GDPR & andmekaitse
Lõimitud andmekaitse
qr3.app on algusest peale loodud vastama GDPR-i nõuetele:
- IP-anonümiseerimine — IP-aadressid teisendatakse Edge-Workeris koheselt SHA-256 räsiväärtusteks (iga päev rotatsiooni läbiva soolaga). Algne IP-aadress ei jõua kunagi andmebaasi.
- Säilitamispoliitikad — skannimisandmed kustutatakse automaatselt vastavalt paketipõhisele tähtajale (Free: 7 päeva, Pro: 90 päeva, Business: 1 aasta).
- Andmete minimeerimine — kogutakse ainult toimimiseks hädavajalikke andmeid.
Privaatsuse API
Andmete kokkuvõte (GDPR art 15)
GET /v1/account/privacy — tagastab ülevaate kõigist salvestatud andmetest.
curl https://qr3.app/v1/account/privacy \ -H "Authorization: Bearer qr3_sk_..."Vastus:
{ "data": { "workspace_id": "ws_xxx", "stored_data": { "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." }, "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." }, "api_keys": { "count": 2 }, "webhooks": { "count": 1 } }, "your_rights": { "access": "GET /v1/account/export", "erasure": "DELETE /v1/account", }, "data_processing": { "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)", "sub_processors": [ { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" } ] } }}Andmete eksport (GDPR art 20 — andmete ülekantavus)
GET /v1/account/export — laadib kaikki andmed alla JSON-failina.
curl https://qr3.app/v1/account/export \ -H "Authorization: Bearer qr3_sk_..." \ -o meine-daten.jsonEksport sisaldab:
- Kõiki QR-koode (sh kustutatud)
- Agregeeritud skannimisstatistikat (mitte tooreid IP-räsisid)
- Loomise ja muutmise ajatempleid
Konto kustutamine (GDPR art 17 — õigus olla unustatud)
DELETE /v1/account — andmete pöördumatu kustutamine.
curl -X DELETE https://qr3.app/v1/account \ -H "Authorization: Bearer qr3_sk_..."Mis juhtub:
- Kõik QR-koodid kustutatakse pehmelt (arhiveeritakse)
- Kõik skannimisandmed (Scan-Records) kustutatakse jäädavalt (PII)
- Kõik API-võtmed tühistatakse
- KV-vahemälu tühistatakse
Nõusolekute haldamine
GET /v1/account/privacy/consents — praeguste nõusolekute pärimine.
POST /v1/account/privacy/consents — nõusolekute uuendamine.
# Aktuelle Einwilligungen abrufencurl https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..."
# Marketing-E-Mails deaktivierencurl -X POST https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..." \ -H "Content-Type: application/json" \ -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'Nõusoleku väljad:
| Väli | Vaikimisi | Kirjeldus |
|---|---|---|
marketing_emails | false | Uudiskirjad ja reklaamkirjad |
analytics | true | Agregeeritud kasutusstatistika |
product_updates | true | Tooteuuendused ja muudatuste logid |
Tehniline GDPR-i rakendamine
IP-anonümiseerimine (GDPR art 25)
HTTP Request → Cloudflare Edge Worker ↓CF-Connecting-IP Header → SHA-256(IP + täglicher Salt) ↓ip_hash (nicht reversibel) → D1 Datenbank ↓Original-IP wird NIEMALS gespeichertSool (salt) roteerub iga päev keskööl UTC aja järgi. Seetõttu pole isegi soola teadmise korral võimalik IP-aadresse päevadeüleselt korreleerida.
Andmete säilitamine (automatiseeritud)
Iga päev käivitatav Cron-töö (purgeOldScans) kustutab skannimisandmed vastavalt paketipõhisele tähtajale:
| Pakett | Säilitamine |
|---|---|
| Free | 7 päeva |
| Pro | 90 päeva |
| Business / Agency | 1 aasta |
| Enterprise | Kohandatud (SLA) |
Alamtöötleja DPA
Cloudflare, Inc. töötleb andmeid volitatud töötlejana. Andmetöötlusleping (DPA) on saadaval aadressil cloudflare.com/cloudflare-customer-dpa.
Cloudflare töötleb andmeid EL-i serverites (Frankfurt). Standardlepingu tingimused (SCC-d) vastavalt GDPR art 46 on jõus.
Kontakt
- Andmekaitseametnik: [email protected]
- Andmetöötlusleping (DPA): [email protected] (nõudmisel)
- Privaatsuspoliitika: qr3.app/de/legal/datenschutz