Veri İşleme Sözleşmesi

Bu sözleşme hakkında

PharmaZeka, eczane bilgisayarına kurulan lokal bir otomasyon yazılımıdır. Medula otomasyon akışında hasta verisi PharmaZeka sunucularına iletilmemektedir. Kağıt reçete tarama özelliğinin kullanılması durumunda hasta TC kimlik numarası ve hasta adı tarayıcıda yerel olarak siyahlanır; **maskelenmiş görsel** Anthropic Inc. API'sine iletilir ve tıbbi alanlar (ilaç, doz, teşhis kodu) çıkarılır. AI çıktısı şifreli biçimde PharmaZeka veritabanına yazılmaktadır. E-reçete akışında AI servisi kullanılmamaktadır; bu akış aşağıda ayrıntılı olarak açıklanmaktadır.

Bu sözleşme, kurumsal veya zincir eczanelerin hukuk departmanlarının talep etmesi durumunda imzalanmak üzere hazırda tutulmaktadır. Standart abonelik akışında imzalanması zorunlu değildir.

Sözleşme talebiniz için: merhaba@pharmazeka.com

Son güncelleme: Mayıs 2026

İşbu Veri İşleme Sözleşmesi ("Sözleşme"), 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") md. 12 ve ilgili ikincil mevzuat kapsamında, eczane ile PharmaZeka arasında düzenlenen ek bir sözleşmedir.

1. Taraflar

• Veri Sorumlusu: ............................. (eczane ticari unvanı, adres, vergi numarası)

("Eczane")

• Veri İşleyen: Ahmet Ruken Boyacı BİLGİSAYAR PROGRAMLAMA FAALİYETLERİ, Vergi No: 1810513170, Vergi Dairesi: Başakşehir Vergi Dairesi Müdürlüğü, Adres: KAYABAŞI MAH. VEYSEL KARANİ CAD. PARK MAVERA 3 B2 BLOK NO: 7 G İÇ KAPI NO: 2 BAŞAKŞEHİR/İSTANBUL, E-posta: merhaba@pharmazeka.com, Telefon: +90 551 973 41 42

("PharmaZeka")

2. Tanımlar

İşbu Sözleşme'de geçen kavramlar, KVKK ve ikincil mevzuatta tanımlandığı şekilde anlaşılır. "Kişisel veri", "veri sorumlusu", "veri işleyen", "açık rıza", "imha" gibi terimler ilgili mevzuat anlamlarıyla kullanılır.

"Alt işleyen": PharmaZeka'nın, Eczane adına yürüttüğü veri işleme faaliyetlerinin bir kısmını gerçekleştirmek üzere görevlendirdiği üçüncü taraf veri işleyen.

3. Sözleşmenin Konusu

İşbu Sözleşme, Eczane'nin veri sorumlusu sıfatıyla, PharmaZeka tarafından yürütülen yazılım hizmeti çerçevesinde işlenebilecek kişisel verilere ilişkin tarafların hak ve yükümlülüklerini düzenler.

4. İşlenen Veri Kategorileri

4.1. Her koşulda işlenen veriler

PharmaZeka, Eczane adına aşağıdaki kategorilerde kişisel veriyi işler:

• Eczacıya ait kimlik ve iletişim bilgileri (ad, soyad, e-posta, telefon)
• Eczane işletme bilgileri (ticari unvan, adres)
• Abonelik ve faturalama bilgileri
• Oturum ve hesap güvenliği bilgileri (IP adresi, oturum logları)

4.1.1. Ekip üyelerine ilişkin ek açıklama

Eczane hesabı altında "operatör" rolüyle davet edilen ek kullanıcıların (eczacı, teknisyen vb.) ad-soyadı, e-posta adresi ve rol bilgisi PharmaZeka tarafından işlenir. Bu kullanıcılar, Eczane'nin kendi tasarrufuyla eklenir ve kaldırılır; bu kullanıcıların eylemlerinden doğan veri işleme sorumluluğu veri sorumlusu sıfatıyla Eczane'ye aittir.

4.2. Medula otomasyon akışında işlenmeyen veriler

PharmaZeka, Medula otomasyon akışı kapsamında hastalara ait kişisel verileri (TC kimlik numarası, sağlık verisi, reçete içeriği, tanı kodu, ilaç bilgisi vb.) Eczane adına işlemez. Bu veriler Eczane'nin kendi bilgisayarında, kendi Medula erişimiyle yerel olarak işlenir ve PharmaZeka sunucularına iletilmez.

