Statutory Disclosure Under Article 10 of Turkish Law No. 6698 on the Protection of Personal Data
This Information Notice (the "Notice") is issued by Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti (the "Company"), the owner and operator of the ControlsIQ platform at controlsiq.com (the "Service"), in fulfilment of the statutory information duty under Article 10 of Turkish Law No. 6698 on the Protection of Personal Data ("KVKK") and the Communiqué on the Procedures and Principles to be Followed in the Performance of the Data Controller's Information Obligation. Its purpose is to inform data subjects about the processing of personal data carried out within the Service.
1.1The legal entity acting as data controller in respect of your personal data under this Notice is:
Company: Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti
MERSİS No: 0582114557900001
Tax No (VKN): 5821145579
Product: ControlsIQ — owned and operated by the Company
Registered address: Aydintepe, Pr. Dr. Necmettin Erbakan Cad. Evora E9 7I/157, İstanbul, Türkiye, 34947
Registered email: info@kozarda.com
Site contact: support@controlsiq.com
2.1The following categories of personal data are processed in connection with the Service.
2.1.1Identity information — first name, surname, username.
2.1.2Contact information — email address, phone number (where provided), service address (where provided).
2.1.3Account and transaction information — session identifiers, IP address, device information, browser information, account creation and login records.
2.1.4Service-use content — prompts submitted to the Service, uploaded documents (including contracts, programme files, correspondence, project records), AI outputs, and feedback provided on those outputs.
2.1.5Preference and behaviour information — language, theme, model preference, conversation history, usage frequency, interaction data.
2.1.6Marketing information — marketing preferences, message open and click behaviour, campaign interaction (only where explicit consent has been given).
2.1.7Special-category personal data — health, racial or ethnic origin, religion, sect, philosophical belief, political opinion, trade union membership, and criminal conviction data that may, by their nature, be contained in content uploaded to the Service (only where explicit consent has been given under KVKK Article 6 and only for the period strictly necessary for processing).
2.1.8Financial information — payment method identifiers, invoice information, subscription status (only where a Paid Plan is used). Card numbers and verification information are not stored by the Company; they are processed exclusively at the payment service provider in accordance with PCI DSS standards.
2.2The Company does NOT process audio, visual, or biometric content. Those categories are outside the scope of this Notice.
3.1Your personal data are processed for the following purposes.
3.1.1Delivery, maintenance, and improvement of the Service — generating responses to user queries, providing access to conversation history, account management, technical support.
3.1.2Verification of user identity, account security, and prevention of unauthorised access.
3.1.3Establishment, performance, and termination of the contractual relationship; management of payment and subscription processes.
3.1.4Monitoring against prohibited use and abuse prevention; detection of violations of the Acceptable Use Policy and Anthropic Usage Policy.
3.1.5Improvement and fine-tuning of AI models, or development of new ControlsIQ tools (ONLY where explicit consent has been given under Consent Card 1).
3.1.6Provision of personalised content and recommendations (ONLY where explicit consent has been given under Consent Card 4).
3.1.7Marketing communications (ONLY where explicit consent has been given under Consent Card 3).
3.1.8Fulfilment of legal obligations — record-keeping required by tax and commercial law, responses to lawful requests from competent public authorities.
3.1.9Protection of the Company's legitimate interests — resolution of legal disputes, fraud and cyberattack prevention, improvement of the Service through aggregated statistics.
4.1Your personal data are processed on the basis of the following legal grounds under KVKK Articles 5 and 6.
4.1.1KVKK Article 5(2)(c) — necessity for the establishment and performance of the contract; for the provision of the Service, account creation, subscription management, and payment processes.
4.1.2KVKK Article 5(2)(ç) — fulfilment of legal obligations; for record-keeping required by tax, commercial, and e-commerce legislation.
4.1.3KVKK Article 5(2)(f) — legitimate interest; for system security, abuse detection, fraud prevention, service-quality preservation, and aggregated usage analytics.
4.1.4KVKK Article 5(1) and Article 6(2) — explicit consent; for the following processing activities (each separately addressed in the Consent Notices):
(a) cross-border data transfer (Card 2);
(b) marketing communications (Card 3);
(c) personalised recommendations and profiling (Card 4);
(d) processing of special-category personal data (Card 5);
(e) use of User Content for AI model training or for the development of ControlsIQ tools (Card 1).
5.1Personal data are collected through automatic or partly automatic means in electronic form, by the following methods.
5.1.1Data entered directly by the user via the Service website (controlsiq.com).
