GİZLİLİK POLİTİKASI
İşbu Gizlilik Politikası, Ranovu Dijital Hizmetleri tarafından ranovu.com alan adı ve ilişkili alt alan adları üzerinden işletilen randevu planlama, web sitesi oluşturma ve dijital iletişim Platformu ("Platform") kapsamında, kişisel verilerin nasıl toplandığını, kullanıldığını, paylaşıldığını, korunduğunu ve saklandığını açıklamak amacıyla hazırlanmıştır. Hizmet Sağlayıcılar, Son Kullanıcılar ve ziyaretçiler dahil tüm Platform Kullanıcıları için geçerlidir.
İşbu Gizlilik Politikası; KVKK Aydınlatma Metni, Açık Rıza Metni ve Çerez Politikası ile birlikte okunmalıdır.
1. İLKELER
Ranovu, kişisel verilerin işlenmesinde aşağıdaki ilkelere bağlıdır:
- Hukuka ve dürüstlük kurallarına uygunluk, şeffaflık;
- Amaç sınırlaması - veriler belirli, açık ve meşru amaçlarla toplanır;
- Veri minimizasyonu - toplanan veriler yeterli, ilgili ve gerekli olanla sınırlıdır;
- Doğruluk - veriler güncel ve doğru tutulur;
- Saklama sınırlaması - veriler yalnızca gerekli olduğu sürece saklanır;
- Bütünlük ve gizlilik - veriler uygun teknik ve idari tedbirlerle güvenli şekilde işlenir.
2. TOPLANAN VERİ KATEGORİLERİ
2.1. Kimlik ve İletişim Verileri
- Ad soyad, e-posta adresi, telefon numarası, mesleki unvan, uzmanlık/meslek;
- Son Kullanıcılar için: ad, e-posta, telefon (AES-256-GCM ile şifrelenmiş olarak saklanır).
2.2. Hesap ve Profil Verileri
- Hesap kimlik bilgileri (e-posta/şifre - Supabase Auth aracılığıyla; şifreler hash'lenir, düz metin olarak saklanmaz);
- Profil bilgileri: avatar, şehir, ülke, saat dilimi, dil, bildirim tercihleri, gizlilik ayarları;
- Abonelik planı, faturalama durumu ve ödeme işlemci kimlikleri (kart bilgisi saklanmaz).
2.3. Randevu ve Rezervasyon Verileri
- Randevu tarihi, saati, süresi, durumu, referans kodu;
- Randevu alan kişinin iletişim bilgileri (e-posta, telefon - şifrelenmiş olarak saklanır);
- Çocuk randevuları için veli/ebeveyn bilgileri (ad, çocuğun adı, çocuğun doğum tarihi);
- Özel form alanı yanıtları (Hizmet Sağlayıcı tarafından tanımlanan dinamik alanlar);
- İptal nedenleri, yeniden planlama geçmişi.
2.4. Hassas / Özel Nitelikli Veriler (Sağlık Verileri)
- Tıbbi öykü (anamnez), belirtiler, klinik notlar (AES-256-GCM ile şifrelenmiş);
- Tıbbi belgeler, laboratuvar sonuçları, görüntüleme raporları (şifrelenmiş S3'te saklanır, zaman sınırlı presigned URL ile erişim);
- Bu veriler yalnızca Hizmet Sağlayıcı sağlık sektöründe faaliyet gösterdiğinde toplanır ve münhasıran profesyonel hizmetin ifası amacıyla işlenir.
2.5. Dosya ve Belge Verileri
- Yüklenen dosyalar: dosya adı, boyutu, MIME türü, dosya türü sınıflandırması;
- Dosya içerikleri AWS S3'te sunucu tarafı şifrelemesiyle (AES-256) saklanır; erişim yalnızca zaman sınırlı presigned URL'ler aracılığıyla.