4.3. Kağıt reçete tarama özelliği kullanıldığında işlenen veriler

Eczane'nin kağıt reçete tarama özelliğini kullanması halinde PharmaZeka, aşağıdaki verileri Eczane adına işler:

• **Yerel maskelenmiş reçete görseli**: Hasta TC kimlik numarası ve hasta adı, Eczane'nin tarayıcısında yerel OCR (Tesseract.js) ile çıkarılıp görsel üzerinde siyah dikdörtgenle maskelenir. Maskelenmiş görsel, tıbbi alanların çıkarılması amacıyla Anthropic Inc. API'sine iletilir; iletim sonrasında PharmaZeka sistemlerinde depolanmaz.
• Hasta TC kimlik numarası ve hasta ad-soyadı: Yerel OCR sonucu olarak doğrudan Eczane'nin tarayıcısında AES-256-GCM ile şifrelenip PharmaZeka veritabanına yazılır. **Anthropic'e ham hâliyle iletilmez.**
• Görsel SHA-256 hash değeri: Mükerrer işlemi önlemek amacıyla 90 gün boyunca PharmaZeka önbelleğinde tutulur.
• AI çıktısı (ilaç, tanı, hekim, reçete no): AES-256-GCM ile şifrelenmiş biçimde PharmaZeka veritabanına yazılır.

Sistem, Eczane "Hasta" kategorisinde en az bir bölge işaretlemedikçe işlemi başlatmaz. Bu, teknik tasarım gereği bir güvencedir; Eczane veya Kullanıcı tarafından devre dışı bırakılamaz.

4.4. E-reçete akışında işlenen veriler

E-reçete numarası ile çalışılan reçetelerde herhangi bir AI servisi kullanılmaz. Bilgiler tarayıcıda yerel OCR ile okunur ve doğrudan eczane bilgisayarındaki lokal agent'a iletilir. **E-reçete akışında yurt dışı veri aktarımı yoktur.**

5. İşleme Amacı, Süresi ve Hukuki Sebebi

5.1. Amaç: Abonelik sözleşmesinin yürütülmesi, faturalama, teknik destek, lisans yönetimi, yasal yükümlülüklerin yerine getirilmesi ve (OCR özelliği kullanıldığında) kağıt reçete içeriğinin metin olarak çıkarılması.

5.2. Süre: Abonelik süresince ve yasal saklama süreleri (vergi mevzuatı uyarınca 10 yıl) boyunca. Şifreli reçete işlem kayıtları, hesap silme talebi üzerine imha edilir.

5.3. Hukuki Sebep: KVKK md. 5/2-c (sözleşmenin ifası), md. 5/2-ç (hukuki yükümlülük), md. 5/2-f (meşru menfaat).

6. Veri İşleyenin (PharmaZeka) Yükümlülükleri

PharmaZeka:

6.1. Kişisel verileri yalnızca işbu Sözleşme'de belirtilen amaç ve kapsamda, Eczane'nin yazılı talimatları doğrultusunda işler.

6.2. Aşağıdaki teknik ve idari tedbirleri uygular:

Teknik tedbirler:

• TLS (HTTPS) ile şifreli iletim
• Reçete içeriği dahil hassas veriler için AES-256-GCM uygulama katmanı şifrelemesi; şifreleme anahtarı sunucu ortam değişkeninde tutulur ve veritabanından fiziksel olarak ayrıdır
• Veritabanı seviyesinde at-rest encryption
• Şifrelerin tek yönlü hash (bcrypt/argon2) ile saklanması
• Düzenli güvenlik güncellemeleri ve yamalama
• Erişim ve değişiklik logları
• Güvenli yedekleme ve felaket kurtarma planı
• Güvenlik duvarı ve saldırı tespit sistemleri

İdari tedbirler:

• En az yetki prensibi ile dahili erişim kontrolü
• Çalışanlar için gizlilik taahhütnameleri
• Düzenli farkındalık eğitimleri
• Kişisel veri envanteri ve süreç dokümantasyonu
• VERBİS kayıt yükümlülüklerinin takibi

6.3. Görevlendirdiği personelin gizliliğini sağlar; yalnızca görevin gerektirdiği ölçüde verilere erişim verir.

6.4. Alt işleyenler için Eczane'nin genel onayını aşağıdaki listede belirlenmiş sağlayıcılar için önceden almış sayılır. Bu listeye ekleme yapılmadan önce Eczane'ye yazılı bildirimde bulunulur.

6.5. Veri sahiplerinden gelen taleplerde Eczane'ye derhal bilgi verir ve makul yardımı sağlar.

7. Onaylı Alt İşleyenler

PharmaZeka, işbu Sözleşme kapsamındaki veri işleme faaliyetlerinde aşağıdaki alt işleyenleri kullanır:

7.1. Ödeme altyapısı sağlayıcısı

• Kapsam: Abonelik ödemelerinin tahsili ve faturalama
• İşlenen veri: Eczacı kimlik ve faturalama bilgileri

7.2. E-posta sağlayıcısı

• Kapsam: Sistem bildirimleri ve fatura iletimleri
• İşlenen veri: Eczacının e-posta adresi

