e-postası taslakları: uzman tarafından silinene veya ilgili hesap silinene kadar; gönderilen e-postaların gönderim kaydı (alıcı e-posta özeti, gönderim zamanı, durum) bu süre boyunca tutulur.

6. Alt İşleyenler ve Yurt Dışı Aktarım

Hizmetimizi sunmak için aşağıdaki alt işleyenleri kullanıyoruz. Bu sağlayıcıların büyük çoğunluğu Amerika Birleşik Devletleri’nde (ABD) faaliyet gösterdiğinden, ilgili kişisel verileriniz yurt dışına aktarılmaktadır. Aktarım, KVKK Madde 9 ve GDPR Madde 46 (Standart Sözleşme Maddeleri / Data Processing Agreement) çerçevesinde yapılır.

• Vercel Inc. (ABD): uygulama barındırma ve içerik dağıtım ağı.
• Neon Inc. (ABD): yönetilen PostgreSQL veritabanı.
• Resend (ABD): işlemsel e-posta gönderimi (randevu hatırlatmaları, parola sıfırlama, deneme bilgilendirmeleri ve AI Asistan tarafından oluşturulup uzman tarafından onaylanan takip e-postalarının danışana iletilmesi dâhil).
• UploadThing (ABD): profil fotoğrafı ve diğer kullanıcı yüklemelerinin depolanması.
• Google LLC (ABD): Google Takvim entegrasyonu için takvim verilerinin okunması/yazılması (yalnızca bağlanmayı seçtiğiniz takvim hesabı için).
• Microsoft Corporation (ABD/AB): Outlook/Microsoft 365 takvim entegrasyonu için aynı kapsamda.
• Apple Inc. (ABD): iCloud takvim entegrasyonu için CalDAV erişimi.
• LemonSqueezy (ABD): abonelik faturalandırma ve ödeme tahsilatı; ödeme kartı verileri tarafımızca görülmez.
• OpenAI, L.L.C. (ABD): yalnızca uzmanın AI Asistan özelliğini açıkça etkinleştirmesi ve danışan rızası alınması hâlinde, seans ses kaydının Whisper ile yazıya dökülmesi için kullanılır. Sağlanan veriler model eğitimi için kullanılmaz.
• Anthropic, PBC (ABD): yalnızca aynı koşullarla (AI Asistan + danışan rızası), oluşturulan transkriptin seans özeti hâline getirilmesi ve uzmanın talebi üzerine bu özetten danışana gönderilecek takip e-postasının taslağının oluşturulması için kullanılır. Sağlanan veriler model eğitimi için kullanılmaz.
• Recall.ai, Inc. (ABD/AB — Frankfurt bölgesi): yalnızca uzmanın bir randevu için “AI Bot Katılsın” seçeneğini açıkça etkinleştirmesi ve danışan rızası bulunması hâlinde, görüntülü randevulara (Google Meet / Zoom) bir toplantı botu ile katılıp seansın sesini kaydetmek için kullanılır. Kayıt, yazıya dökme ve özet için bizim tarafımızdan alınıp Groq ve Anthropic’e iletilir. Bot’un kayıt aldığı toplantıda katılımcı listesinde görünür. Sağlanan veriler model eğitimi için kullanılmaz.
• Groq, Inc. (ABD): yalnızca AI Asistan + danışan rızası ile ses kaydının whisper-large-v3 modeli üzerinden yazıya dökülmesi için kullanılır. Sağlanan veriler model eğitimi için kullanılmaz.
• Google LLC — Places API (ABD): adres otomatik tamamlama için uzman profili düzenleme sırasında yazılan adres parçaları Google’a gönderilir.
• Google Analytics 4 — Google LLC (ABD): platformun kamuya açık sayfalarında web trafiği analitiği için kullanılır. Sayfa ziyaretleri, anonimleştirilmiş kullanıcı davranışı (IP adresi anonymize_ip ile maskelenir) ve cihaz/tarayıcı bilgileri toplanır. Veriler ABD’ye aktarılır; aktarım yeterlilik kararı (EU-US Data Privacy Framework) ve Standart Sözleşme Maddeleri çerçevesinde yapılır. Saklama süresi: 14 ay (GA4 varsayılanı). Google Consent Mode v2 kapsamında analytics_storage varsayılan olarak “reddedildi” durumundadır; yalnızca çerez bildiriminden “Tümünü Kabul Et” seçtiğinizde GA4 çerezleri yazılır ve veri iletilir, “Yalnızca Zorunlu Çerezler” seçtiğinizde ise hiçbir veri gönderilmez.