5.1.2Technical data collected automatically during use of the Service (session and usage logs, cookie data).
5.1.3Confirmation information received from the payment service provider during the payment process (only where a Paid Plan is used).
5.1.4Forms completed by the user in respect of marketing preferences, where explicit consent has been given.
6.1Because the Service is an AI platform, certain data flows differ from those of conventional internet services. The specific arrangements are set out below.
6.2User prompts, uploaded documents, and conversation context are transmitted instantaneously to the Claude API operated by Anthropic, PBC (United States), a third-party model provider, for the purpose of generating AI outputs.
6.3Anthropic's data retention regime is governed by Anthropic's Commercial Terms of Service entered into between the Company and Anthropic. Under those terms:
(a) Anthropic may not use User Content to train Anthropic's own AI models. This is a contractual prohibition, not a setting that can be toggled.
(b) Anthropic retains API inputs and outputs for a maximum of seven (7) days for safety and abuse-detection purposes, after which they are automatically deleted.
(c) Anthropic disclaims its rights in generated outputs in favour of the Company; outputs belong to the user.
6.4Generated outputs are stored in the Company's managed database service (European Union region) for the purpose of giving the user access to conversation history, until the user requests deletion or closes the account.
6.5Where the user has given explicit consent (Consent Card 1), prompts and contents along with feedback given on outputs may be used to improve the Company's AI model or to develop ControlsIQ-specific tools. Where such consent has not been given, your content is not used to train any AI model. Explicit consent may be withdrawn at any time via Account Settings.
6.6By the technical nature of AI models, learning embedded into parameters may be irreversible. We disclose this honestly: upon withdrawal of consent, data generated after the date of withdrawal is not used for further training; in respect of data already used for past training, reasonable evaluation is made within technical limits.
7.1Your personal data are shared with the following parties to the extent strictly necessary to fulfil the purposes set out in Article 3.
7.1.1AI model provider — Anthropic, PBC (United States) — for the operation of the Claude API that powers the Service. Named explicitly because the Anthropic Commercial Terms are central to the AI data position.
7.1.2Cloud hosting and application runtime infrastructure provider (SOC 2 Type II and ISO 27001 certified, EU and US regions) — for application hosting, server logs, and edge delivery.
7.1.3Managed database service provider (SOC 2 Type II certified, EU region) — for storage of account data, project data, and audit logs with encrypted backups and point-in-time recovery.
7.1.4Transactional email service provider (SOC 2 Type II certified, US region) — for transactional email delivery (verifications, password resets, billing notifications). Not used for marketing.
7.1.5Payment service provider — not currently engaged. No card payments are processed yet. When a payment service provider is appointed for subscription billing it will be named here and disclosed before any payment, as Mesafeli Sözleşmeler Yönetmeliği requires payment-method disclosure.
7.1.6Marketing communications providers (only where marketing explicit consent has been given) — providers of email and SMS distribution services.
7.1.7Professional advisers — the Company's external legal counsel and certified public accountant (mali müşavir), bound by confidentiality.
7.1.8Competent public authorities — where required by lawful request, after the Company has evaluated the legality and scope of the request.
7.2Contractual frameworks regarding confidentiality, processing purposes, and retention periods are in place with all transferee parties. The cross-border transfer regime set out in Article 8 applies.
7.3Specific vendor names, locations, certifications, and Data Processing Agreement copies for the sub-processors in 7.1.2–7.1.4 (those identified by category rather than name) are disclosed to data subjects and procurement teams on request to support@controlsiq.com. Provider changes that materially affect User Content processing trigger the notification procedure in Article 14.
8.1A significant portion of the providers listed in Article 7 — in particular Anthropic (AI model provider) and our cloud-hosting and transactional-email sub-processors — operate their data-processing infrastructure outside Türkiye, principally in the United States and European Union.
8.2Cross-border transfer of personal data is carried out under KVKK Article 9, relying on the applicable legal ground: transfer to a country covered by an adequacy decision of the Personal Data Protection Authority, transfer under a Kurul-approved undertaking (taahhütname), or transfer based on the user's explicit consent.
8.3Because the AI infrastructure is substantially located outside Türkiye, cross-border transfer is essential for the Service to function. This is disclosed explicitly to the user under Consent Card 2 and consent is captured separately at signup. Such consent may be withdrawn at any time via Account Settings; however, withdrawal may result in the user being unable to use the core functions of the Service.
9.1Personal data are retained for the period required by the processing purpose, taking into account the minimum periods prescribed by applicable legislation and statutory limitation periods. Upon expiry, they are deleted, destroyed, or anonymised in accordance with the Regulation on the Deletion, Destruction, or Anonymisation of Personal Data.
