Data Processing Agreement

Titolare del trattamento: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Turchia. Il Titolare determina le finalità e i mezzi del trattamento dei dati personali.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Autorità competente: tribunali e uffici di controllo di Istanbul (KVKK art. 22).

Questo DPA copre tutti i dati personali trattati quando utilizzi l'app Calvion, comprese le informazioni sull'account, i parametri sanitari, i registri nutrizionali, le immagini dei pasti e gli identificatori del dispositivo.

Processing is limited to what is strictly necessary to provide the services.

I dati di categorie particolari (dati sanitari e biometrici) vengono trattati solo previo consenso esplicito ai sensi dell'art. 6 e GDPR art. 9.

Gestione dell'account e autenticazione: esecuzione del contratto (GDPR Art. 6(1)(b) / KVKK Art. 5(2)(c)).

Analisi nutrizionale basata sull'intelligenza artificiale: interesse legittimo e consenso esplicito (GDPR Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Monitoraggio della sicurezza e prevenzione delle frodi: interesse legittimo (Art. 6(1)(f) GDPR / Art. 5(2)(d) KVKK).

Rispetto degli obblighi di legge: GDPR art. 6 cpv. 1 lett. c / KVKK art. 5(2)(a).

Hetzner Online GmbH (Germania) — Hosting dell'infrastruttura. Dati archiviati su server della regione UE. Hetzner è conforme al GDPR.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Utilizzando le funzionalità assistite dall'intelligenza artificiale, acconsenti esplicitamente al trasferimento transfrontaliero delle immagini dei pasti e dei dati correlati come descritto nel presente DPA.

Users who do not consent to international transfers should not use AI-powered features.

Tutti i dati in transito sono protetti con TLS 1.3. I dati inattivi vengono crittografati con AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

L'accesso ai dati personali è limitato al personale autorizzato. L'accesso amministrativo viene registrato in un audit trail.

La sicurezza a livello di riga è abilitata sulle tabelle del database principale per imporre l'isolamento dei dati utente.

I dati personali vengono conservati finché l'account è attivo. Gli account eliminati vengono eliminati definitivamente dai sistemi di produzione entro 30 giorni.

You can export your data at any time via Settings → Export My Data.

I dati sanitari associati agli account eliminati vengono eliminati definitivamente. Le analisi anonimizzate aggregate possono essere conservate.

I backup contenenti dati personali vengono sovrascritti entro 30 giorni dalla cancellazione dell'account.

Right of access: Export all your personal data at any time via the app.

Diritto alla cancellazione: cancella il tuo account e tutti i dati associati in qualsiasi momento dall'app.

Diritto di rettifica: aggiorna il tuo profilo, i parametri sanitari e le preferenze in qualsiasi momento.

Diritto alla portabilità dei dati: l'esportazione dei dati è disponibile in formato JSON.

Diritto di opposizione/revoca del consenso: revocare il consenso al trattamento dei dati sanitari cancellando il proprio account o contattando l'assistenza.

Per esercitare la KVKK art. Contatto per i diritti 11: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

La notifica includerà la natura della violazione, le categorie di dati interessati, le probabili conseguenze e le misure adottate.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.