Data Processing Agreement

Responsable du traitement : Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Turquie. Le responsable du traitement détermine les finalités et les moyens du traitement des données personnelles.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Autorité compétente : tribunaux et bureaux d'exécution d'Istanbul (KVKK art. 22).

Ce DPA couvre toutes les données personnelles traitées lorsque vous utilisez l'application Calvion, y compris les informations de compte, les mesures de santé, les journaux nutritionnels, les images de repas et les identifiants d'appareil.

Processing is limited to what is strictly necessary to provide the services.

Les données de catégorie spéciale (données de santé et données biométriques) ne sont traitées qu'avec le consentement explicite en vertu de l'art. 6 et RGPD art. 9.

Gestion du compte et authentification : exécution du contrat (RGPD art. 6, paragraphe 1, point b) / KVKK, art. 5, paragraphe 2, point c)).

Analyse nutritionnelle basée sur l'IA : intérêt légitime et consentement explicite (RGPD art. 6(1)(a)(f) / KVKK art. 5(1), 6(2)).

Surveillance de la sécurité et prévention de la fraude : intérêt légitime (RGPD art. 6, paragraphe 1, point f) / KVKK, art. 5, paragraphe 2, point d)).

Respect des obligations légales : RGPD Art. 6, paragraphe 1, lettre c) / KVKK art. 5(2)(a).

Hetzner Online GmbH (Allemagne) — Hébergement d'infrastructure. Données stockées sur les serveurs de la région UE. Hetzner est conforme au RGPD.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

En utilisant les fonctionnalités assistées par l'IA, vous consentez explicitement au transfert transfrontalier d'images de repas et de données associées, comme décrit dans le présent DPA.

Users who do not consent to international transfers should not use AI-powered features.

Toutes les données en transit sont protégées avec TLS 1.3. Les données au repos sont chiffrées avec AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

L'accès aux données personnelles est limité au personnel autorisé. L’accès administrateur est enregistré dans une piste d’audit.

La sécurité au niveau des lignes est activée sur les tables de base de données principales pour appliquer l'isolation des données utilisateur.

Les données personnelles sont conservées aussi longtemps que le compte est actif. Les comptes supprimés sont définitivement supprimés des systèmes de production dans un délai de 30 jours.

You can export your data at any time via Settings → Export My Data.

Les données de santé associées aux comptes supprimés sont définitivement purgées. Des analyses anonymisées agrégées peuvent être conservées.

Les sauvegardes contenant des données personnelles sont écrasées dans les 30 jours suivant la suppression du compte.

Right of access: Export all your personal data at any time via the app.

Droit à l'effacement : Supprimez à tout moment votre compte et toutes les données associées depuis l'application.

Droit de rectification : mettez à jour votre profil, vos paramètres de santé et vos préférences à tout moment.

Droit à la portabilité des données : L'export des données est disponible au format JSON.

Droit d'opposition / retrait du consentement : Retirez votre consentement au traitement des données de santé en supprimant votre compte ou en contactant le support.

Pour exercer le KVKK Art. Contact 11 droits : legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

La notification inclura la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.