BERGEM·HEALTH
Ücretsiz konsültasyon

Gizlilik Politikası

Son güncelleme: 5 Mayıs 2026

Gizlilik Politikası

Son güncelleme: 5 Mayıs 2026.

Bu belge hangi verileri topladığımızı, neden topladığımızı, kime aktardığımızı ve ne kadar sakladığımızı açıklar. “İşbu vesileyle bildiririz” türünden ifadeler yok — yalnızca gerçekte ne olduğu.

Politikada bir şey anlaşılmazsa veya haklarınızı kullanmak isterseniz — DPO Anna Moroz’a yazın: anna@bergemhealth.com.

1. Kimiz

BergemHealth bir medikal concierge’tir: uluslararası hastaları İstanbul ve Antalya’daki JCI akreditasyonlu hastane profesörleriyle buluşturuyoruz. Klinik, ajans veya sigorta şirketi değiliz.

Tüzel kişilik (veri sorumlusu):

BERGEM TURİZM GIDA İTH. İHR. SAN. TİC. LTD. ŞTİ.

Üçgen Mah. Abdi İpekçi Cad. No:13/101, Muratpaşa, Antalya, Türkiye

Sicil numarası: _bildirilecek_

Telefon: _bildirilecek_

E-posta: anna@bergemhealth.com

Veri Koruma Sorumlusu (DPO): Anna Moroz, anna@bergemhealth.com. Kişisel veri talepleri için tek kanal — lütfen buradan yazın.

2. Hangi verileri topluyoruz

Üç kategori veri topluyoruz. Başka hiçbir şey değil.

2.1. İletişim verileri. Ad, telefon veya WhatsApp, e-posta, ikamet ülkesi, tercih edilen messenger. Bunları sitede form doldurduğunuzda veya WhatsApp, Telegram, Instagram’dan yazdığınızda alırız.

2.2. Tıbbi veriler — özel kategori. Tanı açıklaması, tıbbi çıkış raporları, tahlil sonuçları, görüntüler (BT, MR, röntgen), hekim raporları. Bu, KVKK 6. madde ve GDPR 9. madde uyarınca özel nitelikli kişisel veridir. Bu verileri yalnızca ikinci görüş veya profesör seçimi istediğinizde ve yalnızca açık yazılı onayınızla isteriz.

2.3. Teknik veriler. IP adresi, tarayıcı tipi, işletim sistemi, geçiş kaynağı (UTM etiketleri, referans), sitedeki ziyaret edilen sayfalar. Bu verileri çerezler ve analitik servisler (Google Analytics 4, Meta Pixel) toplar. Detaylar Çerez Politikasında.

3. Hangi temelde veriyi işliyoruz

Her kategorinin kendi temeli vardır.

| Veri kategorisi | Temel | Madde | |—|—|—| | İletişim | Sözleşme ifası (hizmet talep ettiniz) | KVKK m. 5(2)(c); GDPR m. 6(1)(b) | | Tıbbi | Açık yazılı onay | KVKK m. 6(2); GDPR m. 9(2)(a) | | Teknik — zorunlu çerezler | Meşru menfaat (site çalışması) | KVKK m. 5(2)(f); GDPR m. 6(1)(f) | | Teknik — analitik ve pazarlama | Çerez bannerinden onay | KVKK m. 5(1); GDPR m. 6(1)(a) |

Onay her an geri alınabilir — geri alma, geri alma anına kadar yapılan işlemenin hukukiliğini etkilemez.

4. Verilerinize neden ihtiyacımız var

Belirli amaçlar — ve bunun ötesinde hiçbir şey:

  • Profesör seçimi. Tanınızı inceleriz ve partner kliniklerinden birinde uzmanlık alanına uygun uzman seçeriz.
  • İkinci görüş. Tıbbi belgeleri JCI hastanesi profesörüne yazılı görüş için iletiriz (süre — 48 saat).
  • Randevu ve muayene koordinasyonu. Tarihi belirler, klinikte slot rezerve eder, koordinatörümüz muayenede size eşlik eder.
  • Maliyet hesabı. Klinikten ön tedavi planı ve maliyeti talep eder, size iletiriz.
  • Seyahat lojistiği. Transfer ve otel seçiminde yardımcı oluruz (talebinize göre).
  • Sizinle iletişim. WhatsApp, Telegram veya e-posta üzerinden sorularınızı yanıtlarız.
  • Site analitiği. Hangi materyallerin yararlı olduğunu, hangilerinin olmadığını anlarız (yalnızca anonim).
  • Pazarlama. Ayrı onay verdiyseniz — Türkiye’de tedavi hakkında derlemeler göndeririz. Onay yoksa — göndermeyiz.