9.2Principal retention periods by category:
(a) Account information and User Content — for the period the account is active and during a 30-day post-closure wind-down period.
(b) Payment and invoice records — ten (10) years pursuant to Tax Procedure Law Article 253 and Turkish Commercial Code Article 82.
(c) Consent records (ConsentLog) — for the duration of the account and three (3) years thereafter, because KVKK places the burden of proving consent on the data controller.
(d) Security and audit logs — rolling twelve (12) months.
(e) Backups — rolling thirty (30) days.
(f) At Anthropic — maximum seven (7) days (contractual).
9.3The full retention table by category is set out in the Company's internal Retention and Destruction Policy; relevant extracts are shared on data subject request.
10.1As a data subject under KVKK Article 11, you have the following rights.
10.1.1To learn whether your personal data are processed.
10.1.2If processed, to request information thereon.
10.1.3To learn the purpose of processing and whether your data are used in accordance with such purpose.
10.1.4To know the third parties (domestic or foreign) to whom your data are transferred.
10.1.5To request correction of incomplete or inaccurate processing.
10.1.6To request deletion or destruction of your data under the conditions of KVKK Article 7.
10.1.7To request that operations under (10.1.5) and (10.1.6) be notified to third parties to whom your data have been transferred.
10.1.8To object to a result adverse to you arising from the analysis of processed data exclusively through automated systems.
10.1.9To request compensation for damage suffered as a result of unlawful processing of your personal data.
11.1To exercise the rights in Article 10, you may apply to the Company under the Communiqué on the Procedures and Principles for Application to the Data Controller. Your application, accompanied by documents evidencing your identity, may be made by one of the following methods.
11.1.1By written petition with wet signature, delivered to the Company's registered address set out in Article 1.1 in person or by registered mail with return receipt.
11.1.2By email to support@controlsiq.com, from the email address registered in the Company's systems.
11.2Your application will be answered free of charge, in line with the nature of the request and in any event within thirty (30) days, in accordance with the Communiqué and KVKK Article 13.
11.3If the operation entails a separate cost, the fee in the tariff determined by the Authority may be charged.
11.4A Data Subject Application Form is available on controlsiq.com; you may also use that form to submit your application.
11.5If you are not satisfied with the response to your application, you reserve the right to complain to the Personal Data Protection Authority of Türkiye.
12.1The Service involves automated evaluations by the AI model in the output-generation process. Service outputs are, by their nature, probabilistic AI predictions; they are advisory content to be verified by the user and do not constitute automated decisions within the meaning of KVKK Article 11(g) producing material effect.
12.2Where profiling consent under Consent Card 4 has been given, user behaviour on the Service may be profiled for the purpose of providing personalised content and recommendations. Such profiling does not produce material effect on the user's legal rights and freedoms.
12.3Under KVKK Article 11(g), the data subject has the right to object to a result adverse to them arising from the analysis of processed data exclusively through automated systems.
12.4It is reminded that Service outputs should not be relied upon as a basis for critical decisions without verification; the Output Disclaimer in Article 5 of the Terms of Service applies.
13.1Under KVKK Article 12, the Company is obliged to take the necessary technical and organisational measures to provide an appropriate level of security against the unlawful access, processing, and transfer of personal data. Such measures include:
(a) HTTPS/TLS encryption in transit and database/backup encryption at rest;
(b) Passwords stored as bcrypt hashes; no plain-text password storage;
(c) Multi-factor authentication available;
(d) Access authorisation procedures and auditable log records;
(e) Regular dependency updates, security patches, and code review;
(f) Rate limiting and abuse detection;
(g) Backups, disaster recovery procedures, and incident response plan.
13.2However, it is a known reality that the full security of data transmitted over the internet cannot be technically guaranteed; the Company targets the highest reasonable level of security.
13.3In the event of a personal data breach, notification is made to the Personal Data Protection Authority and to affected data subjects within the periods determined by the Authority.
14.1This Notice entered into force on 15 May 2026 and the current version is available at controlsiq.com/aydinlatma-metni.
14.2Updates are published on the same page; for material changes, additional notification is given to users via the Service and, where required, explicit consent is requested anew.
14.3Past versions are archived and available on data subject request.
15.1Any question or request relating to this Notice or to the processing of your personal data may be addressed to support@controlsiq.com.
15.2Formal correspondence may be addressed to the Company's registered address set out in Article 1.1.
