This Privacy Policy (the "Policy") explains how Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti, a company incorporated in Türkiye (the "Company", "we"), the owner and operator of the ControlsIQ platform at controlsiq.com (the "Service"), collects, uses, shares, retains, and protects personal data when you use the Service. It also tells you about your rights and how to exercise them. We have written this Policy in plain language. Where Turkish data protection law requires a more formal disclosure, please read it together with our KVKK Information Notice (Aydınlatma Metni) available at controlsiq.com/aydinlatma-metni.
1.1ControlsIQ exists to help construction professionals make better commercial decisions using AI. The data you trust us with is core to that work, and we treat it accordingly. We collect only what we need to deliver the Service, we do not sell it, and your preferences are the final word on the optional things we may do with it.
1.2This Policy is prepared in accordance with Turkish Law No. 6698 on the Protection of Personal Data ("KVKK") and its secondary legislation. The Service is operated under Turkish law and within Turkish jurisdiction. By using the Service, you accept that your personal data is processed under KVKK and that any matter arising from this Policy is governed by Turkish law and decided by the competent Turkish authorities, irrespective of where you are physically located when you access the Service.
1.3This Policy should be read together with our Terms of Service, our KVKK Information Notice, our granular consent cards (Açık Rıza Metinleri), our Cookie Policy, and (internally) our Retention and Destruction Policy. Together these documents form a single picture of how we handle your data.
2.1The Service is operated by:
Company: Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti
Product: ControlsIQ — owned and operated by the Company
Registered address: Aydintepe, Pr. Dr. Necmettin Erbakan Cad. Evora E9 7I/157, İstanbul, Türkiye, 34947
Registered email: info@kozarda.com
Site contact: support@controlsiq.com
2.2For the purposes of KVKK we are the "data controller" (veri sorumlusu) in respect of your personal data. Where Trader Users upload data concerning their own clients, employees, or third parties, the Trader User is the data controller and we act as a data processor — see Article 13.
3.1We collect personal data in three ways.
3.2Data you give us directly:
(a) Account information — name, email address, password (stored as a hash, never in plain text), country, subscription tier preference.
(b) User Content — anything you submit to or generate within the Service: prompts, uploaded documents (including contracts, programme files, correspondence, and project records), AI outputs, and feedback you give us on those outputs.
(c) Communication — your support requests, feedback forms, survey responses, and other correspondence with us.
3.3Data we collect automatically when you use the Service:
(a) Technical information — IP address, device type, browser type, operating system, language, time-zone.
(b) Usage information — session timestamps, pages and features visited, queries made, error events, performance metrics.
(c) Cookies and similar — see our Cookie Policy at controlsiq.com/cookies.
3.4Data we receive from third parties:
(a) From our payment provider — confirmation that your subscription payment has succeeded, the billing currency, the last four digits of your card (we never receive the full card number).
(b) From identity providers if you use social sign-in (where supported) — the basic profile information that you have authorised the provider to share.
3.5Special-category personal data: Your User Content may, by its nature, contain personal data of a special category — for example, where a contract you upload contains employee names, sickness records, union membership, or other sensitive information about identifiable individuals. We process this category only to the extent strictly necessary to provide the Service, in accordance with KVKK Article 6, and on the basis of your explicit consent captured at signup (Açık Rıza Kart 5 — Special-Category Personal Data). We strongly encourage you to redact sensitive personal data from documents before upload where the underlying analysis does not require it.
3.6What we do not collect: ControlsIQ does not process audio, visual, or biometric content. We do not maintain face-recognition templates, voice prints, or any other biometric identifiers.
4.1We process your personal data for the following purposes, each with a clearly identified legal basis under KVKK Article 5.
4.2To provide the Service to you — taking your queries and generating AI outputs, giving you access to your project history, managing your account, processing your subscription payments, providing customer support. Legal basis: performance of contract (the Terms of Service) — KVKK Article 5(2)(c).
4.3To keep the Service secure and prevent abuse — detecting and blocking unauthorised access, fraud, denial-of-service attacks, and use that violates our Acceptable Use Policy. Legal basis: legitimate interest — KVKK Article 5(2)(f).
4.4To improve the Service — understanding aggregated usage patterns, identifying performance issues, fixing bugs, planning new features. We discuss this in detail in Article 5. Legal basis for aggregated analytics: legitimate interest. Legal basis for any use of identifiable User Content for model improvement: explicit consent (opt-in only).
4.5To meet legal obligations — tax and commercial law record-keeping, responses to lawful requests from competent Turkish authorities. Legal basis: legal obligation — KVKK Article 5(2)(ç).
4.6To send you operational communications about the Service — account verifications, security notices, material changes to these policies, invoices. These communications are not marketing and you cannot opt out of them while you have an active account. Legal basis: performance of contract.
4.7To send you marketing communications, if you have opted in — newsletters, product announcements, feature highlights. Legal basis: explicit consent (Açık Rıza Kart 3 — Marketing Communications). You can withdraw consent at any time.
4.8To process cross-border transfers necessary for the Service to function — sending your User Content to the AI provider that powers the Service (Anthropic, located in the United States) and to our other infrastructure sub-processors as listed in Article 6.2. Legal basis: explicit consent (Açık Rıza Kart 2 — Cross-Border Transfer), required by KVKK Article 9 because Türkiye has not, at the date of this Policy, issued a Personal Data Protection Authority adequacy decision in respect of the relevant countries. Withdrawal of this consent results in inability to provide the Service and is treated as a request to close the account.
5.1AI training is the area where users most want clarity. We treat this honestly because the trust matters more to us than any model improvement we might gain. There are three activities to distinguish.
5.2What we DO without your specific consent: We use aggregated, de-identified statistics about how the Service is used to operate and improve it. Examples: how many users hit a usage limit each week, which features are accessed most often, how long responses take, where errors occur. This processing involves no individual personal data, no content of your prompts, and no content of your AI outputs. It is performed under our legitimate interest in maintaining a quality Service.
5.3What we MAY do under legitimate interest, with your right to object: From time to time we may review anonymised samples of prompts and AI outputs to identify product issues, debug edge cases, and prioritise improvements. "Anonymised" means the prompt and output content is examined without any identifier linking it to a specific user or project. We do not perform this activity routinely; we do it when investigating a specific issue. You have the right to object to this processing at any time in your Account Settings. If you object, your data is excluded from this kind of review.
5.4What we do NOT do without your explicit opt-in: We do not use your User Content (your prompts, your uploaded documents, your contracts, your project data, your AI outputs) to train, fine-tune, evaluate, or validate any artificial intelligence model. Not our own future tools, not Anthropic's models, not any model anywhere. This is the default position and it does not change unless and until you affirmatively opt in.
5.5If we ever decide to develop ControlsIQ-specific AI capabilities that would benefit from training on real user data, we will request your explicit, separate, granular opt-in consent through the consent flow described in Açık Rıza Kart 1 (Model Training). You will be told what data, for what purpose, with what retention, and with what withdrawal mechanism. You will never be required to consent to model training to use the paid Service. The default consent state for model training is, and will remain, OFF.