2.6. Ödeme Verileri
- Ödeme yöntemi (kart/IBAN/ücretsiz), ödeme tutarı, para birimi, ödeme durumu, referans kodu;
- Ödeme kartı numaraları, CVV ve banka hesap bilgileri Ranovu tarafından HİÇBİR ŞEKİLDE SAKLANMAZ. Kart verileri doğrudan ödeme işlemcisine (PayTR) iletilir ve sunucularımızda saklanmaz, loglanmaz veya önbelleğe alınmaz;
- Abonelik faturalama kimlikleri (Dodo Payments müşteri/abonelik ID'leri).
2.7. Teknik ve Otomatik Toplanan Veriler
- IP adresi - her zaman SHA-256 hash olarak saklanır, ham haliyle asla saklanmaz;
- Tarayıcı türü/sürümü, işletim sistemi, cihaz türü, ekran çözünürlüğü;
- Oturum kimlikleri (anonim visitor_id ve session_id - kişisel kimlikle ilişkilendirilmez);
- Sayfa görüntülenme, tıklama, kaydırma derinliği, form etkileşimleri, UTM parametreleri;
- Yalnızca ranovu.com ve www.ranovu.com üzerinden sunulan kamuya açık pazarlama sitesinde ısı haritası ve oturum tekrarı verileri (Microsoft Clarity - hassas içerikler otomatik maskelenir; sağlayıcı panelinde, sağlayıcı kiracı alt alan adlarında/özel alan adlarında, staging pazarlama hostlarında veya kimlik doğrulamalı alanlarda AKTİF DEĞİLDİR);
- Hata kayıtları (Sentry aracılığıyla - PII iletimden önce otomatik olarak temizlenir).
2.8. AI Kurulum Verileri
- Yapay zeka destekli kurulum sırasında paylaşılan mesleki bilgiler: meslek türü, uzmanlık, hizmetler, nitelikler, hedef kitle;
- AI asistanıyla sohbet geçmişi (kurulum oturumu süresince geçici olarak saklanır);
- AI sağlayıcılarına hasta/müşteri verisi veya hassas sağlık bilgisi GÖNDERİLMEZ.
2.9. Entegrasyon Verileri
- Google Takvim/Meet: OAuth tokenlari (şifrelenmiş olarak saklanır), takvim etkinlikleri, Google e-posta adresi, Meet linkleri;
- Push bildirim tokenlari (mobil uygulama için Expo push tokenlari).
2.10. İletişim Kayıtları
- SMS mesajları: alıcı telefon (şifrelenmiş), mesaj türü, teslim durumu, zaman damgaları;
- E-posta konuları: konu, mesaj içeriği (sağlayıcı DEK ile şifrelenmiş), teslim durumu;
- Uygulama içi bildirimler.
2.11. Anket ve Geri Bildirim Verileri
- Memnuniyet anketi yanıtları: yıldız puanı (1-5), özel soru yanıtları, IP hash, gönderim zaman damgası.
2.12. Onay Kayıtları
- KVKK/GDPR onay kabul durumu, zaman damgaları, IP hash (SHA-256), kullanıcı aracı bilgisi;
- Uygulanabilir olduğu ölçüde: isteğe bağlı ticari elektronik ileti onayı (kabul/red), zaman damgası;
- S3'te saklanan değişmez onay arşiv belgeleri.
