AUTO TRAIN BRAIN MESAFELİ SATIŞ, KULLANIM VE VERİ KORUMA SÖZLEŞMESİ

(6502, KVKK, GDPR, HIPAA uyumlu)

MADDE 1 – TARAFLAR VE BİLDİRİM ADRESLERİ

1.1. İşbu sözleşme (“Sözleşme”), bir tarafta HMS Health Mobile Software Sağlık Mobil Yazılım ve Eğitim A.Ş. (“SATICI”) ile diğer tarafta işbu Sözleşme hükümlerine uygun olarak SATICI’dan ürün ve/veya hizmet temin eden gerçek veya tüzel kişi (“ALICI”) arasında akdedilmiştir.

1.2. SATICI İletişim Bilgileri:
Ünvan: HMS Health Mobile Software Sağlık Mobil Yazılım ve Eğitim A.Ş.
Adres: Sahabiye Mah. Boylar Sk. No:36 A, Kocasinan / Kayseri
VD/VN: Gevher Nesibe VD – 4630597806
Telefon: +90 552 651 00 50
E-posta: info@autotrainbrain.com

1.3. ALICI, sipariş ekranında belirttiği ad ve iletişim bilgilerini tevsik eder; tebligata elverişli e-posta ve fiziksel adres bildirdiğini kabul ve beyan eder.

1.4. Taraflar, yazılı olarak aksi bildirilmedikçe, işbu Sözleşme kapsamında yapılacak her türlü bildirim ve ihbarların yukarıdaki adreslere yapılmasını ve elektronik tebligatın (e-posta) geçerli olacağını kabul eder.

MADDE 2 – TANIMLAR

2.1. Hizmet: Auto Train Brain yazılım aboneliği, kullanıcı hesapları, kurulum materyalleri, çevrimiçi dokümantasyon ve SATICI’nın ayrıca ücretlendirdiği danışmanlık/destek hizmetlerini ifade eder.

2.2. Ürün: Hizmetle birlikte veya ondan bağımsız olarak sunulan dijital içerikler ile EMOTIV EEG başlığına atıfla yazılımın fonksiyonlarını kullandıran bileşenler.

2.3. ÜRETİCİ: EMOTIV Inc. (ABD) – EEG donanımı üreticisi.

2.4. Kişisel Veri/Özel Nitelikli Kişisel Veri: 6698 sayılı KVKK md. 3, 6; GDPR md. 4, 9 anlamında kullanıcıya ait her türlü veri ile sağlık/EEG/psikometrik veriler.

2.5. PHI: HIPAA kapsamında “protected health information”.

2.6. Aydınlatma Metni ve Açık Rıza Metni: İşbu Sözleşme’nin Ek-1 ve Ek-2’sinde yer alan ve veri işleme faaliyetlerinin hukuki temelini oluşturan metinler.

MADDE 3 – SÖZLEŞMENİN KONUSU VE KAPSAMI

3.1. İşbu Sözleşme, ALICI’nın SATICI’ya ait internet sitesi, satış personeli ile yüz yüze satış veya diğer uzaktan iletişim araçları vasıtasıyla siparişini verdiği Auto Train Brain yazılım aboneliği ve ek hizmetlerin satışına, teslimine, kullanımına ve kişisel verilerin işlenmesine ilişkin usul ve esasların belirlenmesini amaçlar.

3.2. Sözleşme; 6502 sayılı Tüketicinin Korunması Hakkında Kanun (TKHK) ve bağlı Mesafeli Sözleşmeler Yönetmeliği, 6698 sayılı KVKK, GDPR (EU 2016/679) ve HIPAA (45 CFR Parts 160–164) hükümleri gözetilerek düzenlenmiştir.

3.3. Taraflar, ilân edilen fiyat ve vaatlerin güncellenebilir nitelikte olduğunu, süreli kampanyaların ilgili sürede geçerli olduğunu kabul eder.

MADDE 4 – ÜRÜN/HİZMETİN NİTELİKLERİ, TESLİM VE KURULUM

4.1. Hizmetin temel nitelikleri SATICI’ya ait sitede ve teknik dökümantasyonda yer almaktadır. ALICI, sipariş öncesi bu içerikleri incelediğini, teknik yeterlilikleri haiz cihaz kullandığını kabul eder.