Google API verilerinin Sınırlı Kullanımı (Google API Services User Data Policy — Limited Use). Uzmanın Google Takvim hesabını bağlaması üzerine Google Calendar API’dan alınan bilgiler (etkinlik başlığı, tarih, saat, katılımcı e-postaları, Google Meet bağlantısı) yalnızca uzmanın panelinde randevu yönetimi ve Google Meet bağlantısı oluşturma amacıyla işlenir; üçüncü taraflara satılmaz, reklam amacıyla kullanılmaz, insan tarafından okunmaz (yasal zorunluluk, güvenlik soruşturması veya uzmanın açık talebi dışında) ve yapay zekâ/makine öğrenmesi modeli eğitiminde kullanılmaz. Uzman Takvimi’nin Google API’lerinden aldığı bilgileri kullanması ve başka uygulamalara aktarması, Limited Use gereklilikleri dâhil olmak üzere Google API Services User Data Policy’ye uygun olacaktır.

7. KVKK Madde 11 Kapsamındaki Haklarınız

KVKK Madde 11 ve GDPR Bölüm III uyarınca veri sahibi olarak aşağıdaki haklara sahipsiniz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme.
• İşlenmişse buna ilişkin bilgi talep etme.
• İşleme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
• Yurt içinde veya yurt dışında verilerin aktarıldığı üçüncü kişileri bilme.
• Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme.
• KVKK m.7’de öngörülen şartlar çerçevesinde verilerin silinmesini veya yok edilmesini isteme (“unutulma hakkı”).
• Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç çıkmasına itiraz etme.
• Verilerinizin kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
• Verilerinizin yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilen bir formatta aktarılmasını isteme (taşınabilirlik).

Hesap ayarlarınızdaki “Verilerimi İndir” ve “Hesabımı Kalıcı Olarak Sil” düğmelerini kullanarak taşınabilirlik ve silme haklarınızı doğrudan kullanabilirsiniz. Diğer talepleriniz için kvkk@uzmantakvimi.net adresine yazabilirsiniz. Başvurularınız en geç 30 gün içinde sonuçlandırılır.

8. Çerezler

Platformumuzda yalnızca oturum yönetimi ve güvenlik için gerekli olan zorunlu çerezler ile (kabul etmeniz hâlinde) hizmet iyileştirme ve kullanım analitiği için kullanılan isteğe bağlı çerezler bulunur. İsteğe bağlı analitik için Google Analytics 4 (Google LLC, ABD) kullanılır; Google Consent Mode v2 kapsamında varsayılan olarak “reddedildi” durumundadır ve yalnızca “Tümünü Kabul Et” seçtiğinizde devreye girer. Tercihinizi sayfanın altındaki çerez bildirimi üzerinden değiştirebilir, rızanızı tarayıcınızdaki “ut_cookie_consent” çerezini silerek geri alabilirsiniz.

9. Veri Güvenliği

Verileriniz iletim sırasında TLS ile, sunucu tarafında ise endüstri standardı erişim kontrolleri ile korunur. Parolalar bcrypt ile saltlanarak saklanır. Yetkisiz erişim, kayıp veya ifşa hâlinde KVKK m.12/5 ve GDPR m.33 uyarınca ilgili kişileri ve yetkili kurumları en geç 72 saat içinde bilgilendiririz.

10. Değişiklikler

Bu metin zaman zaman güncellenebilir. Önemli değişiklikleri platform içi bildirim veya e-posta ile size duyururuz. Yürürlük tarihi her zaman bu sayfanın en üstündeki “Son güncelleme” bilgisinde yer alır.

11. İletişim

Gizlilik politikası ve KVKK haklarınız ile ilgili her türlü soru, talep veya şikayetinizi kvkk@uzmantakvimi.net adresine iletebilirsiniz. Ayrıca KVKK kapsamında Kişisel Verileri Koruma Kurulu’na şikayette bulunma hakkınız saklıdır.