Annex to the Privacy Notice; incorporated by reference into the Terms of Service. For the Vendor Assessment Pack or change notifications, contact support@controlsiq.com.
This document lists the third-party service providers engaged by the Company to provide the ControlsIQ Service. Each such provider may process personal data on behalf of the Company as a sub-processor under Article 28 of the GDPR and the analogous provisions of the KVKK. The Company remains responsible to its Customers for the performance of these sub-processors' obligations. The Company does not engage any sub-processor for behavioural advertising, profiling for marketing purposes, sale of personal data, or any analogous activity. This list is an annex to the Privacy Notice and is incorporated by reference into the Terms of Service.
1.1The following sub-processors are engaged as of the effective date of this list.
Anthropic, PBC — Generative AI inference (the Claude API). Processes the inputs you submit (Customer Content, user prompts and conversation context) to generate Output. United States, with global infrastructure. Inputs are retained by Anthropic for up to 7 days for trust-and-safety purposes and are contractually prohibited from being used to train models. Transfer mechanism: Standard Contractual Clauses (for EU data subjects) and KVKK Article 9 explicit consent / contractual safeguards (for Türkiye). SOC 2 Type II. Named explicitly because the Anthropic Commercial Terms are central to our AI data position.
Payment service provider — not currently engaged. ControlsIQ does not yet process card payments. When a payment service provider is appointed for paid-plan billing it will be named here and in the Privacy Notice and Trust page, and — as the Turkish Distance Sales Regulation (Mesafeli Sözleşmeler Yönetmeliği) requires payment-method disclosure to Turkish Consumers — disclosed before any payment. The Company will never receive or store full card numbers; these are processed exclusively by the provider under PCI DSS standards.
Cloud hosting and application runtime — A SOC 2 Type II and ISO 27001 certified provider operating from European Union and United States regions. Receives application traffic, request metadata and server logs. Transfer mechanism: Standard Contractual Clauses and a data processing addendum.
Managed database service — A SOC 2 Type II certified provider operating from a European Union region. Stores Account data, project workspaces and Customer Content, with encrypted backups and point-in-time recovery. Transfer posture: intra-EEA processing for EU data subjects; SCC framework otherwise.
Transactional email service — A SOC 2 Type II certified provider operating from a United States region. Receives email addresses and transactional message content (account verification, billing notifications, security alerts, password resets). Not used for marketing. Transfer mechanism: Standard Contractual Clauses and a data processing addendum.
1.2The data categories processed by each sub-processor are limited to those necessary for the function described. No sub-processor receives Customer Content except where the function inherently requires it (the AI inference provider and the managed database).
1.3Specific vendor names, locations, certifications, sub-processor SOC 2 reports and DPA copies for the cloud-hosting, managed-database and transactional-email categories are disclosed to users and procurement teams on request. Contact support@controlsiq.com with the subject "Vendor Assessment Pack" — five-business-day response. We do not silently change providers; Article 4 governs material-change notification.
2.1Written Contracts. Each sub-processor is engaged under a written contract that imposes data protection obligations no less protective than those imposed on the Company by applicable data protection law. Such obligations include confidentiality, purpose limitation, the implementation of appropriate technical and organisational security measures, restrictions on onward transfer, and assistance with data subject rights and breach notification.
2.2Due Diligence and Oversight. The Company selects sub-processors that, in its reasonable assessment, provide sufficient guarantees to implement appropriate technical and organisational measures consistent with the requirements of applicable data protection law. The Company keeps under review the performance of its sub-processors and the appropriateness of its arrangements with them.
2.3Responsibility. As between the Company and its Customers, the Company remains responsible for the acts and omissions of its sub-processors to the same extent as if those acts and omissions were its own.
3.1KVKK Transfers. Transfers of personal data outside the Republic of Türkiye are conducted in accordance with Article 9 of the KVKK, on the basis of the data subject's explicit consent where required (Açık Rıza Esasları Card 2, at controlsiq.com/acik-riza-esaslari), the existence of appropriate safeguards, or the conditions otherwise specified in Article 9.
3.2GDPR Transfers. Transfers of personal data outside the European Economic Area, in respect of data subjects to whom the GDPR applies, are conducted on the basis of: (i) the European Commission's adequacy decisions, where applicable to the recipient jurisdiction; (ii) the standard contractual clauses adopted by the European Commission under Article 46(2) of the GDPR; or (iii) other transfer mechanisms permitted under Chapter V of the GDPR. Where a sub-processor is certified under the EU-US Data Privacy Framework, the Company may rely on that certification as a transfer mechanism.
