Data Processing Agreement

Datakontrollant: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Turkiet. Den personuppgiftsansvarige bestämmer ändamålen och medlen för behandling av personuppgifter.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Behörig myndighet: Istanbuls domstolar och tillsynsmyndigheter (KVKK art. 22).

Denna DPA täcker alla personliga uppgifter som behandlas när du använder Calvion-appen, inklusive kontoinformation, hälsostatistik, näringsloggar, måltidsbilder och enhetsidentifierare.

Processing is limited to what is strictly necessary to provide the services.

Särskilda kategoriuppgifter (hälso- och biometriska uppgifter) behandlas endast efter uttryckligt samtycke enligt KVKK Art. 6 och GDPR art. 9.

Kontohantering och autentisering: fullgörande av kontrakt (GDPR Art. 6(1)(b) / KVKK Art. 5(2)(c)).

AI-driven näringsanalys: berättigat intresse och uttryckligt samtycke (GDPR Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Säkerhetsövervakning och bedrägeriförebyggande: berättigat intresse (GDPR Art. 6(1)(f) / KVKK Art. 5(2)(d)).

Efterlevnad av juridiska skyldigheter: GDPR Art. 6(1)(c) / KVKK Art. 5(2)(a).

Hetzner Online GmbH (Tyskland) — Hosting för infrastruktur. Data lagras på EU-regionens servrar. Hetzner är GDPR-kompatibel.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Genom att använda AI-assisterade funktioner samtycker du uttryckligen till gränsöverskridande överföring av måltidsbilder och relaterad data enligt beskrivningen i denna DPA.

Users who do not consent to international transfers should not use AI-powered features.

All data under överföring är skyddad med TLS 1.3. Data i vila krypteras med AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Tillgång till personuppgifter är begränsad till behörig personal. Administratörsåtkomst loggas i ett revisionsspår.

Säkerhet på radnivå är aktiverad på kärndatabastabeller för att framtvinga isolering av användardata.

Personuppgifter bevaras så länge kontot är aktivt. Raderade konton raderas hårt från produktionssystemen inom 30 dagar.

You can export your data at any time via Settings → Export My Data.

Hälsodata kopplade till raderade konton rensas permanent. Aggregerad anonymiserad analys kan behållas.

Säkerhetskopior som innehåller personuppgifter skrivs över inom 30 dagar efter att kontot raderats.

Right of access: Export all your personal data at any time via the app.

Rätt till radering: Radera ditt konto och all tillhörande data när som helst från appen.

Rätt till rättelse: Uppdatera din profil, hälsostatistik och preferenser när som helst.

Rätt till dataportabilitet: Dataexport är tillgänglig i JSON-format.

Rätt att invända/återkalla samtycke: Återkalla samtycke för behandling av hälsodata genom att radera ditt konto eller kontakta support.

Att utöva KVKK Art. 11 rättigheter kontakta: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Underrättelsen kommer att inkludera typen av intrång, kategorier av data som påverkas, sannolika konsekvenser och vidtagna åtgärder.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.