Data Processing Agreement

Datenverantwortlicher: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye. Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Zuständige Behörde: Istanbuler Gerichte und Vollstreckungsämter (KVKK Art. 22).

Diese DPA deckt alle personenbezogenen Daten ab, die verarbeitet werden, wenn Sie die Calvion-App nutzen, einschließlich Kontoinformationen, Gesundheitskennzahlen, Ernährungsprotokolle, Mahlzeitenbilder und Gerätekennungen.

Processing is limited to what is strictly necessary to provide the services.

Daten besonderer Kategorien (Gesundheits- und biometrische Daten) werden nur mit ausdrücklicher Einwilligung gemäß Art. 6 Abs. 1 KVKK verarbeitet. 6 und DSGVO Art. 9.

Kontoführung und Authentifizierung: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO / Art. 5 Abs. 2 lit. c KVKK).

KI-gestützte Ernährungsanalyse: berechtigtes Interesse und ausdrückliche Einwilligung (DSGVO Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Sicherheitsüberwachung und Betrugsprävention: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 5 Abs. 2 lit. d KVKK).

Einhaltung gesetzlicher Verpflichtungen: DSGVO Art. Art. 6(1)(c) / KVKK Art. 5(2)(a).

Hetzner Online GmbH (Deutschland) – Infrastruktur-Hosting. Daten werden auf Servern im EU-Raum gespeichert. Hetzner ist DSGVO-konform.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Durch die Nutzung KI-gestützter Funktionen stimmen Sie der grenzüberschreitenden Übertragung von Mahlzeitenbildern und zugehörigen Daten, wie in dieser DPA beschrieben, ausdrücklich zu.

Users who do not consent to international transfers should not use AI-powered features.

Alle Daten während der Übertragung sind mit TLS 1.3 geschützt. Daten im Ruhezustand werden mit AES-256-GCM verschlüsselt.

Sensitive health fields are encrypted at the application level before database storage.

Der Zugriff auf personenbezogene Daten ist auf autorisiertes Personal beschränkt. Der Administratorzugriff wird in einem Audit-Trail protokolliert.

Die Sicherheit auf Zeilenebene ist für Kerndatenbanktabellen aktiviert, um die Isolation der Benutzerdaten zu erzwingen.

Persönliche Daten werden so lange gespeichert, wie das Konto aktiv ist. Gelöschte Konten werden innerhalb von 30 Tagen endgültig aus den Produktionssystemen gelöscht.

You can export your data at any time via Settings → Export My Data.

Mit gelöschten Konten verknüpfte Gesundheitsdaten werden dauerhaft gelöscht. Aggregierte anonymisierte Analysen können gespeichert werden.

Backups mit personenbezogenen Daten werden innerhalb von 30 Tagen nach der Kontolöschung überschrieben.

Right of access: Export all your personal data at any time via the app.

Recht auf Löschung: Löschen Sie Ihr Konto und alle damit verbundenen Daten jederzeit aus der App.

Recht auf Berichtigung: Aktualisieren Sie Ihr Profil, Ihre Gesundheitsdaten und Ihre Präferenzen jederzeit.

Recht auf Datenübertragbarkeit: Der Datenexport ist im JSON-Format verfügbar.

Widerspruchsrecht / Widerruf der Einwilligung: Widerrufen Sie die Einwilligung zur Verarbeitung von Gesundheitsdaten, indem Sie Ihr Konto löschen oder den Support kontaktieren.

Zur Ausübung der KVKK-Kunst. 11 Rechtekontakt: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Die Benachrichtigung umfasst die Art des Verstoßes, die Kategorien der betroffenen Daten, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.