3.3Information About Safeguards. Customers may obtain a copy of the relevant safeguards applicable to a transfer by contacting the Company at support@controlsiq.com.
4.1Right to Add or Replace. The Company may, from time to time, add or replace sub-processors. The need to do so may arise from changes in the Company's technology stack, from changes in market availability of services, from changes in regulatory requirements, or from operational considerations.
4.2Notice to Customers. The Company will publish the updated Sub-Processor List at controlsiq.com/sub-processors. For Enterprise Customers, the Company will additionally provide email notice to the designated data protection contact at least thirty (30) days in advance of the engagement becoming operational, save where shorter notice is required by reason of security, legal compulsion or operational necessity. A new sub-processor that materially affects Customer Content processing also triggers a Privacy Notice update with at least 30 days' notice to active users via in-Service notification and email.
4.3Right of Objection (Enterprise Customers). Enterprise Customers may, under the terms of an executed Data Processing Agreement, object to a proposed new sub-processor on reasonable grounds related to data protection within thirty (30) days of receiving notice. The Company will, in good faith, discuss the objection with the Customer and propose a commercially reasonable alternative. Where no alternative is available, the Customer's exclusive remedy is to terminate the affected Subscription, with a refund of pre-paid unused fees pro-rata.
4.4Free Plan and Standard Paid Plan Customers. For Customers other than Enterprise Customers, the publication of an updated Sub-Processor List constitutes notice. Continued use of the Service after publication constitutes acceptance of the updated list.
5.1Where the engagement of a new sub-processor is required at short notice in order to maintain the Service, to address a security incident, or to comply with a legal or regulatory obligation, the Company may engage that sub-processor with immediate effect, and will notify Customers as soon as reasonably practicable. The Company will continue to be responsible for compliance with applicable data protection law in respect of such engagement.
6.1Questions regarding this Sub-Processor List, requests for the Vendor Assessment Pack, or requests to receive proactive notification of changes, may be directed to support@controlsiq.com.
İşbu belge, ControlsIQ Hizmeti'nin sunulması için Şirket tarafından görevlendirilen üçüncü taraf hizmet sağlayıcılarını listeler. Bu sağlayıcıların her biri, GDPR'ın 28. maddesi ve KVKK'nın muadil hükümleri uyarınca Şirket adına bir alt veri işleyen sıfatıyla kişisel veri işleyebilir. Şirket, bu alt veri işleyenlerin yükümlülüklerini yerine getirmesinden Müşterilerine karşı sorumlu olmaya devam eder. Şirket; davranışsal reklam, pazarlama amaçlı profilleme, kişisel veri satışı veya benzer faaliyetler için hiçbir alt veri işleyen görevlendirmez. Bu liste, Gizlilik Politikası'nın bir ekidir ve Kullanıcı Sözleşmesi'ne atıfla dâhil edilmiştir.
1.1İşbu listenin yürürlük tarihi itibarıyla aşağıdaki alt veri işleyenler görevlendirilmiştir.
Anthropic, PBC — Üretken yapay zekâ çıkarımı (Claude API). Çıktı üretmek için gönderdiğiniz girdileri (Müşteri İçeriği, kullanıcı komutları ve konuşma bağlamı) işler. Amerika Birleşik Devletleri, küresel altyapı ile. Girdiler, güven ve güvenlik amaçlarıyla Anthropic tarafından en fazla 7 gün saklanır ve sözleşmesel olarak model eğitiminde kullanılması yasaktır. Aktarım mekanizması: Standart Sözleşme Maddeleri (AB veri sahipleri için) ve KVKK Madde 9 açık rıza / sözleşmesel güvenceler (Türkiye için). SOC 2 Type II. Anthropic Ticari Şartları, yapay zekâ veri konumumuzun merkezinde olduğu için açıkça isimlendirilmiştir.
