shield_lock Andmekaitse

Privaatsuspoliitika

Seisuga: märts 2026 | Vastutav töötleja: Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]

1. Põhimõtted

Töötleme isikuandmeid kooskõlas isikuandmete kaitse üldmäärusega (GDPR) (EL) 2016/679. Teie andmete kaitse on meile ülimalt oluline. qr3.app on välja töötatud põhimõttel Privacy by Design (lõimitud andmekaitse): IP-aadresse ei salvestata kunagi — need räsivad Edge-võrgus (Cloudflare Workers) koheselt SHA-256 algoritmi ja igapäevase soolaga (salt) enne andmete püsivat salvestamist.

2. Töödeldavad andmed

2.1 API kasutamine (registreeritud kasutajad)

  • Kontoandmed: e-posti aadress, nimi (Clerk.com autentimise kaudu)
  • Arveldusandmed: Stripe'i kliendi ID, tellimuse staatus (krediitkaardiandmeid ei salvestata — Stripe töötleb neid otse)
  • Kasutusandmed: loodud QR-koodid, tööala (workspace) seadistused
  • Õiguslik alus: GDPR artikli 6 lõike 1 punkt b (lepingu täitmine)

2.2 Skannimise analüütika (lõppkasutajad, kes skannivad QR-koode)

  • Räsitud IP: SHA-256 räsi + igapäevane sool (salt) — pöördumatu, ei võimalda isiku tuvastamist
  • Seadme andmed: seadme tüüp, operatsioonisüsteem, veebilehitseja (User-Agent päisest, anonümiseeritud)
  • Geograafilised andmed: riik, linn (Cloudflare CF-IPCountry päisest — IP-aadressi ei salvestata)
  • Õiguslik alus: GDPR artikli 6 lõike 1 punkt f (QR-koodi omanike õigustatud huvi statistika vastu)
  • Säilitamine: 90 päeva, pärast mida kustutatakse andmed automaatselt

2.3 Veebilehe külastamine (qr3.app)

  • Puuduvad jälgimisküpsised ja kolmandate osapoolte analüütika
  • Serverilogid: Cloudflare töötleb ühenduse andmeid kooskõlas oma privaatsuspoliitikaga

3. Andmete edastamine kolmandatele isikutele

Edastame andmeid ainult järgmistele osapooltele:

  • Cloudflare, Inc. (USA) — infrastruktuur, CDN, Workers. Õiguslik alus: lepingu tüüptingimused (SCC-d)
  • Clerk.com — autentimine. Õiguslik alus: lepingu tüüptingimused (SCC-d)
  • Stripe, Inc. (USA) — maksete töötlemine. Õiguslik alus: lepingu tüüptingimused (SCC-d)

Andmete edastamist reklaamieesmärkidel ei toimu.

4. Teie õigused (GDPR artiklid 15–22)

  • Õigus tutvuda andmetega (artikkel 15): GET /v1/account/privacy või e-kiri aadressile [email protected]
  • Andmete ülekandmine (artikkel 20): GET /v1/account/export — kõigi andmete eksport JSON-vormingus
  • Kustutamine (artikkel 17): DELETE /v1/account või e-kiri — täielik kustutamine 30 päeva jooksul
  • Töötlemise piiramine (artikkel 18): e-kiri aadressile [email protected]
  • Vastuväite esitamine (artikkel 21): igal ajal õigustatud huvide alusel toimuvale töötlemisele

5. Küpsised

qr3.app kasutab eranditult tehniliselt vajalikke seansiküpsiseid (autentimine Clerki kaudu). Turundus- või jälgimisküpsiseid ei kasutata. Seetõu ei ole küpsiste direktiivi kohane nõusolek vajalik.

6. Andmeturve

Kõik andmed edastatakse krüpteeritult (TLS 1.3). Andmebaasi krüpteerimine puhkeolekus (at-rest) toimub Cloudflare D1 kaudu. API-võtmed salvestatakse räsitud kujul. Veebikonksude (webhook) allkirjad luuakse HMAC-SHA256 abil.

7. Kaebuse esitamise õigus

Teil on õigus esitada kaebus Austria andmekaitseasutusele:
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wien

8. Andmekaitse kontaktandmed

Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]