Polityka prywatności
Niniejsza polityka dotyczy Abundera QR Pro (płatnej usługi na pro.qr.abundera.ai). Polityka prywatności darmowego narzędzia Abundera QR na qr.abundera.ai znajduje się na stronie qr.abundera.ai/privacy/.
Jak Abundera QR przetwarza dane: prawie zero w przypadku darmowego narzędzia; minimalne i jawne w Pro.
1. Podsumowanie
Dwa produkty, dwa różne podejścia do danych.
- Free Tool (qr.abundera.ai): brak konta, brak plików cookie, brak analityki, brak żądań do naszych serwerów podczas generowania QR. Twoje dane nigdy nie opuszczają przeglądarki.
- Pro Service (pro.qr.abundera.ai): oparty na koncie. Przechowujemy Twój adres e-mail, identyfikator klienta Stripe, tworzone kody QR oraz minimalne rekordy skanowań opisane w sekcji 4. Nie śledzimy Twoich użytkowników końcowych w sieci; nie sprzedajemy Twoich danych; nie korzystamy z technologii reklamowych.
2. Dane przetwarzane w Pro Service
2.1 Dane konta
Podczas logowania przez abundera.ai otrzymujemy Twój adres e-mail i identyfikator użytkownika za pośrednictwem naszego przepływu uwierzytelniania delegowanego przez JWKS. Przechowujemy:
- Adres e-mail (do wysyłania powiadomień rozliczeniowych, kluczowych komunikatów usługi i potwierdzeń anulowania)
- Identyfikator klienta Stripe (do obciążania podanej metody płatności)
- Preferencje konta (poziom planu, członkostwo w zespołach, metadane klucza API)
- Znaczniki czasu (data utworzenia konta, aktualizacji, zgłoszenia żądania usunięcia)
Nie przechowujemy haseł; uwierzytelnianie jest delegowane do abundera.ai. Nie zbieramy danych demograficznych, preferencji marketingowych ani identyfikatorów urządzeń poza tym, co opisano tutaj.
2.2 Twoje kody i URL-e
Kiedy tworzysz dynamiczny kod QR, przechowujemy docelowy URL, opcjonalną etykietę, opcjonalne tagi, 7-znakowy shortcode i status cyklu życia kodu. To właśnie umożliwia dynamiczne rozwiązywanie QR.
2.3 Dane płatności
Płatności są przetwarzane przez Stripe, Inc. Nie przechowujemy numerów kart, kodów CVC ani numerów rachunków bankowych. Stripe zwraca referencję (identyfikator klienta i subskrypcji), którą przechowujemy w celu uzgodnienia odnowień i faktur. Dane Twojej metody płatności pozostają u Stripe.
3. Analityka skanowań (co rejestrujemy, gdy ktoś skanuje jeden z Twoich kodów)
To właśnie w tym miejscu większość komercyjnych dostawców QR gromadzi bogaty profil zachowań. My robimy odwrotnie.
Co rejestrujemy przy każdym skanowaniu:
- Datę kalendarza UTC (zaokrągloną do dnia)
- Kraj wyznaczony na podstawie nagłówka żądania Cloudflare
CF-IPCountry - Klasę urządzenia (mobile / tablet / desktop / unknown) sklasyfikowaną na podstawie krótkiego wyrażenia regularnego User-Agent
- Shortcode kodu (w celu przypisania skanowania do właściwego kodu)
W przypadku planów Team i Agency rejestrujemy dodatkowo zaokrąglony do godziny czas skanowania UTC za okres do 7 dni wstecz. Rekordy zaokrąglone do dnia są przechowywane zgodnie z planem (patrz sekcja 7).
Czego nie rejestrujemy: adresu IP, dokładnej geolokalizacji (brak miasta ani współrzędnych geograficznych), adresu URL referrera, surowego ciągu User-Agent, znacznika czasu z dokładnością poniżej godziny, pliku cookie ani identyfikatora sesji skanującego ani niczego innego. Po sklasyfikowaniu klasy urządzenia ciąg User-Agent jest usuwany; nigdy nie jest zapisywany do naszej bazy danych.
Kraje z mniej niż pięcioma skanowaniami w wybranym oknie analitycznym są grupowane jako "Inne", tak aby pojedynczy skanujący nie mogli być ponownie zidentyfikowani z małej próbki.