5. Verileri kime aktarıyoruz

Veri satmıyoruz. Hiç kimseye. Asla. Aktarım — yalnızca hizmet için gerekli olanlara.

5.1. Türkiye’deki partner klinikler. İkinci görüş almak ve sizi randevuya yazmak için iletişim ve tıbbi verilerinizi kliniklerden birine aktarırız:

  • İSÜ Liv Hospital Bahçeşehir (İstanbul)
  • Liv Hospital Ulus (İstanbul)
  • Liv Hospital Vadistanbul (İstanbul)
  • Memorial Antalya Hospital (Antalya)
  • Memorial Bahçelievler Hospital (İstanbul)
  • Akdeniz Üniversitesi Hastanesi (Antalya)

Aktarım yalnızca tedavi göreceğiniz kliniğe ve yalnızca onayınızdan sonra yapılır.

5.2. Lojistik yüklenicileri. Nakliye şirketleri, oteller — yalnızca karşılama ve giriş için ad ve iletişim telefonunu alırlar. Tıbbi veri almazlar.

5.3. İletişim platformları. WhatsApp Business (Meta Platforms Inc.), Telegram (Telegram FZ-LLC), Instagram (Meta Platforms Inc.) — mesajları kendi kurallarına göre kendi sunucularında saklar. Bu hizmetleri yalnızca yazışma için kullanırız.

5.4. Hosting ve altyapı.

  • Site Hostinger International Ltd. tarafından barındırılıyor (sunucular AB’de).
  • CRM sistemi Almanya’da (AB).
  • Site analitiği — Google Analytics 4 (Google Ireland Ltd.) ve Meta Pixel (Meta Platforms Ireland Ltd.).

5.5. Devlet kurumları. Yalnızca zorunlu talep üzerine — mahkeme, savcılık, düzenleyici. Kanun bildirimi yasaklamıyorsa size haber veririz.

6. Veriler nerede saklanıyor ve sınır ötesi aktarım

Ana depolama Türkiye’dedir (CRM, kâğıt belgeler, iletişim verileri). Altyapının bir kısmı Avrupa Birliği’ndedir (site hostingi, analitik platformlar, Almanya’daki operasyonel CRM). Bir kısım veri ABD’deki sunucularda fiziksel olarak işlenir (Google Analytics, Meta Pixel).

Bu, verilerinizin sınırı geçebileceği anlamına gelir:

  • Türkiye → AB — sitede başvuru gönderirken, CRM’de çalışırken, Google Analytics veya Meta Pixel kullanırken.
  • AB → Türkiye — CRM’i Antalya’daki ekiple senkronize ederken.
  • AB/Türkiye → Türkiye’deki partner klinik — ikinci görüş ve randevu için.
  • AB/Türkiye → ABD — Google Analytics 4 ve Meta Pixel kullanırken (aşağıya bakın).

ABD’ye veri aktarımı

Google Analytics 4 (sağlayıcı — Google Ireland Ltd., fiziksel işleme kısmen Google LLC sunucularında ABD’de gerçekleşir) ve Meta Pixel (Meta Platforms Ireland Ltd. / Meta Platforms Inc.) anonim teknik verileri ABD’deki sunuculara aktarır.

ABD’nin KVKK Kurumundan veya Avrupa Komisyonundan genel yeterlilik kararı yoktur (AB’den aktarımlar için EU–US Data Privacy Framework geçerlidir, ancak yalnızca öz-sertifikasyon yapan şirketlere uygulanır).

ABD’ye veri aktarımı şu temellerde gerçekleşir:

  • Çerez bannerinde açık onayınız — bu temel hukuki dayanaktır (KVKK m. 9, GDPR m. 49(1)(a)). Onay olmadan Google Analytics ve Meta Pixel yüklenmez ve ABD’ye veri aktarılmaz.
  • Standart Sözleşme Şartları (SCC) — Avrupa Komisyonu tarafından kabul edilmiş, Google ve Meta ile bizim müşteri olarak imzaladığımız modüller. Bu, aktarım sırasında veri korumasının teknik güvencesidir.
  • EU–US Data Privacy Framework — Google LLC ve Meta Platforms Inc. AB’den veri almak için bu programa göre sertifikalıdır.

Aktarımın genel ilkesi

Kişisel verilerin sınır ötesi aktarımı KVKK 9. madde ve GDPR Bölüm V tarafından düzenlenir. Tıbbi veriler için aktarım dayanağı her zaman açık yazılı onayınızdır (KVKK m. 6(2), GDPR m. 49(1)(a)). Tıbbi veriler asla ABD’ye aktarılmaz — yalnızca Türkiye ve AB’de işlenir.

