Data Processing Agreement

Responsable del tratamiento: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Estambul / Türkiye. El Responsable determina los fines y medios del tratamiento de los datos personales.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Autoridad competente: Tribunales y Oficinas de Ejecución de Estambul (KVKK Art. 22).

Este DPA cubre todos los datos personales procesados ​​cuando utiliza la aplicación Calvion, incluida la información de la cuenta, métricas de salud, registros nutricionales, imágenes de comidas e identificadores de dispositivos.

Processing is limited to what is strictly necessary to provide the services.

Los datos de categorías especiales (datos de salud y biométricos) se procesan únicamente con el consentimiento explícito según el art. 6 y art. RGPD. 9.

Gestión y autenticación de cuentas: ejecución del contrato (RGPD Art. 6(1)(b) / KVKK Art. 5(2)(c)).

Análisis nutricional basado en IA: interés legítimo y consentimiento explícito (GDPR Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Monitoreo de seguridad y prevención de fraude: interés legítimo (GDPR Art. 6(1)(f) / KVKK Art. 5(2)(d)).

Cumplimiento de obligaciones legales: RGPD art. 6(1)(c) / KVKK art. 5(2)(a).

Hetzner Online GmbH (Alemania) — Alojamiento de infraestructura. Datos almacenados en servidores de la región de la UE. Hetzner cumple con el RGPD.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Al utilizar funciones asistidas por IA, usted acepta explícitamente la transferencia transfronteriza de imágenes de comidas y datos relacionados como se describe en este DPA.

Users who do not consent to international transfers should not use AI-powered features.

Todos los datos en tránsito están protegidos con TLS 1.3. Los datos en reposo se cifran con AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

El acceso a los datos personales está limitado al personal autorizado. El acceso de administrador se registra en un registro de auditoría.

La seguridad a nivel de fila está habilitada en las tablas de la base de datos principal para imponer el aislamiento de los datos del usuario.

Los datos personales se conservan mientras la cuenta esté activa. Las cuentas eliminadas se eliminan definitivamente de los sistemas de producción en un plazo de 30 días.

You can export your data at any time via Settings → Export My Data.

Los datos de salud asociados con cuentas eliminadas se eliminan permanentemente. Se pueden conservar análisis anónimos agregados.

Las copias de seguridad que contienen datos personales se sobrescriben dentro de los 30 días posteriores a la eliminación de la cuenta.

Right of access: Export all your personal data at any time via the app.

Derecho de eliminación: Elimina tu cuenta y todos los datos asociados en cualquier momento desde la aplicación.

Derecho de rectificación: Actualiza tu perfil, métricas de salud y preferencias en cualquier momento.

Derecho a la portabilidad de los datos: La exportación de datos está disponible en formato JSON.

Derecho a oponerse/retirada del consentimiento: Retirar el consentimiento para el procesamiento de datos de salud eliminando su cuenta o comunicándose con el soporte.

Para ejercer el art. KVKK. 11 contacto de derechos: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

La notificación incluirá la naturaleza de la violación, las categorías de datos afectados, las posibles consecuencias y las medidas tomadas.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.