Data Processing Agreement

Datakontrollør: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye. Den behandlingsansvarlige bestemmer formål og midler for å behandle personopplysninger.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Kompetent myndighet: Istanbuls domstoler og håndhevingskontorer (KVKK Art. 22).

Denne DPA-en dekker alle personlige data som behandles når du bruker Calvion-appen, inkludert kontoinformasjon, helsemålinger, ernæringslogger, måltidsbilder og enhetsidentifikatorer.

Processing is limited to what is strictly necessary to provide the services.

Spesialkategoridata (helse- og biometriske data) behandles kun etter uttrykkelig samtykke under KVKK Art. 6 og GDPR art. 9.

Kontoadministrasjon og autentisering: oppfyllelse av kontrakt (GDPR Art. 6(1)(b) / KVKK Art. 5(2)(c)).

AI-drevet ernæringsanalyse: legitim interesse og eksplisitt samtykke (GDPR Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Sikkerhetsovervåking og svindelforebygging: legitim interesse (GDPR Art. 6(1)(f) / KVKK Art. 5(2)(d)).

Overholdelse av juridiske forpliktelser: GDPR Art. 6(1)(c) / KVKK Art. 5(2)(a).

Hetzner Online GmbH (Tyskland) — Infrastrukturvert. Data lagret på servere i EU-regionen. Hetzner er GDPR-kompatibel.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Ved å bruke AI-assisterte funksjoner samtykker du eksplisitt til grenseoverskridende overføring av måltidsbilder og relaterte data som beskrevet i denne DPA.

Users who do not consent to international transfers should not use AI-powered features.

Alle data under overføring er beskyttet med TLS 1.3. Data i hvile er kryptert med AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Tilgang til personopplysninger er begrenset til autorisert personell. Admintilgang er logget i et revisjonsspor.

Sikkerhet på radnivå er aktivert på kjernedatabasetabeller for å fremtvinge isolering av brukerdata.

Personopplysninger oppbevares så lenge kontoen er aktiv. Slettede kontoer slettes hardt fra produksjonssystemer innen 30 dager.

You can export your data at any time via Settings → Export My Data.

Helsedata knyttet til slettede kontoer slettes permanent. Samlet anonymisert analyse kan beholdes.

Sikkerhetskopier som inneholder personopplysninger overskrives innen 30 dager etter kontosletting.

Right of access: Export all your personal data at any time via the app.

Rett til sletting: Slett kontoen din og alle tilhørende data når som helst fra appen.

Rett til korrigering: Oppdater profilen din, helseberegninger og preferanser når som helst.

Rett til dataportabilitet: Dataeksport er tilgjengelig i JSON-format.

Rett til innsigelse / tilbaketrekking av samtykke: Trekk tilbake samtykke til behandling av helsedata ved å slette kontoen din eller kontakte support.

Å utøve KVKK Art. 11 rettigheter kontakt: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Varsling vil inkludere arten av bruddet, kategorier av data som er berørt, sannsynlige konsekvenser og tiltak som er tatt.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.