3. VERİ İŞLEME AMAÇLARI
- Hesap oluşturma, kimlik doğrulama ve oturum yönetimi;
- Randevu planlama, yönetim, hatırlatma ve bildirimler (e-posta, SMS, push);
- Hizmet sağlayıcı web sitesi oluşturma, barındırma, yayınlama ve içerik dağıtımı;
- Ödeme işleme ve faturalama;
- Hizmet Sağlayıcılar ile Müşterileri arasında iletişim;
- Google Takvim/Meet senkronizasyonu (Hizmet Sağlayıcı tarafından etkinleştirildiğinde);
- Yapay zeka destekli kurulum ve içerik üretimi;
- Memnuniyet anketleri ve hizmet kalitesi ölçümü;
- Platform güvenliği: hız sınırlandırma, kötüye kullanım tespiti, dolandırıcılık önleme, bot koruması;
- Analitik ve raporlama (mümkün olduğunca anonimleştirilmiş/toplulaştırılmış);
- Yasal yükümlülüklerin yerine getirilmesi ve yetkili makam taleplerine yanıt verilmesi;
- Ticari Elektronik İleti İzni Metni kapsamında ayrı ve isteğe bağlı onay verdiğiniz hallerde (ör. sunulan yerlerde ayrı onay kutusu): tanıtım niteliğinde elektronik iletiler ve buna bağlı kişiselleştirme, geri çekme hakkı saklı kalmak üzere.
4. HUKUKİ DAYANAKLAR
GDPR m.6 ve KVKK m.5 kapsamında:
- Sözleşmenin ifası (GDPR m.6/1-b / KVKK m.5/2-c): Hesap oluşturma, randevu alma, ödeme işleme, hizmet sunumu;
- Hukuki yükümlülük (GDPR m.6/1-c / KVKK m.5/2-ç): Vergi ve mali kayıt tutma, mahkeme kararlarına uyma, düzenleyici uyumluluk;
- Meşru menfaat (GDPR m.6/1-f / KVKK m.5/2-f): Platform güvenliği, dolandırıcılık önleme, analitik, hizmet iyileştirme, Koşulların uygulanması;
- Açık rıza (GDPR m.6/1-a / KVKK m.5/1): Uluslararası veri aktarımları, özel nitelikli verilerin (sağlık) işlenmesi, AI ile ilgili veri işleme, zorunlu olmayan çerezler; tanıtım amaçlı ticari elektronik iletiler yalnızca Ticari Elektronik İleti İzni Metni'nde öngörülen şekilde ayrı opt-in toplandığında.
GDPR m.9 ve KVKK m.6 kapsamında özel nitelikli veriler (sağlık verileri): İşleme, açık rızanıza ve/veya mesleki gizlilik yükümlülüğüne tabi bir sağlık profesyoneli tarafından sağlık hizmeti sunulması gerekliliğine dayanır.
5. VERİ PAYLAŞIMI VE ÜÇÜNCÜ TARAFLAR
Kişisel verileriniz, yalnızca yukarıda belirtilen amaçlarla sınırlı olmak üzere, aşağıdaki alıcı kategorileriyle paylaşılabilir:
- Hizmet Sağlayıcılar (Son Kullanıcılar için): Randevu aldığınız profesyonel, randevu için gerekli asgari verileri alır;
- Bulut Altyapısı: AWS (AB - eu-central-1, Almanya) dosya depolama ve şifreleme için; Supabase veritabanı ve kimlik doğrulama için;
- Ödeme İşlemcileri: PayTR (Türkiye) randevu ödemeleri için; Dodo Payments (AB) abonelik faturalama için;
- İletişim Hizmetleri: Resend (ABD, GDPR uyumlu) işlemsel e-posta için; Twilio (ABD) SMS için; Firebase (Google, ABD/Global) telefon OTP için; Expo (ABD) push bildirimler için;
- Takvim Entegrasyonu: Google Takvim/Meet API (Hizmet Sağlayıcı entegrasyonu etkinleştirdiğinde);
- Güvenlik ve Performans: Cloudflare (Global) CDN, DNS, bot koruması ve Turnstile CAPTCHA için;
- AI Sağlayıcıları: Google Vertex AI, OpenAI veya Anthropic (yapılandırılabilir; ABD/AB) AI kurulum için - yalnızca mesleki/iş verileri gönderilir, hasta PII'si asla;
- Davranışsal Analitik (Yalnızca Pazarlama): Microsoft Clarity (ABD, GDPR uyumlu) - yalnızca ranovu.com / www.ranovu.com pazarlama sitesinde ısı haritaları ve oturum tekrarları; hassas içerikler otomatik maskelenir; sağlayıcı panelinde, kiracı sitelerinde veya staging hostlarında KULLANILMAZ;
- Hata İzleme: Sentry (ABD, GDPR uyumlu) - PII iletimden önce otomatik olarak temizlenir;
- Arka Plan İşleme: Inngest (ABD) asenkron iş planlaması için - olay yüklerinde PII bulunmaz;
- Hukuken Yetkili Kurumlar: Mahkemeler, savcılıklar, düzenleyici kurumlar ve kolluk kuvvetleri (yasanın gerektirdiği hallerde).
