KVKK Aydınlatma Metni

Son güncelleme: Mayıs 2026

1. Veri Sorumlusu

6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") kapsamında, işbu aydınlatma metni veri sorumlusu sıfatıyla Ahmet Ruken Boyacı BİLGİSAYAR PROGRAMLAMA FAALİYETLERİ ("PharmaZeka") tarafından hazırlanmıştır.

Ticari Unvan: Ahmet Ruken Boyacı BİLGİSAYAR PROGRAMLAMA FAALİYETLERİ ("PharmaZeka")
Vergi Numarası: 1810513170
Vergi Dairesi: Başakşehir Vergi Dairesi Müdürlüğü
Adres: KAYABAŞI MAH. VEYSEL KARANİ CAD. PARK MAVERA 3 B2 BLOK NO: 7 G İÇ KAPI NO: 2 BAŞAKŞEHİR/İSTANBUL
E-posta: merhaba@pharmazeka.com
Telefon: +90 551 973 41 42
MERSİS numarası bulunmamaktadır (şahıs işletmesi)

2. Ürünün Mimarisi ve Veri Akışı Hakkında Önemli Bilgi

PharmaZeka, eczane bilgisayarına kurulan bir masaüstü otomasyon yazılımıdır. Bulut tabanlı bir SaaS hizmeti değildir. Aşağıdaki hususlar, KVKK kapsamındaki yükümlülüklerimizi şekillendiren temel teknik gerçeklerdir:

Medula bağlantısı, eczanenin kendi bilgisayarından, kendi kullanıcı adı/şifresiyle ve kendi internet IP'sinden kurulur. Medula şifresi yalnızca eczane lokal bilgisayarında şifreli olarak saklanır; PharmaZeka sunucularına aktarılmaz.
PharmaZeka tarafından işlenen kişisel veriler, kural olarak yalnızca eczacıya ait abonelik ve faturalama bilgileridir.
Kağıt reçete görsel işleme özelliğinin kullanılması durumunda oluşan istisnai veri akışı aşağıdaki 2.1 ve 6. bölümlerde ayrıntılı olarak açıklanmaktadır.

2.1. Kağıt Reçete Görsel İşleme — İki Aşamalı Otomatik Maskeleme

Eczacı, kağıt reçetenin fotoğrafını PharmaZeka uygulaması üzerinden işlediğinde aşağıdaki iki aşamalı veri akışı gerçekleşir. Hasta TC kimlik numarası ve hasta ad-soyadı **hiçbir aşamada cihaz dışına çıkmaz**:

**Aşama 1 — Yerel (cihazda) PII tespiti ve görsel maskeleme:**

Tarayıcınızda yerel olarak çalışan açık kaynaklı OCR motoru (Tesseract.js Türkçe), eczacının işaretlediği bölgelerden hasta TC ve ad-soyad bilgisini okur.
Reçete görseli üzerinde TC ve ad-soyad alanları **siyah dikdörtgenle maskelenir**. Bu işlem tamamen tarayıcıda gerçekleşir; ham TC ve hasta ad-soyad PharmaZeka sunucularına veya Anthropic'e gönderilmez.
Bu adım eczacı tarafından atlanamaz: kağıt reçete tarama özelliği bu KVKK aydınlatma metninin önceden kabul edilmesine ve her reçetede TC + ad-soyad alanlarının dikdörtgenle işaretlenmesine bağlanmıştır.

**Aşama 2 — Maskelenmiş görselin AI ile analizi (yurt dışı aktarım):**

Yalnızca TC ve ad-soyad **maskelenmiş** hâldeki reçete görseli, ilaç adı, barkod, teşhis kodları, doz gibi tıbbi alanların çıkarılması amacıyla Anthropic Inc.'e (San Francisco, CA, ABD) iletilir.
AI servisinin görselinde TC ve hasta adı bulunmadığı için, AI bu kişisel verilere erişemez.
Görselin kendisi PharmaZeka veritabanına kaydedilmez. Yalnızca SHA-256 özet değeri önbellekte tutulur.
AI'dan dönen tıbbi veriler ile yerel olarak çıkarılan TC ve ad-soyad tarayıcıda birleştirilir; ardından AES-256-GCM ile şifrelenip veritabanına yazılır. Şifreleme anahtarı sunucu ortam değişkeninde tutulur; veritabanı dökümü ele geçirilse dahi içerik okunamaz.