7. Verileri ne kadar saklıyoruz

Belirli süreler, “ihtiyaç olduğu sürece” yok.

| Veri tipi | Saklama süresi | Neden böyle | |—|—|—| | Anlaşmasız başvuru (form dolduruldu, kliniğe ulaşmadı) | 12 ay | Geri dönerseniz diyaloğu sürdürmek için | | Tedavi tamamlandıktan sonra hasta verileri | 5 yıl | Türkiye Sağlık Bakanlığının medikal turizm gereksinimi | | Pazarlama iletişimleri (haber bülteni) | Onay geri çekilene kadar | Kanun, geri çekme sonrası işlemenin hemen durmasını gerektirir | | Muhasebe belgeleri | 10 yıl | Türk vergi mevzuatı | | Site logları ve analitik çerezleri | 14 ay | GA4 standart süresi |

Süre dolduğunda veri silinir veya anonimleştirilir. Bu boş bir cümle değil: süreç CRM’de otomatikleştirildi, üç ayda bir DPO tarafından doğrulanır.

8. Verileri nasıl koruyoruz

Güvenlik bir slogan değil somut önlemlerdir. Teknik ve organizasyonel olarak ne yaparız:

  • İletim şifrelemesi. Site HTTPS (TLS 1.2+) üzerinden çalışır. CRM ile iletişim — şifreli kanallar üzerinden.
  • Depolama şifrelemesi. Veritabanları ve yedekler şifreli olarak saklanır.
  • Erişim kontrolü. Tıbbi verilere yalnızca iş için ihtiyacı olan personel erişebilir (koordinatör, çevirmen, DPO). Erişim — bireysel hesaplarla, iki faktörlü kimlik doğrulamayla.
  • Minimizasyon. Yüklenicilere yalnızca gereken minimum veriyi aktarırız. Lojistik partnerleri tanı almaz. Klinik UTM etiketleri almaz.
  • Loglama. Tıbbi verilere her erişim kayıt altına alınır — kim, ne zaman, ne baktı.
  • Ekip eğitimi. Tüm personel yılda en az bir kez KVKK ve GDPR eğitimi alır ve NDA imzalar.
  • Olay müdahalesi. Sızıntı durumunda düzenleyiciye 72 saat içinde (GDPR m. 33), etkilenen hastalara gereksiz gecikme olmaksızın bildirim yaparız.

Sistemin geçilmez olduğunu iddia etmiyoruz — dünyada öyle bir sistem yok. Ama savunmayı sektör standartları düzeyinde kuruyor ve düzenli olarak doğruluyoruz.

9. Otomatik kararlar ve profil oluşturma

GDPR 22. madde anlamında sizin için önemli hukuki veya esaslı sonuçları olan kararlar için otomatik sistemler kullanmıyoruz.

Pratikte bu şu anlama gelir:

  • Profesör seçimini canlı bir kişi — tıbbi koordinatör — yapar. “Tanı → klinik” algoritması yok.
  • Fiyat ve tahminleri klinik hesaplar, bizim tarafımızdaki algoritma değil.
  • Sitedeki analitik anonimdir ve belirli bir hasta için bireysel kararlarda kullanılmaz.

Bu bir gün değişirse — önceden bildirir, mantığı açıklar ve insan müdahalesi hakkı veririz.

10. Haklarınız

KVKK 11. madde ve GDPR 15–22. maddeler kapsamında tam haklara sahipsiniz.

Bilgi alma ve erişim hakkı.

  • Verinizi işleyip işlemediğimizi öğrenme. 30 gün içinde teyit ederiz.
  • Hakkınızda hangi verileri sakladığımızı ve neden sakladığımızı öğrenme — 30 gün içinde yapılandırılmış dışa aktarım yaparız.
  • Verinizin kime aktarıldığını öğrenme — Türkiye içinde ve dışında. Alıcı listesi, aktarım ülkeleri ve dayanaklar veririz.

Düzeltme ve silme hakkı.

  • Yanlış veya eksik verileri düzeltme — 7 gün içinde düzeltiriz.
  • Verileri silme (“unutulma hakkı”) — kanun gereği saklamak zorunda olduklarımız hariç sileriz (örn. hasta tıbbi verileri — Türkiye Sağlık Bakanlığı talebiyle 5 yıl).
  • Daha önce veri aktarılan üçüncü taraflara düzeltme veya silme bildirimini talep etme — partner klinikler, yükleniciler ve platformlarla iletişim kurar ve senkronizasyon talep ederiz.

İtiraz ve onay geri çekme hakkı.