Ödeme hizmeti sağlayıcısı — şu an görevlendirilmemiştir. ControlsIQ henüz kart ödemesi işlememektedir. Ücretli Plan faturalandırması için bir ödeme hizmeti sağlayıcısı görevlendirildiğinde; burada, Gizlilik Politikası'nda ve Güven sayfasında isimlendirilecek ve — Mesafeli Sözleşmeler Yönetmeliği, Türk Tüketicilere ödeme yöntemi açıklamasını gerektirdiği için — ödemeden önce açıklanacaktır. Tam kart numaraları Şirket tarafından hiçbir zaman alınmaz veya saklanmaz; münhasıran sağlayıcı tarafından PCI DSS standartları çerçevesinde işlenir.
Bulut barındırma ve uygulama çalışma zamanı — Avrupa Birliği ve Amerika Birleşik Devletleri bölgelerinden faaliyet gösteren SOC 2 Type II ve ISO 27001 sertifikalı bir sağlayıcı. Uygulama trafiğini, istek meta verisini ve sunucu günlüklerini alır. Aktarım mekanizması: Standart Sözleşme Maddeleri ve bir veri işleme ek sözleşmesi.
Yönetilen veritabanı hizmeti — Bir Avrupa Birliği bölgesinden faaliyet gösteren SOC 2 Type II sertifikalı bir sağlayıcı. Hesap verilerini, proje çalışma alanlarını ve Müşteri İçeriği'ni şifreli yedekler ve zaman-noktası kurtarma ile saklar. Aktarım duruşu: AB veri sahipleri için AEA içi işleme; aksi hâlde SCC çerçevesi.
İşlem e-postası hizmeti — Bir Amerika Birleşik Devletleri bölgesinden faaliyet gösteren SOC 2 Type II sertifikalı bir sağlayıcı. E-posta adreslerini ve işlem mesajı içeriğini (hesap doğrulama, faturalandırma bildirimleri, güvenlik uyarıları, şifre sıfırlama) alır. Pazarlama için kullanılmaz. Aktarım mekanizması: Standart Sözleşme Maddeleri ve bir veri işleme ek sözleşmesi.
1.2Her alt veri işleyen tarafından işlenen veri kategorileri, açıklanan fonksiyon için gerekli olanlarla sınırlıdır. Fonksiyonun doğası gereği gerektirdiği hâller (yapay zekâ çıkarım sağlayıcısı ve yönetilen veritabanı) dışında, hiçbir alt veri işleyen Müşteri İçeriği almaz.
1.3Bulut-barındırma, yönetilen-veritabanı ve işlem-e-postası kategorileri için belirli sağlayıcı adları, konumları, sertifikaları, alt veri işleyen SOC 2 raporları ve DPA kopyaları; kullanıcılara ve tedarik ekiplerine talep üzerine açıklanır. "Vendor Assessment Pack" konusuyla support@controlsiq.com adresine yazınız — beş iş günü içinde yanıt. Sağlayıcıları sessizce değiştirmeyiz; esaslı değişiklik bildirimi Madde 4 ile düzenlenir.
2.1Yazılı Sözleşmeler. Her alt veri işleyen; geçerli veri koruma hukukunun Şirket'e yüklediği yükümlülüklerden daha az koruyucu olmayan veri koruma yükümlülükleri getiren yazılı bir sözleşme kapsamında görevlendirilir. Bu yükümlülükler; gizlilik, amaç sınırlaması, uygun teknik ve idari güvenlik tedbirlerinin uygulanması, ileriye aktarım kısıtlamaları ile veri sahibi haklarına ve ihlal bildirimine yardım hususlarını içerir.
2.2Durum Tespiti ve Gözetim. Şirket; makul değerlendirmesine göre, geçerli veri koruma hukukunun gerekleriyle tutarlı uygun teknik ve idari tedbirleri uygulamak için yeterli güvenceleri sağlayan alt veri işleyenleri seçer. Şirket; alt veri işleyenlerinin performansını ve bunlarla yaptığı düzenlemelerin uygunluğunu sürekli olarak gözden geçirir.
2.3Sorumluluk. Şirket ile Müşterileri arasında, Şirket; alt veri işleyenlerinin fiil ve ihmallerinden, bunlar kendi fiil ve ihmalleriymiş gibi aynı ölçüde sorumlu olmaya devam eder.
3.1KVKK Aktarımları. Kişisel verilerin Türkiye Cumhuriyeti dışına aktarımı; KVKK'nın 9. maddesi uyarınca, gerektiğinde veri sahibinin açık rızası (Açık Rıza Esasları Kart 2, controlsiq.com/acik-riza-esaslari adresinde), uygun güvencelerin varlığı veya 9. maddede aksi belirtilen koşullar temelinde gerçekleştirilir.