5.6An honest acknowledgement: once data has been included in a model's training set and the model's parameters have been updated, the embedded learning cannot be technically reversed. This is the nature of AI models. If you have opted in to training and later withdraw consent, no new data of yours will be added to subsequent training runs, and we will make reasonable efforts in respect of training already completed — but parametric memory cannot be selectively erased. We want you to know this before you decide.
5.7Anthropic — the underlying provider: ControlsIQ uses the Claude API operated by Anthropic, PBC. Under Anthropic's Commercial Terms of Service, which govern our use of the Claude API:
(a) Anthropic may not use your prompts or outputs to train Anthropic's models. This is a contractual prohibition, not a setting that can be toggled. It applies to all API traffic by default.
(b) Anthropic retains API inputs and outputs for a maximum of seven (7) days for safety and abuse-detection purposes, after which they are automatically deleted.
(c) Anthropic disclaims any rights in the outputs it generates — outputs are yours.
5.8In short: the most stringent privacy position any third-party AI vendor offers is what powers the Service. We have made this our default and we are transparent about it. If we ever propose to use your content to develop ControlsIQ's own tools, that is a separate decision you will make explicitly, opt-in, with full information.
6.1We share your personal data only to the extent strictly necessary to deliver the Service, and only with the categories of recipients listed below.
6.2Categories of sub-processors as at the date of this Policy:
(a) Anthropic, PBC (United States) — the provider of the Claude API that generates AI responses. Receives: prompts, uploaded document content, conversation context, on a per-request basis. Retention: maximum 7 days. Training use: prohibited. Governed by: Anthropic Commercial Terms of Service. Named explicitly because the Anthropic Commercial Terms are the central commercial commitment governing AI data handling.
(b) Cloud hosting and application runtime infrastructure (SOC 2 Type II and ISO 27001 certified provider, EU and US regions) — receives application traffic and server logs.
(c) Managed database service (SOC 2 Type II certified provider, EU region) — stores account information, project data, and audit logs with encrypted backups.
(d) Transactional email service (SOC 2 Type II certified provider, US region) — delivers verification emails, password resets, and billing notifications. Receives email address and message content. Not used for marketing.
(e) Payment service provider — not currently engaged. We do not yet process card payments. When a payment service provider is appointed for subscription billing it will be named here and (because Mesafeli Sözleşmeler Yönetmeliği requires payment-method disclosure to Turkish Consumers) disclosed before any payment. Card details will never be received or stored by us — they will be processed directly by the provider under PCI DSS standards.
(f) Specific vendor names, locations, certifications, and DPA copies for the sub-processors above (other than Anthropic, which is named) are disclosed to users and procurement teams on request to support@controlsiq.com. We do not silently change providers — Article 16 covers material-change notification.
6.3Other recipients we may share data with:
(a) Professional advisers — our external lawyers, accountants (mali müşavir), and auditors, bound by confidentiality.
(b) Competent Turkish authorities — where we receive a lawful, properly-scoped request from a Turkish regulator, court, prosecutor, or law enforcement body and applicable Turkish law requires us to respond. We evaluate the legality and scope of each such request and challenge those that we believe are improper.
(c) Acquirers — if ControlsIQ undergoes a corporate transaction (merger, acquisition, restructuring), personal data may be transferred to the successor entity, subject to a successor of equivalent obligations under this Policy.
6.4What we do NOT do:
(a) We do not sell your personal data. Not to third parties, not in aggregate, not in any form.
(b) We do not let third parties use your data for their own marketing, advertising, or AI development.
(c) We do not allow random staff to read your project content. Access to User Content is restricted to authorised engineers acting under a specific operational need (incident response, support investigation initiated by you, security investigation), with access logged.
7.1Several of our service providers operate outside Türkiye, principally in the European Union and the United States. To use ControlsIQ effectively, your data is transmitted internationally to those providers. The legal framework for those transfers is set out in KVKK Article 9 and its secondary legislation.
7.2Our legal bases for transferring your personal data outside Türkiye are, in order:
(a) Where the Personal Data Protection Authority (Kişisel Verileri Koruma Kurulu) has issued an adequacy decision in respect of the destination country, the transfer is made under that decision.
(b) Where Türkiye has entered into an inter-state cross-border data transfer agreement with the destination country, the transfer is made under that agreement and any safeguards it imposes.
(c) Where neither of the above applies, the transfer is made on the basis of your explicit consent captured at signup (Açık Rıza Kart 2 — Cross-Border Transfer) pursuant to KVKK Article 9, or under a written undertaking (taahhütname) submitted to the Personal Data Protection Authority where appropriate.
7.3We do not rely on any data protection regime other than KVKK. If you access the Service from outside Türkiye, you accept that your personal data is processed under KVKK and that any cross-border transfer is governed by Turkish data protection law.
8.1Operational data (account information, project data, programme files, contract uploads, AI outputs) is stored in a managed PostgreSQL database operated by our database service sub-processor in the European Union region, with encrypted backups.
8.2Application files and static assets are served from a global edge network operated by our cloud-hosting sub-processor, primarily from EU and US regions.
8.3AI prompts and the data sent for response generation are processed transiently through Anthropic's infrastructure in the United States. Anthropic retains these for at most seven (7) days then deletes them automatically. We do not maintain any copy at Anthropic beyond this window.
8.4Backups are encrypted and retained for a rolling thirty (30) day window for disaster recovery purposes. Old backups roll off automatically; we cannot selectively delete individual records from a backup, but the rolling window ensures any individual record is fully purged from backup storage within thirty (30) days of the corresponding live deletion.
9.1We keep your personal data only for as long as we need it. Different categories of data have different retention periods:
9.2Account information — for as long as your account is active, plus a reasonable wind-down period after closure (typically thirty (30) days) during which you can request data export, before deletion.
9.3User Content (prompts, projects, uploads, AI outputs) — stored within your account for as long as the account is active and until you delete it, plus the thirty (30) day account wind-down window. Deleted by you at any time via the Service interface.
9.4Payment and invoice records — retained for ten (10) years from the end of the financial year in which the transaction was completed, as required by Turkish tax law (Vergi Usul Kanunu Article 253) and Turkish commercial law (Türk Ticaret Kanunu Article 82).
9.5Consent records (ConsentLog) — retained for the duration of your account plus a reasonable period afterwards (typically three (3) years) to evidence consent in the event of a regulatory inquiry, as KVKK places the burden of proving consent on the data controller.
9.6Security and audit logs — retained for a rolling twelve (12) month window for security investigation and incident response purposes.
9.7Backups — purged within thirty (30) days as described in Article 8.
9.8More detailed retention periods are set out in our internal Retention and Destruction Policy (Saklama ve İmha Politikası), maintained in accordance with the KVKK Regulation on Deletion, Destruction or Anonymisation. Specific extracts are available on request.