  • Onayı geri çekme — her an, açıklamasız. Geri çekme, geri çekme anına kadar yapılan işlemenin hukukiliğini etkilemez.
  • Meşru menfaat veya otomatik araçlarla yapılan işlemeye itiraz — pazarlama dahil. Bu hak koşulsuzdur.
  • Otomatik karar sonucuna itiraz (bkz. bölüm 9 — bu tür kararlarımız yok, ancak değişirse hak sizdedir).

Veri taşınabilirliği hakkı.

  • Verilerinizi makine okunabilir formatta alma (JSON veya CSV) ve başka bir sorumluya aktarma.

Tazminat hakkı.

  • Verilerinizin hukuksuz işlenmesinden kaynaklanan zararın tazmini (KVKK m. 11(1)(g)).

Şikâyet hakkı.

  • Düzenleyiciye şikâyet — Türkiye’de KVKK veya AB/AEA’daki ulusal veri koruma kurumunuz. Liste 14. bölümde.

Hakkı nasıl kullanırsınız

anna@bergemhealth.com‘a “Kişisel veri talebi” konulu e-posta gönderin. Yanıt süresi — 30 gün. Karmaşık vakalarda yazılı gerekçeyle 60 gün daha uzatabiliriz.

Hizmet ücretsizdir; ancak açıkça temelsiz veya tekrarlayan taleplerde makul ücret alabilir veya açıklama ile reddedebiliriz.

Kimliğinizi doğrulayabilmemiz için talepte bizimle iletişimde kullandığınız ad, iletişim e-postası ve telefonu belirtin. Tıbbi veriler için ek olarak kimlik belgesi kopyası talep edebiliriz (KVKK Tebliği No. 30356, başvuru usulü).

11. Çerezler ve analitik

Site çerezleri kullanır — zorunlu (form ve oturum için), analitik (Google Analytics 4) ve pazarlama (Meta Pixel). Analitik ve pazarlama yalnızca çerez bannerinde onayınızdan sonra etkinleştirilir.

Detaylar Çerez Politikasında. Aynı sayfada seçimi değiştirme veya çerezleri tamamen devre dışı bırakma talimatı vardır.

12. Reşit olmayanlar

BergemHealth hizmetleri yetişkin hastalar (18+) içindir. Reşit olmayanların verilerini kasıtlı olarak toplamayız.

Hasta reşit değilse, yasal temsilcisi (ebeveyn veya vasi) üzerinden çalışırız. Tüm onayları temsilci verir, tıbbi belgeleri o iletir.

Yanlışlıkla bir reşit olmayanın verilerini ebeveyn onayı olmadan topladığımızı düşünüyorsanız — Anna Moroz’a yazın, bu verileri sileriz.

13. Politika değişiklikleri

Bu politikayı güncelleyebiliriz — örneğin yeni yüklenici veya analitik servis bağlantısında. Esaslı değişiklikleri 30 gün önceden bildiririz:

  • sitenin ana sayfasındaki bannerla;
  • pazarlama onayı vermiş olanlara e-posta ile;
  • aktif çalışmadaki hastalara bireysel mektupla.

Son güncelleme tarihi bu belgenin başlığında. Bildirimden sonra siteyi kullanmaya devam ederseniz — bu yeni sürümün kabulü sayılır. Kabul etmezseniz — onayı geri çekin, verileri sileriz.

14. Düzenleyiciler ve nereye şikâyet edeceksiniz

Haklarınızı ihlal ettiğimizi düşünüyorsanız iki düzeyde başvuru hakkınız var.

Önce — bize. anna@bergemhealth.com, yanıt süresi 10 iş günü. Bu daha hızlıdır ve genellikle sorunu çözer.

Yardımcı olmazsa — düzenleyiciye.

Ana düzenleyici (Türkiye):

Türkiye Kişisel Verileri Koruma Kurumu (KVKK)

Nasuh Akar Mahallesi 1407. Sokak No: 4, 06520 Çankaya, Ankara, Türkiye

www.kvkk.gov.tr

İkamet ülkenizdeki düzenleyici (AB/AEA mukimleri için). GDPR size ikamet ülkenizin denetim makamına başvurma hakkı verir. Tam liste — Avrupa Veri Koruma Kurulu (EDPB) sitesinde:

https://www.edpb.europa.eu/about-edpb/board/members_en

Örneğin:

  • Litvanya — Valstybinė duomenų apsaugos inspekcija (VDAI)
  • Letonya — Datu valsts inspekcija (DVI)
  • Estonya — Andmekaitse Inspektsioon (AKI)
  • Almanya — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
  • İrlanda — Data Protection Commission (DPC)

İlgili belgeler