This Cookie Policy (the "Policy") explains how Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti (the "Company", "we"), the owner and operator of the ControlsIQ platform at controlsiq.com (the "Service"), uses cookies and similar technologies when you visit the Service. It tells you what those technologies are, what categories of cookies we use, what each category does, who sets them, how long they last, and how you can accept or refuse them. This Policy forms an annex to our Privacy Policy and our KVKK Information Notice (Aydınlatma Metni).
1.1A cookie is a small text file that a website stores on your device (computer, tablet, or phone) when you visit. The file holds a small amount of data — typically an identifier and a few preferences — that the website can read on later visits. Cookies are how we keep you logged in, remember your language choice, and (with your consent) learn how the Service is used so we can improve it.
1.2Where we say "cookies" in this Policy we also mean similar technologies that operate on the same principle: local storage and session storage in your browser, IndexedDB entries, pixel tags, and similar identifiers. The legal treatment is the same: anything that stores or reads data on your device requires either a strict-necessity ground or your consent.
1.3Cookies set by controlsiq.com are first-party cookies. Cookies set by a third party we have embedded (for example, a payment iframe) are third-party cookies. We disclose both.
2.1We classify our cookies into four categories. Each category has a clear purpose and a clear consent position. Category 1 cookies are strictly necessary and operate without consent. Categories 2, 3, and 4 are placed only after you have given consent.
2.2Category 1 — Strictly Necessary cookies are the cookies the Service cannot operate without. They authenticate you, protect your session against forgery, and remember your language choice for accessibility. The legal basis is Article 5(2)(c) of KVKK (necessity for performance of contract). You cannot refuse these cookies because refusing them means you cannot log in or use the Service at all. We do not present them in the consent banner; we tell you about them here.
2.3Category 2 — Functional cookies remember preferences that make the Service more useful but are not strictly necessary: which theme you chose, whether you have dismissed a tutorial card, whether you want to stay logged in across sessions. These cookies are placed only with your explicit consent.
2.4Category 3 — Analytics cookies help us understand how the Service is used in aggregate: which features get reached, where errors occur, how long pages take to render. We use this to improve the Service. Analytics cookies are placed only with your explicit consent and only after IP address truncation or other identifier minimisation has been applied.
2.5Category 4 — Marketing cookies let us measure the effectiveness of our advertising. ControlsIQ uses the Google Ads tag (gtag.js) solely for conversion measurement — to understand which advertisement clicks lead to a subscription — with ad personalization disabled; we do not use it for behavioural remarketing or profiling. These cookies are set ONLY after you accept Marketing cookies in the banner — never before — and you can withdraw consent at any time, which stops them. (Personalised content under Card 3 of the Açık Rıza Esasları remains separate.)
3.1The table below lists every cookie or similar technology in active use at the date of this Policy. We update this table when the cookie footprint changes.
3.2Category 1 — Strictly Necessary (set automatically; no consent toggle):
(a) next-auth.session-token — Purpose: keeps you logged in. Type: HTTP cookie, encrypted JWT. Set by: ControlsIQ (first-party). Duration: 30 days, renewed on activity. Optional: no.
(b) next-auth.csrf-token — Purpose: protects forms against cross-site request forgery. Type: HTTP cookie. Set by: ControlsIQ. Duration: session (deleted when you close the browser). Optional: no.
(c) next-auth.callback-url — Purpose: remembers where to send you after a login redirect. Type: HTTP cookie. Set by: ControlsIQ. Duration: session. Optional: no.
(d) ciq-lang — Purpose: remembers your language preference (Turkish or English). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year. Optional: no (the language preference itself is essential to display the Service correctly).
(e) ciq-consent — Purpose: stores your cookie-banner choices so we do not ask again. Type: HTTP cookie. Set by: ControlsIQ. Duration: 6 months. Optional: no (this cookie is the record of your choices about other cookies; without it we would have to ask on every visit).
3.3Category 2 — Functional (set only after consent):
(a) ciq-prefs — Purpose: stores in-app preferences (currently the light/dark theme; additional UI preferences may be added over time without re-asking for consent because they fall within the same category and purpose). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year.
