This Cookie Policy (the "Policy") explains how Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti (the "Company", "we"), the owner and operator of the ControlsIQ platform at controlsiq.com (the "Service"), uses cookies and similar technologies when you visit the Service. It tells you what those technologies are, what categories of cookies we use, what each category does, who sets them, how long they last, and how you can accept or refuse them. This Policy forms an annex to our Privacy Policy and our KVKK Information Notice (Aydınlatma Metni).
1.1A cookie is a small text file that a website stores on your device (computer, tablet, or phone) when you visit. The file holds a small amount of data — typically an identifier and a few preferences — that the website can read on later visits. Cookies are how we keep you logged in, remember your language choice, and (with your consent) learn how the Service is used so we can improve it.
1.2Where we say "cookies" in this Policy we also mean similar technologies that operate on the same principle: local storage and session storage in your browser, IndexedDB entries, pixel tags, and similar identifiers. The legal treatment is the same: anything that stores or reads data on your device requires either a strict-necessity ground or your consent.
1.3Cookies set by controlsiq.com are first-party cookies. Cookies set by a third party we have embedded (for example, a payment iframe) are third-party cookies. We disclose both.
2.1We classify our cookies into four categories. Each category has a clear purpose and a clear consent position. Category 1 cookies are strictly necessary and operate without consent. Categories 2, 3, and 4 are placed only after you have given consent.
2.2Category 1 — Strictly Necessary cookies are the cookies the Service cannot operate without. They authenticate you, protect your session against forgery, and remember your language choice for accessibility. The legal basis is Article 5(2)(c) of KVKK (necessity for performance of contract). You cannot refuse these cookies because refusing them means you cannot log in or use the Service at all. We do not present them in the consent banner; we tell you about them here.
2.3Category 2 — Functional cookies remember preferences that make the Service more useful but are not strictly necessary: which theme you chose, whether you have dismissed a tutorial card, whether you want to stay logged in across sessions. These cookies are placed only with your explicit consent.
2.4Category 3 — Analytics cookies help us understand how the Service is used in aggregate: which features get reached, where errors occur, how long pages take to render. We use this to improve the Service. Analytics cookies are placed only with your explicit consent and only after IP address truncation or other identifier minimisation has been applied.
2.5Category 4 — Marketing cookies enable us (or our partners, where applicable) to measure the effectiveness of marketing campaigns and, where you have separately consented under Card 3 of the Açık Rıza Esasları, to present you with relevant content. As at the date of this Policy, ControlsIQ does not set marketing cookies and does not run advertising or retargeting. This category exists in the banner so that if we ever add such cookies, your consent state for them is already captured.
3.1The table below lists every cookie or similar technology in active use at the date of this Policy. We update this table when the cookie footprint changes.
3.2Category 1 — Strictly Necessary (set automatically; no consent toggle):
(a) next-auth.session-token — Purpose: keeps you logged in. Type: HTTP cookie, encrypted JWT. Set by: ControlsIQ (first-party). Duration: 30 days, renewed on activity. Optional: no.
(b) next-auth.csrf-token — Purpose: protects forms against cross-site request forgery. Type: HTTP cookie. Set by: ControlsIQ. Duration: session (deleted when you close the browser). Optional: no.
(c) next-auth.callback-url — Purpose: remembers where to send you after a login redirect. Type: HTTP cookie. Set by: ControlsIQ. Duration: session. Optional: no.
(d) ciq-lang — Purpose: remembers your language preference (Turkish or English). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year. Optional: no (the language preference itself is essential to display the Service correctly).
(e) ciq-consent — Purpose: stores your cookie-banner choices so we do not ask again. Type: HTTP cookie. Set by: ControlsIQ. Duration: 6 months. Optional: no (this cookie is the record of your choices about other cookies; without it we would have to ask on every visit).
3.3Category 2 — Functional (set only after consent):
(a) ciq-prefs — Purpose: stores in-app preferences (currently the light/dark theme; additional UI preferences may be added over time without re-asking for consent because they fall within the same category and purpose). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year.
