GDPR и защита на данните
Поверителност по дизайн
qr3.app е създаден от самото начало в съответствие с GDPR:
- Анонимизиране на IP адреси — IP адресите се преобразуват незабавно в SHA-256 хешове (с ежедневно ротиращ се salt) в Edge-Worker. Оригиналният IP адрес никога не достига до базата данни.
- Политики за задържане — Данните от сканиранията се изтриват автоматично след изтичане на срок, зависещ от плана (Free: 7 дни, Pro: 90 дни, Business: 1 година).
- Минимизиране на данните — Събират се само данните, които са абсолютно необходими за работата на услугата.
API за поверителност
Обобщение на данните (Чл. 15 от GDPR)
GET /v1/account/privacy — Връща преглед на всички съхранени данни.
curl https://qr3.app/v1/account/privacy \ -H "Authorization: Bearer qr3_sk_..."Response:
{ "data": { "workspace_id": "ws_xxx", "stored_data": { "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." }, "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." }, "api_keys": { "count": 2 }, "webhooks": { "count": 1 } }, "your_rights": { "access": "GET /v1/account/export", "erasure": "DELETE /v1/account", }, "data_processing": { "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)", "sub_processors": [ { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" } ] } }}Експорт на данни (Чл. 20 от GDPR — Преносимост на данните)
GET /v1/account/export — Изтегля всички данни като JSON файл.
curl https://qr3.app/v1/account/export \ -H "Authorization: Bearer qr3_sk_..." \ -o meine-daten.jsonЕкспортът съдържа:
- Всички QR кодове (включително изтритите)
- Агрегирани статистики за сканиранията (без сурови IP хешове)
- Времеви клейма за създаване и промяна
Изтриване на акаунт (Чл. 17 от GDPR — Правото да бъдеш забравен)
DELETE /v1/account — Необратимо изтриване на всички данни.
curl -X DELETE https://qr3.app/v1/account \ -H "Authorization: Bearer qr3_sk_..."Какво се случва:
- Всички QR кодове се изтриват софтуерно (архивират се)
- Всички записи за сканирания се изтриват окончателно (PII)
- Всички API ключове се анулират
- KV кешът се инвалидира
Управление на съгласията
GET /v1/account/privacy/consents — Извличане на текущите съгласия.
POST /v1/account/privacy/consents — Актуализиране на съгласията.
# Aktuelle Einwilligungen abrufencurl https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..."
# Marketing-E-Mails deaktivierencurl -X POST https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..." \ -H "Content-Type: application/json" \ -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'Полета за съгласие:
| Поле | По подразбиране | Описание |
|---|---|---|
marketing_emails | false | Бюлетини и рекламни имейли |
analytics | true | Агрегирани статистики за използването |
product_updates | true | Новини за продукти и списъци с промени (changelogs) |
Техническо внедряване на GDPR
Анонимизиране на IP адреси (Чл. 25 от GDPR)
HTTP Request → Cloudflare Edge Worker ↓CF-Connecting-IP Header → SHA-256(IP + täglicher Salt) ↓ip_hash (nicht reversibel) → D1 Datenbank ↓Original-IP wird NIEMALS gespeichertСолта (salt) се ротира ежедневно в полунощ UTC. По този начин, дори ако солта е известна, не е възможна корелация на IP адреси между различните дни.
Задържане на данни (автоматизирано)
Ежедневно изпълнявана фонова задача (cron job) (purgeOldScans) изтрива данните от сканиранията след изтичане на срок, зависещ от плана:
| План | Задържане |
|---|---|
| Free | 7 дни |
| Pro | 90 дни |
| Business / Agency | 1 година |
| Enterprise | По избор (SLA) |
DPA с подизпълнители
Cloudflare, Inc. обработва данни в качеството си на обработващ лични данни (data processor). Споразумението за обработка на данни (DPA) е достъпно на cloudflare.com/cloudflare-customer-dpa.
Cloudflare обработва данни на сървъри в ЕС (Франкфурт). В сила са Стандартните договорни клаузи (SCCs) съгласно чл. 46 от GDPR.
Контакт
- Длъжностно лице по защита на данните: [email protected]
- Споразумение за обработка на данни (AVV): [email protected] (при поискване)
- Политика за поверителност: qr3.app/de/legal/datenschutz