15.3The supervisory authority for complaints is the Personal Data Protection Authority of Türkiye — kvkk.gov.tr.
6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun 10. Maddesi Çerçevesinde
İşbu Aydınlatma Metni ("Metin"); 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 10. maddesi ile Veri Sorumlusu tarafından Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında, controlsiq.com adresindeki ControlsIQ platformunun ("Hizmet") sahibi ve işleteni olan Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti ("Şirket") tarafından, Hizmet kapsamında kişisel verilerin işlenmesine ilişkin olarak ilgili kişilerin bilgilendirilmesi amacıyla düzenlenmiştir.
1.1Veri sorumlusu sıfatıyla işbu Metin kapsamında kişisel verilerinizi işleyen tüzel kişi aşağıda belirtilmiştir.
Şirket: Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti
MERSİS No: 0582114557900001
Vergi Kimlik No (VKN): 5821145579
Ürün: ControlsIQ — Şirket'e ait olup Şirket tarafından işletilmektedir.
Tebligata esas adres: Aydıntepe, Pr. Dr. Necmettin Erbakan Cad. Evora E9 7I/157, İstanbul, Türkiye, 34947
Tescilli e-posta: info@kozarda.com
Site iletişim: support@controlsiq.com
2.1Hizmet kapsamında aşağıdaki kişisel veri kategorileri işlenmektedir.
2.1.1Kimlik bilgileri; ad, soyad, kullanıcı adı.
2.1.2İletişim bilgileri; e-posta adresi, telefon numarası (talep edildiği takdirde), tebligata esas adres bilgileri (talep edildiği takdirde).
2.1.3Hesap ve işlem bilgileri; oturum tanımlayıcıları, IP adresi, cihaz bilgileri, tarayıcı bilgileri, hesap oluşturma ve giriş kayıtları.
2.1.4Hizmet kullanım içeriği; Kullanıcı'nın Hizmet'e gönderdiği prompt metinleri, yüklediği belgeler (sözleşmeler, program dosyaları, yazışmalar, proje kayıtları dahil), yapay zeka modelinin ürettiği çıktılar ve Kullanıcı'nın bu çıktılara verdiği geri bildirimler.
2.1.5Tercih ve davranış bilgileri; dil, tema, model tercihi, sohbet geçmişi, kullanım sıklığı, etkileşim verileri.
2.1.6Pazarlama bilgileri; pazarlama tercihleri, ileti açma ve tıklama davranışı, kampanya etkileşimleri (yalnızca açık rıza alındığı takdirde).
2.1.7Özel nitelikli kişisel veriler; Kullanıcı'nın Hizmet'e gönderdiği içeriklerin niteliği gereği kapsamında bulunma ihtimali olan sağlık, ırk, etnik köken, din, mezhep, felsefi inanç, siyasi düşünce, sendika üyeliği ve ceza mahkûmiyeti verileri (yalnızca KVKK 6. maddesi kapsamında açık rıza alındığı ve içerik bütünüyle silinmeden önce gerekli işleme süresince).
2.1.8Finansal bilgiler; ödeme yöntemi tanımlayıcıları, fatura bilgileri, abonelik durumu (yalnızca Ücretli Plan kullanılması hâlinde). Kart numarası ve doğrulama bilgileri Şirket tarafından saklanmamakta, münhasıran ödeme hizmeti sağlayıcısı nezdinde PCI DSS standartları çerçevesinde işlenmektedir.
2.2Şirket; ses, görüntü ve biyometrik içerik işlememektedir. Bu kategoriler işbu Metin'in kapsamı dışındadır.
3.1Kişisel verileriniz aşağıdaki amaçlarla işlenmektedir.
3.1.1Hizmet'in sunulması, sürdürülmesi ve iyileştirilmesi; Kullanıcı taleplerine yanıt üretilmesi, sohbet geçmişine erişimin sağlanması, hesap yönetiminin yürütülmesi ve teknik destek verilmesi.
3.1.2Kullanıcı kimliğinin doğrulanması, hesap güvenliğinin sağlanması ve yetkisiz erişimin önlenmesi.
3.1.3Sözleşmesel ilişkinin kurulması, ifası ve sona erdirilmesi süreçlerinin yürütülmesi; ödeme ve abonelik süreçlerinin yönetilmesi.
3.1.4Hizmet'in yasaklanmış kullanım hâllerine karşı izlenmesi ve istismarın önlenmesi; Kabul Edilebilir Kullanım Politikası ve Anthropic Kullanım Politikası ihlallerinin tespit edilmesi.