(b) ciq-tour-state — Purpose: remembers which in-Service orientation nudges you have dismissed (currently the dashboard welcome card; additional nudges may be added over time within the same purpose). Type: HTTP cookie. Set by: ControlsIQ. Duration: 1 year.
3.4Category 3 — Analytics (set only after consent):
(a) None at the date of this Policy. ControlsIQ does not currently use Google Analytics, Plausible, Mixpanel, or any third-party analytics service. Server-side aggregated metrics (request counts, error rates) operate on our cloud-platform infrastructure without setting client-side cookies. If we add a client-side analytics tool in the future, it will appear here before deployment and will be governed by the Category 3 consent.
3.5Category 4 — Marketing (set only after consent):
(a) None at the date of this Policy. ControlsIQ does not currently run advertising, retargeting, or marketing analytics. If we add such tooling in the future, it will appear here before deployment and will be governed by the Category 4 consent. Marketing emails — which are not cookies — are governed separately by Açık Rıza Card 3.
3.6Third-party services that may set cookies on pages you reach:
(a) Payment service provider — none at the date of this Policy. ControlsIQ does not yet process card payments, so no payment provider sets cookies on our user journey. When a payment service provider is appointed, its hosted checkout page or iframe will set payment-flow cookies (essential for completing payment) under its own cookie policy; this section will name the provider before that flow goes live.
4.1On your first visit you are shown a cookie banner at the bottom of the screen. The banner gives you three equally-weighted choices: Accept All, Reject All, and Manage Preferences. Equal weight is a regulatory requirement, not a design choice — Turkish law (KVKK and KVKK Kurul guidance) does not permit a prominent "Accept All" button next to a buried "Reject" link.
4.2Accept All places Category 2, 3, and 4 cookies (those that are currently configured). Reject All places no cookies beyond Category 1. Manage Preferences opens a panel where you can toggle each category independently.
4.3Your choice is recorded in our ConsentLog database table as separate entries for each category, alongside the ciq-consent cookie which holds the same information on your device. The ConsentLog entry is what we rely on to prove your choice if a regulator ever asks.
4.4You can change your choice at any time:
(a) Via Account Settings → Privacy and Consent if you are logged in.
(b) Via your browser's cookie management settings (which work independently of our banner but achieve the same operational effect).
4.5If you reject Category 1 cookies through your browser, the Service will not function — you will not be able to log in. This is a technical limitation of how authentication works, not a design choice.
4.6If you reject Category 2 cookies, the Service still works but your interface preferences will not be remembered between sessions and onboarding cards will reappear.
4.7If you reject Category 3 cookies, you do not affect the Service for yourself, but we cannot see your usage in our aggregated analytics. We add no individual penalty or feature limitation for refusing analytics.
5.1Cookies that hold or read identifiers are personal data under KVKK. The rights you have over your cookie-related personal data are the same rights described in our Privacy Policy Article 10 and Aydınlatma Metni Article 10: access, correction, deletion, restriction, portability, objection, withdrawal of consent, and complaint to the Personal Data Protection Authority of Türkiye (kvkk.gov.tr).
5.2Withdrawal of cookie consent does not affect the lawfulness of processing before withdrawal. Cookies placed under your prior consent remain valid until their expiry or until you delete them; the withdrawal stops new cookies in the relevant categories from being placed.
5.3The cookie banner you see on first visit is shown again whenever (a) you delete the ciq-consent cookie, (b) we add a new cookie category, or (c) we materially change what an existing category does.
6.1Some browsers send a "Do Not Track" (DNT) header or a Global Privacy Control (GPC) signal to indicate that the user does not want their behaviour tracked across sites. There is no Turkish regulatory consensus on the exact legal meaning of these signals, but in practice we treat both as a clear signal of refusal.