4. Pliki cookie i śledzenie
Free Tool: brak plików cookie, brak śledzenia, brak fingerprintingu.
Pro Service: jeden ściśle niezbędny plik cookie, __Secure-abundera_session, przenosi podpisany token sesji wymagany do utrzymania zalogowania. Jest ustawiony jako HttpOnly, Secure i SameSite=Strict. Nie stosujemy marketingowych plików cookie, reklamowych plików cookie ani śledzenia między witrynami. Brak Google Analytics, Meta Pixel ani podobnych rozwiązań.
5. Używani przez nas podwykonawcy
Świadczenie usługi wymaga kilku podmiotów trzecich. Aktualna lista:
| Podwykonawca | Cel | Dostęp do danych | Jurysdykcja |
|---|---|---|---|
| Cloudflare, Inc. | Obliczenia, buforowanie na krawędzi, baza danych (D1), magazyn klucz-wartość (KV), DNS | Wszystkie dane Pro Service; nagłówki skanowań na krawędzi | USA z globalną siecią krawędziową |
| Stripe, Inc. | Przetwarzanie płatności i rozliczenia | Adres e-mail, dane płatności, rekordy subskrypcji | USA |
| Zoho Corporation / ZeptoMail | Transakcyjny e-mail (powitalny, anulowania, błędu płatności) | Adres e-mail, treść wiadomości | USA / Indie |
Aktualna, datowana lista podwykonawców jest prowadzona na stronie abundera.ai/legal/subprocessors/. Zaktualizujemy tę stronę przed dodaniem nowego podwykonawcy i damy subskrybentom co najmniej trzydzieści (30) dni na zgłoszenie sprzeciwu, gdy wymaga tego obowiązujące prawo.
6. Jak długo przechowujemy Twoje dane
Dane konta: przechowywane w czasie aktywności konta. Gdy żądasz usunięcia konta, konto przechodzi w 30-dniowy stan wstrzymania, po czym wszystkie dane osobowe są usuwane z systemów produkcyjnych.
Dynamiczne kody QR: przechowywane w czasie aktywności powiązanej subskrypcji, przez cały okres karencji i przez 30-dniowy czas wstrzymania usunięcia konta. Po tym czasie kody i ich shortcode'y są usuwane.
Rekordy skanowań: przechowywane zgodnie z planem: 365 dni w Solo, 730 dni w Business, 1095 dni w Team i Agency, 30 dni w Keep-Alive. Po tym czasie starsze rekordy skanowań są usuwane na bieżąco przez naszą codzienną procedurę.
Rekordy płatności i podatkowe: rekordy transakcji Stripe i dokumenty podatkowe są przechowywane przez co najmniej siedem (7) lat zgodnie z wymogami prawa podatkowego USA; jurysdykcje VAT UE mogą wymagać dłuższego przechowywania. Tych danych nie można usunąć na żądanie w tym okresie.
Dzienniki bezpieczeństwa: ustrukturyzowane dzienniki aplikacji (bez danych osobowych poza tym, co handler jawnie zapisuje, np. identyfikatory użytkowników Stripe-webhook) są przechowywane przez Cloudflare przez maksymalnie 30 dni.
7. Podstawa prawna przetwarzania (użytkownicy GDPR / EOG)
Gdy stosuje się GDPR, opieramy się na następujących podstawach prawnych:
- Wykonanie umowy, dla tworzenia konta, rozliczeń subskrypcji, rozwiązywania kodów i wsparcia technicznego. Obejmuje to zasadniczo całe przetwarzanie Pro Service.
- Uzasadniony interes, na potrzeby monitorowania bezpieczeństwa, zapobiegania oszustwom i analityki skanowań, którą Ty jako nasz klient wykorzystujesz do oceny skuteczności kampanii, przy czym analityka ta jest z założenia minimalna. Oceniamy, że wpływ na skanujących jest minimalny, ponieważ żadne dane identyfikujące skanującego nie są przechowywane.
- Obowiązek prawny, w zakresie przechowywania rejestrów płatności i podatkowych, jak opisano w sekcji 7.
- Zgoda, wyłącznie tam, gdzie wyraźnie jej żądamy (np. przyszła opcjonalna komunikacja marketingowa). Nie opieramy się na zgodzie w przypadku żadnego obowiązkowego przetwarzania.