3.1.5Yapay zeka modelinin iyileştirilmesi, ince ayarının yürütülmesi veya yeni ControlsIQ araçlarının geliştirilmesi (yalnızca Açık Rıza Metinleri Kart 1 kapsamında ayrıca açık rıza alındığı takdirde).
3.1.6Kullanıcıya kişiselleştirilmiş içerik ve öneri sunulması (yalnızca Açık Rıza Kart 4 kapsamında açık rıza alındığı takdirde).
3.1.7Pazarlama iletişiminin yürütülmesi (yalnızca Açık Rıza Kart 3 kapsamında açık rıza alındığı takdirde).
3.1.8Yasal yükümlülüklerin yerine getirilmesi; vergi ve ticaret mevzuatından kaynaklanan kayıt yükümlülükleri ile yetkili kamu kurumlarının yasal taleplerine cevap verilmesi.
3.1.9Şirket'in meşru menfaatlerinin korunması; hukuki uyuşmazlıkların çözümü, dolandırıcılık ve siber saldırıların önlenmesi, Hizmet'in toplulaştırılmış istatistikler aracılığıyla iyileştirilmesi.
4.1Kişisel verileriniz KVKK'nın 5. ve 6. maddeleri çerçevesinde aşağıdaki hukuki sebeplere dayalı olarak işlenmektedir.
4.1.1KVKK'nın 5. maddesinin ikinci fıkrasının (c) bendi uyarınca sözleşmenin kurulması ve ifası için zorunlu olması; Hizmet'in sunumu, hesap oluşturma, abonelik yönetimi ve ödeme süreçleri bakımından.
4.1.2KVKK'nın 5. maddesinin ikinci fıkrasının (ç) bendi uyarınca hukuki yükümlülüğün yerine getirilmesi; vergi, ticaret ve elektronik ticaret mevzuatından kaynaklanan yükümlülükler bakımından.
4.1.3KVKK'nın 5. maddesinin ikinci fıkrasının (f) bendi uyarınca meşru menfaat; sistem güvenliği, istismar tespiti, dolandırıcılık önleme, hizmet kalitesinin korunması ve toplulaştırılmış kullanım analitiği bakımından.
4.1.4KVKK'nın 5. maddesinin birinci fıkrası ve 6. maddesinin ikinci fıkrası çerçevesinde açık rıza; aşağıdaki işleme türleri bakımından (Açık Rıza Metinleri'nde her biri ayrıca düzenlenmiştir):
(a) Yurt dışı veri aktarımı (Kart 2),
(b) Pazarlama iletişimi (Kart 3),
(c) Kişiselleştirilmiş öneri ve profilleme (Kart 4),
(d) Özel nitelikli kişisel verilerin işlenmesi (Kart 5),
(e) Kullanıcı İçeriği'nin yapay zeka modelinin eğitiminde veya ControlsIQ araçlarının geliştirilmesinde kullanılması (Kart 1).
5.1Kişisel veriler aşağıdaki yöntemlerle, elektronik ortamda otomatik veya kısmen otomatik yollarla toplanmaktadır.
5.1.1Hizmet'in internet sitesi (controlsiq.com) üzerinden Kullanıcı'nın doğrudan girdiği veriler.
5.1.2Hizmet'in kullanımı sırasında otomatik olarak toplanan teknik veriler (oturum ve kullanım kayıtları, çerez bilgileri).
5.1.3Ödeme sürecinde ödeme hizmeti sağlayıcısından alınan onay bilgileri (yalnızca Ücretli Plan kullanılması hâlinde).
5.1.4Pazarlama tercihleri bakımından açık rıza verilmesi hâlinde Kullanıcı tarafından doldurulan formlar.
6.1Hizmet'in bir yapay zeka platformu olması nedeniyle, klasik internet hizmetlerinden farklı bazı veri akışları söz konusudur. Bu akışlara ilişkin özel durumlar aşağıda düzenlenmiştir.
6.2Kullanıcı'nın Hizmet'e gönderdiği prompt'lar, yüklediği belgeler ve sohbet bağlamı; yapay zeka tarafından çıktı üretilmesi amacıyla anında — Amerika Birleşik Devletleri yerleşik üçüncü taraf model sağlayıcısı olan Anthropic, PBC tarafından işletilen Claude API'sine — aktarılmaktadır.
6.3Anthropic'in veri saklama rejimi; Şirket ile Anthropic arasında akdedilmiş bulunan Anthropic Ticari Hizmet Şartları çerçevesindedir. Söz konusu şartlar uyarınca:
(a) Anthropic; Kullanıcı İçeriği'ni kendi yapay zeka modellerini eğitmek için kullanamamaktadır. Bu sözleşmesel bir yasak olup, açılıp kapatılabilen bir ayar değildir.