3.2GDPR Aktarımları. GDPR'ın uygulandığı veri sahipleri bakımından kişisel verilerin Avrupa Ekonomik Alanı dışına aktarımı; (i) alıcı yargı bölgesine uygulanabildiği hâlde Avrupa Komisyonu'nun yeterlilik kararları; (ii) Avrupa Komisyonu'nun GDPR'ın 46(2). maddesi uyarınca kabul ettiği standart sözleşme maddeleri; veya (iii) GDPR'ın V. Bölümü kapsamında izin verilen diğer aktarım mekanizmaları temelinde gerçekleştirilir. Bir alt veri işleyenin AB-ABD Veri Gizliliği Çerçevesi kapsamında sertifikalı olması hâlinde, Şirket bu sertifikaya aktarım mekanizması olarak dayanabilir.
3.3Güvenceler Hakkında Bilgi. Müşteriler; bir aktarıma uygulanan ilgili güvencelerin bir kopyasını support@controlsiq.com adresinden Şirket ile iletişime geçerek edinebilir.
4.1Ekleme veya Değiştirme Hakkı. Şirket zaman zaman alt veri işleyen ekleyebilir veya değiştirebilir. Bunun gerekliliği; Şirket'in teknoloji yığınındaki değişikliklerden, hizmetlerin piyasada bulunabilirliğindeki değişikliklerden, düzenleyici gerekliliklerdeki değişikliklerden veya operasyonel mülahazalardan doğabilir.
4.2Müşterilere Bildirim. Şirket, güncellenen Alt Veri İşleyenler Listesi'ni controlsiq.com/sub-processors adresinde yayımlayacaktır. Kurumsal Müşteriler için Şirket; güvenlik, hukuki zorunluluk veya operasyonel gereklilik nedeniyle daha kısa bildirim gerekmedikçe, görevlendirmenin yürürlüğe girmesinden en az otuz (30) gün önce belirlenen veri koruma irtibat kişisine ayrıca e-posta ile bildirimde bulunacaktır. Müşteri İçeriği işlenmesini esaslı şekilde etkileyen yeni bir alt veri işleyen, aktif kullanıcılara Hizmet içi bildirim ve e-posta ile en az 30 gün önceden bildirimle birlikte bir Gizlilik Politikası güncellemesini de tetikler.
4.3İtiraz Hakkı (Kurumsal Müşteriler). Kurumsal Müşteriler; imzalanmış bir Veri İşleme Sözleşmesi şartları uyarınca, önerilen yeni bir alt veri işleyene, bildirimi aldıktan sonra otuz (30) gün içinde veri korumayla ilgili makul gerekçelerle itiraz edebilir. Şirket, itirazı Müşteri ile iyi niyetle görüşecek ve ticari olarak makul bir alternatif önerecektir. Hiçbir alternatifin bulunmadığı hâllerde Müşteri'nin münhasır çözüm yolu; ilgili Aboneliği feshetmek ve önceden ödenmiş kullanılmayan ücretlerin orantılı (pro-rata) iadesini almaktır.
4.4Ücretsiz Plan ve Standart Ücretli Plan Müşterileri. Kurumsal Müşteriler dışındaki Müşteriler için, güncellenen bir Alt Veri İşleyenler Listesi'nin yayımlanması bildirim teşkil eder. Yayımlanmadan sonra Hizmet'in kullanılmaya devam edilmesi, güncellenen listenin kabulü anlamına gelir.
5.1Hizmet'i sürdürmek, bir güvenlik olayını gidermek veya hukuki ya da düzenleyici bir yükümlülüğe uymak amacıyla yeni bir alt veri işleyenin kısa sürede görevlendirilmesinin gerektiği hâllerde, Şirket o alt veri işleyeni derhal yürürlüğe girecek şekilde görevlendirebilir ve makul olan en kısa sürede Müşterilere bildirimde bulunur. Şirket, bu görevlendirme bakımından geçerli veri koruma hukukuna uyumdan sorumlu olmaya devam eder.
6.1İşbu Alt Veri İşleyenler Listesi hakkındaki sorular, Vendor Assessment Pack talepleri veya değişikliklere ilişkin proaktif bildirim almak için talepler support@controlsiq.com adresine yöneltilebilir.