LimanTerapi Logo

Veri Koruma Etki Değerlendirmesi (DPIA)

Son Güncelleme: 16 Kasım 2025

1. Giriş

Bu Veri Koruma Etki Değerlendirmesi (DPIA), UK GDPR'nin 35. Maddesi ve Veri Koruma Yasası 2018'e uygun olarak yapılmıştır. Veri işleme faaliyetlerimizle ilişkili gizlilik risklerini değerlendirir ve bu riskleri azaltmak için önlemleri özetler.

Veri Sorumlusu: MISA LUNA LIMITED
Şirket Numarası: 16335349
Kayıtlı Ofis: 43 Beech Avenue, Kearsley, Bolton, England, BL4 8SB
ICO Kaydı: Bilgi Komiserliği Ofisi (ICO) ile veri sorumlusu olarak kayıtlıyız
E-posta: privacy@limanterapi.com

2. Amaç ve Kapsam

2.1. Amaç: Bu DPIA, özellikle özel kategori veriler (sağlık verileri) bağlamında, online ruh sağlığı platformumuzda kişisel verilerin işlenmesiyle ilişkili gizlilik risklerini değerlendirir.

2.2. Kapsam: Bu değerlendirme şunları kapsar:

  • Danışan kaydı ve profil yönetimi
  • Terapist kaydı ve doğrulama
  • Randevu rezervasyonu ve yönetimi
  • Ödeme işleme
  • Video konferans (Zoom entegrasyonu)
  • İletişim ve mesajlaşma
  • Anket ve değerlendirme verileri
  • Analitik ve platform iyileştirme

3. Veri İşleme Faaliyetleri

3.1. Toplanan Kişisel Veriler

  • Kimlik Verileri: Ad, doğum tarihi, e-posta, telefon numarası
  • İletişim Verileri: Adres, posta kodu
  • Sağlık Verileri (Özel Kategori): Ruh sağlığı bilgileri, terapi geçmişi, anket yanıtları, randevu notları
  • Finansal Veriler: Ödeme kartı bilgileri (Stripe tarafından işlenir), işlem geçmişi
  • Teknik Veriler: IP adresi, cihaz bilgileri, tarayıcı türü, giriş kayıtları
  • Kullanım Verileri: Platform aktivitesi, seans kayıtları (rıza ile), analitik veriler

3.2. Veri İşleme Amaçları

  • Terapi hizmetleri sağlamak ve danışan-terapist bağlantılarını kolaylaştırmak
  • Randevuları yönetmek ve planlamak
  • Ödemeleri işlemek ve finansal işlemleri yönetmek
  • Platform güvenliğini sağlamak ve dolandırıcılığı önlemek
  • Yasal yükümlülüklere uymak (örn. koruma, vergi raporlama)
  • Platform işlevselliğini ve kullanıcı deneyimini iyileştirmek
  • Analitik ve araştırma (mümkün olduğunda anonimleştirilmiş)

3.3. İşleme Hukuki Dayanağı

  • Sözleşme (Madde 6(1)(b)): Hizmet sözleşmelerinin yerine getirilmesi
  • Yasal Yükümlülük (Madde 6(1)(c)): UK yasalarına uyum (vergi, koruma)
  • Meşru Menfaatler (Madde 6(1)(f)): Platform güvenliği, dolandırıcılık önleme, hizmet iyileştirme
  • Rıza (Madde 6(1)(a)): Pazarlama iletişimleri, analitik (uygulanabilir olduğunda)
  • Sağlık Verileri (Madde 9(2)(h)): Sağlık veya sosyal bakım sağlanması
  • Sağlık Verileri (Madde 9(2)(a)): Açık rıza (uygulanabilir olduğunda)

4. Tespit Edilen Gizlilik Riskleri

Yüksek Risk: Sağlık Verilerine Yetkisiz Erişim

Risk: Hassas sağlık verilerine yetkisiz erişim bireylere önemli zarar verebilir.

Azaltma: Bekletme ve aktarım sırasında şifreleme, erişim kontrolleri, düzenli güvenlik denetimleri, personel eğitimi, terapistler için iki faktörlü kimlik doğrulama.

Orta Risk: Veri İhlali

Risk: Veri ihlali kişisel ve sağlık bilgilerini açığa çıkarabilir.

Azaltma: Olay müdahale planı, düzenli yedeklemeler, güvenli bulut altyapısı (Supabase, AWS/Google Cloud UK/EU bölgeleri), ihlal bildirim prosedürleri (ICO'ya 72 saat).

Orta Risk: Yetersiz Veri Saklama

Risk: Verileri gerekenden daha uzun süre saklamak gizlilik risklerini artırabilir.

Azaltma: Net saklama politikaları, mümkün olduğunda otomatik silme, düzenli veri denetimleri.

Düşük Risk: Üçüncü Taraf Veri Paylaşımı

Risk: Üçüncü taraf işlemciler verileri yeterince korumayabilir.

Azaltma: Tüm işlemcilerle Veri İşleme Anlaşmaları (DPA'lar), due diligence, mümkün olduğunda UK/EU tabanlı işlemciler, düzenli denetimler.