6.2If your browser sends a DNT header or GPC signal, the cookie banner still appears on your first visit (so we can present your choices honestly), but the default state of Categories 2, 3, and 4 is set to OFF and the banner explains why.
6.3We do not sell or share personal data in any case (see Privacy Policy Article 6.4), so the operational effect of these signals on ControlsIQ is limited to the consent-default behaviour described in 6.2.
7.1We may update this Policy when the cookie footprint changes — for example, when we add a new analytics tool or remove an existing one. Changes that introduce a new category, or that materially expand what an existing category does, trigger a renewed cookie banner so you can update your choices.
7.2Non-material changes (clarifications, typo fixes, adding a new cookie within an existing category and matching purpose) take effect on publication; the "Last updated" date at the top of this Policy is refreshed.
7.3Past versions of this Policy are archived and available on request.
8.1For any question about how we use cookies, or to challenge a specific cookie, contact us at support@controlsiq.com.
8.2For formal data protection complaints, the Personal Data Protection Authority of Türkiye (Kişisel Verileri Koruma Kurumu — kvkk.gov.tr) is the competent supervisory authority.
İşbu Çerez Politikası ("Politika"); controlsiq.com adresindeki ControlsIQ platformunun ("Hizmet") sahibi ve işleteni olan Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti ("Şirket", "biz") tarafından, Hizmet'i ziyaret ettiğinizde çerezler ve benzeri teknolojilerin kullanım esaslarını açıklamak amacıyla düzenlenmiştir. Bu teknolojilerin ne olduğu, hangi kategorilerde hangi çerezlerin kullanıldığı, her kategorinin ne işe yaradığı, kim tarafından yerleştirildiği, ne kadar süreyle saklandığı ve nasıl kabul edilip reddedilebileceği aşağıda açıklanmaktadır. İşbu Politika; Gizlilik Politikası'nın ve KVKK Aydınlatma Metni'nin ayrılmaz ekidir.
1.1Çerez; bir internet sitesinin ziyaretiniz sırasında cihazınıza (bilgisayar, tablet, telefon) yerleştirdiği küçük metin dosyasıdır. Bu dosya küçük miktarda veri içerir — genellikle bir tanımlayıcı ve birkaç tercih — ve sonraki ziyaretlerinizde okunabilir. Çerezler; oturumunuzu açık tutmamızı, dil tercihinizi hatırlamamızı ve (rızanız varsa) Hizmet'in nasıl kullanıldığını anlayıp iyileştirmemizi mümkün kılar.
1.2İşbu Politika'da "çerez" denildiğinde, aynı prensiple çalışan benzeri teknolojiler de kastedilmektedir: tarayıcınızdaki local storage ve session storage girdileri, IndexedDB kayıtları, piksel etiketleri ve benzeri tanımlayıcılar. Hukuki muamele aynıdır: cihazınızda veri saklayan veya cihazınızdan veri okuyan her teknoloji, ya zorunluluk hâlinde ya da rızanızla kullanılır.
1.3controlsiq.com tarafından yerleştirilen çerezler birinci taraf çerezdir. Sayfaya gömdüğümüz bir üçüncü tarafın (örneğin ödeme iframe'i) yerleştirdiği çerezler üçüncü taraf çerezdir. Her ikisini de aşağıda açıklıyoruz.
2.1Çerezlerimizi dört kategoride sınıflandırıyoruz. Her kategorinin açık bir amacı ve açık bir rıza pozisyonu vardır. Kategori 1 çerezleri zorunludur ve rıza alınmaksızın işletilir. Kategori 2, 3 ve 4 çerezleri yalnızca rızanız alındıktan sonra yerleştirilir.
2.2Kategori 1 — Zorunlu çerezler, Hizmet'in işleyemediği çerezlerdir. Sizi doğrularlar, oturumunuzu sahteciliğe karşı korurlar, erişilebilirlik bakımından dil tercihinizi hatırlarlar. Hukuki sebep; KVKK Madde 5(2)(c)'dir (sözleşmenin ifası için zorunluluk). Bu çerezleri reddedemezsiniz; çünkü reddetmeniz, Hizmet'i kullanamamanız anlamına gelir. Bu çerezleri rıza bandında göstermiyoruz; size burada bilgi veriyoruz.
