WhatsAppinfo@ri-hub.it

Gizlilik Politikası

2016/679 sayılı AB Tüzüğü'nün (GDPR) 13–14. maddeleri uyarınca aydınlatma metni. Son revizyon: Mayıs 2026.

1. Veri Sorumlusu

Veri Sorumlusu, İtalya'da kayıtlı merkezi bulunan Ri-Hub S.r.l. S.T.P.'dir. GDPR kapsamındaki haklarınızı kullanmak ve her türlü talep için privacy@ri-hub.it adresine yazınız.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Sağlık verilerinin işlenmesi (GDPR 9. madde)

Ri-Hub bir online fizyoterapi platformudur: hizmetin kullanımı sırasında sağlığa ilişkin verileri (GDPR 9. maddesi uyarınca özel kategori) topluyor ve işliyoruz; özellikle: anamnez sorularına verilen yanıtlar, ağrı seviyeleri, semptom açıklamaları, terapötik hedefler, tedavi planları. Görüntülü muayeneler gerçek zamanlı olarak verilmekte olup hiçbir şekilde ses veya görüntü olarak kaydedilmemekte ve saklanmamaktadır.

Hukuki dayanak. Sağlık verilerinin işlenmesi iki kümülatif dayanağa dayanır: sağlık aydınlatılmış onam imzası sırasında alınan ilgili kişinin açık rızası (GDPR md. 9.2.a) ve ilgili kişinin taraf olduğu sağlık hizmeti sözleşmesinin ifası (GDPR md. 9.2.h). İşleme ayrıca İtalyan Veri Koruma Kurumu'nun (Garante) telesağlık alanındaki Kılavuz İlkelerine ve Avrupa Veri Koruma Kurulu (EDPB) önerilerine uygundur. Bu verilerin sağlanmaması durumunda talep edilen sağlık hizmeti verilemez.

Yayma ve ikincil kullanım yasağı. Sağlık verileri, yalnızca bireysel hastanın bakım, tanı ve rehabilitasyon süreci yönetimi amaçlarıyla işlenir. Ri-Hub, § 5'te açıkça belirtilen yetkili kişiler (atanmış fizyoterapist ve Veri İşleyen olarak atanmış teknoloji sağlayıcıları) dışında sağlık verilerini yaymaz, devretmez, satmaz veya üçüncü taraflara aktarmaz. Sağlık verileri hiçbir koşulda reklam, profilleme veya pazarlama amacıyla kullanılmaz.

Avrupa mevzuatına uygun sistemlerde saklama. Sağlık verileri, GDPR'a uygun sağlayıcılarda Avrupa Ekonomik Alanı (AEA) içinde konumlanmış bulut altyapısında saklanır; hem aktarım sırasında (TLS 1.3) hem de durağan halde şifreleme uygulanır. Hiçbir sağlık verisi AB/AEA dışına aktarılmaz. AB dışı teknoloji işleyicileri (örn. ödemeler için Stripe) yalnızca idari ve muhasebe verilerini işler — sağlık verilerini asla — ve bu işleme Avrupa Komisyonu tarafından onaylanan Standart Sözleşme Maddeleri temelinde gerçekleşir (GDPR md. 46).

Mesleki sır. Sağlık verilerine erişen fizyoterapistler Mesleki Sicil'e kayıtlıdır ve İtalya Ceza Kanunu'nun 622. maddesi, İtalya Ceza Muhakemesi Kanunu'nun 200. maddesi ve mesleki Etik Kuralları uyarınca mesleki sır yükümlülüğüne tabidir. Sağlık verilerine erişim yalnızca atanmış hasta ile sınırlıdır (veri minimizasyonu ilkesi, GDPR md. 5.1.c) ve değiştirilemez denetim kayıtlarında izlenir.

Takma adlandırma ve minimizasyon. Teknik olarak mümkün olduğunda, sağlık verileri uygulama düzeyinde takma adlandırılır veya şifrelenir. İç kullanım veya anlaşmalı klinikler/şirketler için toplu istatistikler, bireysel hastayı yeniden tanımlama olasılığı bulunmadan yalnızca anonim ve toplu biçimde sağlanır.

3. İşlenen kişisel veri kategorileri

  • Kimlik verileri: ad, soyad, vergi kimlik numarası, doğum tarihi, adres, iletişim bilgileri.
  • Kimlik belgeleri (görüntü).
  • Kimlik doğrulama bilgileri: e-posta, hash biçiminde parola, OAuth ile erişildiğinde Google jetonu.
  • Sağlık verileri: anamnez, ağrı, semptomlar, terapötik planlar, değerlendirme anketi sonuçları. Görüntülü seanslar kaydedilmez.
  • Ödeme verileri: Stripe sağlayıcısı tarafından yönetilir (kart verilerini saklamayız).
  • Teknik veriler: IP adresi, erişim kayıtları, cihaz tanımlayıcıları (Capacitor yüklü ise).
  • Toplu ve anonim kullanım verileri (yalnızca analytics çerezlerini kabul ettiyseniz).