6. YURT DIŞINA VERİ AKTARIMI
Yukarıda listelenen üçüncü taraf hizmetlerinin bir kısmı Türkiye ve Avrupa Ekonomik Alanı (AEA) dışında bulunmaktadır. Uluslararası aktarımlar, KVKK m.9 ve GDPR Bölüm V uyarınca aşağıdaki güvenceler kullanılarak gerçekleştirilir:
- Geçerli olduğu durumlarda AB Standart Sözleşme Maddeleri (SCC'ler);
- Avrupa Komisyonu veya Kişisel Verileri Koruma Kurulu tarafından tanınan yeterlilik kararları;
- Sınır ötesi aktarımlar için açık rızanız (Açık Rıza Metni aracılığıyla alınır);
- Mevcut olduğu durumlarda Bağlayıcı Şirket Kuralları veya eşdeğer sertifikalar (ör. Data Privacy Framework).
Verilerin işlenebileceği ülkeler/bölgeler: Türkiye, Almanya (AB), Amerika Birleşik Devletleri ve alt işlemcilerimizin altyapı bulundurduğu diğer bölgeler. Birincil veri depolaması AB'dedir (AWS eu-central-1).
7. VERİ GÜVENLİĞİ
Ranovu aşağıdaki teknik ve idari güvenlik tedbirlerini uygulamaktadır:
- Alan düzeyi şifreleme: Hassas kişisel veriler (iletişim bilgileri, sağlık verileri, ödeme kimlik bilgileri, OAuth tokenlari) sağlayıcı bazında Veri Şifreleme Anahtarları ile AES-256-GCM ile şifrelenir;
- Zarf şifreleme: Sağlayıcı DEK'leri AWS KMS ana anahtarlarıyla şifrelenir;
- IP hashleme: Tüm IP adresleri SHA-256 hash olarak saklanır - ham IP'ler asla kalıcılaştırılmaz;
- Aktarım güvenliği: Tüm veri aktarımları TLS 1.2+ ile şifrelenir;
- Erişim kontrolü: Satır Düzeyi Güvenlik (RLS) politikaları çok kiracılı veri izolasyonunu sağlar;
- Hız sınırlandırma: Tüm genel ve kimlik doğrulamalı uç noktalarda çok katmanlı Redis tabanlı hız sınırlandırma;
- Webhook doğrulaması: Tüm gelen webhooklarda HMAC-SHA256 imza doğrulaması;
- Dosya erişimi: S3 dosyaları yalnızca zaman sınırlı presigned URL'ler aracılığıyla erişilebilir; doğrudan genel erişim yok;
- Bot koruması: Genel formlarda Cloudflare Turnstile;
- Hata izleme: Otomatik PII temizlemeli Sentry (hata raporlarında e-posta, telefon, isim veya sağlık verisi bulunmaz);
- Denetim günlüğü: Güvenlikle ilgili eylemler hash'lenmiş IP'ler ve zaman damgalarıyla loglanır.