4.2. Abonelik, faturada yazılı süre veya en fazla 365 (üçyüzaltmışbeş) seans ile sınırlı kullanım hakkı tanır; lisans en çok 1 (1) kullanıcı hesabı için geçerlidir.

4.3. Yazılım dijital olarak teslim edilir. EMOTIV donanımı ayrıca temin edilir; donanım arıza süreçleri ÜRETİCİ ile yürütülür.

4.4. ALICI’nın donanımı SATICI üzerinden yönlendirmeli tedarik etmesi hâlinde dahi, donanımın satış, fatura ve teslim süreçleri doğrudan üçüncü taraf (tedarikçi/ithalatçı) tarafından yürütülür; SATICI yalnızca yazılım hizmeti sunar ve donanımın gecikmesi, hasarı, kaybı, gümrük işlemleri veya ayıplarından sorumlu değildir. EMOTIV başlıklarının tedarikinde ortaya çıkabilecek 4–6 hafta sevk + 10 gün gümrük süreleri tahmini olup mücbir sebep veya üçüncü kişilerden kaynaklanan gecikmeler SATICI’ya yüklenemez. EMOTIV EEG başlıkları, üçüncü taraf üretici tarafından tedarik edilmektedir. SATICI yalnızca bağlantı uyumluluğu desteği sağlar ve donanım arızalarından sorumlu değildir.

MADDE 5 – KULLANIM ŞARTLARI, LİSANS VE SINIRLAMALAR

5.1. Kullanım Sıklığı ve Protokol: Yazılımın önerilen kullanımı haftada asgari 3 gün, günde azami 2 seans (sabah/öğleden sonra) olup her seans 30 dakikadır. Nöroplastik etkilerin gözlemlenmesi ortalama 60–90 seans sonrasındadır; bireysel farklılıklar saklıdır.

5.2. Klinik Uyarı: Ürün tıbbi cihaz değildir; tanı veya tedavi amacıyla kullanılmaz. Epilepsi, depresyon, eşlik eden ilaç kullanımı, otizm, kardiyak/psikiyatrik durumlar var ise kullanım hekim gözetiminde gerçekleştirilir. Bu hallerin SATICI ile paylaşılmaması ve hekime danışılmaması sebebiyle doğabilecek sonuçlardan ALICI sorumludur.

5.3. Metabolik Durumlar: Gluten/süt intoleransı, çölyak, alerjiler, insülin direnci, hipertansiyon, tip-2 diyabet, tiroid, sistemik inflamasyon vb. durumların tıbbi kontrol altında olmaması hâlinde elde edilen faydanın azalabileceğini ALICI kabul eder; bu kapsamda SATICI sorumlu tutulamaz.

5.4. Cihaz Uyumluluğu: Android 10.0+/iOS, 4 GB RAM, Bluetooth, Wi-Fi, GPRS gereklidir. EMOTIV App; Samsung Galaxy S8/Note8/Tab A7 vb. modellerde test edilmiştir; diğer cihazlar için hello@emotiv.com ile teyit gerekir.

5.5. Ürün self-servis kuruluma elverişlidir; kılavuz ve videolar mevcuttur. ALICI’ya uzaktan başlangıç aktivasyonu kapsamında tek seferlik 30 dakikaya kadar kurulum eşlik desteği ücretsiz sağlanır. Bu kapsamı aşan her türlü yüz yüze/uzaktan kurulum, eğitim ve teknik destek, EK-S1 “Destek ve Hizmet Tarifesi”’ne göre ayrıca ücretlendirilir.

5.6. ALICI’ya münhasır olmayan, devredilemez, süre/oturumla sınırlı kişisel/öğrenim amaçlı kullanım lisansı verilir. Tersine mühendislik, çoğaltma, kiralama, alt lisanslama, yetkisiz paylaşım ve ölçüm manipülasyonu yasaktır. Algoritmik çıktılar (raporlar, skorlar, ısı haritaları, model özetleri), kullanıcıya gösterim ve kişisel arşiv amacıyla sınırlı kullanıma tabidir; ticari amaçla çoğaltılamaz ve üçüncü kişilere lisanslanamaz. İhlal hâlinde SATICI, makul bildirimle lisansı askıya alma/iptal etme hakkını saklı tutar.

