Data Processing Agreement

Контроллер данных: Caymaz TechHealth Yazılım Tic. ООО Şti., Стамбул/Турция. Контролер определяет цели и средства обработки персональных данных.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Компетентный орган: Стамбульские суды и исполнительные органы (статья 22 КВКК).

Настоящее DPA распространяется на все персональные данные, обрабатываемые при использовании вами приложения Calvion, включая информацию об учетной записи, показатели здоровья, журналы питания, изображения блюд и идентификаторы устройств.

Processing is limited to what is strictly necessary to provide the services.

Данные особой категории (медицинские и биометрические данные) обрабатываются только с явного согласия в соответствии со ст. КВКК. 6 и ст. GDPR. 9.

Управление учетной записью и аутентификация: выполнение договора (статья 6(1)(b) GDPR / статья 5(2)(c) KVKK).

Анализ питания с помощью искусственного интеллекта: законный интерес и явное согласие (статья 6(1)(a)(f) GDPR / статья 5(1), 6(2) KVKK).

Мониторинг безопасности и предотвращение мошенничества: законный интерес (статья 6(1)(f) GDPR / статья 5(2)(d) GDPR).

Соблюдение юридических обязательств: GDPR Ст. 6(1)(c) / КВКК Ст. 5(2)(а).

Hetzner Online GmbH (Германия) — Инфраструктурный хостинг. Данные хранятся на серверах региона ЕС. Hetzner соответствует требованиям GDPR.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Используя функции искусственного интеллекта, вы явно соглашаетесь на трансграничную передачу изображений еды и связанных с ними данных, как описано в настоящем DPA.

Users who do not consent to international transfers should not use AI-powered features.

Все передаваемые данные защищены TLS 1.3. Неактивные данные шифруются с помощью AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Доступ к персональным данным ограничен уполномоченным персоналом. Доступ администратора регистрируется в журнале аудита.

В основных таблицах базы данных включена безопасность на уровне строк для обеспечения изоляции пользовательских данных.

Персональные данные сохраняются до тех пор, пока активна учетная запись. Удаленные учетные записи жестко удаляются из производственных систем в течение 30 дней.

You can export your data at any time via Settings → Export My Data.

Данные о состоянии здоровья, связанные с удаленными учетными записями, удаляются без возможности восстановления. Агрегированная анонимная аналитика может быть сохранена.

Резервные копии, содержащие персональные данные, перезаписываются в течение 30 дней с момента удаления учетной записи.

Right of access: Export all your personal data at any time via the app.

Право на удаление: удалите свою учетную запись и все связанные с ней данные в любое время из приложения.

Право на исправление: обновите свой профиль, показатели здоровья и предпочтения в любое время.

Право на переносимость данных: экспорт данных доступен в формате JSON.

Право на возражение/отзыв согласия: отзовите согласие на обработку медицинских данных, удалив свою учетную запись или обратившись в службу поддержки.

Для осуществления КВКК ст. 11 контактов по правам: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

В уведомлении будет указан характер нарушения, категории затронутых данных, вероятные последствия и принятые меры.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.