10.1You have rights in respect of your personal data under KVKK Article 11. We honour them in full. The summary below is in plain language; the formal version is in our KVKK Information Notice (Aydınlatma Metni).
10.2Your rights at a glance:
(a) Know whether we are processing your data — and if we are, get a copy of it.
(b) Correct your data if it is wrong.
(c) Delete your data — subject to legal retention obligations (for example, we cannot delete an invoice we are required to keep for tax purposes).
(d) Restrict our processing in certain circumstances (for example, while we investigate an objection).
(e) Take your data with you — receive a machine-readable export and, where technically feasible, ask us to transmit it to another controller.
(f) Object to processing based on legitimate interest — including the anonymised review activity described in Article 5.3.
(g) Withdraw any consent you have given — including consent to cross-border transfer, marketing, profiling, and (if ever activated) model training. Withdrawal does not affect the lawfulness of processing before withdrawal. Note that withdrawing cross-border transfer consent results in inability to provide the Service (see Article 4.8).
(h) Not be subject to a decision made solely by automated means that significantly affects you, and to ask for human review of any such decision. Outputs of the Service are not automated decisions in this sense — they are advisory content for your review — but the right to ask remains.
(i) Complain to the Personal Data Protection Authority of Türkiye (Kişisel Verileri Koruma Kurumu, KVKK) at kvkk.gov.tr.
10.3How to exercise your rights: write to support@controlsiq.com with the subject "Data Subject Request" and identify yourself adequately so we can be sure we are responding to the right person, or complete the Data Subject Application Form at controlsiq.com/data-subject-form. We will respond within thirty (30) days as required by KVKK. Where the request is complex or repetitive we may extend by a further period and tell you why.
10.4Account Settings let you exercise most of these rights directly without contacting us — you can update your information, withdraw consents, export your data, and delete your account from the dashboard.
11.1The Service is strictly limited to users aged eighteen (18) or older. We do not knowingly collect personal data from any person under eighteen (18). We do not offer a parental-consent pathway.
11.2Account creation requires an explicit age declaration. By creating an account, the User declares that they are at least eighteen (18) years old. Misrepresentation of age is grounds for immediate termination of the Account.
11.3If you believe a person under eighteen (18) has created an account or provided personal data to us, contact support@controlsiq.com and we will close the account and delete the data promptly.
12.1We protect your data with the technical and organisational measures required by KVKK Article 12 and beyond:
(a) Encryption in transit using HTTPS/TLS for all traffic; encryption at rest for database and backup storage.
(b) Hashed passwords (bcrypt) — we never store passwords in plain text and we cannot read your password.
(c) Multi-factor authentication available on all accounts.
(d) Strict access controls — engineer access to production data is logged and restricted to operational need.
(e) Regular dependency updates, security patching, and code review.
(f) Rate limiting and abuse detection on AI endpoints to prevent enumeration and credential abuse.
(g) Backups, disaster recovery procedures, and an incident response plan.
12.2Despite our best efforts, no system is perfectly secure and no internet transmission is entirely free of risk. In the event of a personal data breach affecting your rights, we will notify you and the Personal Data Protection Authority as soon as possible in accordance with KVKK Kurul guidance.
13.1If you are a Trader User who uploads documents containing personal data of your own clients, employees, contractors, or other third parties, you are the data controller (veri sorumlusu) in respect of that personal data under KVKK and we act as the data processor (veri işleyen). The roles and our processing obligations are set out in our Data Processing Agreement (DPA), which is available on request and forms part of any enterprise contracting motion.
13.2You confirm that you have a lawful basis under KVKK for sharing such personal data with us, that you have informed the relevant individuals as required by KVKK, and that uploading the data does not violate any duty of confidentiality.
13.3We treat data uploaded by you as confidential information of yours. We do not access it except to deliver the Service or where you specifically ask us to (for example, during a support investigation). We do not share it with any party other than the sub-processors listed in Article 6 that are necessary to deliver the Service.
14.1We use cookies and similar technologies for authentication, session management, preferences, and limited analytics. Our use of cookies is described in our Cookie Policy at controlsiq.com/cookies, which forms part of this Policy by reference.
14.2On first visit you are shown a cookie banner with four categories: Strictly Necessary (always on, required for the Service to function), Functional, Analytics, and Marketing. The latter three require your consent. You can refuse all non-essential cookies as easily as accepting them — both buttons sit at equal visual prominence.
14.3You can change your cookie preferences at any time via Account Settings → Privacy and Consent (when logged in) or via your browser's cookie management settings (see Cookie Policy §4.4).
15.1This Policy is governed by the laws of the Republic of Türkiye. Any matter arising from or in connection with this Policy is subject to KVKK and to the exclusive jurisdiction of the competent Turkish authorities.
15.2Users resident outside Türkiye: the Service is offered under Turkish law. By using the Service from outside Türkiye, you accept that your personal data is processed under KVKK, that this Policy is interpreted under Turkish law, and that you are responsible for complying with any additional rules that may apply to you in your country of residence. We do not undertake to comply with any foreign data protection regime in respect of users accessing the Service from outside Türkiye. Where personal data is transferred to a country in respect of which Türkiye has issued an adequacy decision or entered into a cross-border data transfer agreement, the safeguards under that decision or agreement apply (see Article 7).
15.3Aydınlatma Metni: in addition to this Policy, our formal KVKK Information Notice (Aydınlatma Metni) is published at controlsiq.com/aydinlatma-metni in English and Turkish; the Turkish version prevails on any conflict. Specific consents required under KVKK are captured separately via the granular consent cards (Açık Rıza Metinleri) at signup; the published reference for these cards is at controlsiq.com/acik-riza-esaslari.
16.1We may update this Policy from time to time. Material changes will be notified to active users at least thirty (30) days in advance by email to the address registered on the account, and via in-Service notification. For some changes (in particular, any change that materially affects the use of your data, including any introduction of model training), we will request renewed consent before the change takes effect.
16.2Non-material changes (clarifications, typo fixes, link updates, security improvements) take effect on publication; we update the "Last updated" date at the top of this Policy.
16.3Past versions of this Policy are archived. If you want to see a previous version, write to support@controlsiq.com.
17.1For any question, request, or complaint about how we handle your personal data, contact us at support@controlsiq.com.
17.2Formal correspondence may be addressed to the Company's registered address set out in Article 2.1.
İşbu Gizlilik Politikası ("Politika"); Türkiye Cumhuriyeti mevzuatına göre kurulmuş Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti ("Şirket", "biz") olarak, sahibi ve işleteni olduğumuz controlsiq.com adresindeki ControlsIQ platformunu ("Hizmet") kullandığınızda kişisel verilerinizi nasıl topladığımızı, kullandığımızı, paylaştığımızı, sakladığımızı ve koruduğumuzu açıklamak; ayrıca haklarınızı ve bu hakları nasıl kullanabileceğinizi anlatmak amacıyla hazırlanmıştır. Bu Politika sade dilde kaleme alınmıştır. Türk veri koruma mevzuatının daha resmî bir bilgilendirme gerektirdiği hâllerde işbu Politika; controlsiq.com/aydinlatma-metni adresinde yayımlanan KVKK Aydınlatma Metni ile birlikte okunmak üzere düzenlenmiştir.