2.3Kategori 2 — İşlevsel çerezler, Hizmet'i daha kullanışlı kılan ancak zorunlu olmayan tercihleri hatırlar: seçtiğiniz tema, kapattığınız tanıtım kartları, oturumlar arası giriş bilgisini hatırlama tercihi. Yalnızca açık rızanızla yerleştirilir.
2.4Kategori 3 — Analitik çerezler; Hizmet'in nasıl kullanıldığını toplulaştırılmış olarak anlamamıza yardımcı olur — hangi özelliklere ulaşıldığı, hatalar nerede oluştuğu, sayfaların ne sürede yüklendiği. Bu bilgiyi Hizmet'i iyileştirmek için kullanırız. Yalnızca açık rızanızla ve IP adresi kısaltması veya benzeri tanımlayıcı asgariye indirme uygulandıktan sonra yerleştirilir.
2.5Kategori 4 — Pazarlama çerezleri; pazarlama kampanyalarının etkinliğini ölçmemize ve (Açık Rıza Esasları Kart 3 kapsamında ayrıca rıza vermişseniz) size ilgili içerik sunmamıza imkân tanır. İşbu Politika tarihi itibarıyla ControlsIQ pazarlama çerezleri yerleştirmemekte; reklam ya da yeniden hedefleme yürütmemektedir. Bu kategori bandda yer almaktadır; çünkü gelecekte böyle bir çerez eklersek bu kategoriye dair rıza durumunuzun önceden alınmış olması gerekir.
3.1Aşağıdaki tablo; işbu Politika tarihi itibarıyla aktif olarak kullanılan tüm çerezleri ve benzeri teknolojileri listeler. Çerez ayak izi değiştiğinde bu tablo güncellenir.
3.2Kategori 1 — Zorunlu (otomatik yerleştirilir; rıza ayarı yoktur):
(a) next-auth.session-token — Amacı: oturumunuzu açık tutar. Türü: HTTP çerezi, şifrelenmiş JWT. Yerleştiren: ControlsIQ (birinci taraf). Süresi: 30 gün; aktiflikle yenilenir. Opsiyonel: hayır.
(b) next-auth.csrf-token — Amacı: formları siteler arası istek sahteciliğine karşı korur. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: oturum (tarayıcı kapatıldığında silinir). Opsiyonel: hayır.
(c) next-auth.callback-url — Amacı: giriş yönlendirmesi sonrası nereye gönderileceğinizi hatırlar. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: oturum. Opsiyonel: hayır.
(d) ciq-lang — Amacı: dil tercihinizi (Türkçe veya İngilizce) hatırlar. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl. Opsiyonel: hayır (dil tercihinin kendisi Hizmet'in doğru görüntülenmesi için zorunludur).
(e) ciq-consent — Amacı: çerez bandı tercihlerinizi saklar, böylece tekrar sormayız. Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 6 ay. Opsiyonel: hayır (bu çerez, diğer çerezlere ilişkin seçimlerinizin kaydıdır; olmasa her ziyarette sormak zorunda kalırdık).
3.3Kategori 2 — İşlevsel (yalnızca rıza alındıktan sonra yerleştirilir):
(a) ciq-prefs — Amacı: uygulama içi tercihleri saklar (şu anda yalnızca açık/koyu tema; aynı kategori ve amaç çerçevesinde olduğu için zaman içinde yeniden rıza alınmaksızın başka UI tercihleri eklenebilir). Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl.
(b) ciq-tour-state — Amacı: hangi Hizmet içi yönlendirme uyarılarını kapattığınızı hatırlar (şu anda yalnızca gösterge paneli karşılama kartı; aynı amaç çerçevesinde zaman içinde başka uyarılar eklenebilir). Türü: HTTP çerezi. Yerleştiren: ControlsIQ. Süresi: 1 yıl.
