Data Processing Agreement

Dataansvarlig: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye. Den dataansvarlige bestemmer formålene og midlerne til behandling af personoplysninger.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Kompetent myndighed: Istanbuls domstole og håndhævelseskontorer (KVKK art. 22).

Denne DPA dækker alle personlige data, der behandles, når du bruger Calvion-appen, inklusive kontooplysninger, sundhedsmålinger, ernæringslogfiler, måltidsbilleder og enhedsidentifikatorer.

Processing is limited to what is strictly necessary to provide the services.

Særlige kategoridata (sundheds- og biometriske data) behandles kun efter udtrykkeligt samtykke i henhold til KVKK Art. 6 og GDPR art. 9.

Kontostyring og autentificering: opfyldelse af kontrakt (GDPR Art. 6(1)(b) / KVKK Art. 5(2)(c)).

AI-drevet ernæringsanalyse: legitim interesse og eksplicit samtykke (GDPR art. 6(1)(a)(f) / KVKK art. 5(1), 6(2)).

Sikkerhedsovervågning og bedrageriforebyggelse: legitim interesse (GDPR art. 6(1)(f) / KVKK art. 5(2)(d)).

Overholdelse af juridiske forpligtelser: GDPR Art. 6, stk. 1, litra c) / KVKK art. 5(2)(a).

Hetzner Online GmbH (Tyskland) — Infrastrukturhosting. Data gemt på servere i EU-regionen. Hetzner er GDPR-kompatibel.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Ved at bruge AI-assisterede funktioner giver du eksplicit samtykke til grænseoverskridende overførsel af måltidsbilleder og relaterede data som beskrevet i denne DPA.

Users who do not consent to international transfers should not use AI-powered features.

Alle data i transit er beskyttet med TLS 1.3. Data i hvile er krypteret med AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Adgang til personoplysninger er begrænset til autoriseret personale. Adminadgang logges i et revisionsspor.

Sikkerhed på rækkeniveau er aktiveret på kernedatabasetabeller for at gennemtvinge isolering af brugerdata.

Personoplysninger opbevares, så længe kontoen er aktiv. Slettede konti slettes hårdt fra produktionssystemer inden for 30 dage.

You can export your data at any time via Settings → Export My Data.

Sundhedsdata forbundet med slettede konti slettes permanent. Aggregerede anonymiserede analyser kan bibeholdes.

Sikkerhedskopier, der indeholder personlige data, overskrives inden for 30 dage efter kontosletning.

Right of access: Export all your personal data at any time via the app.

Ret til sletning: Slet din konto og alle tilknyttede data til enhver tid fra appen.

Ret til berigtigelse: Opdater din profil, helbredsmålinger og præferencer til enhver tid.

Ret til dataportabilitet: Dataeksport er tilgængelig i JSON-format.

Ret til at gøre indsigelse / tilbagekaldelse af samtykke: Tilbagekaldelse af samtykke til behandling af helbredsdata ved at slette din konto eller kontakte support.

At udøve KVKK Art. 11 rettigheder kontakt: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Underretningen vil omfatte arten af ​​bruddet, kategorier af data, der er berørt, sandsynlige konsekvenser og truffet foranstaltninger.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.