4. İşleme amaçları

  • Online fizyoterapi hizmetinin sunulması (dayanak: sözleşme / 9. madde açık rıza).
  • İdari ve muhasebe yönetimi (dayanak: yasal yükümlülük).
  • Uygulama güvenliği, sahtekarlık önleme ve tanılama (dayanak: meşru menfaat).
  • Hizmet bildirimleri ve randevulara ilişkin uyarılar (dayanak: sözleşme).
  • Pazarlama ve haber bülteni yalnızca kayıt aşamasında ayrı rıza vermeniz halinde (dayanak: her an geri alınabilir rıza).
  • Toplu analytics yalnızca analytics çerezlerini kabul ettiyseniz (dayanak: çerez bandından geri alınabilir rıza).

5. Alıcılar ve harici işleyiciler

Aşağıda listelenen tüm kişiler, özel sözleşmeyle GDPR md. 28 uyarınca Veri İşleyen olarak atanmıştır. Bu listenin dışındaki hiçbir kişi verilerinize erişemez. Sağlık verilerine yalnızca atanmış fizyoterapist erişebilir; diğer tüm sağlayıcılar yalnızca teknik/idari verileri işler.

  • Anlaşmalı fizyoterapistler: hizmeti vermek için yalnızca atanmış hastanın sağlık verilerine erişirler. Mesleki Sicil'e kayıtlıdırlar ve İtalya Ceza Kanunu md. 622 uyarınca mesleki sır yükümlülüğüne tabidirler. Hiçbir fizyoterapist, kendisine atanmamış hastaların verilerini görüntüleyemez.
  • AB bulut barındırma (Avrupa Ekonomik Alanı'nda konumlanmış veri merkezleri): uygulama altyapısı ve veritabanı. Sağlık verileri için AB dışı aktarım yoktur. Aktarımda TLS şifreleme + birimlerde durağan şifreleme.
  • Stripe (İrlanda + ABD): ödeme yönetimi. Yalnızca idari verileri (tutar, e-posta, fatura bilgisi) işler. Sağlık verisi asla işlemez. AB dışı aktarımlar GDPR md. 46 Standart Sözleşme Maddelerine dayanır.
  • Google LLC: yalnızca Google hesabınızla giriş yaptığınızda (e-posta + profil ile sınırlı OAuth) veya fizyoterapist kendi Google Calendar senkronizasyonunu etkinleştirdiğinde (calendar.events kapsamı, Ri-Hub tarafından oluşturulan etkinliklerle sınırlı okuma/yazma). Hastanın sağlık verisi asla işlenmez. AB dışı aktarım Standart Sözleşme Maddelerine dayanır.
  • PostHog (AB bulutu, eu.i.posthog.com): yalnızca çerez bandı üzerinden açık rıza alındıktan sonra anonim toplu analytics. IP izlenmez; oturum tekrarı devre dışıdır. Sağlık verisi asla işlenmez.
  • Brevo (Sendinblue): işlemsel e-postalar ve haber bülteni gönderimi. AB sunucuları. Yalnızca e-posta + adı işler.
  • Twilio Video (İrlanda + ABD): aktarımda şifrelenmiş kanallar (SRTP/DTLS) üzerinden gerçek zamanlı görüntülü muayene sunumu. Twilio'nun SFU sunucuları, fizyoterapist ile hasta arasında ses/görüntü akışlarını iletir; görüntülü muayeneler kaydedilmez ve saklanmaz. AB dışı aktarım GDPR md. 46 Standart Sözleşme Maddelerine dayanır.
  • Apple Inc. (ABD): yalnızca Apple ID'nizle "Sign in with Apple" üzerinden giriş yaptığınızda. Yalnızca Apple kimliği + e-posta (isteğe bağlı anonim relay) işler. Sağlık verisi asla işlenmez. AB dışı aktarım SCC'ye dayanır.
  • Firebase Cloud Messaging (Google LLC, ABD): Android ve iOS uygulamasındaki push bildirimleri için. Yalnızca opak cihaz tokenını işler. Payload'da sağlık verisi asla bulunmaz. AB dışı aktarım SCC'ye dayanır.
  • MinIO (kendi kendine barındırılan object storage, AB bölgesi): imzalanmış aydınlatılmış onam belgelerinin (PDF + kimlik kartı ön/arka) saklanması. Ri-Hub iç sunucuları, erişim yalnızca yetkili teknik personel ve atanmış fizyoterapist ile sınırlıdır. Birim düzeyinde at-rest şifreleme.
  • Ri-Hub dahili CRM (kendi kendine barındırılan AB sunucusu, alan adı crm.ri-hub.it): mesleki sır ve gizlilik anlaşmalarıyla bağlı yalnızca Ri-Hub klinik/idari personeli tarafından erişilebilen hasta dosyası yönetim sistemi. Etkinliklerin otomatik senkronizasyonunu alır: kayıt, planlanmış anamnez, imzalanmış onam, seans satın alma, tamamlanan seanslar.
  • Calendly (ABD): fizyoterapist Ri-Hub dışı uygunluk senkronizasyonu için kendi Calendly hesabını bağlamışsa. Yalnızca slot meta verilerini (tarih/saat) işler, hiçbir klinik veri işlenmez. AB dışı aktarım SCC'ye dayanır.
  • Google Analytics 4 (Google LLC, ABD): toplu kullanım metrikleri yalnızca açık rıza alındıktan sonra çerez bandından elde edilir. IP anonimleştirilir, reklam kişiselleştirme varsayılan olarak devre dışıdır. Sağlık verisi asla işlenmez. SCC.