3.4Kategori 3 — Analitik (yalnızca rıza alındıktan sonra yerleştirilir):
(a) İşbu Politika tarihi itibarıyla aktif çerez yoktur. ControlsIQ; Google Analytics, Plausible, Mixpanel veya başka bir üçüncü taraf analitik hizmetini şu an kullanmamaktadır. Sunucu tarafı toplulaştırılmış metrikler (istek sayısı, hata oranı) bulut platform altyapımız üzerinden istemci çerezi yerleştirmeden çalışmaktadır. Gelecekte bir istemci tarafı analitik aracı eklersek, dağıtım öncesinde burada görünecek ve Kategori 3 rızasına tabi olacaktır.
3.5Kategori 4 — Pazarlama (yalnızca rıza alındıktan sonra yerleştirilir):
(a) İşbu Politika tarihi itibarıyla aktif çerez yoktur. ControlsIQ; reklam, yeniden hedefleme veya pazarlama analitiği yürütmemektedir. Gelecekte böyle bir araç eklersek, dağıtım öncesinde burada görünecek ve Kategori 4 rızasına tabi olacaktır. Pazarlama e-postaları — çerez olmadığı için — ayrıca Açık Rıza Kart 3 ile yönetilir.
3.6Gidebileceğiniz sayfalarda çerez yerleştirebilecek üçüncü taraf hizmetler:
(a) Ödeme hizmeti sağlayıcısı — işbu Politika tarihinde yoktur. ControlsIQ henüz kart ödemesi işlemediği için kullanıcı yolculuğunda herhangi bir ödeme sağlayıcısı çerez yerleştirmemektedir. Bir ödeme hizmeti sağlayıcısı görevlendirildiğinde; sağlayıcının barındırdığı ödeme sayfası veya iframe'i, kendi çerez politikası kapsamında ödeme akışı çerezleri (ödemenin tamamlanması için zorunlu) yerleştirecektir. Bu akış yayına girmeden önce sağlayıcı bu bölümde isimlendirilecektir.
4.1İlk ziyaretinizde ekranın altında bir çerez bandı göreceksiniz. Bant; üç eşit ağırlıklı seçenek sunar: Tümünü Kabul Et, Tümünü Reddet ve Tercihleri Yönet. Eşit ağırlık bir tasarım tercihi değil, düzenleyici gerekliliktir — Türk mevzuatı (KVKK ve KVKK Kurul rehberi); öne çıkan bir "Kabul Et" düğmesinin yanına gizlenmiş bir "Reddet" bağlantısı koymaya izin vermez.
4.2Tümünü Kabul Et; mevcut yapılandırılmış Kategori 2, 3 ve 4 çerezlerini yerleştirir. Tümünü Reddet; Kategori 1 dışında hiçbir çerez yerleştirmez. Tercihleri Yönet; her kategoriyi bağımsız olarak açıp kapatabileceğiniz bir paneli açar.
4.3Seçiminiz; her kategori için ayrı kayıtlar hâlinde ConsentLog veritabanı tablomuza ve aynı zamanda cihazınızdaki ciq-consent çerezine kaydedilir. Bir düzenleyici sorduğunda seçiminizi ispatlamak için dayandığımız kayıt, ConsentLog kaydıdır.
4.4Seçiminizi dilediğiniz an değiştirebilirsiniz:
(a) Oturumunuz açıksa Hesap Ayarları → Gizlilik ve Rıza menüsünden.
(b) Tarayıcınızın çerez yönetim ayarları üzerinden (bizim bandımızdan bağımsız çalışır ancak aynı operasyonel sonucu doğurur).
4.5Kategori 1 çerezlerini tarayıcınız üzerinden reddederseniz Hizmet çalışmaz — giriş yapamazsınız. Bu, kimlik doğrulamanın teknik bir gerekliliği olup bir tasarım tercihi değildir.