1.1ControlsIQ; inşaat sektörü profesyonellerinin yapay zekadan yararlanarak daha iyi ticari kararlar almasına yardımcı olmak amacıyla mevcuttur. Bize emanet ettiğiniz veri bu işin merkezindedir; biz de buna göre davranırız. Hizmet'i sunmak için yalnızca ihtiyacımız olan veriyi toplarız, bu veriyi satmayız ve isteğe bağlı işlemler bakımından son söz size aittir.
1.2İşbu Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ikincil mevzuatı çerçevesinde hazırlanmıştır. Hizmet, Türk hukuku ve Türk yargı yetkisi altında sunulmaktadır. Hizmet'i kullanarak; kişisel verilerinizin KVKK çerçevesinde işlendiğini ve bu Politika'dan doğan her türlü hususun, Hizmet'e fiziksel olarak nereden eriştiğinizden bağımsız olarak, Türk hukukuna tabi olduğunu ve yetkili Türk makamlarınca çözüleceğini kabul etmektesiniz.
1.3İşbu Politika; Kullanıcı Sözleşmesi'miz, KVKK Aydınlatma Metni'miz, Açık Rıza Metinleri (Granüler Rıza Kartları), Çerez Politikası'mız ve (iç düzenleme niteliğindeki) Saklama ve İmha Politikası'mız ile birlikte okunmak üzere düzenlenmiştir. Bu belgeler bir bütün olarak verilerinizi nasıl işlediğimizin tam resmini verir.
2.1Hizmet aşağıdaki tüzel kişi tarafından işletilmektedir:
Şirket: Kozarda İnşaat Teknolojileri ve Danışmanlık Ltd. Şti
Ürün: ControlsIQ — Şirket'e ait olup Şirket tarafından işletilmektedir.
Tebligata esas adres: Aydıntepe, Pr. Dr. Necmettin Erbakan Cad. Evora E9 7I/157, İstanbul, Türkiye, 34947
Tescilli e-posta: info@kozarda.com
Site iletişim: support@controlsiq.com
2.2KVKK kapsamında kişisel verileriniz bakımından "veri sorumlusu" sıfatı bizdedir. Tacir Kullanıcıların kendi müşterilerine, çalışanlarına veya üçüncü kişilere ait verileri yüklediği hâllerde; söz konusu kişisel veriler bakımından Tacir Kullanıcı veri sorumlusu, biz ise veri işleyen sıfatını taşırız — bkz. Madde 13.
3.1Kişisel verileri üç şekilde topluyoruz.
3.2Doğrudan bize verdiğiniz veriler:
(a) Hesap bilgileri — ad, e-posta adresi, şifre (asla düz metin olarak değil, hash'lenmiş biçimde saklanır), ülke, abonelik tercihi.
(b) Kullanıcı İçeriği — Hizmet'e gönderdiğiniz veya Hizmet üzerinden ürettiğiniz tüm içerik: prompt'lar, yüklediğiniz belgeler (sözleşmeler, programa dosyaları, yazışmalar, proje kayıtları dahil), yapay zeka çıktıları ve bu çıktılara verdiğiniz geri bildirimler.
(c) İletişim — destek talepleriniz, geri bildirim formları, anket cevaplarınız ve bizimle yaptığınız diğer yazışmalar.
3.3Hizmet'i kullandığınızda otomatik olarak topladığımız veriler:
(a) Teknik bilgiler — IP adresi, cihaz türü, tarayıcı türü, işletim sistemi, dil, saat dilimi.
(b) Kullanım bilgileri — oturum zaman damgaları, ziyaret edilen sayfa ve özellikler, yapılan sorgular, hata olayları, performans metrikleri.
(c) Çerezler ve benzeri teknolojiler — controlsiq.com/cookies adresindeki Çerez Politikası'na bakınız.
3.4Üçüncü taraflardan aldığımız veriler:
(a) Ödeme hizmeti sağlayıcımızdan — abonelik ödemenizin başarılı olduğunu belirten onay, fatura para birimi, kartınızın son dört hanesi (tam kart numarasını hiçbir zaman almayız).
(b) Sosyal hesap girişi (destekleniyorsa) tercih ettiğinizde kimlik sağlayıcılardan — sağlayıcının paylaşmasına izin verdiğiniz temel profil bilgileri.
3.5Özel nitelikli kişisel veriler: Kullanıcı İçeriği, niteliği gereği, özel nitelikli kişisel veriler içerebilir — örneğin yüklediğiniz bir sözleşmede çalışan adları, hastalık kayıtları, sendika üyeliği veya kimliği belirli kişilere ait benzeri hassas bilgiler bulunabilir. Bu kategori; KVKK Madde 6 çerçevesinde, Hizmet'i sunmak için kesinlikle gerekli olduğu ölçüde ve kayıt anında alınan açık rızanız temelinde (Açık Rıza Kart 5 — Özel Nitelikli Kişisel Veriler) işlenir. Analizin gerektirmediği hâllerde hassas kişisel verileri yüklemeden önce belgelerden çıkarmanızı şiddetle tavsiye ederiz.
3.6Toplamadığımız veriler: ControlsIQ; ses, görüntü ve biyometrik içerik işlememektedir. Yüz tanıma şablonu, ses imzası veya başka bir biyometrik tanımlayıcı tutmamaktayız.
4.1Kişisel verilerinizi aşağıdaki amaçlarla ve her biri için KVKK Madde 5 kapsamında açıkça belirtilmiş bir hukuki sebebe dayalı olarak işliyoruz.
4.2Hizmet'i size sunmak — sorgularınızı alıp yapay zeka çıktıları üretmek, proje geçmişinize erişiminizi sağlamak, hesabınızı yönetmek, abonelik ödemelerinizi işlemek, müşteri desteği vermek. Hukuki sebep: sözleşmenin ifası (Kullanıcı Sözleşmesi) — KVKK Madde 5(2)(c).
4.3Hizmet'in güvenliğini sağlamak ve istismarı önlemek — yetkisiz erişim, dolandırıcılık, hizmet engelleme saldırıları ve Kabul Edilebilir Kullanım Politikası'na aykırı kullanım hâllerinin tespit edilip engellenmesi. Hukuki sebep: meşru menfaat — KVKK Madde 5(2)(f).
4.4Hizmet'i geliştirmek — toplulaştırılmış kullanım örüntülerini anlamak, performans sorunlarını tespit etmek, hataları gidermek, yeni özellikler planlamak. Bu konu Madde 5'te ayrıntılı ele alınmıştır. Toplulaştırılmış analitik için hukuki sebep: meşru menfaat. Kullanıcı İçeriği'nin kimliği tanımlanabilir biçimde model geliştirmede kullanılması için hukuki sebep: yalnızca opt-in açık rıza.
