GDPR a ochrana osobných údajov
Ochrana osobných údajov od návrhu
qr3.app je od základu navrhnutý v súlade s GDPR:
- Anonymizácia IP adries — IP adresy sa v Edge Workeri okamžite konvertujú na SHA-256 hashe (s denne rotujúcou soľou/saltom). Pôvodná IP adresa sa nikdy nedostane do databázy.
- Pravidlá uchovávania údajov (Retention Policies) — Údaje o skenovaní sa automaticky vymazávajú po lehote závislej od predplatného (Free: 7 dní, Pro: 90 dní, Business: 1 rok).
- Minimalizácia údajov — Zaznamenávajú sa iba údaje nevyhnutné na prevádzku.
Privacy API
Súhrn údajov (čl. 15 GDPR)
GET /v1/account/privacy — Vracia prehľad všetkých uložených údajov.
curl https://qr3.app/v1/account/privacy \ -H "Authorization: Bearer qr3_sk_..."Response:
{ "data": { "workspace_id": "ws_xxx", "stored_data": { "qr_codes": { "count": 42, "oldest_at": "2026-03-01T..." }, "scan_records": { "count": 15000, "oldest_at": "2026-03-01T..." }, "api_keys": { "count": 2 }, "webhooks": { "count": 1 } }, "your_rights": { "access": "GET /v1/account/export", "erasure": "DELETE /v1/account", }, "data_processing": { "legal_basis": "Contract performance (Art. 6(1)(b) GDPR)", "sub_processors": [ { "name": "Cloudflare, Inc.", "purpose": "CDN, edge computing, database" } ] } }}Export údajov (čl. 20 GDPR — prenosnosť údajov)
GET /v1/account/export — Stiahne všetky údaje ako JSON súbor.
curl https://qr3.app/v1/account/export \ -H "Authorization: Bearer qr3_sk_..." \ -o meine-daten.jsonExport obsahuje:
- Všetky QR kódy (vrátane vymazaných)
- Agregované štatistiky skenovania (žiadne surové IP hashe)
- Časové pečiatky vytvorenia a zmeny
Vymazanie účtu (čl. 17 GDPR — právo na zabudnutie)
DELETE /v1/account — Nezvratné vymazanie všetkých údajov.
curl -X DELETE https://qr3.app/v1/account \ -H "Authorization: Bearer qr3_sk_..."Čo sa stane:
- Všetky QR kódy budú soft-deleted (archivované)
- Všetky záznamy o skenovaní budú natrvalo vymazané (PII)
- Všetky API kľúče budú zneplatnené
- KV cache bude invalidovaná
Správa súhlasov
GET /v1/account/privacy/consents — Získanie aktuálnych súhlasov.
POST /v1/account/privacy/consents — Aktualizácia súhlasov.
# Aktuelle Einwilligungen abrufencurl https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..."
# Marketing-E-Mails deaktivierencurl -X POST https://qr3.app/v1/account/privacy/consents \ -H "Authorization: Bearer qr3_sk_..." \ -H "Content-Type: application/json" \ -d '{ "marketing_emails": false, "analytics": true, "product_updates": true }'Polia súhlasu:
| Pole | Predvolené | Popis |
|---|---|---|
marketing_emails | false | Newsletter a reklamné e-maily |
analytics | true | Agregované štatistiky používania |
product_updates | true | Novinky o produktoch a changelogy |
Technická implementácia GDPR
Anonymizácia IP adries (čl. 25 GDPR)
HTTP Request → Cloudflare Edge Worker ↓CF-Connecting-IP Header → SHA-256(IP + täglicher Salt) ↓ip_hash (nicht reversibel) → D1 Datenbank ↓Original-IP wird NIEMALS gespeichertSalt rotuje denne o polnoci UTC. Vďaka tomu nie je možná žiadna medzidňová korelácia IP adries, a to ani v prípade znalosti saltu.
Uchovávanie údajov (automatizované)
Denne spúšťaný cron job (purgeOldScans) vymazáva údaje o skenovaní po lehote závislej od predplatného:
| Predplatné | Uchovávanie |
|---|---|
| Free | 7 dní |
| Pro | 90 dní |
| Business / Agency | 1 rok |
| Enterprise | Vlastné (SLA) |
DPA so subdodávateľmi
Spoločnosť Cloudflare, Inc. spracúva údaje ako sprostredkovateľ. Zmluva DPA je dostupná na adrese cloudflare.com/cloudflare-customer-dpa.
Cloudflare spracúva údaje na serveroch v EÚ (Frankfurt). V platnosti sú štandardné zmluvné doložky (SCC) podľa čl. 46 GDPR.
Kontakt
- Zodpovedná osoba za ochranu osobných údajov: [email protected]
- Zmluva o spracúvaní osobných údajov (AVV): [email protected] (na vyžiadanie)
- Zásady ochrany osobných údajov: qr3.app/de/legal/datenschutz