6. Haklarınız (GDPR 15–22. maddeler)

Şu haklara sahipsiniz: verilerinize erişim, düzeltme, silinmesini talep etme ("unutulma hakkı"), işlenmesinin kısıtlanması, taşınabilir biçimde alma, işlemeye itiraz, daha önce verilmiş rızanın geri alınmasından önceki işlemenin hukuka uygunluğunu etkilemeksizin verilen rızaları (analytics ve pazarlama çerezleri dahil) her an geri alma.

Ayrıca İtalyan Kişisel Verileri Koruma Kurumu'na (Garante) şikayette bulunabilirsiniz (www.garanteprivacy.it).

Haklarınızı kullanmak için privacy@ri-hub.it adresine yazınız. Hesabın uygulamadan silinmesi, kişisel verilerin 30 gün içinde kaldırılmasını sağlar; vergi ve sözleşmesel yükümlülükler nedeniyle bazı kayıtlar (örn. faturalama, randevular) yasal süre boyunca takma adlandırılmış biçimde tutulur.

7. Saklama süresi

  • Hesap ve sağlık verileri: sözleşme ilişkisi boyunca ve sona erdikten sonra 10 yıla kadar, yalnızca sağlık dosyası ve mali saklama yükümlülüğü amacıyla.
  • Kimlik doğrulama jetonları: her erişimde yenilenen refresh token, en fazla 365 gün hareketsizlik geçerliliği.
  • Anonim analytics verileri (PostHog): 12 ay.
  • Teknik güvenlik kayıtları: 6 ay.

8. Güvenlik tedbirleri

GDPR 32. maddesi uyarınca riske uygun teknik ve organizasyonel tedbirler alıyoruz:

  • Aktarım sırasında şifreleme: uygulama/site ile arka uç arasındaki tüm bağlantılarda zorunlu TLS 1.3, hiçbir açık metin iletişim yoktur.
  • Durağan şifreleme: sağlık verilerinin bulunduğu birimler disk düzeyinde şifrelenir; OAuth jetonları ve daha hassas veriler ayrıca uygulama düzeyinde şifrelenir.
  • Kimlik doğrulama: SHA-256 hash'li ve otomatik dönüşümlü refresh token; parolalar asla açık metin saklanmaz (standart algoritmalarla hash: PBKDF2/argon2).
  • Erişim kontrolü (RBAC): en az ayrıcalık ilkesiyle hasta / fizyoterapist / yönetici ayrı rolleri; fizyoterapist yalnızca kendisine atanmış hastaların verilerini görür.
  • Denetim kaydı: sağlık verilerine yapılan erişimlerin değiştirilemez kaydı, güvenlik amacıyla 6 ay saklanır.
  • Yedekleme: AB bölgesinde tarihselleştirilmiş, şifreli ve sürümlenmiş yedekler, periyodik olarak test edilir.
  • AB konumlandırması: sağlık verileri yalnızca Avrupa Ekonomik Alanı'ndaki bulut altyapısında bulunur; sağlık verileri için AB dışı aktarım yoktur.
  • Sağlayıcı güvenlik standartları: kullanılan barındırma ve bulut sağlayıcıları ISO 27001 / SOC 2 sertifikalı ve GDPR uyumlu olarak çalışır.
  • Eğitim ve prosedürler: personel gizlilik + güvenlik konularında eğitilir; veri ihlali yönetim planı, Garante'ye 72 saat içinde bildirim (GDPR md. 33) ve yüksek risk durumunda ilgili kişiye bildirim (md. 34) içerir.

9. Küçükler

Hizmet 14 yaşın altındaki küçüklere yönelik değildir. 14 ile 18 yaş arasındaki kullanıcılar için işleme, ebeveyn sorumluluğu sahibinin rızasını gerektirir (D.Lgs. 101/2018 md. 2-quinquies). Ebeveynseniz ve 14 yaşın altındaki bir küçüğün hesap oluşturduğundan şüpheleniyorsanız, derhal silinmesini talep etmek için privacy@ri-hub.it adresine başvurunuz.

Çerezlerin (gerekli, analytics vb.) kullanımına ilişkin ayrıntılı bilgi için Çerez Politikamıza başvurunuz. Tercihlerinizi ana sayfadaki çerez bandından her an değiştirebilirsiniz.

11. Değişiklikler

Bu aydınlatma metni güncellenebilir. Mevcut sürüm ri-hub.it/it/privacy adresinde yayımlanır ve Capacitor çevrimdışı modunda da erişimi sağlamak için uygulamada app.ri-hub.it/privacy aynalanmıştır. Son revizyon: Mayıs 2026.

Gizlilik Politikası | Ri-Hub