4.5Yasal yükümlülüklerimizi yerine getirmek — vergi ve ticaret hukuku gereği tutmamız gereken kayıtlar, yetkili Türk makamlarından gelen hukuka uygun taleplere cevap verilmesi. Hukuki sebep: hukuki yükümlülük — KVKK Madde 5(2)(ç).
4.6Hizmet'le ilgili operasyonel bildirimleri göndermek — hesap doğrulama, güvenlik bildirimleri, işbu politikalarda yapılan esaslı değişikliklerin duyurulması, fatura. Bu iletişimler pazarlama niteliğinde olmayıp, aktif hesabınız varken bunları reddetme imkânı bulunmamaktadır. Hukuki sebep: sözleşmenin ifası.
4.7Pazarlama iletişimi göndermek (yalnızca rıza vermişseniz) — bülten, ürün duyuruları, özellik tanıtımları. Hukuki sebep: açık rıza (Açık Rıza Kart 3 — Pazarlama İletişimi). Rızanızı dilediğiniz an geri çekebilirsiniz.
4.8Hizmet'in işleyebilmesi için zorunlu sınır ötesi aktarımları gerçekleştirmek — Kullanıcı İçeriğinizin, Hizmet'i destekleyen yapay zeka sağlayıcısına (Anthropic, Amerika Birleşik Devletleri yerleşik) ve Madde 6.2'de listelenen diğer altyapı alt veri işleyenlerine aktarılması. Hukuki sebep: KVKK Madde 9 kapsamında alınan açık rıza (Açık Rıza Kart 2 — Yurt Dışı Aktarımı). Bu rıza; ilgili ülke bakımından bu Politika tarihi itibarıyla Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı bulunmaması nedeniyle aranmaktadır. Bu rızanın geri çekilmesi Hizmet'in sunulamamasına yol açar ve hesap kapatma talebi olarak değerlendirilir.
5.1Yapay zeka eğitimi, kullanıcıların en çok netlik istediği konudur. Bu konuya dürüstçe yaklaşıyoruz — çünkü güven, elde edebileceğimiz herhangi bir model iyileştirmesinden daha önemlidir. Birbirinden ayırt edilmesi gereken üç faaliyet bulunmaktadır.
5.2Özel rızanız olmaksızın YAPTIKLARIMIZ: Hizmet'in nasıl kullanıldığına dair toplulaştırılmış, kimliksizleştirilmiş istatistikleri Hizmet'i işletmek ve geliştirmek amacıyla kullanırız. Örnekler: kaç kullanıcının haftalık kullanım sınırına ulaştığı, hangi özelliklere en sık erişildiği, yanıtların ne kadar sürdüğü, hatalar nerede oluştuğu. Bu işlemde bireysel kişisel veri, prompt içeriğiniz veya yapay zeka çıktı içeriğiniz bulunmaz. Bu işlem, kaliteli bir Hizmet sunmaktaki meşru menfaatimiz çerçevesinde gerçekleştirilir.
5.3Meşru menfaate dayalı olarak YAPABİLECEĞİMİZ ve itiraz hakkınızın bulunduğu işlemler: Ürün sorunlarını tespit etmek, uç durumları çözmek ve geliştirme önceliklerini belirlemek amacıyla zaman zaman anonim hâle getirilmiş prompt ve yapay zeka çıktı örneklerini inceleyebiliriz. "Anonim hâle getirme", prompt ve çıktı içeriğinin belirli bir kullanıcıya veya projeye bağlanabilecek herhangi bir tanımlayıcı olmaksızın incelenmesi anlamına gelir. Bu faaliyet rutin olarak gerçekleştirilmez; yalnızca belirli bir sorun araştırılırken yapılır. Hesap Ayarları'nız üzerinden bu işleme dilediğiniz an itiraz hakkınız vardır. İtiraz etmeniz hâlinde verileriniz bu tür incelemenin dışında tutulur.
5.4Açık opt-in rızanız olmaksızın YAPMADIKLARIMIZ: Kullanıcı İçeriğinizi (prompt'larınızı, yüklediğiniz belgeleri, sözleşmelerinizi, proje verilerinizi, yapay zeka çıktılarınızı) herhangi bir yapay zeka modelinin eğitiminde, ince ayarında, değerlendirilmesinde veya doğrulanmasında kullanmıyoruz. Ne kendi ileride geliştireceğimiz araçlarda, ne Anthropic'in modellerinde, ne de başka herhangi bir modelde. Bu varsayılan tutumdur ve sizin açık opt-in rızanız olmadan değişmez.
5.5Gelecekte gerçek kullanıcı verisi üzerinde eğitilmesinden fayda görecek ControlsIQ'a özgü yapay zeka kabiliyetleri geliştirmeye karar vermemiz hâlinde; Açık Rıza Kart 1 (Model Eğitimi) kapsamında ayrı, açık ve granüler opt-in rızanızı talep edeceğiz. Hangi verinin, hangi amaçla, hangi saklama süresiyle ve hangi geri çekme mekanizmasıyla işleneceği size bildirilecektir. Ücretli Hizmet'i kullanmanız için model eğitimine rıza vermeniz hiçbir zaman koşul olarak öne sürülmeyecektir. Model eğitimi için varsayılan rıza durumu KAPALI'dır ve böyle kalmaya devam edecektir.
5.6Dürüst bir kabul: Bir veri, modelin eğitim setine dahil edildikten ve modelin parametreleri güncellendikten sonra, bu öğrenme teknik olarak geri alınamaz. Yapay zeka modellerinin doğası budur. Eğitime opt-in olduktan sonra rızanızı geri çekmeniz hâlinde, sonraki eğitim çalışmalarına yeni verileriniz dahil edilmez ve halihazırda gerçekleştirilmiş eğitim bakımından makul ölçüde değerlendirme yapılır — ancak parametrik hafıza seçici olarak silinemez. Karar vermeden önce bunu bilmenizi istiyoruz.
5.7Anthropic — temel altyapı sağlayıcısı: ControlsIQ, Anthropic, PBC tarafından işletilen Claude API'sini kullanır. Claude API kullanımımızı düzenleyen Anthropic Ticari Hizmet Şartları çerçevesinde:
(a) Anthropic, prompt'larınızı veya çıktılarınızı Anthropic'in modellerini eğitmek için kullanamaz. Bu, açılıp kapanabilen bir ayar değil, sözleşmesel bir yasaktır. Varsayılan olarak tüm API trafiğine uygulanır.
(b) Anthropic, API giriş ve çıktılarını güvenlik ve istismar tespiti amacıyla en fazla yedi (7) gün saklar; bu sürenin ardından otomatik olarak silinir.
(c) Anthropic, ürettiği çıktılar üzerindeki haklardan feragat eder — çıktılar size aittir.