5.7. Abonelik süresinde azami 365 seans kullanım garanti kapsamındadır. Donanım arızalarında değişim/onarım ÜRETİCİ/tedarikçi prosedürlerine tabidir; bu süreçte ortaya çıkabilecek bekleme süreleri (yaklaşık 1–2 ay) nedeniyle yazılım kullanımına ara verilmesi gerekebilir; bu aradan SATICI sorumlu değildir. Ara sürelere karşılık SATICI, takdiren orantılı ek kullanım süresi tanıyabilir. Yazılım nörogeribildirim verisini işler; tıbbi teşhis/tedavi aracı değildir.

5.8. Kabul Edilebilir Kullanım: Yazılım; hukuka aykırı, hakaretamiz, ayrımcı, kötüye kullanım teşkil eden veri işleme; yetkisiz hesap paylaşımı; ölçüm manipülasyonu; üçüncü kişilerin kişisel verilerinin rıza olmaksızın işlenmesi için kullanılamaz.

5.9. Ölçüm ve Algoritmik Sınırlar: Çıktılar tanısal değildir; bireysel/kontekst bağımlı sapmalar, sensör kontağı, artefakt, cihaz konfigürasyonu ve ortam koşulları sonuçları etkileyebilir.

5.10. Hizmet Seviyesi (SLA): SATICI, aylık bazda hedeflediği sistem kullanılabilirliğini %99,0 olarak beyan eder (planlı bakım ve mücbir sebep süreleri hariç). ALICI’ya, bir faturalama döneminde toplam 24 saati aşan plansız ve SATICI’ya atfedilebilir kesinti yaşanırsa, ALICI’ya EK-SLA’de belirtilen oranda kredi/ek süre tanınır. Kredi/ek süre, tek ve münhasır telafi yoludur.

5.11. ALICI, yazılımı önerilen kullanım protokolüne uygun kullanmakla yükümlüdür.
Yanlış kullanım, yetkisiz müdahale veya donanım manipülasyonu sonucu doğan arızalar garanti kapsamı dışındadır.

5.12. ALICI, kişisel verilerine ilişkin bilgi ve denetim talep edebilir. Ancak bu taleplerin SATICI için ek işlem yükü doğurması
halinde, yasal tarifeye uygun makul bir ücret talep edilebilir.

MADDE 6 – ÜCRET, ÖDEME, İPTAL VE İADE (CAYMA)

6.1. ALICI, siparişi onayladığında bedel, vergi, varsa kargo vb. masrafları ödemeyi kabul eder.

6.2. ALICI, TKHK uyarınca 14 (ondört) gün içinde cayma hakkına sahiptir. Aktivasyon ve kullanım olayları SATICI sistem kayıtları ile ispat edilir. ALICI tarafından ödeme yapılıp kullanıcı hesabı oluşturulduğu anda hizmet başlamış sayılır. Bu andan itibaren dijital hizmetin ifasına başlanmış olacağından, ALICI’nın 14 günlük cayma hakkı ortadan kalkar.
Cayma hakkı yalnızca hizmete hiç başlanmamışsa kullanılabilir.

6.3. Cayma hakkının usulüne uygun kullanıldığı hallerde iade süreçleri SATICI’ya yazılı/e-posta bildirimiyle başlar. SATICI, on (10) gün içinde bedel iadesine ilişkin muhasebe belgelerini düzenler ve iade talimatını ödeme hizmet sağlayıcısına (PSP) iletir; nihai iade, ilgili PSP/banka prosedür ve sürelerine tabidir.

6.4. Ödeme temerrüdünde, banka sözleşmesi uyarınca faiz ve masraflar ALICI’ya aittir; SATICI’nın zararları ayrıca talep edilebilir.

6.5. Bedel iadeleri, satışta kullanılan ödeme aracına aynen yapılır; farklı bir ödeme yöntemine çevrim talepleri kabul edilmez.

MADDE 7 – MÜCBİR SEBEPLER

7.1. Doğal afet, savaş, seferberlik, terör, grev/lock-out, veri merkezi/şebeke/internet/DNS/DDoS kaynaklı yaygın kesinti, bulut servis arızaları, API/mağaza (Apple/Google) kesintileri, yasal düzenleme/ambargo, salgın, ithalat/gümrük gecikmeleri, tedarik ve uluslararası kargo aksamaları, lisans güncellemeleri, altyapı arızası, siber saldırı, global API kesintisi gibi SATICI’nın kontrolü dışındaki
durumlar mücbir sebep olarak değerlendirilir. Bu durumlarda hizmetin askıya alınması halinde ALICI tazminat talep edemez. ve benzeri öngörülemeyen haller mücbir sebep sayılır. Mücbir sebep süresince ifa yükümlülükleri askıya alınır; taraflar makul sürede birbirini bilgilendirir.