**E-Reçete akışı:** E-reçete numarası ile çalışılan reçetelerde herhangi bir AI servisi kullanılmaz; tüm bilgiler tarayıcıda yerel OCR ile okunur ve eczane bilgisayarınıza (lokal agent) iletilir. E-reçete akışında **yurt dışı veri aktarımı yoktur**.

**Doktor bilgileri:** Doktor adı ve diploma tescil numarası, eczacının kağıt reçete tarama ekranında "Doktor" kategorisini seçerek aynı yerel maskeleme akışına dahil edilebilir. Maskelenmediği takdirde Anthropic'e iletilen görselde bulunabilir.

2.2. Eczacının Yükümlülüğü

Eczacı, her kağıt reçete tarama işleminde:

Hasta TC kimlik numarası ve ad-soyad alanlarını uygulamadaki dikdörtgen seçim aracıyla işaretlemekle yükümlüdür. Sistem, Hasta kategorisinde en az bir bölge seçilmedikçe işlemi başlatmaz.
İşlemden önce KVKK aydınlatma metnini okuyup açık şekilde kabul etmelidir.
Reçeteyi düz, iyi aydınlatılmış bir yüzeyde fotoğraflamalıdır; kötü kalitedeki görsellerde yerel OCR'ın TC veya adı tam okuyamaması durumunda eczacı bilgileri form üzerinden manuel düzeltmelidir.

3. İşlenen Kişisel Veri Kategorileri

PharmaZeka tarafından işlenen kişisel veriler aşağıdakilerle sınırlıdır:

Kimlik bilgileri: Hesap sahibi eczacının ve hesap altına davet edilen operatör kullanıcıların ad-soyadı, e-postası, rolü (eczacı / teknisyen)
İletişim bilgileri: E-posta adresi, telefon numarası
İşletme bilgileri: Eczane ticari adı, fatura adresi
Müşteri işlem bilgileri: Abonelik planı, ödeme tarihi, kontör hareketleri, fatura kayıtları
İşlem güvenliği bilgileri: Hesap oturum kayıtları, IP adresi (yalnızca yönetim paneli erişimi için)
Reçete işlem verileri (kağıt reçete OCR özelliği kullanılıyorsa): Görsel OCR işleminden elde edilen ve şifreli olarak saklanan reçete içeriği (ilaç, tanı, hekim, reçete no); görselin SHA-256 hash değeri

Medula üzerinde gerçekleştirilen reçete işlemlerinde TC kimlik numarası eczane bilgisayarında yerel olarak işlenir ve PharmaZeka sunucularına iletilmez. Kağıt reçete OCR özelliği kullanıldığında, TC kimlik numarası ve hasta adı tarayıcıda yerel OCR ile okunup maskelenmiş görsel Anthropic API'sine iletildiği için, ham TC ve ad bilgileri Anthropic'e gönderilmez. PharmaZeka veritabanına yazılırken AES-256-GCM ile şifrelenir.

4. Kişisel Verilerin İşlenme Amaçları

Yukarıda belirtilen kişisel veriler aşağıdaki amaçlarla işlenmektedir:

Abonelik sözleşmesinin kurulması ve yürütülmesi
Faturalama, ödeme tahsilatı ve mali yükümlülüklerin yerine getirilmesi
Teknik destek ve müşteri iletişiminin sağlanması
Yazılımın kurulumu, güncellenmesi ve lisans doğrulaması
Yasal saklama yükümlülüklerinin yerine getirilmesi
Hizmet kalitesinin ölçülmesi ve iyileştirilmesi
Kağıt reçete fotoğrafından metin çıkarımı (OCR) yoluyla reçete işlem süreçlerinin hızlandırılması