8. SAKLAMA SÜRELERİ
| Veri Kategorisi | Saklama Süresi |
| Hesap ve profil verileri | Hesap süresi + silme talebinden sonra 90 gün |
| Randevu kayıtları | Kalıcı (yasal kayıt tutma yükümlülüğü) |
| Randevu analitiği | 365 gün |
| Analitik olayları | 90 gün (otomatik temizleme) |
| Sistem/hata kayıtları | 90 gün (otomatik temizleme) |
| SMS kayıtları | DB'de kalıcı (şifrelenmiş); Redis sayaçları 35 gün |
| E-posta konuları/mesajları | Hizmet Sağlayıcı hesap süresi boyunca |
| Ödeme oturumları (checkout) | 30 dakika TTL (otomatik sona erme) |
| Onay arşivi (S3) | Kalıcı (yasal denetim kanıtı) |
| Google OAuth tokenlari | Hizmet Sağlayıcı entegrasyonu kesene kadar |
| Anket yanıtları | Hizmet Sağlayıcı hesap süresi boyunca |
| AI kurulum oturumları | Tamamlanma veya terk edilmeye kadar; tamamlanan veriler kalıcı |
| Yüklenen dosyalar (S3) | Hizmet Sağlayıcı tarafından silinene kadar; hesap silinmesinde kalıcı temizleme |
| Push tokenlari | Cihaz kaydı silinene veya token geçersiz olana kadar |
Saklama süreleri dolduğunda veya işleme amacı ortadan kalktığında, veriler yürürlükteki mevzuata uygun şekilde silinir, yok edilir veya anonimleştirilir.
9. ÇOCUKLARIN GİZLİLİĞİ
Platform, reşit olmayanlar adına randevu almaya olanak tanır. Bu durumda:
- Randevu, ebeveyn, yasal vasi veya yetkili temsilci tarafından alınmalıdır;
- Randevuyu alan kişi, çocuk adına rıza verme yasal yetkisine sahip olduğunu beyan ve taahhüt eder;
- Çocuklara ait veriler, yetişkin verileriyle aynı şifreleme ve güvenlik tedbirlerine tabidir;
- Ranovu, ebeveyn/vasi rızası olmaksızın 16 (GDPR) veya 18 (Türk hukuku) yaşından küçük çocuklardan bilerek doğrudan kişisel veri toplamaz.
10. İLGİLİ KİŞİ HAKLARI
GDPR (m.15-22) ve KVKK (m.11) kapsamında aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme;
- İşleme amaçları hakkında bilgi talep etme;
- Verilerinizin yurt içi ve yurt dışında aktarıldığı alıcıları öğrenme;
- Yanlış veya eksik verilerin düzeltilmesini talep etme;
- Verilerinizin silinmesini veya yok edilmesini talep etme (silme hakkı / unutulma hakkı);
- İşlemenin kısıtlanmasını talep etme;
- Meşru menfaate dayalı işlemeye itiraz etme;
- Veri taşınabilirliğini talep etme (verilerinizi yapılandırılmış, makine tarafından okunabilir bir formatta alma);
- Rızanızı herhangi bir zamanda geri çekme (geri çekmeden önceki rızaya dayalı işlemenin hukuka uygunluğunu etkilemeden);
Haklarınızı kullanmak için info@ranovu.com adresinden bize ulaşabilirsiniz. Talebinize 30 gün (KVKK) veya bir ay (GDPR) içinde yanıt verilecektir; karmaşık talepler için iki ay daha uzatılabilir.
11. ÇEREZLER
Platform, çerezler ve benzeri teknolojiler kullanmaktadır. Detaylı bilgi için Çerez Politikası'na bakınız.
12. GÜNCELLEMELER
İşbu Gizlilik Politikası; mevzuat değişiklikleri, yeni özellikler veya operasyonel gereklilikler doğrultusunda güncellenebilir. Güncel sürüm her zaman Platform üzerinden erişilebilirdir.
E-posta: info@ranovu.com
Telefon: +905550070089
Son Güncelleme Tarihi: Nisan 2026