(b) ciq-tour-state — Purpose: remembers which in-Service orientation nudges you have dismissed (currently the dashboard welcome card; additional nudges may be added over time within the same purpose). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year.
3.4Category 3 — Analytics (set only after consent):
(a) None at the date of this Policy. ControlsIQ does not currently use Google Analytics, Plausible, Mixpanel, or any third-party analytics service. Server-side aggregated metrics (request counts, error rates) operate on our cloud-platform infrastructure without setting client-side cookies. If we add a client-side analytics tool in the future, it will appear here before deployment and will be governed by the Category 3 consent.
3.5Category 4 — Marketing (set only after consent):
(a) Google Ads (gtag.js), provided by Google — conversion measurement for our advertising. It is loaded ONLY after you grant Marketing consent; nothing from Google loads and no advertising cookie is set before that. It sets a first-party cookie (for example _gcl_au, expiring in about 90 days) used to attribute a subscription to an advertisement click. Ad personalization is disabled, so it is not used for behavioural remarketing, and Google acts as our processor for this measurement (see policies.google.com/technologies/cookies). Withdrawing Marketing consent stops it. Marketing emails — which are not cookies — are governed separately by Açık Rıza Card 3.
3.6Third-party services that may set cookies on pages you reach:
(a) Garanti BBVA (payment provider) — when you make a payment you are taken to Garanti BBVA's hosted 3D-Secure page (Garanti BBVA Sanal POS) to enter your card details. That page may set payment-flow cookies that are essential for completing the payment and for the bank's fraud and 3D-Secure checks, under Garanti BBVA's own cookie and privacy policies. ControlsIQ does not set or read these cookies and never receives your card details.
4.1On your first visit you are shown a cookie banner at the bottom of the screen. The banner gives you three equally-weighted choices: Accept All, Reject All, and Manage Preferences. Equal weight is a regulatory requirement, not a design choice — Turkish law (KVKK and KVKK Kurul guidance) does not permit a prominent "Accept All" button next to a buried "Reject" link.
4.2Accept All places Category 2, 3, and 4 cookies (those that are currently configured). Reject All places no cookies beyond Category 1. Manage Preferences opens a panel where you can toggle each category independently.
4.3Your choice is recorded in our ConsentLog database table as separate entries for each category, alongside the ciq-consent cookie which holds the same information on your device. The ConsentLog entry is what we rely on to prove your choice if a regulator ever asks.
4.4You can change your choice at any time:
(a) Via Account Settings → Privacy and Consent if you are logged in.
(b) Via your browser's cookie management settings (which work independently of our banner but achieve the same operational effect).
4.5If you reject Category 1 cookies through your browser, the Service will not function — you will not be able to log in. This is a technical limitation of how authentication works, not a design choice.
4.6If you reject Category 2 cookies, the Service still works but your interface preferences will not be remembered between sessions and onboarding cards will reappear.
4.7If you reject Category 3 cookies, you do not affect the Service for yourself, but we cannot see your usage in our aggregated analytics. We add no individual penalty or feature limitation for refusing analytics.
5.1Cookies that hold or read identifiers are personal data under KVKK. The rights you have over your cookie-related personal data are the same rights described in our Privacy Policy Article 10 and Aydınlatma Metni Article 10: access, correction, deletion, restriction, portability, objection, withdrawal of consent, and complaint to the Personal Data Protection Authority of Türkiye (kvkk.gov.tr).
5.2Withdrawal of cookie consent does not affect the lawfulness of processing before withdrawal. Cookies placed under your prior consent remain valid until their expiry or until you delete them; the withdrawal stops new cookies in the relevant categories from being placed.
5.3The cookie banner you see on first visit is shown again whenever (a) you delete the ciq-consent cookie, (b) we add a new cookie category, or (c) we materially change what an existing category does.
6.1Some browsers send a "Do Not Track" (DNT) header or a Global Privacy Control (GPC) signal to indicate that the user does not want their behaviour tracked across sites. There is no Turkish regulatory consensus on the exact legal meaning of these signals, but in practice we treat both as a clear signal of refusal.