7.3. Bulut uygulama altyapısı sağlayıcısı (Railway)

• Kapsam: Web yönetim paneli (Next.js uygulama katmanı) host
• İşlenen veri: Uygulama katmanından geçen abonelik, hesap ve API istek/yanıt trafiği
• Konum: Railway altyapısı (sunucu bölgesi için güncel bilgi: merhaba@pharmazeka.com)

7.4. Veritabanı altyapısı sağlayıcısı (Supabase)

• Kapsam: Abonelik, hesap, faturalama ve (kağıt reçete OCR kullanıldığında) şifreli reçete işlem kayıtlarının depolanması
• İşlenen veri: Sözleşme kapsamındaki tüm kayıtlı veriler (şifreli olarak saklanan hassas kayıtlar dahil)
• Konum: Avrupa Birliği bölgesi — Almanya (Frankfurt), AB GDPR kapsamında işletilen altyapı

7.5. Anthropic, Inc. (ABD) — Tıbbi alan çıkarımı alt işleyeni

• Kapsam: Yalnızca kağıt reçete tarama özelliği kullanıldığında; **TC ve hasta adı yerel olarak maskelenmiş** görselden tıbbi alanların çıkarımı (Claude Vision API). E-reçete akışında kullanılmaz.
• İşlenen veri: Maskelenmiş reçete görseli (hasta TC ve adı siyahlanmış); ilaç adı, barkod, teşhis kodu, doktor bilgisi içerebilir
• İşlenmeyen veri: Hasta TC kimlik numarası, hasta ad-soyadı (yerel maskeleme nedeniyle Anthropic'e ulaşmaz)
• Konum: San Francisco, CA, ABD
• Veri işleme politikası: API çağrılarında iletilen veriler model eğitiminde kullanılmaz; Anthropic güvenlik incelemesi amacıyla 30 gün geçici saklama uygulayabilir
• Güvenlik sertifikaları: SOC 2 Type II, ISO 27001
• HIPAA kapasitesi: Anthropic, HIPAA-eligible Business Associate Agreement (BAA) imzalama kapasitesine sahiptir. PharmaZeka, Türkiye'de faaliyet gösteren bir yazılım şirketi olduğundan ve HIPAA ABD hukuku kapsamında olduğundan, Anthropic ile halihazırda BAA imzalanmamıştır. Kurumsal kullanıcılar bu konuda ayrıca bilgi alabilir: merhaba@pharmazeka.com
• Aktarım türü: KVKK kapsamında yurt dışı veri aktarımı (sadece maskelenmiş içerik)

8. Veri İhlali Bildirimi

PharmaZeka, kişisel veri ihlalini öğrendiği tarihten itibaren en geç 72 saat içinde Eczane'ye yazılı olarak bildirir. Bildirim aşağıdakileri içerir:

• İhlalin niteliği ve etkilenen veri kategorileri
• Etkilenen ilgili kişi sayısı
• İhlalin olası sonuçları
• Alınan veya alınması önerilen tedbirler
• İletişim bilgisi

Eczane, KVKK md. 12/5 uyarınca Kişisel Verileri Koruma Kurulu'na bildirim yükümlülüğünü kendi adına yerine getirir.

9. Verilerin İmhası

İşbu Sözleşme'nin sona ermesi veya işleme amacının ortadan kalkması halinde PharmaZeka, kişisel verileri Eczane'nin talebine uygun olarak siler, yok eder veya anonim hale getirir. Yasal saklama yükümlülüğüne tabi veriler, ilgili sürelerin dolmasına kadar muhafaza edilir.

10. Denetim Hakkı

Eczane, makul önceden bildirimde bulunmak şartıyla, PharmaZeka'nın işbu Sözleşme'ye uyumunu yıllık olarak yazılı talep yoluyla denetleme veya bağımsız denetim raporu isteme hakkına sahiptir.

11. Sorumluluk

Tarafların sorumluluğu, KVKK ve ilgili mevzuat hükümleri ile Kullanım Koşulları'nda belirtilen sorumluluk sınırlarına tabidir.

12. Süre ve Fesih

İşbu Sözleşme, abonelik sözleşmesi süresince geçerlidir. Abonelik sözleşmesinin sona ermesiyle birlikte işbu Sözleşme de kendiliğinden sona erer; ancak ifa edilmesi gereken yükümlülükler (örn. veri imhası, ihlal bildirimleri) sonra da devam eder.

13. Uygulanacak Hukuk

İşbu Sözleşme, Türkiye Cumhuriyeti hukukuna tabidir. Uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

14. İmza

İşbu Sözleşme iki nüsha olarak hazırlanmış olup, taraflarca imzalanarak yürürlüğe girer.

Eczane Adına (Veri Sorumlusu)

• Ad Soyad: .........................................
• Unvan: ...............................................
• İmza: ..................................................
• Tarih: .................................................

PharmaZeka Adına (Veri İşleyen)

• PharmaZeka
• Ad Soyad: .........................................
• Unvan: ...............................................
• İmza: ..................................................
• Tarih: .................................................