Data Processing Agreement

データ管理者: Caymaz TechHealth Yazılım Tic. Ltd. Şti.、イスタンブール / トゥルキエ。管理者は個人データを処理する目的と手段を決定します。

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

管轄当局: イスタンブール裁判所および執行局 (KVKK 第 22 条)。

この DPA は、アカウント情報、健康指標、栄養ログ、食事画像、デバイス ID など、Calvion アプリを使用するときに処理されるすべての個人データを対象としています。

Processing is limited to what is strictly necessary to provide the services.

特別なカテゴリのデータ (健康データおよび生体認証データ) は、KVKK Art. に基づいて明示的な同意がある場合にのみ処理されます。 6 および GDPR 第 6 条9.

アカウント管理と認証: 契約の履行 (GDPR 第 6 条(1)(b) / KVKK 第 5 条(2)(c))。

AI を活用した栄養分析: 正当な利益と明示的な同意 (GDPR 第 6 条(1)(a)(f) / KVKK 第 5 条(1)、6(2))。

セキュリティの監視と不正行為の防止: 正当な利益 (GDPR 第 6 条(1)(f) / KVKK 第 5 条(2)(d))。

法的義務の遵守: GDPR Art. 6(1)(c) / KVKK 条項。 5(2)(a)。

Hetzner Online GmbH (ドイツ) — インフラストラクチャ ホスティング。データは EU 地域のサーバーに保存されます。 Hetzner は GDPR に準拠しています。

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

AI 支援機能を使用すると、この DPA に記載されている食事画像および関連データの国境を越えた転送に明示的に同意したことになります。

Users who do not consent to international transfers should not use AI-powered features.

転送中のすべてのデータは TLS 1.3 で保護されます。保存データは AES-256-GCM で暗号化されます。

Sensitive health fields are encrypted at the application level before database storage.

個人データへのアクセスは、権限を与えられた担当者に限定されます。管理者アクセスは監査証跡に記録されます。

ユーザーデータの分離を強制するために、コアデータベーステーブルでは行レベルのセキュリティが有効になっています。

個人データは、アカウントがアクティブである限り保持されます。削除されたアカウントは、30 日以内に運用システムから物理的に削除されます。

You can export your data at any time via Settings → Export My Data.

削除されたアカウントに関連付けられた健康データは完全に消去されます。集約された匿名化された分析は保持される場合があります。

個人データを含むバックアップは、アカウント削除後 30 日以内に上書きされます。

Right of access: Export all your personal data at any time via the app.

消去する権利: アカウントとすべての関連データをアプリからいつでも削除できます。

修正する権利: いつでもプロフィール、健康指標、設定を更新できます。

データのポータビリティの権利: データのエクスポートは JSON 形式で利用できます。

同意の異議/撤回の権利: アカウントを削除するかサポートに連絡することにより、健康データ処理に対する同意を撤回します。

KVKKアートを実践する。 11 権利連絡先: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

通知には、侵害の性質、影響を受けるデータのカテゴリ、予想される結果、および講じられた措置が含まれます。

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.