5.8Kısaca: üçüncü taraf bir yapay zeka sağlayıcısının sunabileceği en katı gizlilik tutumu, Hizmet'i destekleyen tutumdur. Bunu varsayılan hâline getirdik ve bu konuda şeffafız. İleride içeriğinizi ControlsIQ'a özgü araçlar geliştirmek için kullanmayı önerirsek; bu, açıkça vereceğiniz, opt-in nitelikli ve tam bilgilendirme sonrası alınmış ayrı bir karar olacaktır.
6.1Kişisel verilerinizi yalnızca Hizmet'i sunmak için kesinlikle gerekli olduğu ölçüde ve yalnızca aşağıda listelenen alıcı kategorileri ile paylaşırız.
6.2İşbu Politika tarihi itibarıyla alt veri işleyen kategorileri:
(a) Anthropic, PBC (Amerika Birleşik Devletleri) — yapay zeka yanıtlarını üreten Claude API'sinin sağlayıcısı. Aldığı: prompt'lar, yüklenen belge içeriği, sohbet bağlamı; istek bazında. Saklama: en fazla 7 gün. Eğitim amaçlı kullanım: yasak. Tabi olduğu: Anthropic Ticari Hizmet Şartları. Açıkça isimlendirilmiştir; çünkü Anthropic Ticari Şartları, yapay zeka veri işlemesini düzenleyen merkezî ticari taahhüttür.
(b) Bulut barındırma ve uygulama runtime altyapısı (SOC 2 Type II ve ISO 27001 sertifikalı sağlayıcı; AB ve ABD bölgeleri) — uygulama trafiği ve sunucu log'larını alır.
(c) Yönetilen veritabanı hizmeti (SOC 2 Type II sertifikalı sağlayıcı; AB bölgesi) — hesap bilgilerini, proje verilerini ve denetim log'larını şifrelenmiş yedeklemeler ile saklar.
(d) İşlemsel e-posta hizmeti (SOC 2 Type II sertifikalı sağlayıcı; ABD bölgesi) — doğrulama e-postaları, şifre sıfırlama ve fatura bildirimlerini gönderir. E-posta adresi ve mesaj içeriğini alır. Pazarlama amaçlı kullanılmaz.
(e) Ödeme hizmeti sağlayıcısı — şu an görevlendirilmemiştir. Henüz kart ödemesi işlemiyoruz. Abonelik faturalandırması için bir ödeme hizmeti sağlayıcısı görevlendirildiğinde burada isimlendirilecek ve — Mesafeli Sözleşmeler Yönetmeliği, Türk Tüketicilere ödeme yöntemi açıklamasını gerektirdiği için — ödemeden önce açıklanacaktır. Kart bilgileri bize hiçbir zaman ulaşmaz; doğrudan sağlayıcı tarafından PCI DSS standartları çerçevesinde işlenir.
(f) Yukarıdaki alt veri işleyenlere (Anthropic dışında — açıkça isimlendirilmiştir) ait belirli sağlayıcı adları, konumları, sertifikaları ve DPA kopyaları; kullanıcılara ve tedarik ekiplerine support@controlsiq.com adresinden talep üzerine açıklanır. Sağlayıcı değişiklikleri sessizce yapılmaz — esaslı değişiklik bildirim usulü için Madde 16'ya bakınız.
6.3Verileri paylaşabileceğimiz diğer alıcılar:
(a) Profesyonel danışmanlar — dış avukatlarımız, mali müşavirlerimiz ve denetçilerimiz, gizlilik yükümlülüğü altında.
(b) Yetkili Türk makamları — Türk düzenleyici kurum, mahkeme, savcılık veya kolluk biriminden hukuka uygun ve usulüne uygun şekilde kapsamı belirlenmiş bir talep aldığımız ve uygulanabilir Türk mevzuatının cevap vermemizi gerektirdiği hâllerde. Her talebi hukukilik ve kapsam açısından değerlendiririz ve usulsüz bulduklarımıza itiraz ederiz.
(c) Devralanlar — ControlsIQ'nun birleşme, satın alma veya yeniden yapılandırma süreçlerinde, halefe işbu Politika'ya eşdeğer yükümlülüklerin geçmesi koşuluyla kişisel veriler aktarılabilir.
6.4Yapmadıklarımız:
(a) Kişisel verilerinizi satmıyoruz. Üçüncü taraflara değil, toplu hâlde değil, hiçbir biçimde.
(b) Üçüncü tarafların verilerinizi kendi pazarlama, reklam veya yapay zeka geliştirme amaçlarıyla kullanmasına izin vermiyoruz.
(c) Rastgele personelin proje içeriğinizi okumasına izin vermiyoruz. Kullanıcı İçeriği'ne erişim; belirli operasyonel zorunluluk altında (olay müdahalesi, talebiniz üzerine başlatılan destek soruşturması, güvenlik soruşturması) hareket eden yetkili mühendislerle sınırlıdır ve erişim log'lanır.
7.1Hizmet sağlayıcılarımızın bir kısmı Türkiye dışında, başlıca Avrupa Birliği ve Amerika Birleşik Devletleri'nde faaliyet göstermektedir. ControlsIQ'yu etkili biçimde kullanabilmeniz için verileriniz söz konusu sağlayıcılara uluslararası olarak iletilir. Bu aktarımların hukuki çerçevesi KVKK Madde 9 ve ikincil mevzuatıdır.
7.2Kişisel verilerinizi Türkiye dışına aktarmamızda dayanacağımız hukuki sebepler, sırasıyla:
(a) Hedef ülke bakımından Kişisel Verileri Koruma Kurulu'nun yeterlilik kararı bulunduğu hâllerde aktarım, söz konusu karar kapsamında yapılır.
(b) Türkiye'nin hedef ülke ile akdettiği bir devletler arası sınır ötesi veri aktarımı anlaşmasının bulunduğu hâllerde aktarım, söz konusu anlaşma ve öngördüğü güvenceler çerçevesinde yapılır.
(c) Yukarıdaki iki hâlin geçerli olmadığı durumlarda aktarım; kayıt anında alınan açık rızanız (Açık Rıza Kart 2 — Yurt Dışı Aktarımı) çerçevesinde KVKK Madde 9 uyarınca veya uygun olduğu hâllerde Kişisel Verileri Koruma Kurulu'na sunulan taahhütname ile gerçekleştirilir.
7.3KVKK dışında herhangi bir veri koruma rejimine dayanmayız. Hizmet'e Türkiye dışından erişiyorsanız; kişisel verilerinizin KVKK çerçevesinde işlendiğini ve sınır ötesi aktarımın Türk veri koruma mevzuatı tarafından yönetildiğini kabul edersiniz.
8.1Operasyonel veriler (hesap bilgileri, proje verileri, programa dosyaları, sözleşme yüklemeleri, yapay zeka çıktıları); veritabanı hizmeti alt veri işleyenimiz tarafından Avrupa Birliği bölgesinde işletilen, şifrelenmiş yedekleri bulunan yönetilen PostgreSQL veritabanında saklanır.
