Data Processing Agreement

Administrator danych: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Stambuł / Türkiye. Administrator określa cele i sposoby przetwarzania danych osobowych.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Właściwy organ: sądy i urzędy egzekucyjne w Stambule (KVKK art. 22).

Niniejsza Umowa o ochronie danych obejmuje wszystkie dane osobowe przetwarzane podczas korzystania z aplikacji Calvion, w tym informacje o koncie, wskaźniki zdrowotne, dzienniki odżywiania, obrazy posiłków i identyfikatory urządzeń.

Processing is limited to what is strictly necessary to provide the services.

Dane kategorii szczególnej (dane zdrowotne i biometryczne) są przetwarzane wyłącznie za wyraźną zgodą zgodnie z art. KVKK. 6 i art. RODO. 9.

Zarządzanie kontem i uwierzytelnianie: realizacja umowy (RODO art. 6 ust. 1 lit. b) / KVKK art. 5 ust. 2 lit. c)).

Analiza żywienia oparta na sztucznej inteligencji: uzasadniony interes i wyraźna zgoda (RODO art. 6 ust. 1 lit. a) lit. f) / KVKK art. 5 ust. 1, 6 ust. 2).

Monitorowanie bezpieczeństwa i zapobieganie oszustwom: uzasadniony interes (RODO art. 6 ust. 1 lit. f) / KVKK art. 5 ust. 2 lit. d)).

Wypełnienie obowiązków prawnych: RODO art. 6 ust. 1 lit. c) / KVKK art. 5 ust. 2 lit. a).

Hetzner Online GmbH (Niemcy) — Hosting infrastruktury. Dane przechowywane na serwerach w regionie UE. Hetzner jest zgodny z RODO.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Korzystając z funkcji wspomaganych przez sztuczną inteligencję, wyraźnie wyrażasz zgodę na transgraniczne przesyłanie zdjęć posiłków i powiązanych danych zgodnie z postanowieniami niniejszej Umowy o ochronie danych.

Users who do not consent to international transfers should not use AI-powered features.

Wszystkie przesyłane dane są chronione za pomocą protokołu TLS 1.3. Dane w spoczynku są szyfrowane za pomocą AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Dostęp do danych osobowych ma wyłącznie upoważniony personel. Dostęp administratora jest rejestrowany w ścieżce audytu.

W podstawowych tabelach bazy danych włączone są zabezpieczenia na poziomie wierszy, aby wymusić izolację danych użytkownika.

Dane osobowe przechowywane są tak długo, jak długo konto jest aktywne. Usunięte konta są trwale usuwane z systemów produkcyjnych w ciągu 30 dni.

You can export your data at any time via Settings → Export My Data.

Dane dotyczące zdrowia powiązane z usuniętymi kontami są trwale usuwane. Zagregowane, anonimowe dane analityczne mogą zostać zachowane.

Kopie zapasowe zawierające dane osobowe są nadpisywane w ciągu 30 dni od usunięcia konta.

Right of access: Export all your personal data at any time via the app.

Prawo do usunięcia: w dowolnym momencie usuń swoje konto i wszystkie powiązane dane z aplikacji.

Prawo do sprostowania: Aktualizuj swój profil, dane dotyczące zdrowia i preferencje w dowolnym momencie.

Prawo do przenoszenia danych: Eksport danych jest dostępny w formacie JSON.

Prawo do sprzeciwu / wycofania zgody: Wycofaj zgodę na przetwarzanie danych zdrowotnych, usuwając konto lub kontaktując się z obsługą klienta.

Aby skorzystać z KVKK art. 11 kontakt w sprawie praw: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Powiadomienie będzie zawierać charakter naruszenia, kategorie danych, których to dotyczy, prawdopodobne konsekwencje i podjęte środki.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.