Data Processing Agreement

Gegevensbeheerder: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Turkiye. De Verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Bevoegde autoriteit: rechtbanken en handhavingsbureaus van Istanbul (KVKK art. 22).

Deze DPA heeft betrekking op alle persoonlijke gegevens die worden verwerkt wanneer u de Calvion-app gebruikt, inclusief accountinformatie, gezondheidsstatistieken, voedingslogboeken, maaltijdafbeeldingen en apparaat-ID's.

Processing is limited to what is strictly necessary to provide the services.

Gegevens van bijzondere categorieën (gezondheids- en biometrische gegevens) worden alleen verwerkt met uitdrukkelijke toestemming op grond van KVKK Art. 6 en AVG Art. 9.

Accountbeheer en authenticatie: uitvoering van contract (AVG art. 6(1)(b) / KVKK art. 5(2)(c)).

Door AI aangedreven voedingsanalyse: legitiem belang en uitdrukkelijke toestemming (AVG art. 6(1)(a)(f) / KVKK art. 5(1), 6(2)).

Beveiligingsmonitoring en fraudepreventie: legitiem belang (AVG art. 6(1)(f) / KVKK art. 5(2)(d)).

Naleving van wettelijke verplichtingen: AVG Art. 6(1)(c) / KVKK Art. 5(2)(a).

Hetzner Online GmbH (Duitsland) — Infrastructuurhosting. Gegevens opgeslagen op servers in de EU-regio. Hetzner voldoet aan de AVG.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Door AI-ondersteunde functies te gebruiken, geeft u expliciet toestemming voor de grensoverschrijdende overdracht van maaltijdafbeeldingen en gerelateerde gegevens zoals beschreven in deze DPA.

Users who do not consent to international transfers should not use AI-powered features.

Alle gegevens die onderweg zijn, worden beschermd met TLS 1.3. Gegevens in rust worden gecodeerd met AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Toegang tot persoonsgegevens is beperkt tot bevoegd personeel. Beheerderstoegang wordt vastgelegd in een audittrail.

Beveiliging op rijniveau is ingeschakeld voor kerndatabasetabellen om de isolatie van gebruikersgegevens af te dwingen.

Persoonsgegevens worden bewaard zolang het account actief is. Verwijderde accounts worden binnen 30 dagen definitief verwijderd uit productiesystemen.

You can export your data at any time via Settings → Export My Data.

Gezondheidsgegevens die aan verwijderde accounts zijn gekoppeld, worden permanent verwijderd. Geaggregeerde geanonimiseerde analyses kunnen worden bewaard.

Back-ups met persoonlijke gegevens worden binnen 30 dagen na het verwijderen van het account overschreven.

Right of access: Export all your personal data at any time via the app.

Recht op verwijdering: Verwijder op elk moment uw account en alle bijbehorende gegevens uit de app.

Recht op rectificatie: Update uw profiel, gezondheidsstatistieken en voorkeuren op elk gewenst moment.

Recht op gegevensportabiliteit: Gegevensexport is beschikbaar in JSON-formaat.

Recht op bezwaar / intrekking van toestemming: Trek de toestemming voor de verwerking van gezondheidsgegevens in door uw account te verwijderen of contact op te nemen met de ondersteuning.

Voor het uitoefenen van KVKK Art. 11 rechtencontact: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

De melding omvat de aard van de inbreuk, de betrokken categorieën gegevens, de waarschijnlijke gevolgen en de genomen maatregelen.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.