GDPR & tietosuoja
Sisäänrakennettu tietosuoja
qr3.app on rakennettu alusta alkaen GDPR-yhteensopivaksi:
- IP-anonymisointi — IP-osoitteet muunnetaan Edge-Workerissa välittömästi SHA-256-tiivisteiksi (päivittäin vaihtuvalla suolalla). Alkuperäinen IP-osoite ei koskaan päädy tietokantaan.
- Säilytyskäytännöt — Skannaustiedot poistetaan automaattisesti tilaustasosta riippuvan ajan kuluttua (Free: 7 päivää, Pro: 90 päivää, Business: 1 vuosi).
- Tietojen minimointi — Keräämme vain toiminnan kannalta välttämättömät tiedot.
Privacy-API
Tietojen yhteenveto (GDPR 15 artikla)
GET /v1/account/privacy — Palauttaa yhteenvedon kaikista tallennetuista tiedoista.
curl https://qr3.app/v1/account/privacy \ -H "Authorization: Bearer qr3_sk_..."Vastaus:
{ "data": { "workspace_id": "ws_xxx", "stored_data": { "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." }, "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." }, "api_keys": { "count": 2 }, "webhooks": { "count": 1 } }, "your_rights": { "access": "GET /v1/account/export", "erasure": "DELETE /v1/account", }, "data_processing": { "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)", "sub_processors": [ { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" } ] } }}Tietojen siirtäminen (GDPR 20 artikla — Oikeus siirtää tiedot järjestelmästä toiseen)
GET /v1/account/export — Lataa kaikki tiedot JSON-tiedostona.
curl https://qr3.app/v1/account/export \ -H "Authorization: Bearer qr3_sk_..." \ -o meine-daten.jsonVienti sisältää:
- Kaikki QR-koodit (mukaan lukien poistetut)
- Aggregoidut skannaustilastot (ei raakoja IP-tiivisteitä)
- Luonti- ja muokkausaikaleimat
Tilin poistaminen (GDPR 17 artikla — Oikeus tulla unohdetuksi)
DELETE /v1/account — Kaikkien tietojen lopullinen ja peruuttamaton poistaminen.
curl -X DELETE https://qr3.app/v1/account \ -H "Authorization: Bearer qr3_sk_..."Mitä tapahtuu:
- Kaikki QR-koodit poistetaan pehmeästi (arkistoidaan)
- Kaikki skannaustiedot (Scan-Records) poistetaan pysyvästi (PII)
- Kaikki API-avaimet mitätöidään
- KV-välimuisti mitätöidään
Suostumusten hallinta
GET /v1/account/privacy/consents — Hae nykyiset suostumukset.
POST /v1/account/privacy/consents — Päivitä suostumukset.
# Aktuelle Einwilligungen abrufencurl https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..."
# Marketing-E-Mails deaktivierencurl -X POST https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..." \ -H "Content-Type: application/json" \ -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'Suostumuskentät:
| Kenttä | Oletus | Kuvaus |
|---|---|---|
marketing_emails | false | Uutiskirjeet ja mainossähköpostit |
analytics | true | Aggregoidut käyttötilastot |
product_updates | true | Tuoteuutiset ja muutoslokit |
Tekninen GDPR-toteutus
IP-anonymisointi (GDPR 25 artikla)
HTTP Request → Cloudflare Edge Worker ↓CF-Connecting-IP Header → SHA-256(IP + täglicher Salt) ↓ip_hash (nicht reversibel) → D1 Datenbank ↓Original-IP wird NIEMALS gespeichertSuola (Salt) vaihtuu päivittäin keskiyöllä UTC-aikaa. Tämän ansiosta IP-osoitteiden yhdistäminen eri päivien välillä ei ole mahdollista, vaikka suola olisi tiedossa.
Tietojen säilytysaika (automaattinen)
Päivittäin suoritettava Cron-työ (purgeOldScans) poistaa skannaustiedot tilaustasosta riippuvan ajan kuluttua:
| Tilaus | Säilytysaika |
|---|---|
| Free | 7 päivää |
| Pro | 90 päivää |
| Business / Agency | 1 vuosi |
| Enterprise | Mukautettu (SLA) |
Alihankkijoiden tietojenkäsittelysopimus (Sub-Processor DPA)
Cloudflare, Inc. käsittelee tietoja henkilötietojen käsittelijänä. Tietojenkäsittelysopimus (DPA) on saatavilla osoitteessa cloudflare.com/cloudflare-customer-dpa.
Cloudflare käsittelee tietoja EU-alueen palvelimilla (Frankfurt). GDPR 46 artiklan mukaiset vakiolausekkeet (SCC) ovat voimassa.
Yhteystiedot
- Tietosuojavastaava: [email protected]
- Tietojenkäsittelysopimus (DPA): [email protected] (pyynnöstä)
- Tietosuojaseloste: qr3.app/de/legal/datenschutz