Data Processing Agreement

Controlador de dados: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istambul / Türkiye. O Controlador determina as finalidades e os meios de tratamento dos dados pessoais.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Autoridade competente: Tribunais e Gabinetes de Execução de Istambul (KVKK Art. 22).

Este DPA cobre todos os dados pessoais processados ​​quando você usa o aplicativo Calvion, incluindo informações da conta, métricas de saúde, registros nutricionais, imagens de refeições e identificadores de dispositivos.

Processing is limited to what is strictly necessary to provide the services.

Os dados de categoria especial (dados de saúde e biométricos) são processados ​​apenas mediante consentimento explícito nos termos do Art. 6º e RGPD Art. 9.

Gestão e autenticação de contas: execução do contrato (GDPR Art. 6(1)(b) / KVKK Art. 5(2)(c)).

Análise nutricional baseada em IA: interesse legítimo e consentimento explícito (GDPR Art. 6(1)(a)(f) / KVKK Art. 5(1), 6(2)).

Monitorização da segurança e prevenção de fraudes: interesse legítimo (RGPD Art. 6(1)(f) / KVKK Art. 5(2)(d)).

Cumprimento das obrigações legais: GDPR Art. 6(1)(c) / KVKK Art. 5(2)(a).

Hetzner Online GmbH (Alemanha) — Hospedagem de infraestrutura. Dados armazenados em servidores da região da UE. Hetzner é compatível com GDPR.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Ao usar recursos assistidos por IA, você concorda explicitamente com a transferência transfronteiriça de imagens de refeições e dados relacionados, conforme descrito neste DPA.

Users who do not consent to international transfers should not use AI-powered features.

Todos os dados em trânsito são protegidos com TLS 1.3. Os dados em repouso são criptografados com AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

O acesso aos dados pessoais é limitado ao pessoal autorizado. O acesso de administrador é registrado em uma trilha de auditoria.

A segurança em nível de linha é habilitada nas tabelas do banco de dados principal para impor o isolamento dos dados do usuário.

Os dados pessoais são retidos enquanto a conta estiver ativa. As contas excluídas são excluídas permanentemente dos sistemas de produção em 30 dias.

You can export your data at any time via Settings → Export My Data.

Os dados de saúde associados às contas excluídas são eliminados permanentemente. Análises anônimas agregadas podem ser retidas.

Os backups contendo dados pessoais são substituídos dentro de 30 dias após a exclusão da conta.

Right of access: Export all your personal data at any time via the app.

Direito ao apagamento: Exclua sua conta e todos os dados associados a qualquer momento do aplicativo.

Direito de retificação: Atualize seu perfil, métricas de saúde e preferências a qualquer momento.

Direito à portabilidade dos dados: A exportação de dados está disponível no formato JSON.

Direito de oposição/retirada do consentimento: Retire o consentimento para o tratamento de dados de saúde eliminando a sua conta ou contactando o suporte.

Para exercer KVKK Art. 11 contato de direitos: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

A notificação incluirá a natureza da violação, categorias de dados afetados, prováveis ​​consequências e medidas tomadas.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.