6.2If your browser sends a DNT header or GPC signal, the cookie banner still appears on your first visit (so we can present your choices honestly), but the default state of Categories 2, 3, and 4 is set to OFF and the banner explains why.
6.3We do not sell or share personal data in any case (see Privacy Policy Article 6.4), so the operational effect of these signals on ControlsIQ is limited to the consent-default behaviour described in 6.2.
7.1We may update this Policy when the cookie footprint changes — for example, when we add a new analytics tool or remove an existing one. Changes that introduce a new category, or that materially expand what an existing category does, trigger a renewed cookie banner so you can update your choices.
7.2Non-material changes (clarifications, typo fixes, adding a new cookie within an existing category and matching purpose) take effect on publication; the "Last updated" date at the top of this Policy is refreshed.
7.3Past versions of this Policy are archived and available on request.
8.1For any question about how we use cookies, or to challenge a specific cookie, contact us at support@controlsiq.com.
8.2For formal data protection complaints, the Personal Data Protection Authority of Türkiye (Kişisel Verileri Koruma Kurumu — kvkk.gov.tr) is the competent supervisory authority.
İşbu Çerez Politikası ("Politika"); controlsiq.com adresindeki ControlsIQ platformunun ("Hizmet") sahibi ve işleteni olan Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti ("Şirket", "biz") tarafından, Hizmet'i ziyaret ettiğinizde çerezler ve benzeri teknolojilerin kullanım esaslarını açıklamak amacıyla düzenlenmiştir. Bu teknolojilerin ne olduğu, hangi kategorilerde hangi çerezlerin kullanıldığı, her kategorinin ne işe yaradığı, kim tarafından yerleştirildiği, ne kadar süreyle saklandığı ve nasıl kabul edilip reddedilebileceği aşağıda açıklanmaktadır. İşbu Politika; Gizlilik Politikası'nın ve KVKK Aydınlatma Metni'nin ayrılmaz ekidir.
1.1Çerez; bir internet sitesinin ziyaretiniz sırasında cihazınıza (bilgisayar, tablet, telefon) yerleştirdiği küçük metin dosyasıdır. Bu dosya küçük miktarda veri içerir — genellikle bir tanımlayıcı ve birkaç tercih — ve sonraki ziyaretlerinizde okunabilir. Çerezler; oturumunuzu açık tutmamızı, dil tercihinizi hatırlamamızı ve (rızanız varsa) Hizmet'in nasıl kullanıldığını anlayıp iyileştirmemizi mümkün kılar.
1.2İşbu Politika'da "çerez" denildiğinde, aynı prensiple çalışan benzeri teknolojiler de kastedilmektedir: tarayıcınızdaki local storage ve session storage girdileri, IndexedDB kayıtları, piksel etiketleri ve benzeri tanımlayıcılar. Hukuki muamele aynıdır: cihazınızda veri saklayan veya cihazınızdan veri okuyan her teknoloji, ya zorunluluk hâlinde ya da rızanızla kullanılır.
1.3controlsiq.com tarafından yerleştirilen çerezler birinci taraf çerezdir. Sayfaya gömdüğümüz bir üçüncü tarafın (örneğin ödeme iframe'i) yerleştirdiği çerezler üçüncü taraf çerezdir. Her ikisini de aşağıda açıklıyoruz.
2.1Çerezlerimizi dört kategoride sınıflandırıyoruz. Her kategorinin açık bir amacı ve açık bir rıza pozisyonu vardır. Kategori 1 çerezleri zorunludur ve rıza alınmaksızın işletilir. Kategori 2, 3 ve 4 çerezleri yalnızca rızanız alındıktan sonra yerleştirilir.
2.2Kategori 1 — Zorunlu çerezler, Hizmet'in işleyemediği çerezlerdir. Sizi doğrularlar, oturumunuzu sahteciliğe karşı korurlar, erişilebilirlik bakımından dil tercihinizi hatırlarlar. Hukuki sebep; KVKK Madde 5(2)(c)'dir (sözleşmenin ifası için zorunluluk). Bu çerezleri reddedemezsiniz; çünkü reddetmeniz, Hizmet'i kullanamamanız anlamına gelir. Bu çerezleri rıza bandında göstermiyoruz; size burada bilgi veriyoruz.
