Veri İşleme Bildirimi

Veri Sorumlusu: Caymaz TechHealth Yazılım Tic. Ltd. Şti., İstanbul / Türkiye. Veri Sorumlusu, kişisel verilerin işlenme amaçlarını ve araçlarını belirler.

Veri İşleyen: Calvion, bağlama göre hem Veri Sorumlusu hem de Veri İşleyen olarak hareket eder. Kullanıcı tarafından yüklenen içerik (yemek fotoğrafları, sağlık hedefleri) için Calvion, verileri yalnızca yapay zeka analizi hizmetini yerine getirmek amacıyla işler.

Yetkili Makame: İstanbul Mahkemeleri ve İcra Daireleri (KVKK Md. 22).

Bu DPA, Calvion uygulamasını kullanırken işlenen tüm kişisel verileri kapsar: hesap bilgileri, sağlık metrikleri, beslenme kayıtları, yemek görselleri ve cihaz tanımlayıcıları.

İşleme, Gizlilik Politikası ve Hizmet Şartlarında açıklanan hizmetleri sunmak için kesinlikle gerekli olanla sınırlıdır.

Özel nitelikli veriler (sağlık ve biyometrik veriler) yalnızca KVKK Md. 6 ve GDPR Md. 9 kapsamında açık rıza alınarak işlenir.

Hesap yönetimi ve kimlik doğrulama: sözleşmenin ifası (GDPR Md. 6(1)(b) / KVKK Md. 5(2)(c)).

Yapay zeka destekli beslenme analizi: meşru menfaat ve açık rıza (GDPR Md. 6(1)(a)(f) / KVKK Md. 5(1), 6(2)).

Güvenlik izleme ve sahtekârlık önleme: meşru menfaat (GDPR Md. 6(1)(f) / KVKK Md. 5(2)(d)).

Hukuki yükümlülüklere uyum: GDPR Md. 6(1)(c) / KVKK Md. 5(2)(a).

Hetzner Online GmbH (Almanya) — Altyapı barındırma. Veriler AB bölgesi sunucularında depolanır. Hetzner GDPR uyumludur.

Fal Labs / fal.ai (ABD) — Yemek fotoğrafı analizi için yapay zeka model çıkarımı. Veriler Standart Sözleşme Maddeleri (SCC) kapsamında aktarılır. Fotoğraflar çıkarım isteğinin ötesinde fal.ai tarafından saklanmaz.

Cloudflare R2 (Global) — Yüklenen yemek görselleri için nesne depolama. Cloudflare GDPR uyumludur ve DPA mevcuttur. Veriler AES-256 ile şifrelenerek saklanır.

Firebase (Google LLC, ABD) — Kimlik doğrulama ve anlık bildirimler. Google Cloud DPA geçerlidir. Firebase Auth yalnızca UID ve e-posta adresini saklar.

Calvion, kişisel verileri hiçbir üçüncü tarafa satmaz veya reklam amaçlı kullanmaz.

Veriler, yapay zeka çıkarımı (fal.ai, ABD) ve bulut depolama (Cloudflare R2) için Türkiye ve AEA dışına aktarılabilir. Bu tür aktarımlar Standart Sözleşme Maddeleri (SCC) ve KVKK uluslararası aktarım hükümleri (Md. 9) kapsamında gerçekleştirilir.

Yapay zeka destekli özellikleri kullanarak, bu DPA'da açıklanan yemek görsellerinin ve ilgili verilerin sınır ötesi aktarımına açıkça onay vermiş olursunuz.

Uluslararası transferlere onay vermek istemeyen kullanıcılar yapay zeka özelliklerini kullanmamalıdır. Görsel yükleme gerektirmeyen temel özellikler kullanılabilir olmaya devam eder.

İletim sırasındaki tüm veriler TLS 1.3 ile korunmaktadır. Depolanan veriler AES-256-GCM ile şifrelenmektedir.

Sağlık odakları ve kronik durumlar gibi hassas sağlık alanları, veritabanında saklanmadan önce uygulama düzeyinde şifrelenir.

Kişisel verilere erişim yetkili personelle sınırlıdır. Yönetici erişimi denetim günlüğüne kaydedilir.

Temel veritabanı tablolarında kullanıcı veri izolasyonu için satır düzeyinde güvenlik (RLS) etkinleştirilmiştir.

Kişisel veriler hesap aktif olduğu sürece saklanır. Silinen hesaplar 30 gün içinde üretim sistemlerinden fiziksel olarak temizlenir.

Ayarlar → Verilerimi Dışa Aktar seçeneğini kullanarak verilerinizi istediğiniz zaman dışa aktarabilirsiniz.

Silinen hesaplara ait sağlık verileri kalıcı olarak imha edilir. Toplanmış ve anonimleştirilmiş analitik veriler saklanmaya devam edebilir.

Kişisel veri içeren yedekler silme işleminden sonraki 30 gün içinde üzerine yazılır.

Erişim hakkı: Uygulama üzerinden (Ayarlar → Verilerimi Dışa Aktar) tüm kişisel verilerinizi istediğiniz zaman dışa aktarabilirsiniz.

Silme hakkı (unutulma hakkı): Hesabınızı ve ilgili tüm verileri istediğiniz zaman uygulama üzerinden silebilirsiniz.

Düzeltme hakkı: Profilinizi, sağlık metriklerinizi ve tercihlerinizi istediğiniz zaman güncelleyebilirsiniz.

Veri taşınabilirliği hakkı: Veri dışa aktarımı JSON formatında sunulmaktadır.

İtiraz / rızanın geri çekilmesi hakkı: Hesabınızı silerek veya destek birimiyle iletişime geçerek sağlık verisi işlenmesine verilen rızanızı geri çekebilirsiniz.

KVKK Md. 11 hakları için iletişim: legal@caymaztech.com

Kişisel veri ihlali durumunda Calvion, KVKK Md. 12 ve GDPR Md. 33 gereğince ihlalden haberdar olmasının ardından 72 saat içinde etkilenen kullanıcıları ve KVKK Kurulu'nu bilgilendirir.

Bildirim; ihlalin niteliğini, etkilenen veri kategorilerini, olası sonuçları ve alınan önlemleri içerecektir.

Veri Sorumlusu: Caymaz TechHealth Yazılım Tic. Ltd. Şti. — MERSİS: 0203091510500001 — İstanbul / Türkiye

Gizlilik, veri hakları veya KVKK/GDPR başvuruları için: legal@caymaztech.com

Konu satırına 'Gizlilik Talebi — [Talep Türü]' yazınız.