Data Processing Agreement

Người kiểm soát dữ liệu: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye. Bên kiểm soát xác định mục đích và phương tiện xử lý dữ liệu cá nhân.

Data Processor: Calvion processes data strictly to fulfill the AI analysis service.

Cơ quan có thẩm quyền: Tòa án và Cơ quan thi hành án Istanbul (KVKK Điều 22).

DPA này bao gồm tất cả dữ liệu cá nhân được xử lý khi bạn sử dụng ứng dụng Calvion, bao gồm thông tin tài khoản, chỉ số sức khỏe, nhật ký dinh dưỡng, hình ảnh bữa ăn và số nhận dạng thiết bị.

Processing is limited to what is strictly necessary to provide the services.

Dữ liệu danh mục đặc biệt (dữ liệu sức khỏe và sinh trắc học) chỉ được xử lý khi có sự đồng ý rõ ràng theo KVKK Art. 6 và Điều khoản GDPR. 9.

Quản lý và xác thực tài khoản: thực hiện hợp đồng (GDPR Điều 6(1)(b) / KVKK Điều 5(2)(c)).

Phân tích dinh dưỡng được hỗ trợ bởi AI: lợi ích chính đáng và sự đồng ý rõ ràng (Điều 6(1)(a)(f) của GDPR / KVKK Điều 5(1), 6(2)).

Giám sát an ninh và ngăn chặn gian lận: lợi ích hợp pháp (GDPR Điều 6(1)(f) / KVKK Điều 5(2)(d)).

Tuân thủ nghĩa vụ pháp lý: GDPR Art. 6(1)(c) / KVKK Nghệ thuật. 5(2)(a).

Hetzner Online GmbH (Đức) — Lưu trữ cơ sở hạ tầng. Dữ liệu được lưu trữ trên các máy chủ khu vực EU. Hetzner tuân thủ GDPR.

Fal Labs / fal.ai (USA) — AI model inference for meal photo analysis. Data transferred under Standard Contractual Clauses (SCC).

Cloudflare R2 (Global) — Object storage for uploaded meal images. Data encrypted at rest with AES-256.

Firebase (Google LLC, USA) — Authentication and push notifications. Firebase Auth stores only UID and email.

Calvion does not sell personal data to any third party or use it for advertising.

Data may be transferred outside Türkiye and the EEA for AI inference (fal.ai, USA) and cloud storage (Cloudflare R2). Such transfers are made under Standard Contractual Clauses (SCC).

Bằng cách sử dụng các tính năng được AI hỗ trợ, bạn đồng ý rõ ràng với việc chuyển hình ảnh bữa ăn và dữ liệu liên quan xuyên biên giới như được mô tả trong DPA này.

Users who do not consent to international transfers should not use AI-powered features.

Tất cả dữ liệu trong quá trình truyền đều được bảo vệ bằng TLS 1.3. Dữ liệu ở phần còn lại được mã hóa bằng AES-256-GCM.

Sensitive health fields are encrypted at the application level before database storage.

Việc truy cập vào dữ liệu cá nhân được giới hạn ở những người có thẩm quyền. Quyền truy cập của quản trị viên được ghi lại trong quá trình kiểm tra.

Bảo mật cấp hàng được bật trên các bảng cơ sở dữ liệu cốt lõi để thực thi cách ly dữ liệu người dùng.

Dữ liệu cá nhân được lưu giữ miễn là tài khoản còn hoạt động. Các tài khoản đã xóa sẽ bị xóa cứng khỏi hệ thống sản xuất trong vòng 30 ngày.

You can export your data at any time via Settings → Export My Data.

Dữ liệu sức khỏe liên quan đến tài khoản đã xóa sẽ bị xóa vĩnh viễn. Phân tích ẩn danh tổng hợp có thể được giữ lại.

Các bản sao lưu chứa dữ liệu cá nhân sẽ bị ghi đè trong vòng 30 ngày kể từ ngày xóa tài khoản.

Right of access: Export all your personal data at any time via the app.

Quyền xóa: Xóa tài khoản của bạn và tất cả dữ liệu liên quan khỏi ứng dụng bất kỳ lúc nào.

Quyền cải chính: Cập nhật hồ sơ, số liệu sức khỏe và tùy chọn của bạn bất kỳ lúc nào.

Quyền di chuyển dữ liệu: Xuất dữ liệu có sẵn ở định dạng JSON.

Quyền phản đối / rút lại sự đồng ý: Rút lại sự đồng ý xử lý dữ liệu sức khỏe bằng cách xóa tài khoản của bạn hoặc liên hệ với bộ phận hỗ trợ.

Để thực hiện nghệ thuật KVKK. Liên hệ 11 quyền: legal@caymaztech.com

In the event of a personal data breach, Calvion will notify affected users and the KVKK Board within 72 hours, as required by KVKK Art. 12 and GDPR Art. 33.

Thông báo sẽ bao gồm bản chất của vi phạm, danh mục dữ liệu bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp được thực hiện.

Data Controller: Caymaz TechHealth Yazılım Tic. Ltd. Şti., Istanbul / Türkiye

For DPA, privacy, or KVKK/GDPR rights requests: legal@caymaztech.com

For formal written requests, include KVKK/GDPR Request in your subject line.