(b) Anthropic; API giriş ve çıktılarını en fazla yedi (7) gün süreyle güvenlik ve istismar tespiti amacıyla saklamakta, ardından otomatik olarak silmektedir.
(c) Anthropic; ürettiği çıktılar üzerindeki haklardan Şirket lehine feragat etmektedir; çıktılar Kullanıcı'ya aittir.
6.4Üretilen çıktılar; Kullanıcı'nın sohbet geçmişine erişebilmesi amacıyla Şirket'in yönetilen veritabanı servisi (Avrupa Birliği bölgesi) nezdinde Kullanıcı'nın silme talimatına veya hesap kapatılmasına kadar saklanmaktadır.
6.5Kullanıcı tarafından açık rıza verildiği takdirde (Açık Rıza Kart 1), prompt ve içerikleri ile çıktılara verdiği geri bildirimler; Şirket'in yapay zeka modelinin iyileştirilmesinde veya ControlsIQ'ya özgü araçların geliştirilmesinde kullanılabilecektir. Söz konusu rıza verilmediği takdirde içerikleriniz hiçbir yapay zeka modelinin eğitiminde kullanılmamaktadır. Açık rıza dilediğiniz an Hesap Ayarları üzerinden geri çekilebilir.
6.6Yapay zeka modellerinin teknik niteliği gereği, parametrelere yansımış öğrenme geri alınamaz olabilmektedir. Bu durumu Kullanıcı'lardan saklamaksızın belirtmekte; rızanın geri çekilmesi hâlinde geri çekme tarihinden sonra üretilen veriler eğitime alınmamakta; geçmişte eğitime alınmış veriler bakımından ise makul ölçüde değerlendirme yapılmaktadır.
7.1Kişisel verileriniz; işbu Metin'in 3. maddesinde belirtilen amaçların gerçekleştirilmesi için zorunlu olduğu ölçüde aşağıdaki taraflarla paylaşılmaktadır.
7.1.1Yapay zeka model sağlayıcısı; Anthropic, PBC (Amerika Birleşik Devletleri) — Hizmet'i destekleyen Claude API'sinin işletilmesi amacıyla. Yapay zeka veri pozisyonunun merkezinde Anthropic Ticari Şartları bulunduğu için açıkça isimlendirilmiştir.
7.1.2Bulut barındırma ve uygulama runtime altyapısı sağlayıcısı (SOC 2 Type II ve ISO 27001 sertifikalı; AB ve ABD bölgeleri) — uygulamanın barındırılması, sunucu log'ları ve edge dağıtımı amacıyla.
7.1.3Yönetilen veritabanı hizmeti sağlayıcısı (SOC 2 Type II sertifikalı; AB bölgesi) — hesap verilerinin, proje verilerinin ve denetim log'larının şifrelenmiş yedeklemeler ve point-in-time recovery ile saklanması amacıyla.
7.1.4İşlemsel e-posta hizmeti sağlayıcısı (SOC 2 Type II sertifikalı; ABD bölgesi) — işlemsel e-posta gönderimi (doğrulama, şifre sıfırlama, fatura bildirimleri) amacıyla. Pazarlama amaçlı kullanılmaz.
7.1.5Ödeme hizmeti sağlayıcısı — şu an görevlendirilmemiştir. Henüz kart ödemesi işlenmemektedir. Abonelik faturalandırması için bir ödeme hizmeti sağlayıcısı görevlendirildiğinde burada isimlendirilecek ve — Mesafeli Sözleşmeler Yönetmeliği ödeme yöntemi açıklamasını gerektirdiği için — ödemeden önce açıklanacaktır.
7.1.6Pazarlama iletişim sağlayıcıları (yalnızca pazarlama açık rızası verildiği takdirde); e-posta ve kısa mesaj dağıtım hizmeti sunan sağlayıcılar.
7.1.7Profesyonel danışmanlar; Şirket'in dış hukuk danışmanları ve mali müşaviri (gizlilik yükümlülüğü altında).
7.1.8Yetkili kamu kurumları; yasal yükümlülük gereği talep edilen hâllerde, talebin hukukiliği ve kapsamı Şirket tarafından değerlendirildikten sonra.
7.2Aktarım yapılan tüm taraflarla; gizlilik yükümlülükleri, veri işleme amaçları ve süreleri konusunda sözleşmesel çerçeveler tesis edilmiş olup, Madde 8'de düzenlenen sınır ötesi aktarım rejimi uygulanmaktadır.