5. İşlemenin Hukuki Sebebi

Kişisel verileriniz aşağıdaki hukuki sebeplere dayalı olarak işlenmektedir:

KVKK md. 5/2-c: Bir sözleşmenin kurulması veya ifası için veri işlemenin zorunlu olması (abonelik sözleşmesi)
KVKK md. 5/2-ç: Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi (fatura ve vergi mevzuatı)
KVKK md. 5/2-f: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması (teknik destek, hesap güvenliği)

Kağıt reçete tarama özelliğinde otomatik maskeleme akışı (Bölüm 2.1) zorunlu kılınmıştır; sistem, hasta TC ve ad-soyadı tarayıcıda yerel olarak siyahlamadan AI servisine görseli iletmez. Bu, hizmetin teknik tasarımı gereği bir güvencedir.

6. Kişisel Verilerin Aktarımı ve Yurt Dışı Aktarım

6.1. Yurt içi aktarımlar

Kişisel verileriniz, hizmetin gereği olarak aşağıdaki taraflarla sınırlı şekilde paylaşılabilir:

Ödeme altyapısı sağlayıcısı (faturalama ve tahsilat amacıyla)
Mali müşavir ve denetim hizmeti sağlayıcıları (vergi yükümlülüklerinin ifası amacıyla)
Yetkili kamu kurum ve kuruluşları (yasal yükümlülükler kapsamında)

6.2. Yurt dışı aktarım — Anthropic Inc. (ABD)

Eczacının kağıt reçete tarama özelliğini kullanması halinde, **TC kimlik numarası ve hasta adı yerel olarak maskelendikten sonra** kalan reçete görseli, KVKK kapsamında yurt dışı veri aktarımı niteliği taşıyan bir işlemle Anthropic'e iletilir:

Aktarım yapılan taraf: Anthropic, Inc., San Francisco, CA, ABD
Aktarım amacı: Maskelenmiş görselden tıbbi bilgi (ilaç, doz, teşhis kodu) çıkarımı
Aktarılan veri: TC kimlik no ve hasta ad-soyadı **siyahlanmış** reçete görseli; ilaç adı, barkod, teşhis kodu, doktor bilgisi içerebilir
Aktarılmayan veri: Hasta TC kimlik numarası, hasta ad-soyadı (yerel olarak maskelenir, AI servisine ulaşmaz)
Aktarım yöntemi: Şifreli HTTPS bağlantısı üzerinden anlık API çağrısı
Anthropic'in veri işleme politikası: API çağrılarında iletilen veriler model eğitiminde kullanılmaz. Anthropic, güvenlik incelemesi amacıyla bu verileri 30 gün geçici olarak saklayabilir.
Güvenlik sertifikaları: Anthropic SOC 2 Type II ve ISO 27001 sertifikalıdır.
Görselin saklanması: Görsel PharmaZeka veritabanına kaydedilmez; yalnızca SHA-256 hash değeri önbellekte tutulur.

E-reçete akışında AI servisi kullanılmadığı için yurt dışı veri aktarımı yoktur.

6.4. Yurt dışı aktarım — Tawk.to (ABD)

Web yönetim panelinde canlı destek widget'ı olarak Tawk.to Inc. (ABD) altyapısı kullanılmaktadır. Eczacı destek talebinde bulunduğunda widget üzerinden yazılan mesajlar, ekran adı ve e-posta adresi Tawk.to sunucularına iletilir ve sohbet kayıtları olarak saklanır.

Aktarım yapılan taraf: Tawk.to Inc. — San Francisco, CA, ABD
Aktarılan veri: Eczacının ekran adı, e-posta adresi ve destek talebinde yazdığı serbest metin mesajlar
Aktarılmayan veri: Hasta TC kimlik numarası, reçete içeriği, Medula şifresi, ilaç/tanı bilgileri (destek widget'ı bu verilere teknik olarak erişmez)
Aktarım amacı: Müşteri destek hizmetinin sunulması, sohbet geçmişinin saklanması
Saklama süresi: Tawk.to üzerinde aktif hesap süresince; eczacı talebi üzerine sohbet kayıtları silinebilir

KVKK md. 9 uyarınca yurt dışı aktarım, hizmetin işleyişi için zorunlu olup eczacı bu aktarım hakkında açıkça bilgilendirilmektedir. Eczacı, destek widget'ını kullanmadan e-posta yoluyla (merhaba@pharmazeka.com) iletişim kurmayı tercih edebilir.