MADDE 8 – SORUMLULUK SINIRLAMALARI

8.1. Yazılım tıbbi cihaz değildir; tanı ve tedavi iddiası yoktur, sadece eğitime destek kapsamında kullanılır. Destekleyici, tamamlayıcı bir eğitim çalışması olarak sınıflandırılır.

8.2. SATICI’nın dolaylı zarar, kâr kaybı, veri kaybı, iş kesintisi gibi sonuçlardan doğan sorumluluğu, kasıtlı davranış ve açık teknik ihmal halleri hariç olmak üzere, son 12 ayda ALICI tarafından ödenen toplam lisans bedeli ile sınırlıdır. Zorunlu tüketici hükümleri saklıdır.

8.3. Ürün, tanıtım materyallerinde “destekleyici, tamamlayıcı” nitelikte anlatılır. ALICI, tanıtım içeriği ile işbu sözleşme hükümleri arasında çelişki olması hâlinde sözleşme hükümlerinin uygulanacağını kabul eder.

MADDE 9 – FİKRÎ VE SINAÎ MÜLKİYET HAKLARI

9.1. Yazılım, marka, tasarım, dokümantasyon ve veri tabanı üzerindeki tüm haklar SATICI’ya aittir. ALICI, yalnızca lisans kapsamındaki kullanımı gerçekleştirebilir.

9.2. Yazılımın ürettiği analitik/algoritmik çıktılar, parametreler, model ağırlıkları, öznitelik önemleri, rapor formatları ve kullanıcı arayüz tasarımları SATICI’nın ticari sırrı kapsamındadır. ALICI, bunları tersine mühendisliğe konu edemez, lisanslayamaz ve üçüncü kişilere açıklayamaz.

MADDE 10 – KİŞİSEL VERİLERİN KORUNMASI (KVKK UYUMU)

10.1. İlkeler (KVKK md. 4): Hukuka uygunluk, dürüstlük, doğruluk/güncellik, belirli-açık-meşru amaç, veri minimizasyonu, amaçla sınırlı süre saklama prensipleri uygulanır.

10.2. Kişisel veriler; sözleşmenin kurulması/ifası (KVKK md.5/2-c), hukuki yükümlülük (5/2-ç), bir hakkın tesisi/korunması (5/2-e), veri sorumlusunun meşru menfaati (5/2-f) veya açık rıza (md.5/1) dayanaklarıyla işlenir. Özel nitelikli veriler (EEG/sağlık) ancak açık rıza ile veya kanuni istisnalar kapsamında, sır saklama yükümlülüğü, rol tabanlı erişim ve AES-256 şifreleme tedbirleriyle işlenir (KVKK md.6).

10.3. Aydınlatma (KVKK md. 10): Veri sorumlusunun kimliği, amaç, aktarım, toplama yöntemi ve hukuki sebep ile haklara ilişkin bilgiler Ek-1 Aydınlatma Metninde yer alır.

10.4. Veri Güvenliği (KVKK md. 12): Uygun teknik-idari tedbirler; erişim logları, yetki matrisi, yedekleme, sızma testleri, veri maskeleme, ihlal müdahale planı.

10.5. Veri Saklama ve İmha (KVKK md. 7): Saklama süreleri dolduğunda silme, yok etme veya anonimleştirme; Veri Saklama ve İmha Politikası uygulanır.

10.6. Haklar (KVKK md. 11): ALICI; erişim, düzeltme, silme/unutulma, itiraz, veri taşınabilirliği taleplerini SATICI’ya iletebilir. Başvurular en geç 30 gün içinde sonuçlandırılır.

MADDE 11 – AVRUPA BİRLİĞİ GENEL VERİ KORUMA TÜZÜĞÜ (GDPR) UYUMU

11.1. İşleme Hukuki Dayanakları (Art. 6): Sözleşmenin ifası, meşru menfaat, hukuki yükümlülük, açık rıza.

11.2. Özel Kategoriler (Art. 9): Sağlık/EEG verileri açık rıza, sağlık hizmetleri istisnası veya kamu sağlığı araştırması çerçevesinde ve orantılılık-minimizasyon ilkelerine uygun işlenir.

