BDAR ir duomenų apsauga

Privatumo užtikrinimas projektavimo stadijoje (Privacy-by-Design)

qr3.app yra sukurtas nuo pat pradžių laikantis BDAR reikalavimų:

• IP adresų anoniminimas — IP adresai Edge-Worker programoje iškart paverčiami SHA-256 maišos reikšmėmis (su kasdien keičiama druska (salt)). Tikrasis IP adresas niekada nepasiekia duomenų bazės.
• Duomenų saugojimo taisyklės (Retention-Policies) — nuskaitymo duomenys automatiškai ištrinami pasibaigus nuo plano priklausančiam terminui (Free: 7 dienos, Pro: 90 dienų, Business: 1 metai).
• Duomenų mažinimas — renkami tik tie duomenys, kurie yra būtini paslaugos veikimui.

---

Privatumo API

Duomenų suvestinė (BDAR 15 str.)

GET /v1/account/privacy — grąžina visų saugomų duomenų apžvalgą.

curl https://qr3.app/v1/account/privacy \
  -H "Authorization: Bearer qr3_sk_..."

Response:

{
  "data": {
    "workspace_id": "ws_xxx",
    "stored_data": {
      "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." },
      "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." },
      "api_keys": { "count": 2 },
      "webhooks": { "count": 1 }
    },
    "your_rights": {
      "access": "GET /v1/account/export",
      "erasure": "DELETE /v1/account",
      "contact": "[email protected]"
    },
    "data_processing": {
      "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)",
      "sub_processors": [
        { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" }
      ]
    }
  }
}

---

Duomenų eksportavimas (BDAR 20 str. — duomenų perkeliamumas)

GET /v1/account/export — atsisiunčia visus duomenis kaip JSON failą.

curl https://qr3.app/v1/account/export \
  -H "Authorization: Bearer qr3_sk_..." \
  -o meine-daten.json

Eksportuojamame faile yra:

• Visi QR kodai (įskaitant ištrintus)
• Agreguota nuskaitymų statistika (be neapdorotų IP maišos reikšmių)
• Sukūrimo ir keitimo laiko žymos

---

Paskyros trynimas (BDAR 17 str. — teisė būti pamirštam)

DELETE /v1/account — neatšaukiamas visų duomenų ištrynimas.

curl -X DELETE https://qr3.app/v1/account \
  -H "Authorization: Bearer qr3_sk_..."

Danger

Šis veiksmas yra negrįžtamas: visi QR kodai bus archyvuojami, visi nuskaitymo duomenys bus visiškai ištrinti, visi API raktai bus anuliuoti.

Kas nutinka:

1. Visi QR kodai yra pašalinami minkštuoju būdu (soft-delete) (archyvuojami)
2. Visi nuskaitymo įrašai yra visiškai ištrinami (PII)
3. Visi API raktai yra anuliuojami
4. KV talpykla (cache) yra anuliuojama

---

Sutikimų valdymas

GET /v1/account/privacy/consents — gauti esamus sutikimus.

POST /v1/account/privacy/consents — atnaujinti sutikimus.

# Aktuelle Einwilligungen abrufen
curl https://qr3.app/v1/account/privacy/consents \
  -H "Authorization: Bearer qr3_sk_..."

# Marketing-E-Mails deaktivieren
curl -X POST https://qr3.app/v1/account/privacy/consents \
  -H "Authorization: Bearer qr3_sk_..." \
  -H "Content-Type: application/json" \
  -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'

Sutikimų laukai:

Laukas	Numatytasis	Aprašymas
marketing_emails	false	Naujienlaiškiai ir reklaminiai el. laiškai
analytics	true	Agreguota naudojimo statistika
product_updates	true	Produkto naujienos ir pakeitimų žurnalai (changelogs)

---

Techninis BDAR įgyvendinimas

IP adresų anoniminimas (BDAR 25 str.)

HTTP Request → Cloudflare Edge Worker
  ↓
CF-Connecting-IP Header → SHA-256(IP + täglicher Salt)
  ↓
ip_hash (nicht reversibel) → D1 Datenbank
  ↓
Original-IP wird NIEMALS gespeichert

Druska (salt) keičiama kasdien vidurnaktį UTC laiku. Dėl to, net ir žinant druską, neįmanoma susieti IP adresų tarp skirtingų dienų.

Duomenų saugojimo laikotarpis (automatizuotas)

Kasdien vykdoma periodinė užduotis (cron job) (purgeOldScans) ištrina nuskaitymo duomenis pasibaigus nuo plano priklausančiam terminui:

Planas	Saugojimo laikotarpis
Free	7 dienos
Pro	90 dienų
Business / Agency	1 metai
Enterprise	Pasirinktinis (SLA)

Duomenų tvarkymo sutartis (DPA) su subrangovais

Cloudflare, Inc. tvarko duomenis kaip duomenų tvarkytojas. Duomenų tvarkymo sutartis (DPA) pateikiama adresu cloudflare.com/cloudflare-customer-dpa.

Cloudflare tvarko duomenis ES serveriuose (Frankfurte). Galioja standartinės sutarčių sąlygos (SCC) pagal BDAR 46 str.

---

Kontaktai

• Duomenų apsaugos pareigūnas: [email protected]
• Duomenų tvarkymo sutartis (DPA): [email protected] (pagal užklausą)
• Privatumo politika: qr3.app/de/legal/datenschutz