7.37.1.2–7.1.4'te kategori bazında belirtilen alt veri işleyenlere ilişkin belirli sağlayıcı adları, konumları, sertifikaları ve Veri İşleme Anlaşması kopyaları; ilgili kişilere ve tedarik ekiplerine support@controlsiq.com adresinden talep üzerine açıklanır. Kullanıcı İçeriği işlemesini esaslı biçimde etkileyen sağlayıcı değişiklikleri Madde 14'te düzenlenen bildirim usulünü tetikler.
8.1Madde 7'de belirtilen sağlayıcıların önemli bir kısmının — özellikle Anthropic (yapay zeka model sağlayıcısı) ile bulut barındırma ve işlemsel e-posta alt veri işleyenlerimizin — veri işleme altyapıları Türkiye dışında, başlıca Amerika Birleşik Devletleri ve Avrupa Birliği ülkelerinde bulunmaktadır.
8.2Kişisel verilerin yurt dışına aktarımı; KVKK'nın 9. maddesi çerçevesinde, Kişisel Verileri Koruma Kurulu'nun yeterli koruma kararı bulunan ülkelere aktarım, Kurul'un onayladığı taahhütname imzalanması veya Kullanıcı'nın açık rızası gibi hukuki zeminlerden ilgili olanına dayalı olarak gerçekleştirilmektedir.
8.3Yapay zeka altyapısının büyük ölçüde Türkiye dışında bulunması nedeniyle, Hizmet'in işleyebilmesi için yurt dışı aktarımı zorunludur. Bu durum, Açık Rıza Kart 2 kapsamında Kullanıcı'ya açıkça bildirilmekte ve rıza kayıt anında ayrıca alınmaktadır. Söz konusu rıza dilenildiği an Hesap Ayarları üzerinden geri alınabilir; ancak geri alınması Hizmet'in temel işlevlerinin kullanılamamasına yol açabilir.
9.1Kişisel veriler; işleme amacının gerektirdiği süre boyunca, ilgili mevzuatta öngörülen asgari süreler ile zamanaşımı süreleri dikkate alınarak saklanmakta; bu sürelerin sonunda Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik hükümleri çerçevesinde silinmekte, yok edilmekte veya anonim hâle getirilmektedir.
9.2Kategori bazında temel saklama süreleri:
(a) Hesap bilgileri ve Kullanıcı İçeriği — hesabınız aktif olduğu sürece ve hesap kapatıldıktan sonra otuz (30) günlük geçiş süresi boyunca.
(b) Ödeme ve fatura kayıtları — Vergi Usul Kanunu Madde 253 ve Türk Ticaret Kanunu Madde 82 uyarınca on (10) yıl.
(c) Rıza kayıtları (ConsentLog) — KVKK'nın rıza ispat yükünü veri sorumlusuna yüklemesi nedeniyle hesap süresince ve sonrasında üç (3) yıl.
(d) Güvenlik ve denetim log'ları — rolling on iki (12) ay.
(e) Yedeklemeler — rolling otuz (30) gün.
(f) Anthropic nezdinde — en fazla yedi (7) gün (sözleşmesel).
9.3Saklama sürelerinin kategori bazında ayrıntılı tablosu, Şirket'in iç Saklama ve İmha Politikası'nda düzenlenmiş olup, ilgili kişilerin talebi üzerine ilgili kısımlar paylaşılmaktadır.
10.1İlgili kişi sıfatıyla KVKK'nın 11. maddesi kapsamında aşağıdaki haklara sahip bulunmaktasınız.
10.1.1Kişisel verilerinizin işlenip işlenmediğini öğrenme.
10.1.2Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme.
10.1.3Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
10.1.4Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme.
10.1.5Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
10.1.6KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme.
10.1.7Yukarıdaki (10.1.5) ve (10.1.6) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme.
10.1.8İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme.
10.1.9Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
11.1Madde 10'da sayılan haklarınızı kullanmak amacıyla Şirket'e Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ çerçevesinde başvurabilirsiniz. Başvurunuz; kimliğinizi tevsik edici belgeler eşliğinde, aşağıdaki yöntemlerden biri ile gerçekleştirilebilir.
11.1.1Şirket'in Madde 1.1'de belirtilen tebligata esas adresine ıslak imzalı dilekçe ile elden veya iadeli taahhütlü posta yoluyla.
11.1.2Şirket sistemlerinde kayıtlı bulunan e-posta adresiniz üzerinden support@controlsiq.com adresine elektronik posta yoluyla.