11.3. Haklar: Erişim (Art. 15), düzeltme (Art. 16), silme (Art. 17), kısıtlama (Art. 18), taşınabilirlik (Art. 20), itiraz (Art. 21), sadece otomatik işleme dayalı karar vermenin istisnaları (Art. 22).

11.4. Uluslararası Aktarım ve Statü: SATICI, mümkün olan hallerde AB/AEA içinde veri işleme yapar. Zorunlu aktarım durumlarında AB Standart Sözleşme Maddeleri (SCC) ve ek teknik-idari tedbirler (uçtan uca şifreleme, psödonomizasyon) uygulanır. SATICI, iş ortaklarına karşı “veri işleyen (processor)” statüsünü koruyacak şekilde konumlanır; son kullanıcıya karşı veri sorumlusu olarak yalnızca kendi sunduğu yazılım hizmetinin ifasıyla sınırlı yükümlülük üstlenir. SATICI, veri sorumlusu sıfatıyla kişisel verileri KVKK, GDPR ve HIPAA standartlarına uygun biçimde işler. Veri saklama süresi dolduğunda veriler anonimleştirilir. SATICI, yalnızca hizmet ifası ve bilimsel araştırma amaçlarıyla gerekli alt yüklenicilerle (ör. EMOTIV) veri paylaşımı yapabilir.

11.5. Kişisel veri ihlali şüphesinde SATICI, en geç 72 saat içinde KVKK/KVK Kurumu (ve GDPR kapsamındaysa ilgili otorite) ile ALICI’yı; e-posta bildirimi ve web duyurusu üzerinden bilgilendirir; etki alanı, veri kategorileri, potansiyel riskler ve önlemleri açıklar.

MADDE 12 – HIPAA UYUMU (ABD’YE YÖNELİK HİZMETLER)

12.1. EEG ve bağlantılı sağlık bilgileri PHI olarak sınıflandırılır. SATICI, Privacy Rule ve Security Rule kapsamındaki idari, fiziksel ve teknik önlemleri uygular.

12.2. Business Associate Agreement (BAA): PHI’ye erişimi olan tedarikçilerle BAA akdedilir; veri işleyenlerin yükümlülükleri yazılıdır.

12.3. İhlal Bildirimi: Breach Notification Rule uyarınca makul gecikme olmaksızın bildirim yapılır.

MADDE 13 – ÜÇÜNCÜ KİŞİLERE AKTARIM, İŞLEYENLER VE ALT YÜKLENİCİLER

13.1. EMOTIV (donanım tedarik/servis), ödeme kuruluşları, çağrı merkezi/CRM, e-posta servisleri, barındırma/bulut (tercihen AB lokasyonlu), hukuk/denetim tedarikçileri, veri işleyen sıfatıyla ve Veri İşleme Sözleşmesi (DPA) ile bağlı olarak hizmet sunar. Bu kişilere aktarım, amaçla sınırlı ve ölçülü olup, güvenlik ve gizlilik yükümlülükleri yazılıdır.

13.2. Araştırma ve istatistik amaçlı paylaşımlarda veri anonim/psödonomize edilir; kimliklendirilebilir veriler açık rıza olmaksızın paylaşılmaz.

MADDE 14 – SAKLAMA SÜRELERİ VE LOKASYON

14.1. Sözleşmesel veriler: sözleşme süresi + 10 yıl (ticari ve mali mevzuat).

14.2. Uygulama günlükleri/teknik loglar: 2 yıl.

14.3. EEG/sağlık verileri: hizmet ilişkisi süresince ve sonrasında yalnızca doğmuş uyuşmazlıkların ispatı ve mevzuat yükümlülüklerinin ifası ile sınırlı olmak üzere azami 1 (bir) yıl; akabinde EK-D1 “Veri Saklama-İmha Çizelgesi” uyarınca silinir/anonimleştirilir.

14.4. Veri lokasyonu: Birincil EU bölgesi; zorunlu hallerde SCC ile ABD.

MADDE 15 – DENETİM, KAYIT TUTMA VE UYUMLULUK

15.1. SATICI, veri işleme faaliyetlerine ilişkin kayıtları (Art. 30) tutar; makul talep üzerine denetime elverişli özet bilgi sunar. Ticari sır ve üçüncü kişilerin gizliliği saklıdır.

