Data Processing Agreement

Pengontrol Data: Caymaz TechHealth Yazılım Tic. Ltd.Şti., Istanbul / Türkiye. Pengendali menentukan tujuan dan cara pemrosesan data pribadi.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Otoritas yang berwenang: Pengadilan dan Kantor Penegakan Istanbul (KVKK Pasal 22).

DPA ini mencakup semua data pribadi yang diproses saat Anda menggunakan aplikasi Calvion, termasuk informasi akun, metrik kesehatan, catatan nutrisi, gambar makanan, dan pengidentifikasi perangkat.

Processing is limited to what is strictly necessary to provide the services.

Data kategori khusus (data kesehatan dan biometrik) diproses hanya dengan persetujuan eksplisit berdasarkan KVKK Art. 6 dan GDPR Seni. 9.

Manajemen akun dan otentikasi: pelaksanaan kontrak (GDPR Pasal 6(1)(b) / KVKK Pasal 5(2)(c)).

Analisis nutrisi yang didukung AI: kepentingan sah dan persetujuan eksplisit (GDPR Pasal 6(1)(a)(f) / KVKK Pasal 5(1), 6(2)).

Pemantauan keamanan dan pencegahan penipuan: kepentingan sah (GDPR Pasal 6(1)(f) / KVKK Pasal 5(2)(d)).

Kepatuhan terhadap kewajiban hukum: GDPR Art. 6(1)(c) / KVKK Seni. 5(2)(a).

Hetzner Online GmbH (Jerman) — Hosting infrastruktur. Data disimpan di server wilayah UE. Hetzner mematuhi GDPR.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Dengan menggunakan fitur bantuan AI, Anda secara eksplisit menyetujui transfer gambar makanan dan data terkait lintas batas negara seperti yang dijelaskan dalam DPA ini.

Users who do not consent to international transfers should not use AI-powered features.

Semua data dalam perjalanan dilindungi dengan TLS 1.3. Data tidak aktif dienkripsi dengan AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Akses ke data pribadi terbatas pada personel yang berwenang. Akses admin dicatat dalam jejak audit.

Keamanan tingkat baris diaktifkan pada tabel database inti untuk menerapkan isolasi data pengguna.

Data pribadi disimpan selama akun aktif. Akun yang dihapus akan dihapus secara permanen dari sistem produksi dalam waktu 30 hari.

You can export your data at any time via Settings → Export My Data.

Data kesehatan yang terkait dengan akun yang dihapus akan dihapus secara permanen. Analisis gabungan yang dianonimkan dapat dipertahankan.

Cadangan yang berisi data pribadi akan ditimpa dalam waktu 30 hari setelah penghapusan akun.

Right of access: Export all your personal data at any time via the app.

Hak untuk menghapus: Hapus akun Anda dan semua data terkait kapan saja dari aplikasi.

Hak atas perbaikan: Perbarui profil, metrik kesehatan, dan preferensi Anda kapan saja.

Hak atas portabilitas data: Ekspor data tersedia dalam format JSON.

Hak untuk menolak/mencabut persetujuan: Menarik persetujuan untuk pemrosesan data kesehatan dengan menghapus akun Anda atau menghubungi dukungan.

Untuk melaksanakan KVKK Seni. 11 kontak hak: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Pemberitahuan akan mencakup sifat pelanggaran, kategori data yang terkena dampak, kemungkinan konsekuensi, dan tindakan yang diambil.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.