8.2Uygulama dosyaları ve statik varlıklar; başlıca AB ve ABD bölgelerinden olmak üzere bulut barındırma alt veri işleyenimizin küresel edge ağı üzerinden sunulur.
8.3Yapay zeka prompt'ları ve yanıt üretimi için gönderilen veriler; Amerika Birleşik Devletleri'ndeki Anthropic altyapısı üzerinden geçici olarak işlenir. Anthropic bunları en fazla yedi (7) gün saklar, ardından otomatik olarak siler. Bu pencerenin ötesinde Anthropic nezdinde hiçbir kopya tutmuyoruz.
8.4Yedeklemeler şifrelenir ve felaket kurtarma amacıyla rolling otuz (30) günlük pencere boyunca tutulur. Eski yedeklemeler otomatik olarak düşer; bir yedeklemeden bireysel kayıtları seçici biçimde silemeyiz; ancak rolling pencere, herhangi bir bireysel kaydın canlı silmenin ardından en geç otuz (30) gün içinde yedek depolamadan tamamen temizlenmesini sağlar.
9.1Kişisel verilerinizi yalnızca ihtiyaç duyduğumuz sürece saklarız. Farklı veri kategorilerinin farklı saklama süreleri vardır:
9.2Hesap bilgileri — hesabınız aktif olduğu sürece ve kapatıldıktan sonra makul bir geçiş süresi boyunca (genellikle otuz (30) gün), bu süre içinde veri dışa aktarımı talep edebilirsiniz; ardından silinir.
9.3Kullanıcı İçeriği (prompt'lar, projeler, yüklemeler, yapay zeka çıktıları) — hesabınız aktif olduğu sürece ve siz silene kadar hesabınız içinde saklanır; otuz (30) günlük hesap kapanış penceresi de geçerlidir. Hizmet arayüzü üzerinden dilediğiniz an silinebilir.
9.4Ödeme ve fatura kayıtları — Vergi Usul Kanunu Madde 253 ve Türk Ticaret Kanunu Madde 82 uyarınca, işlemin tamamlandığı mali yılın sonundan itibaren on (10) yıl süreyle saklanır.
9.5Rıza kayıtları (ConsentLog) — KVKK rızayı ispat yükünü veri sorumlusuna yüklediğinden, hesabınızın süresi boyunca ve düzenleyici soruşturma hâlinde rızayı ispatlayabilmek için sonrasında makul bir süre (genellikle üç (3) yıl) tutulur.
9.6Güvenlik ve denetim log'ları — güvenlik soruşturması ve olay müdahalesi amacıyla rolling on iki (12) aylık pencere boyunca saklanır.
9.7Yedeklemeler — Madde 8'de açıklandığı üzere otuz (30) gün içinde temizlenir.
9.8Daha ayrıntılı saklama süreleri; KVKK Silme, Yok Etme veya Anonim Hâle Getirme Yönetmeliği çerçevesinde tutulan iç Saklama ve İmha Politikamızda düzenlenmiş olup, ilgili bölümler talep üzerine paylaşılır.
10.1Kişisel verileriniz üzerinde KVKK Madde 11 kapsamında haklarınız vardır. Bu haklara tam olarak saygı duyarız. Aşağıdaki özet sade dildedir; resmî hâli KVKK Aydınlatma Metni'mizdedir.
10.2Bir bakışta haklarınız:
(a) Verilerinizin işlenip işlenmediğini öğrenme — ve işleniyorsa bir kopyasını alma.
(b) Yanlışsa düzeltme.
(c) Silme — yasal saklama yükümlülükleri saklı kalmak kaydıyla (örneğin vergi nedeniyle saklamak zorunda olduğumuz bir faturayı silemeyiz).
(d) Belirli hâllerde işlememizi kısıtlama (örneğin bir itirazı incelerken).
(e) Verinizi taşıma — makinece okunabilir ihracını alma ve teknik olarak mümkün olduğu ölçüde başka bir veri sorumlusuna iletilmesini talep etme.
(f) Meşru menfaate dayalı işlemeye itiraz — Madde 5.3'te tanımlanan anonim inceleme faaliyeti dahil.
(g) Verdiğiniz rızalardan herhangi birini geri çekme — yurt dışı aktarımı, pazarlama, profilleme ve (etkinleştirilmesi hâlinde) model eğitimi rızaları dahil. Geri çekme; geri çekmeden önceki işlemenin hukuka uygunluğunu etkilemez. Yurt dışı aktarımı rızasının geri çekilmesi, Hizmet'in sunulamamasına yol açar (bkz. Madde 4.8).
(h) Münhasıran otomatik araçlarla verilen ve size esaslı bir etki doğuran bir karara tabi olmama ve böyle bir karar bakımından insan incelemesi talep etme. Hizmet'in çıktıları bu anlamda otomatik karar niteliğinde değildir — incelemeniz için sunulan tavsiye niteliğindeki içeriklerdir — ancak talep hakkı saklıdır.
(i) Kişisel Verileri Koruma Kurumu'na (KVKK) kvkk.gov.tr adresinden şikayette bulunma.
10.3Haklarınızı nasıl kullanırsınız: support@controlsiq.com adresine "Veri Sahibi Başvurusu" konulu bir e-posta gönderin ve doğru kişiye cevap verdiğimizden emin olabilmemiz için kendinizi yeterince tanımlayın ya da controlsiq.com/data-subject-form adresindeki Veri Sahibi Başvuru Formu'nu doldurun. KVKK'nın aradığı şekilde otuz (30) gün içinde yanıt veririz. Talep karmaşık veya tekrarlanan nitelikteyse süreyi makul ölçüde uzatıp gerekçesini size bildirebiliriz.
10.4Hesap Ayarları; bu hakların büyük kısmını bizimle iletişime geçmeden doğrudan kullanmanıza olanak tanır — bilgilerinizi güncelleyebilir, rızalarınızı geri çekebilir, verilerinizi dışa aktarabilir ve hesabınızı kontrol panelinden silebilirsiniz.
11.1Hizmet, yalnızca on sekiz (18) yaşını doldurmuş kullanıcılar için sunulmaktadır. On sekiz (18) yaşın altındaki hiçbir kişiden bilinçli olarak kişisel veri toplamayız. Veli/vasi rızasına dayalı bir kullanım yolu sunmamaktayız.
11.2Hesap oluşturmak için açık bir yaş beyanı gereklidir. Hesap oluşturarak Kullanıcı; en az on sekiz (18) yaşında olduğunu beyan eder. Yaş beyanının gerçeğe aykırı olması; Hesabın derhal sona erdirilmesi sebebidir.
11.3On sekiz (18) yaşın altındaki bir kişinin hesap açtığını veya bize kişisel veri sağladığını düşünüyorsanız support@controlsiq.com adresine başvurun; hesap kapatılacak ve veriler en kısa sürede silinecektir.
