GDPR és adatvédelem
Beépített adatvédelem (Privacy-by-Design)
a qr3.app alapjaiban GDPR-megfelelőnek készült:
- IP-anonimizálás — Az IP-címeket az Edge-Worker azonnal SHA-256 hashekké alakítja (naponta változó salt használatával). Az eredeti IP-cím soha nem éri el az adatbázist.
- Megőrzési szabályzatok (Retention-Policies) — A beolvasási adatok automatikusan törlődnek a csomagtól függő határidő után (Free: 7 nap, Pro: 90 nap, Business: 1 év).
- Adatminimalizálás — Csak a működéshez feltétlenül szükséges adatokat gyűjtjük.
Privacy-API
Adatösszesítés (GDPR 15. cikk)
GET /v1/account/privacy — Visszaadja az összes tárolt adat áttekintését.
curl https://qr3.app/v1/account/privacy \ -H "Authorization: Bearer qr3_sk_..."Response:
{ "data": { "workspace_id": "ws_xxx", "stored_data": { "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." }, "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." }, "api_keys": { "count": 2 }, "webhooks": { "count": 1 } }, "your_rights": { "access": "GET /v1/account/export", "erasure": "DELETE /v1/account", }, "data_processing": { "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)", "sub_processors": [ { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" } ] } }}Adatexportálás (GDPR 20. cikk — adathordozhatóság)
GET /v1/account/export — Letölti az összes adatot JSON-fájlként.
curl https://qr3.app/v1/account/export \ -H "Authorization: Bearer qr3_sk_..." \ -o meine-daten.jsonAz exportálás a következőket tartalmazza:
- Minden QR-kód (beleértve a törölteket is)
- Aggregált beolvasási statisztikák (nyers IP-hashek nélkül)
- Létrehozási és módosítási időbélyegek
Fiók törlése (GDPR 17. cikk — az elfeledtetéshez való jog)
DELETE /v1/account — Visszaállíthatatlan törlése minden adatnak.
curl -X DELETE https://qr3.app/v1/account \ -H "Authorization: Bearer qr3_sk_..."Mi történik:
- Minden QR-kód soft-delete (archivált) állapotba kerül
- Minden beolvasási rekord véglegesen törlődik (PII)
- Minden API-kulcs visszavonásra kerül
- A KV-cache érvénytelenítésre kerül
Hozzájárulások kezelése
GET /v1/account/privacy/consents — Aktuális hozzájárulások lekérése.
POST /v1/account/privacy/consents — Hozzájárulások frissítése.
# Aktuelle Einwilligungen abrufencurl https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..."
# Marketing-E-Mails deaktivierencurl -X POST https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..." \ -H "Content-Type: application/json" \ -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'Hozzájárulási mezők:
| Mező | Alapértelmezett | Leírás |
|---|---|---|
marketing_emails | false | Hírlevelek és reklám e-mailek |
analytics | true | Aggregált használati statisztikák |
product_updates | true | Termékújdonságok és változásnaplók (changelogok) |
Technikai GDPR-implementáció
IP-anonimizálás (GDPR 25. cikk)
HTTP Request → Cloudflare Edge Worker ↓CF-Connecting-IP Header → SHA-256(IP + täglicher Salt) ↓ip_hash (nicht reversibel) → D1 Datenbank ↓Original-IP wird NIEMALS gespeichertA salt naponta változik UTC szerint éjfélkor. Ezáltal még a salt ismeretében sem lehetséges a napokon átívelő IP-korreláció.
Adatmegőrzés (automatizált)
Egy naponta futó cron-job (purgeOldScans) törli a beolvasási adatokat a csomagtól függő határidő után:
| Csomag | Megőrzés |
|---|---|
| Free | 7 nap |
| Pro | 90 nap |
| Business / Agency | 1 év |
| Enterprise | Egyedi (SLA) |
Aladatfeldolgozói DPA
A Cloudflare, Inc. adatfeldolgozóként kezeli az adatokat. A DPA elérhető a cloudflare.com/cloudflare-customer-dpa címen.
A Cloudflare az adatokat EU-s szervereken (Frankfurt) dolgozza fel. A GDPR 46. cikke szerinti általános szerződési feltételek (SCC-k) érvényben vannak.
Kapcsolat
- Adatvédelmi tisztviselő: [email protected]
- Adatfeldolgozási szerződés (AVV): [email protected] (kérésre)
- Adatvédelmi nyilatkozat: qr3.app/de/legal/datenschutz