4.6Kategori 2 çerezlerini reddederseniz Hizmet yine çalışır; ancak arayüz tercihleriniz oturumlar arası hatırlanmaz ve tanıtım kartları yeniden görünür.
4.7Kategori 3 çerezlerini reddederseniz Hizmet'i kullanımınız etkilenmez; ancak biz toplulaştırılmış analitiğimizde sizin kullanımınızı göremeyiz. Analitiği reddettiğiniz için size bireysel ceza veya özellik kısıtlaması uygulanmaz.
5.1Tanımlayıcı barındıran veya okuyan çerezler; KVKK kapsamında kişisel veridir. Çerezlere ilişkin kişisel verileriniz üzerindeki haklarınız; Gizlilik Politikası Madde 10 ve Aydınlatma Metni Madde 10'da tanımlanan haklarla aynıdır: erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, rızanın geri çekilmesi ve Kişisel Verileri Koruma Kurumu'na şikâyet (kvkk.gov.tr).
5.2Çerez rızasının geri çekilmesi; geri çekme öncesi işlemenin hukuka uygunluğunu etkilemez. Önceki rızanız çerçevesinde yerleştirilen çerezler; süreleri dolana veya siz silene kadar geçerli kalır; geri çekme yalnızca ilgili kategorilerde yeni çerez yerleştirilmesini durdurur.
5.3İlk ziyarette gördüğünüz çerez bandı; (a) ciq-consent çerezini sildiğinizde, (b) yeni bir çerez kategorisi eklediğimizde veya (c) mevcut bir kategorinin işlevini esaslı biçimde değiştirdiğimizde yeniden gösterilir.
6.1Bazı tarayıcılar; kullanıcının siteler arası takip edilmek istemediğini belirtmek için "Do Not Track" (DNT) başlığı veya Global Privacy Control (GPC) sinyali gönderir. Bu sinyallerin hukuki anlamı konusunda Türkiye'de bağlayıcı bir düzenleyici uzlaşı bulunmamakla birlikte; pratikte her ikisini de açık bir reddetme sinyali olarak değerlendiriyoruz.
6.2Tarayıcınız DNT başlığı veya GPC sinyali gönderiyorsa; çerez bandı yine ilk ziyarette gösterilir (seçimlerinizi dürüstçe sunabilmek için), ancak Kategori 2, 3 ve 4'ün varsayılan durumu KAPALI olarak ayarlanır ve bant bunun sebebini açıklar.
6.3Biz hiçbir hâlde kişisel veri satmıyor ve paylaşmıyoruz (bkz. Gizlilik Politikası Madde 6.4); dolayısıyla bu sinyallerin ControlsIQ üzerindeki operasyonel etkisi 6.2'de açıklanan varsayılan-rıza davranışı ile sınırlıdır.
7.1Çerez ayak izi değiştiğinde — örneğin yeni bir analitik aracı eklediğimizde veya mevcut bir aracı kaldırdığımızda — bu Politika güncellenir. Yeni bir kategori ekleyen veya mevcut bir kategorinin işlevini esaslı biçimde genişleten değişiklikler; seçimlerinizi güncelleyebilmeniz için yenilenmiş çerez bandı tetikler.
7.2Esaslı olmayan değişiklikler (açıklamalar, yazım düzeltmeleri, mevcut bir kategoriye aynı amaçla yeni bir çerez eklenmesi) yayım anında yürürlüğe girer; Politika'nın üst kısmındaki "Son güncelleme" tarihi yenilenir.
7.3Politika'nın geçmiş sürümleri arşivlenir ve talep üzerine erişime sunulur.
8.1Çerez kullanımımıza ilişkin her türlü soru veya belirli bir çereze itiraz için support@controlsiq.com adresine yazabilirsiniz.
8.2Resmi veri koruma şikayetleri bakımından yetkili denetleyici otorite Kişisel Verileri Koruma Kurumu'dur (KVKK — kvkk.gov.tr).