12.1Verilerinizi; KVKK Madde 12'nin gerektirdiği teknik ve idari tedbirlerle ve ötesinde koruyoruz:
(a) Tüm trafik için HTTPS/TLS ile iletim sırasında şifreleme; veritabanı ve yedekleme depolaması için saklama hâlinde şifreleme.
(b) Hash'lenmiş şifreler (bcrypt) — şifreleri asla düz metin olarak saklamayız ve şifrenizi okuyamayız.
(c) Tüm hesaplarda çok faktörlü kimlik doğrulama imkânı.
(d) Sıkı erişim kontrolleri — mühendislerin üretim verilerine erişimi log'lanır ve operasyonel zorunlulukla sınırlandırılır.
(e) Düzenli bağımlılık güncellemeleri, güvenlik yamaları ve kod incelemesi.
(f) Yapay zeka uç noktalarında numaralandırma ve kimlik bilgisi istismarını önlemek için hız sınırlama (rate limiting) ve istismar tespiti.
(g) Yedekleme, felaket kurtarma prosedürleri ve olay müdahale planı.
12.2Tüm çabamıza rağmen hiçbir sistem mükemmel güvenli değildir ve internet üzerinden hiçbir iletim tamamen risksiz değildir. Haklarınızı etkileyen bir kişisel veri ihlali hâlinde, KVKK Kurul rehberi çerçevesinde en kısa sürede sizi ve Kişisel Verileri Koruma Kurumu'nu bilgilendiririz.
13.1Tacir Kullanıcı sıfatıyla kendi müşterilerinize, çalışanlarınıza, yüklenicilerinize veya diğer üçüncü kişilere ait kişisel veri içeren belgeler yüklediğinizde; KVKK kapsamında söz konusu kişisel veriler bakımından veri sorumlusu (veri sorumlusu) siz, biz ise veri işleyen (veri işleyen) sıfatını taşırız. Roller ve işleme yükümlülüklerimiz; talep üzerine sağlanan ve kurumsal sözleşme akdetme sürecinin parçası olan Veri İşleme Anlaşması'nda (DPA) düzenlenmiştir.
13.2Söz konusu kişisel verileri bizimle paylaşmak için KVKK kapsamında hukuki bir sebebe sahip olduğunuzu, KVKK'nın aradığı şekilde ilgili kişileri bilgilendirdiğinizi ve verileri yüklemenin herhangi bir gizlilik yükümlülüğünü ihlal etmediğini teyit edersiniz.
13.3Sizin yüklediğiniz veriyi gizli bilginiz olarak değerlendiririz. Hizmet'i sunmak veya talebiniz üzerine (örneğin destek soruşturması sırasında) gerekli olmadıkça bu veriye erişmeyiz. Hizmet'i sunmak için zorunlu olan ve Madde 6'da listelenen alt veri işleyenler dışında hiçbir tarafla paylaşmayız.
14.1Kimlik doğrulama, oturum yönetimi, tercihler ve sınırlı analitik amaçlarıyla çerezler ve benzeri teknolojiler kullanırız. Çerez kullanımımız controlsiq.com/cookies adresindeki Çerez Politikası'mızda açıklanmıştır ve atıf yoluyla işbu Politika'nın parçasıdır.
14.2İlk ziyarette size dört kategoriden oluşan bir çerez bandı gösterilir: Zorunlu (her zaman açık, Hizmet'in çalışması için gerekli), İşlevsel, Analitik ve Pazarlama. Son üçü rızanıza tabidir. Zorunlu olmayan çerezleri kabul ettiğiniz kadar kolaylıkla reddedebilirsiniz — iki düğme de eşit görünürlüktedir.
14.3Çerez tercihlerinizi dilediğiniz an Hesap Ayarları → Gizlilik ve Rıza menüsünden (oturumunuz açıkken) veya tarayıcınızın çerez yönetim ayarları üzerinden değiştirebilirsiniz (bkz. Çerez Politikası §4.4).
15.1İşbu Politika; Türkiye Cumhuriyeti hukukuna tabidir. Politika'dan doğan veya Politika ile ilgili her türlü husus KVKK'ya ve yetkili Türk makamlarının münhasır yargı yetkisine tabidir.
15.2Türkiye dışında yerleşik Kullanıcılar: Hizmet, Türk hukuku altında sunulmaktadır. Hizmet'i Türkiye dışından kullanarak; kişisel verilerinizin KVKK çerçevesinde işlendiğini, işbu Politika'nın Türk hukuku altında yorumlandığını ve ikamet ettiğiniz ülkede size uygulanabilecek ek kurallara uymanın sizin sorumluluğunuzda olduğunu kabul edersiniz. Hizmet'e Türkiye dışından erişen kullanıcılar bakımından herhangi bir yabancı veri koruma rejimine uyum taahhüt etmemekteyiz. Kişisel verilerin Türkiye'den; Türkiye'nin yeterlilik kararı verdiği veya sınır ötesi veri aktarımı anlaşması imzaladığı bir ülkeye aktarıldığı hâllerde, söz konusu karar veya anlaşmadaki güvenceler uygulanır (bkz. Madde 7).
15.3Aydınlatma Metni: işbu Politika'ya ek olarak, resmî KVKK Aydınlatma Metni'miz controlsiq.com/aydinlatma-metni adresinde İngilizce ve Türkçe olarak yayımlanmakta olup, çelişki hâlinde Türkçe sürüm esas alınır. KVKK kapsamında ayrı alınması gereken rızalar; kayıt anında granüler rıza kartları (Açık Rıza Metinleri) aracılığıyla ayrıca alınmaktadır; söz konusu rıza kartlarına ilişkin yayımlanmış referans belgesi controlsiq.com/acik-riza-esaslari adresinde yer almaktadır.
16.1İşbu Politika'yı zaman zaman güncelleyebiliriz. Esaslı değişiklikler; yürürlük tarihinden en az otuz (30) gün önce hesabınıza kayıtlı e-posta adresine gönderilen e-posta ve Hizmet içi bildirim ile aktif kullanıcılara duyurulur. Bazı değişikliklerde (özellikle verilerinizin kullanımını esaslı biçimde etkileyen değişiklikler dahil; model eğitiminin başlatılması da dahildir), değişiklik yürürlüğe girmeden önce rızanızı yenilemenizi isteriz.
16.2Esaslı olmayan değişiklikler (açıklamalar, yazım düzeltmeleri, link güncellemeleri, güvenlik iyileştirmeleri) yayım anında yürürlüğe girer; Politika'nın üst kısmındaki "Son güncelleme" tarihini güncelleriz.
16.3Politika'nın geçmiş sürümleri arşivlenir. Önceki bir sürümü görmek isterseniz support@controlsiq.com adresine yazın.
17.1Kişisel verilerinizi nasıl işlediğimize ilişkin her türlü soru, talep veya şikayet için support@controlsiq.com adresine yazabilirsiniz.
17.2Resmi yazışmalar Madde 2.1'de belirtilen Şirket'in tebligata esas adresine yapılabilir.