5. Azaltma Önlemleri

5.1. Teknik Önlemler

  • Hassas veriler için uçtan uca şifreleme
  • Güvenli kimlik doğrulama (şifre hashleme, terapistler için 2FA)
  • Düzenli güvenlik güncellemeleri ve yamalar
  • Güvenli bulut altyapısı (UK/EU bölgeleri)
  • Düzenli penetrasyon testleri ve güvenlik açığı değerlendirmeleri
  • Erişim günlüğü ve izleme

5.2. Örgütsel Önlemler

  • Veri koruma ve güvenlik konusunda personel eğitimi
  • Net veri koruma politikaları ve prosedürleri
  • Düzenli DPIA incelemeleri ve güncellemeleri
  • Olay müdahale prosedürleri
  • Veri Koruma Görevlisi (DPO) veya belirlenmiş gizlilik iletişim kişisi
  • Düzenli denetimler ve uyumluluk kontrolleri

5.3. Yasal Önlemler

  • Tüm işlemcilerle Veri İşleme Anlaşmaları (DPA'lar)
  • Net gizlilik bildirimleri ve rıza mekanizmaları
  • Kullanıcı hakları prosedürleri (erişim, düzeltme, silme, vb.)
  • İhlal bildirim prosedürleri (ICO ve bireyler)
  • Düzenli yasal uyumluluk incelemeleri

6. Veri Paylaşımı ve Üçüncü Taraflar

Verileri aşağıdaki üçüncü taraflarla paylaşıyoruz:

6.1. Veri İşlemcileri

  • Supabase: Veritabanı ve kimlik doğrulama (UK/EU bölgeleri) - DPA mevcut
  • Stripe: Ödeme işleme - DPA mevcut, PCI DSS uyumlu
  • SendGrid: E-posta hizmetleri - DPA mevcut
  • Zoom: Video konferans (online seanslar için) - DPA mevcut
  • AWS/Google Cloud: Bulut altyapısı (UK/EU bölgeleri) - DPA'lar mevcut
  • Vercel: Barındırma ve analitik - DPA mevcut

6.2. Veri Sorumluları

  • Terapistler: Terapi seans verileri için ayrı veri sorumluları - Veri Paylaşım Sözleşmesi mevcut
  • Yasal Otoriteler: Yasa gereği gerekli olduğunda (örn. koruma, mahkeme emirleri)

7. Veri Saklama

Verileri yalnızca gerekli olduğu sürece saklıyoruz:

  • Hesap Verileri: Hesap aktif olduğu sürece ve kapatıldıktan sonra 7 yıl (yasal/vergi gereksinimleri)
  • Sağlık Verileri: Hesap aktif olduğu sürece ve son randevudan sonra 7 yıl (klinik kayıt gereksinimleri)
  • Finansal Veriler: 7 yıl (HMRC gereksinimi)
  • Pazarlama Verileri: Rıza geri çekilene veya hesap kapatılana kadar
  • Analitik Veriler: Anonimleştirilmiş ve 2 yıla kadar saklanır

8. Kullanıcı Hakları

Aşağıdaki UK GDPR haklarını kolaylaştırıyoruz:

  • Erişim hakkı (Konu Erişim Talebi)
  • Düzeltme hakkı
  • Silme hakkı ("Unutulma Hakkı")
  • İşlemeyi kısıtlama hakkı
  • Veri taşınabilirliği hakkı
  • İtiraz hakkı
  • Otomatik karar verme ile ilgili haklar

Talepler 30 gün içinde işlenir. Daha fazla bilgi için Gizlilik Politikamıza bakın.

9. Danışma ve İnceleme

Bu DPIA şunlar tarafından:

  • Veri koruma ekibimiz tarafından gözden geçirildi
  • İlgili paydaşlarla (yasal, teknik, klinik) danışıldı
  • Yıllık olarak veya işleme faaliyetlerinde önemli değişikliklerden sonra gözden geçirildi
  • Talep üzerine ICO'ya sunulmak üzere hazırlandı

10. Sonuç

Bu DPIA, veri işleme faaliyetlerimizle ilişkili gizlilik risklerini tespit ettiğimizi ve değerlendirdiğimizi göstermektedir. Bu riskleri azaltmak ve UK GDPR'ye uyumluluğu sağlamak için uygun teknik ve örgütsel önlemleri uyguladık.

Sürekli iyileştirmeye kararlıyız ve bu DPIA'yı düzenli olarak, özellikle yeni işleme faaliyetleri veya teknolojiler tanıttığımızda gözden geçireceğiz ve güncelleyeceğiz.

11. İletişim

Bu DPIA veya veri koruma uygulamalarımız hakkında sorular için lütfen iletişime geçin:

E-posta: privacy@limanterapi.com
Veri Sorumlusu: MISA LUNA LIMITED
Şirket Numarası: 16335349
Kayıtlı Ofis: 43 Beech Avenue, Kearsley, Bolton, England, BL4 8SB
ICO: Information Commissioner's Office, Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF
ICO Web Sitesi: ico.org.uk