Data Processing Agreement

数据控制者：Caymaz TechHealth Yazılım Tic。 Şti. 有限公司，伊斯坦布尔/土耳其。控制者决定处理个人数据的目的和方式。

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

主管当局：伊斯坦布尔法院和执法办公室（KVKK 第 22 条）。

本 DPA 涵盖您使用 Calvion 应用程序时处理的所有个人数据，包括帐户信息、健康指标、营养日志、膳食图像和设备标识符。

Processing is limited to what is strictly necessary to provide the services.

特殊类别数据（健康和生物识别数据）仅在 KVKK Art 明确同意的情况下进行处理。 6 和 GDPR 艺术。 9.

账户管理和身份验证：合同履行（GDPR 第 6(1)(b) 条/KVKK 第 5(2)(c) 条）。

AI 支持的营养分析：合法权益和明确同意（GDPR 第 6(1)(a)(f) 条 / KVKK 第 5(1)、6(2) 条）。

安全监控和欺诈预防：合法权益（GDPR 第 6(1)(f) 条/KVKK 第 5(2)(d) 条）。

遵守法律义务：GDPR 第 1 条6(1)(c) / KVKK 艺术。 5(2)(a)。

Hetzner Online GmbH（德国）——基础设施托管。数据存储在欧盟地区的服务器上。 Hetzner 符合 GDPR 规定。

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

使用人工智能辅助功能，即表示您明确同意跨境传输本 DPA 中所述的膳食图像和相关数据。

Users who do not consent to international transfers should not use AI-powered features.

所有传输中的数据均受 TLS 1.3 保护。静态数据使用 AES-256-GCM 加密。

Sensitive health fields are encrypted at the application level before database storage.

个人数据的访问仅限于授权人员。管理员访问记录在审核跟踪中。

在核心数据库表上启用行级安全性以强制用户数据隔离。

只要帐户处于活动状态，个人数据就会被保留。已删除的帐户会在 30 天内从生产系统中硬删除。

You can export your data at any time via Settings → Export My Data.

与已删除帐户关联的健康数据将被永久清除。可以保留汇总的匿名分析。

包含个人数据的备份将在帐户删除后 30 天内被覆盖。

Right of access: Export all your personal data at any time via the app.

删除权：随时从应用程序中删除您的帐户和所有相关数据。

纠正权：随时更新您的个人资料、健康指标和偏好。

数据可移植性权利：数据可以 JSON 格式导出。

反对/撤销同意的权利：通过删除您的帐户或联系支持人员来撤销对健康数据处理的同意。

练习 KVKK 艺术。 11 维权联系人：legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

通知将包括违规的性质、受影响的数据类别、可能的后果以及采取的措施。

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.