11.2Başvurunuz; ilgili Tebliğ hükümleri ve KVKK'nın 13. maddesi çerçevesinde, niteliğine göre en kısa sürede ve her hâlükârda otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır.
11.3İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kurul'ca belirlenen tarifedeki ücret talep edilebilecektir.
11.4Veri Sahibi Başvuru Formu, controlsiq.com adresinden erişilebilir formatta sunulmuş olup, başvurunuzu söz konusu formu doldurarak da yapabilirsiniz.
11.5Başvurunuza verilen yanıttan memnun kalmamanız hâlinde Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakkınız saklıdır.
12.1Hizmet kapsamında çıktı üretimi sürecinde yapay zeka modeli tarafından otomatik değerlendirmeler yapılmaktadır. Hizmet çıktıları, niteliği gereği olasılıksal yapay zeka tahminleridir; Kullanıcı'nın doğrulaması beklenen tavsiye niteliğindeki içeriklerdir ve KVKK'nın 11. maddesinin (g) bendi anlamında esaslı bir sonuç doğuran otomatik karar niteliği taşımazlar.
12.2Açık Rıza Kart 4 kapsamında profilleme rızası verildiği takdirde, Kullanıcı'nın Hizmet üzerindeki davranışı kişiselleştirilmiş içerik ve öneri sunulması amacıyla profillenebilir. Bu profilleme; Kullanıcı'nın hukuki hak ve özgürlükleri üzerinde esaslı bir etki doğurmamaktadır.
12.3İlgili kişi; KVKK'nın 11. maddesinin (g) bendi çerçevesinde münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucu aleyhine doğan sonuçlara itiraz etme hakkına sahiptir.
12.4Hizmet çıktılarının kritik kararlarda doğrulamasız temel oluşturmasının önerilmediği; konuya ilişkin Çıktı Feragatnamesi'nin Kullanıcı Sözleşmesi'nin 5. maddesinde ayrıca düzenlendiği hatırlatılmaktadır.
13.1Şirket; KVKK'nın 12. maddesi çerçevesinde, kişisel verilerin hukuka aykırı erişimine, işlenmesine ve aktarımına karşı uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu tedbirler kapsamında özellikle:
(a) İletim sırasında HTTPS/TLS şifreleme ve saklama hâlinde veritabanı/yedek şifrelemesi,
(b) Şifrelerin hash'lenerek (bcrypt) saklanması; düz metin şifre saklanmaması,
(c) Çok faktörlü kimlik doğrulama imkânının sunulması,
(d) Erişim yetkilendirme prosedürleri ve denetlenebilir log kayıtları,
(e) Düzenli bağımlılık güncellemeleri, güvenlik yamaları ve kod incelemesi,
(f) Hız sınırlama (rate limiting) ve istismar tespiti,
(g) Yedekleme, felaket kurtarma prosedürleri ve olay müdahale planı uygulanmaktadır.
13.2Buna mukabil, internet üzerinden iletilen hiçbir verinin tam güvenliğinin teknik olarak garanti edilemeyeceği bilinen bir gerçeklik olup, Şirket makul ölçüde mümkün olan en yüksek güvenlik seviyesini hedeflemektedir.
13.3Veri ihlali hâlinde KVKK Kurulu'nun belirlediği usul ve süreler içinde Kurul'a ve etkilenen ilgili kişilere bildirim yapılmaktadır.
14.1İşbu Metin 15 Mayıs 2026 tarihinde yürürlüğe girmiş olup, controlsiq.com/aydinlatma-metni adresinde güncel sürümü Kullanıcı'ların erişimine sunulmaktadır.
14.2Metin'de yapılacak güncellemeler aynı sayfada yayımlanmakta; esaslı nitelikteki değişiklikler için Kullanıcı'lara Hizmet üzerinden ayrıca bildirim yapılmakta ve gerektiğinde yeniden açık rıza alınmaktadır.
14.3Geçmiş sürümler, ilgili kişilerin başvurusu üzerine sunulmak üzere arşivlenmektedir.
15.1İşbu Metin'e veya kişisel verilerinizin işlenmesine ilişkin her türlü soru ve talep support@controlsiq.com adresi üzerinden Şirket'e iletilebilir.
15.2Resmi yazışmalar Madde 1.1'de belirtilen Şirket'in tebligata esas adresine yapılabilir.
15.3Şikayet hakkınızın muhatabı: Kişisel Verileri Koruma Kurumu — kvkk.gov.tr.