2.3Kategori 2 — İşlevsel çerezler, Hizmet'i daha kullanışlı kılan ancak zorunlu olmayan tercihleri hatırlar: seçtiğiniz tema, kapattığınız tanıtım kartları, oturumlar arası giriş bilgisini hatırlama tercihi. Yalnızca açık rızanızla yerleştirilir.
2.4Kategori 3 — Analitik çerezler; Hizmet'in nasıl kullanıldığını toplulaştırılmış olarak anlamamıza yardımcı olur — hangi özelliklere ulaşıldığı, hatalar nerede oluştuğu, sayfaların ne sürede yüklendiği. Bu bilgiyi Hizmet'i iyileştirmek için kullanırız. Yalnızca açık rızanızla ve IP adresi kısaltması veya benzeri tanımlayıcı asgariye indirme uygulandıktan sonra yerleştirilir.
2.5Kategori 4 — Pazarlama çerezleri, reklamlarımızın etkinliğini ölçmemize imkân tanır. ControlsIQ, Google Ads etiketini (gtag.js) yalnızca dönüşüm ölçümü için — hangi reklam tıklamalarının aboneliğe yol açtığını anlamak amacıyla — reklam kişiselleştirmesi kapalı olacak şekilde kullanır; davranışsal yeniden hedefleme veya profilleme için kullanmaz. Bu çerezler YALNIZCA banttaki Pazarlama çerezlerini kabul ettikten sonra yerleştirilir — daha önce değil — ve rızanızı dilediğiniz zaman geri çekebilirsiniz; bu da çerezleri durdurur. (Açık Rıza Esasları Kart 3 kapsamındaki kişiselleştirilmiş içerik ayrıdır.)
3.1Aşağıdaki tablo; işbu Politika tarihi itibarıyla aktif olarak kullanılan tüm çerezleri ve benzeri teknolojileri listeler. Çerez ayak izi değiştiğinde bu tablo güncellenir.
3.2Kategori 1 — Zorunlu (otomatik yerleştirilir; rıza ayarı yoktur):
(a) next-auth.session-token — Amacı: oturumunuzu açık tutar. Türü: HTTP çerezi, şifrelenmiş JWT. Yerleştiren: ControlsIQ (birinci taraf). Süresi: 30 gün; aktiflikle yenilenir. Opsiyonel: hayır.
(b) next-auth.csrf-token — Amacı: formları siteler arası istek sahteciliğine karşı korur. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: oturum (tarayıcı kapatıldığında silinir). Opsiyonel: hayır.
(c) next-auth.callback-url — Amacı: giriş yönlendirmesi sonrası nereye gönderileceğinizi hatırlar. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: oturum. Opsiyonel: hayır.
(d) ciq-lang — Amacı: dil tercihinizi (Türkçe veya İngilizce) hatırlar. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl. Opsiyonel: hayır (dil tercihinin kendisi Hizmet'in doğru görüntülenmesi için zorunludur).
(e) ciq-consent — Amacı: çerez bandı tercihlerinizi saklar, böylece tekrar sormayız. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 6 ay. Opsiyonel: hayır (bu çerez, diğer çerezlere ilişkin seçimlerinizin kaydıdır; olmasa her ziyarette sormak zorunda kalırdık).
3.3Kategori 2 — İşlevsel (yalnızca rıza alındıktan sonra yerleştirilir):
(a) ciq-prefs — Amacı: uygulama içi tercihleri saklar (şu anda yalnızca açık/koyu tema; aynı kategori ve amaç çerçevesinde olduğu için zaman içinde yeniden rıza alınmaksızın başka UI tercihleri eklenebilir). Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl.
(b) ciq-tour-state — Amacı: hangi Hizmet içi yönlendirme uyarılarını kapattığınızı hatırlar (şu anda yalnızca gösterge paneli karşılama kartı; aynı amaç çerçevesinde zaman içinde başka uyarılar eklenebilir). Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl.