MADDE 16 – SÖZLEŞMENİN DEVRİ, FESİH VE ASKIDA KALMA

16.1. ALICI, SATICI’nın yazılı onayı olmaksızın haklarını devredemez.

16.2. ALICI’nın sözleşmeyi ihlal etmesi halinde SATICI sözleşmeyi derhal feshedebilir.
ALICI, fesih bildiriminin kendisine tebliğinden itibaren 7 gün içinde yazılı olarak itiraz edebilir.

16.3. Mücbir sebep sürelerinde ifa yükümlülükleri askıya alınır.

16.4. SATICI, ALICI’nın ağır ihlali (yetkisiz paylaşım, ölçüm manipülasyonu, lisans dışı kullanım, veri gizliliği ihlali) hâlinde, ihlalin niteliğine göre önceden bildirim yaparak erişimi askıya alabilir veya sözleşmeyi feshedebilir. ALICI’ya fesih gerekçesi ve itiraz süreci yazılı olarak bildirilir.

MADDE 17 – UYGULANACAK HUKUK VE YETKİLİ MERCİLER

17.1. İşbu Sözleşme Türkiye Cumhuriyeti hukukuna tabidir.

17.2. Tüketici uyuşmazlıklarında ALICI’nın yerleşim yeri Tüketici Hakem Heyeti/Tüketici Mahkemesi yetkilidir.

17.3. Milletlerarası unsur içeren hallerde Türk milletlerarası özel hukuk kuralları uygulanır.

17.4. Uluslararası (yabancılık unsurlu) işlemlerde, kamu düzenine ve emredici hükümlere halel gelmemek kaydıyla, Türkiye Cumhuriyeti Hukuku uygulanır ve Kayseri Mahkemeleri ve İcra Daireleri yetkilidir. (Tüketici sıfatlı ALICI’ya tanınan zorunlu yerel başvuru hakları saklıdır.) Tüketici sıfatı taşımayan tüm ALICILAR bakımından Kayseri Mahkemeleri ve İcra Daireleri yetkilidir. Ticari nitelikteki uyuşmazlıklarda dava açılmadan önce Kayseri Arabuluculuk Merkezi nezdinde arabuluculuk şarttır.

MADDE 18 – MUHTELİF HÜKÜMLER

18.1. Bölünebilirlik: Sözleşmenin herhangi bir hükmünün geçersiz sayılması diğer hükümlerin geçerliliğini etkilemez.
Bu metin, Auto Train Brain yazılımının abonelik, veri koruma ve hizmet kullanım koşullarını bir bütün olarak düzenler.

18.2. Değişiklik: Ancak yazılı/e-imzalı mutabakat ile yapılır.

18.3. Bütünlük: İşbu Sözleşme ve ekleri (Ek-1 Aydınlatma, Ek-2 Açık Rıza, güncel Gizlilik Politikası, KVKK Başvuru Formu, EK-S1, EK-SLA, EK-D1, EK-ANON, EK-DPA) bir bütün teşkil eder.

18.4. İhbar: E-posta tebligatı geçerlidir; sistem kayıtları kesin delil niteliğindedir.

EK-1: KİŞİSEL VERİLERİN İŞLENMESİNE DAİR AYDINLATMA METNİ (KVKK/GDPR)

Veri Sorumlusu: HMS Health Mobile Software Sağlık Mobil Yazılım ve Eğitim A.Ş.

İşlenen Veri Kategorileri: Kimlik (ad-soyad), iletişim (e-posta/telefon), demografi (doğum tarihi/cinsiyet), işlem güvenliği (loglar), finans (ödeme bilgisi), özel nitelikli veriler (EEG/sağlık).

Amaçlar: Hesap açma ve hizmet sunumu; ölçüm, nörogeribildirim ve performans analizi; müşteri desteği; mali ve hukuki yükümlülüklerin ifası; anonimleştirilmiş bilimsel/istatistiki çalışmalar.

Hukuki Sebepler: KVKK md. 5/2 (c–ç–e–f), md. 6/2; GDPR Art. 6(1)(b)(c)(f), Art. 9(2)(a)(h).

Aktarımlar: EMOTIV, ödeme kuruluşları, denetim/hukuk hizmetleri; gerekli güvenlik ve sözleşmesel güvencelerle sınırlı.

Saklama Süreleri: Sözleşmesel ve mali kayıtlar 10 yıl; EEG/sağlık verileri hizmet süresi + 1 yıl; loglar 2 yıl; süresi dolan veriler silinir/yok edilir/anonimleştirilir.

