shield_lock Databeskyttelse

Privatlivspolitik

Status: marts 2026 | Dataansvarlig: Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]

1. Principper

Vi behandler personoplysninger i overensstemmelse med GDPR (EU) 2016/679. Beskyttelsen af dine data er en central prioritet for os. qr3.app er udviklet efter princippet om Privacy by Design: IP-adresser gemmes aldrig — de hashes med det samme på Edge (Cloudflare Workers) med SHA-256 + en daglig salt, før data gemmes permanent.

2. Behandlede data

2.1 API-brug (registrerede brugere)

  • Kontodata: E-mailadresse, navn (via Clerk.com-godkendelse)
  • Faktureringsdata: Stripe-kunde-id, abonnementsstatus (ingen kreditkortoplysninger — Stripe behandler disse direkte)
  • Brugsdata: Oprettede QR-koder, workspace-konfigurationer
  • Retsgrundlag: Art. 6, stk. 1, litra b, i GDPR (kontraktopfyldelse)

2.2 Scanningsanalyse (slutbrugere, der scanner QR-koder)

  • Hashet IP: SHA-256-hash + daglig salt — kan ikke genskabes, ingen personhenførbarhed
  • Enhedsdata: Enhedstype, operativsystem, browser (fra User-Agent, anonymiseret)
  • Geodata: Land, by (fra Cloudflare CF-IPCountry-header — ingen IP gemmes)
  • Retsgrundlag: Art. 6, stk. 1, litra f, i GDPR (QR-kode-ejernes legitime interesse i statistikker)
  • Opbevaring: 90 dage, derefter automatisk sletning

2.3 Hjemmesidebesøg (qr3.app)

  • Ingen tracking-cookies, ingen tredjepartsanalyse
  • Serverlogs: Cloudflare behandler forbindelsesdata i overensstemmelse med deres privatlivspolitik

3. Videregivelse til tredjeparter

Vi videregiver kun data til:

  • Cloudflare, Inc. (USA) — infrastruktur, CDN, Workers. Retsgrundlag: Standardkontraktbestemmelser (SCC'er)
  • Clerk.com — godkendelse. Retsgrundlag: SCC'er
  • Stripe, Inc. (USA) — betalingsformidling. Retsgrundlag: SCC'er

Videregivelse til reklameformål finder ikke sted.

4. Dine rettigheder (GDPR art. 15-22)

  • Indsigt (art. 15): GET /v1/account/privacy eller e-mail til [email protected]
  • Dataportabilitet (art. 20): GET /v1/account/export — JSON-eksport af alle data
  • Sletning (art. 17): DELETE /v1/account eller e-mail — fuldstændig sletning inden for 30 dage
  • Begrænsning (art. 18): E-mail til [email protected]
  • Indsigelse (art. 21): Til enhver tid i forhold til legitime interesser

5. Cookies

qr3.app anvender udelukkende teknisk nødvendige session-cookies (godkendelse via Clerk). Ingen marketing- eller tracking-cookies. Samtykke i henhold til cookie-direktivet er derfor ikke påkrævet.

6. Datasikkerhed

Alle data overføres krypteret (TLS 1.3). Databasekryptering "at-rest" via Cloudflare D1. API-nøgler gemmes i hashed form. Webhook-signaturer via HMAC-SHA256.

7. Klageadgang

Du har ret til at indgive en klage til det østrigske datatilsyn:
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wien

8. Kontakt vedrørende databeskyttelse

Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]