GDPR & Προστασία Δεδομένων

Προστασία Δεδομένων από τον Σχεδιασμό

Το qr3.app είναι κατασκευασμένο από την αρχή ώστε να είναι συμβατό με τον GDPR:

• Ανωνυμοποίηση IP — Οι διευθύνσεις IP μετατρέπονται αμέσως σε SHA-256 hashes (με καθημερινά εναλλασσόμενο salt) στον Edge Worker. Η αρχική IP δεν φτάνει ποτέ στη βάση δεδομένων.
• Πολιτικές διατήρησης (Retention Policies) — Τα δεδομένα σάρωσης διαγράφονται αυτόματα μετά από μια περίοδο που εξαρτάται από το πρόγραμμα (Free: 7 ημέρες, Pro: 90 ημέρες, Business: 1 έτος).
• Ελαχιστοποίηση δεδομένων — Συλλέγονται μόνο τα δεδομένα που είναι απαραίτητα για τη λειτουργία.

---

Privacy-API

Σύνοψη δεδομένων (Άρθρο 15 GDPR)

GET /v1/account/privacy — Επιστρέφει μια επισκόπηση όλων των αποθηκευμένων δεδομένων.

curl https://qr3.app/v1/account/privacy \
  -H "Authorization: Bearer qr3_sk_..."

Response:

{
  "data": {
    "workspace_id": "ws_xxx",
    "stored_data": {
      "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." },
      "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." },
      "api_keys": { "count": 2 },
      "webhooks": { "count": 1 }
    },
    "your_rights": {
      "access": "GET /v1/account/export",
      "erasure": "DELETE /v1/account",
      "contact": "[email protected]"
    },
    "data_processing": {
      "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)",
      "sub_processors": [
        { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" }
      ]
    }
  }
}

---

Εξαγωγή δεδομένων (Άρθρο 20 GDPR — Φορητότητα δεδομένων)

GET /v1/account/export — Πραγματοποιεί λήψη όλων των δεδομένων ως αρχείο JSON.

curl https://qr3.app/v1/account/export \
  -H "Authorization: Bearer qr3_sk_..." \
  -o meine-daten.json

Η εξαγωγή περιλαμβάνει:

• Όλους τους κωδικούς QR (συμπεριλαμβανομένων των διαγραμμένων)
• Συγκεντρωτικά στατιστικά στοιχεία σάρωσης (όχι ακατέργαστα IP hashes)
• Χρονικές σημάνσεις δημιουργίας και τροποποίησης

---

Διαγραφή λογαριασμού (Άρθρο 17 GDPR — Δικαίωμα στη λήθη)

DELETE /v1/account — Οριστική διαγραφή όλων των δεδομένων.

curl -X DELETE https://qr3.app/v1/account \
  -H "Authorization: Bearer qr3_sk_..."

Danger

Αυτή η ενέργεια είναι μη αναστρέψιμη: Όλοι οι κωδικοί QR αρχειοθετούνται, όλα τα δεδομένα σάρωσης διαγράφονται οριστικά, όλα τα API keys ανακαλούνται.

Τι συμβαίνει:

1. Όλοι οι κωδικοί QR διαγράφονται προσωρινά (αρχειοθετούνται)
2. Όλα τα αρχεία σάρωσης διαγράφονται οριστικά (PII)
3. Όλα τα API keys ανακαλούνται
4. Το KV-Cache ακυρώνεται

---

Διαχείριση συγκαταθέσεων

GET /v1/account/privacy/consents — Ανάκτηση τρεχουσών συγκαταθέσεων.

POST /v1/account/privacy/consents — Ενημέρωση συγκαταθέσεων.

# Aktuelle Einwilligungen abrufen
curl https://qr3.app/v1/account/privacy/consents \
  -H "Authorization: Bearer qr3_sk_..."

# Marketing-E-Mails deaktivieren
curl -X POST https://qr3.app/v1/account/privacy/consents \
  -H "Authorization: Bearer qr3_sk_..." \
  -H "Content-Type: application/json" \
  -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'

Πεδία συγκατάθεσης:

Πεδίο	Προεπιλογή	Περιγραφή
marketing_emails	false	Ενημερωτικά δελτία (Newsletters) και διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου
analytics	true	Συγκεντρωτικά στατιστικά χρήσης
product_updates	true	Νέα προϊόντων και αρχεία αλλαγών (changelogs)

---

Τεχνική υλοποίηση GDPR

Ανωνυμοποίηση IP (Άρθρο 25 GDPR)

HTTP Request → Cloudflare Edge Worker
  ↓
CF-Connecting-IP Header → SHA-256(IP + täglicher Salt)
  ↓
ip_hash (nicht reversibel) → D1 Datenbank
  ↓
Original-IP wird NIEMALS gespeichert

Το salt αλλάζει καθημερινά τα μεσάνυχτα UTC. Αυτό σημαίνει ότι ακόμη και αν το salt είναι γνωστό, δεν είναι δυνατή η συσχέτιση IP μεταξύ διαφορετικών ημερών.

Διατήρηση δεδομένων (αυτοματοποιημένη)

Μια καθημερινή εργασία cron (purgeOldScans) διαγράφει τα δεδομένα σάρωσης μετά από μια περίοδο που εξαρτάται από το πρόγραμμα:

Πρόγραμμα	Διατήρηση
Free	7 ημέρες
Pro	90 ημέρες
Business / Agency	1 έτος
Enterprise	Προσαρμοσμένη (SLA)

DPA Υπεργολάβων Επεξεργασίας

Η Cloudflare, Inc. επεξεργάζεται δεδομένα ως εκτελών την επεξεργασία. Η DPA είναι διαθέσιμη στη διεύθυνση cloudflare.com/cloudflare-customer-dpa.

Η Cloudflare επεξεργάζεται δεδομένα σε διακομιστές εντός της ΕΕ (Φρανκφούρτη). Οι Τυπικές Συμβατικές Ρήτρες (SCCs) σύμφωνα με το Άρθρο 46 του GDPR βρίσκονται σε ισχύ.

---

Επικοινωνία

• Υπεύθυνος Προστασίας Δεδομένων: [email protected]
• Σύμβαση Επεξεργασίας Δεδομένων (DPA): [email protected] (κατόπιν αιτήματος)
• Πολιτική Απορρήτου: qr3.app/de/legal/datenschutz