Haklar: KVKK md. 11 ve GDPR Art. 15–22 kapsamındaki talepler için: info@autotrainbrain.com veya şirket adresi. Başvurular 30 gün içinde sonuçlandırılır.

İhlal Bildirimi: GDPR Art. 33–34 uyarınca 72 saat içinde otorite ve ilgili kişilere bildirim.

EK-2: AÇIK RIZA METNİ (Özel Nitelikli Veriler/Uluslararası Aktarım)

Aşağıdaki konularda açık rızam bulunduğunu beyan ederim:

(i) EEG/sağlık verilerimin nörogeribildirim hizmetinin icrası ve kişisel ilerleme raporlarımın oluşturulması amacıyla işlenmesi;

(ii) verilerimin EMOTIV gibi tedarikçilere SCC/BAA çerçevesinde aktarılması;

(iii) kimliğim ifşa edilmeksizin anonimleştirilmiş verilerimin bilimsel/istatistiki çalışmalarda kullanılması.

Açık rızamı dilediğim zaman geri çekebileceğimi; geri çekmenin, geri çekme anından önceki işlemenin hukuka uygunluğunu etkilemeyeceğini anladım.

EK-3: KVKK BAŞVURU USULÜ

Başvurular; yazılı, kayıtlı elektronik posta (KEP), güvenli e-imza, mobil imza veya sistemde kayıtlı e-postadan yapılabilir. Kimlik doğrulaması amacıyla ek bilgi/belge talep edilebilir. İşlemin ayrıca maliyet gerektirmesi hâlinde tarifeye uygun ücret talep edilebilir.

EK-S1: DESTEK VE HİZMET TARİFESİ (ÖRNEK)

• Uzaktan teknik destek (30 dk paket): 500 TL

• Uzaktan kurulum/eğitim (1 saat): 1000 TL

• Yerinde kurulum/eğitim (gün):  5000 TL (+yol/konaklama)

• Öncelikli destek (aylık): 1000 TL

Not: Fiyatlar KDV hariçtir; yıllık olarak güncellenebilir.

EK-SLA: HİZMET SEVİYESİ VE TELAFİ KREDİSİ

• Hedef kullanılabilirlik: %99,0 / ay

• Telafi eşiği: >24 saat plansız kesinti (mücbir/planlı bakım hariç)

• Telafi: Sonraki faturalama dönemine +7 gün ek kullanım (veya eşdeğer kredi)

• Telafi, ALICI’nın tek ve münhasır giderim yoludur.

EK-D1: VERİ SAKLAMA–İMHA ÇİZELGESİ

• Sözleşmesel/mali kayıtlar: 10 yıl (VUK/TTK) → süre sonunda imha

• Uygulama logları: 2 yıl → süre sonunda imha

• EEG/sağlık verileri (özel nitelikli): hizmet süresi + 1 yıl → imha/anonimleştirme

• Destek biletleri: 1 yıl → imha

EK-ANON: ANONİMLEŞTİRME PROSEDÜRÜ ÖZETİ

• Kimlikten arındırma: doğum tarihi → yaş aralığı; e-posta → hash/salt; kullanıcı adı → rastgele ID

• EEG/özellik setleri: psödonomizasyon + gerekli hâllerde farklılaştırılmış gizlilik

• Geri döndürülemezlik testleri ve yeniden kimliklendirme riski analiz raporu

• İşlem loglarının saklanması: 2 yıl

EK-DPA: VERİ İŞLEME SÖZLEŞMESİ (KISA ÇERÇEVE)

• Rol: SATICI (controller – son kullanıcıya karşı sınırlı), tedarikçiler (processor)

• Yükümlülükler: gizlilik, güvenlik, alt işleyen bildirimi, denetim işbirliği, ihlal bildirimi, silme/iadeye uyum

İMZA VE ONAY

SATICI
HMS Health Mobile Software Sağlık Mobil Yazılım ve Eğitim A.Ş.
Ad/Soyad – Unvan: Dr. Günet Eroğlu, CEO
Tarih: 6.10.2025  İmza/Mühür:

ALICI
Ad/Soyad – Unvan: ……………………………………….
Adres: ……………………………………………………
E-posta: ………………………………………………….
Tarih: …………………….. İmza: ………………………