3.4Kategori 3 — Analitik (yalnızca rıza alındıktan sonra yerleştirilir):
(a) İşbu Politika tarihi itibarıyla aktif çerez yoktur. ControlsIQ; Google Analytics, Plausible, Mixpanel veya başka bir üçüncü taraf analitik hizmetini şu an kullanmamaktadır. Sunucu tarafı toplulaştırılmış metrikler (istek sayısı, hata oranı) bulut platform altyapımız üzerinden istemci çerezi yerleştirmeden çalışmaktadır. Gelecekte bir istemci tarafı analitik aracı eklersek, dağıtım öncesinde burada görünecek ve Kategori 3 rızasına tabi olacaktır.
3.5Kategori 4 — Pazarlama (yalnızca rıza alındıktan sonra yerleştirilir):
(a) Google Ads (gtag.js) — Google tarafından sağlanan, reklamlarımıza yönelik dönüşüm ölçümü. YALNIZCA Pazarlama rızası verdikten sonra yüklenir; bundan önce Google'dan hiçbir şey yüklenmez ve hiçbir reklam çerezi yerleştirilmez. Bir aboneliği reklam tıklamasıyla ilişkilendirmek için birinci taraf bir çerez (örneğin _gcl_au, yaklaşık 90 günde sona erer) yerleştirir. Reklam kişiselleştirmesi kapalı olduğundan davranışsal yeniden hedefleme için kullanılmaz ve Google bu ölçüm bakımından veri işleyenimiz olarak hareket eder (bkz. policies.google.com/technologies/cookies). Pazarlama rızasının geri çekilmesi bunu durdurur. Pazarlama e-postaları — çerez olmadığı için — ayrıca Açık Rıza Kart 3 ile yönetilir.
3.6Gidebileceğiniz sayfalarda çerez yerleştirebilecek üçüncü taraf hizmetler:
(a) Garanti BBVA (ödeme sağlayıcısı) — ödeme yaparken kart bilgilerinizi girmek üzere Garanti BBVA'nın barındırdığı 3D-Secure sayfasına (Garanti BBVA Sanal POS) yönlendirilirsiniz. Bu sayfa; ödemenin tamamlanması ile bankanın dolandırıcılık ve 3D-Secure kontrolleri için zorunlu olan ödeme akışı çerezlerini, Garanti BBVA'nın kendi çerez ve gizlilik politikaları kapsamında yerleştirebilir. ControlsIQ bu çerezleri yerleştirmez veya okumaz ve kart bilgilerinizi hiçbir zaman almaz.
4.1İlk ziyaretinizde ekranın altında bir çerez bandı göreceksiniz. Bant; üç eşit ağırlıklı seçenek sunar: Tümünü Kabul Et, Tümünü Reddet ve Tercihleri Yönet. Eşit ağırlık bir tasarım tercihi değil, düzenleyici gerekliliktir — Türk mevzuatı (KVKK ve KVKK Kurul rehberi); öne çıkan bir "Kabul Et" düğmesinin yanına gizlenmiş bir "Reddet" bağlantısı koymaya izin vermez.
4.2Tümünü Kabul Et; mevcut yapılandırılmış Kategori 2, 3 ve 4 çerezlerini yerleştirir. Tümünü Reddet; Kategori 1 dışında hiçbir çerez yerleştirmez. Tercihleri Yönet; her kategoriyi bağımsız olarak açıp kapatabileceğiniz bir paneli açar.
4.3Seçiminiz; her kategori için ayrı kayıtlar hâlinde ConsentLog veritabanı tablomuza ve aynı zamanda cihazınızdaki ciq-consent çerezine kaydedilir. Bir düzenleyici sorduğunda seçiminizi ispatlamak için dayandığımız kayıt, ConsentLog kaydıdır.
4.4Seçiminizi dilediğiniz an değiştirebilirsiniz:
(a) Oturumunuz açıksa Hesap Ayarları → Gizlilik ve Rıza menüsünden.
(b) Tarayıcınızın çerez yönetim ayarları üzerinden (bizim bandımızdan bağımsız çalışır ancak aynı operasyonel sonucu doğurur).
