Data Processing Agreement

Rekisterinpitäjä: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye. Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Toimivaltainen viranomainen: Istanbulin tuomioistuimet ja täytäntöönpanovirastot (KVKK Art. 22).

Tämä tietosuojalaki kattaa kaikki henkilötiedot, joita käsitellään Calvion-sovelluksen käytön aikana, mukaan lukien tilitiedot, terveystiedot, ravintolokit, ateriakuvat ja laitetunnisteet.

Processing is limited to what is strictly necessary to provide the services.

Erityisluokkien tietoja (terveys- ja biometriset tiedot) käsitellään vain KVKK Art:n mukaisella nimenomaisella suostumuksella. 6 ja GDPR Art. 9.

Tilinhallinta ja todennus: sopimuksen täytäntöönpano (GDPR Art. 6(1)(b) / KVKK Art. 5(2(c)).

Tekoälyllä toimiva ravitsemusanalyysi: oikeutettu etu ja nimenomainen suostumus (GDPR art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2).

Turvallisuusvalvonta ja petostentorjunta: oikeutettu etu (GDPR Art. 6(1)(f) / KVKK Art. 5(2(d)).

Lakisääteisten velvoitteiden noudattaminen: GDPR Art. 6 artiklan 1 kohdan c alakohta / KVKK art. 5(2)(a).

Hetzner Online GmbH (Saksa) — Infrastruktuurin isännöinti. EU-alueen palvelimille tallennetut tiedot. Hetzner on GDPR-yhteensopiva.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Käyttämällä tekoälyn tukemia ominaisuuksia hyväksyt nimenomaisesti ateriakuvien ja niihin liittyvien tietojen rajat ylittävän siirron tässä tietosuojalausekkeessa kuvatulla tavalla.

Users who do not consent to international transfers should not use AI-powered features.

Kaikki siirrettävät tiedot on suojattu TLS 1.3:lla. Lepotilassa olevat tiedot on salattu AES-256-GCM:llä.

Sensitive health fields are encrypted at the application level before database storage.

Pääsy henkilötietoihin on rajoitettu valtuutetuille henkilöille. Järjestelmänvalvojan käyttöoikeudet kirjataan kirjausketjuun.

Rivitason suojaus on otettu käyttöön ydintietokantataulukoissa käyttäjän tietojen eristämisen pakottamiseksi.

Henkilötietoja säilytetään niin kauan kuin tili on aktiivinen. Poistetut tilit poistetaan tuotantojärjestelmistä 30 päivän kuluessa.

You can export your data at any time via Settings → Export My Data.

Poistettuihin tileihin liittyvät terveystiedot tyhjennetään pysyvästi. Kootut anonymisoidut analyysit voidaan säilyttää.

Henkilötietoja sisältävät varmuuskopiot korvataan 30 päivän kuluessa tilin poistamisesta.

Right of access: Export all your personal data at any time via the app.

Oikeus poistaa: Poista tilisi ja kaikki siihen liittyvät tiedot milloin tahansa sovelluksesta.

Oikeus oikaisuun: Päivitä profiilisi, terveystietosi ja asetuksesi milloin tahansa.

Oikeus tietojen siirrettävyyteen: Tietojen vienti on saatavilla JSON-muodossa.

Oikeus vastustaa / suostumuksen peruuttaminen: Peruuta suostumus terveystietojen käsittelyyn poistamalla tilisi tai ottamalla yhteyttä tukeen.

Harjoitella KVKK Art. 11 oikeuksien yhteystiedot: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Ilmoitus sisältää tietoturvaloukkauksen luonteen, tietoluokat, joihin se vaikuttaa, todennäköiset seuraukset ja toteutetut toimenpiteet.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.