6.3. Yurt dışı aktarım — Supabase (Avrupa Birliği / Almanya)

PharmaZeka veritabanı altyapısı, Supabase'in Avrupa Birliği bölgesinde (Almanya, Frankfurt) işletilen sunucularında barındırılmaktadır. Bu çerçevede abonelik/hesap bilgileri, faturalama kayıtları ve (kağıt reçete OCR özelliği kullanıldığında) AES-256-GCM ile şifrelenmiş reçete işlem verileri söz konusu sunuculara aktarılmaktadır.

Aktarım yapılan taraf: Supabase, Inc. — Almanya (Frankfurt) bölgesi
Aktarılan veri: Abonelik, hesap ve faturalama bilgileri; şifreli reçete işlem kayıtları. Hasta TC kimlik numarası ve hasta adı bu aktarımda ham hâliyle yer almaz; aktarılan reçete kayıtları AES-256-GCM ile şifreli olarak yazılmaktadır.
Aktarım yöntemi: Şifreli HTTPS (TLS) bağlantısı
Uygulanan çerçeve: AB Genel Veri Koruma Tüzüğü (GDPR) kapsamında işletilen altyapı

KVKK md. 9 uyarınca yurt dışı aktarım, Kişisel Verileri Koruma Kurulu'nun yeterlilik kararının bulunması veya aktarıma konu tarafın yeterli koruma güvencelerini sağlaması koşuluna bağlıdır. Yukarıda belirtilen her iki yurt dışı aktarım da hizmetin işleyişi için zorunludur; kullanıcılar bu aktarımlar hakkında işbu metin aracılığıyla açıkça bilgilendirilmektedir.

7. Saklama Süresi

Faturalama ve mali kayıtlar: Vergi Usul Kanunu uyarınca 10 yıl
Sözleşme ve abonelik kayıtları: Türk Borçlar Kanunu zamanaşımı süresi olan 10 yıl
Hesap erişim ve oturum kayıtları: 2 yıl
Şifreli reçete işlem kayıtları: Aktif abonelik süresince; abonelik sona erdikten sonra hesap silme talebi üzerine imha edilir
Görsel hash (önbellek): 90 gün
Pazarlama amaçlı iletişim verileri (varsa, açık rıza ile): Açık rızanın geri alınmasına kadar

Saklama süresinin sona ermesinin ardından kişisel verileriniz silinir, yok edilir veya anonim hale getirilir.

8. İlgili Kişi Olarak Haklarınız

KVKK md. 11 uyarınca aşağıdaki haklara sahipsiniz:

Kişisel verilerinizin işlenip işlenmediğini öğrenme
İşlenmişse buna ilişkin bilgi talep etme
İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme
Eksik veya yanlış işlenmiş ise düzeltilmesini isteme
KVKK md. 7'de öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme
Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
İşlenen verilerin münhasıran otomatik sistemlerle analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
Verilerin kanuna aykırı işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

9. Başvuru Yöntemi

Yukarıda belirtilen haklarınızı kullanmak için, kimliğinizi tevsik edici belgelerle birlikte aşağıdaki kanallardan başvuruda bulunabilirsiniz:

E-posta: merhaba@pharmazeka.com
Yazılı başvuru: KAYABAŞI MAH. VEYSEL KARANİ CAD. PARK MAVERA 3 B2 BLOK NO: 7 G İÇ KAPI NO: 2 BAŞAKŞEHİR/İSTANBUL

Başvurularınız, talebinizin niteliğine göre en geç 30 (otuz) gün içinde sonuçlandırılır. Başvuru yöntemi ve içeriği hakkında "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" hükümleri uygulanır.