4.5Kategori 1 çerezlerini tarayıcınız üzerinden reddederseniz Hizmet çalışmaz — giriş yapamazsınız. Bu, kimlik doğrulamanın teknik bir gerekliliği olup bir tasarım tercihi değildir.
4.6Kategori 2 çerezlerini reddederseniz Hizmet yine çalışır; ancak arayüz tercihleriniz oturumlar arası hatırlanmaz ve tanıtım kartları yeniden görünür.
4.7Kategori 3 çerezlerini reddederseniz Hizmet'i kullanımınız etkilenmez; ancak biz toplulaştırılmış analitiğimizde sizin kullanımınızı göremeyiz. Analitiği reddettiğiniz için size bireysel ceza veya özellik kısıtlaması uygulanmaz.
5.1Tanımlayıcı barındıran veya okuyan çerezler; KVKK kapsamında kişisel veridir. Çerezlere ilişkin kişisel verileriniz üzerindeki haklarınız; Gizlilik Politikası Madde 10 ve Aydınlatma Metni Madde 10'da tanımlanan haklarla aynıdır: erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, rızanın geri çekilmesi ve Kişisel Verileri Koruma Kurumu'na şikâyet (kvkk.gov.tr).
5.2Çerez rızasının geri çekilmesi; geri çekme öncesi işlemenin hukuka uygunluğunu etkilemez. Önceki rızanız çerçevesinde yerleştirilen çerezler; süreleri dolana veya siz silene kadar geçerli kalır; geri çekme yalnızca ilgili kategorilerde yeni çerez yerleştirilmesini durdurur.
5.3İlk ziyarette gördüğünüz çerez bandı; (a) ciq-consent çerezini sildiğinizde, (b) yeni bir çerez kategorisi eklediğimizde veya (c) mevcut bir kategorinin işlevini esaslı biçimde değiştirdiğimizde yeniden gösterilir.
6.1Bazı tarayıcılar; kullanıcının siteler arası takip edilmek istemediğini belirtmek için "Do Not Track" (DNT) başlığı veya Global Privacy Control (GPC) sinyali gönderir. Bu sinyallerin hukuki anlamı konusunda Türkiye'de bağlayıcı bir düzenleyici uzlaşı bulunmamakla birlikte; pratikte her ikisini de açık bir reddetme sinyali olarak değerlendiriyoruz.
6.2Tarayıcınız DNT başlığı veya GPC sinyali gönderiyorsa; çerez bandı yine ilk ziyarette gösterilir (seçimlerinizi dürüstçe sunabilmek için), ancak Kategori 2, 3 ve 4'ün varsayılan durumu KAPALI olarak ayarlanır ve bant bunun sebebini açıklar.
6.3Biz hiçbir hâlde kişisel veri satmıyor ve paylaşmıyoruz (bkz. Gizlilik Politikası Madde 6.4); dolayısıyla bu sinyallerin ControlsIQ üzerindeki operasyonel etkisi 6.2'de açıklanan varsayılan-rıza davranışı ile sınırlıdır.
7.1Çerez ayak izi değiştiğinde — örneğin yeni bir analitik aracı eklediğimizde veya mevcut bir aracı kaldırdığımızda — bu Politika güncellenir. Yeni bir kategori ekleyen veya mevcut bir kategorinin işlevini esaslı biçimde genişleten değişiklikler; seçimlerinizi güncelleyebilmeniz için yenilenmiş çerez bandı tetikler.
7.2Esaslı olmayan değişiklikler (açıklamalar, yazım düzeltmeleri, mevcut bir kategoriye aynı amaçla yeni bir çerez eklenmesi) yayım anında yürürlüğe girer; Politika'nın üst kısmındaki "Son güncelleme" tarihi yenilenir.
7.3Politika'nın geçmiş sürümleri arşivlenir ve talep üzerine erişime sunulur.
8.1Çerez kullanımımıza ilişkin her türlü soru veya belirli bir çereze itiraz için support@controlsiq.com adresine yazabilirsiniz.
8.2Resmi veri koruma şikayetleri bakımından yetkili denetleyici otorite Kişisel Verileri Koruma Kurumu'dur (KVKK — kvkk.gov.tr).