8. Twoje prawa
Z zastrzeżeniem obowiązującego prawa i wyjątków dotyczących przechowywania danych opisanych w sekcji 7, przysługują Ci następujące prawa:
- Dostęp: pobierz plik ZIP z danymi swojego konta (kody, skany, README) w dowolnym momencie z Konto → Prywatność → Eksport lub pisząc na support@abundera.ai.
- Sprostowanie: zaktualizuj dane konta przez stronę konta lub kontaktując się z pomocą techniczną.
- Usunięcie: zażądaj usunięcia konta z Konto → Prywatność → Usuń. 30-dniowe wstrzymanie, następnie trwałe usunięcie.
- Przenoszalność: plik ZIP z eksportem jest w formacie CSV możliwym do odczytu maszynowego wraz z plikiem README.
- Sprzeciw / ograniczenie przetwarzania: skontaktuj się z support@abundera.ai. Uznamy zasadne żądania i potwierdzimy to na piśmie.
- Cofnięcie zgody: jeżeli przetwarzanie opiera się na zgodzie, możesz ją cofnąć w dowolnym momencie bez wpływu na przetwarzanie dokonane przed cofnięciem.
- Złożenie skargi: użytkownicy z EOG mogą złożyć skargę do lokalnego organu nadzorczego. Użytkownicy z Wielkiej Brytanii: ICO. Inne jurysdykcje: właściwy organ.
Czas odpowiedzi: potwierdzamy otrzymanie w ciągu 5 dni roboczych i realizujemy w ciągu 30 dni od potwierdzenia, zgodnie z wymogami art. 12 GDPR. Złożone wnioski mogą zostać przedłużone do 90 dni z powiadomieniem. Prawa dotyczące prywatności stanowe USA, Kalifornia (CCPA), Kolorado (CPA), Wirginia (VCDPA) i inne, są honorowane w tym samym 30-dniowym terminie.
9. "Nie sprzedawaj ani nie udostępniaj moich danych osobowych"
Nie sprzedajemy Twoich danych osobowych. Nie udostępniamy Twoich danych osobowych do celów reklamy behawioralnej w różnych kontekstach. Nie używamy ani nie ujawniamy wrażliwych danych osobowych do celów innych niż świadczenie usługi. Ponieważ nie stosujemy tych praktyk, rezygnacja nie jest wymagana, jednak mieszkańcy Kalifornii, którzy chcą pisemnego potwierdzenia, mogą złożyć wniosek na adres support@abundera.ai.
10. Dzieci
Pro Service nie jest skierowany do dzieci poniżej 16 roku życia. Nie gromadzimy świadomie danych osobowych dzieci poniżej 16 roku życia. Jeśli uważasz, że tak się stało, skontaktuj się z support@abundera.ai, a usuniemy te dane.
11. Transfery międzynarodowe
Mamy siedzibę w USA. Dane osobowe zbierane od mieszkańców EOG, Wielkiej Brytanii lub Szwajcarii są przekazywane do USA. W przypadku transferów do naszych podwykonawców (Cloudflare, Stripe, Zoho/ZeptoMail) opieramy się na Standardowych Klauzulach Umownych UE (SCC). Aktualna lista podwykonawców na stronie abundera.ai/legal/subprocessors/ dokumentuje mechanizm transferu dla każdego z nich.
12. Bezpieczeństwo
Stosujemy standardowe branżowe zabezpieczenia: TLS 1.3 w tranzycie, szyfrowane przechowywanie w spoczynku (Cloudflare D1, KV), scopowane klucze API, limitowanie szybkości, ochronę CSRF (pliki cookie SameSite=Strict + sprawdzanie origin) i ustrukturyzowane rejestrowanie dostępu. Nie twierdzimy, że usługa jest niezniszczalna. Jeśli podejrzewasz problem z bezpieczeństwem, zgłoś go na adres security@abundera.ai.
13. Powiadomienie o naruszeniu
Jeśli dowiemy się o naruszeniu danych osobowych dotyczącym Twojego konta, powiadomimy Cię bez zbędnej zwłoki, a w każdym razie w ciągu siedemdziesięciu dwóch (72) godzin od powzięcia wiadomości, zgodnie z wymogami art. 33 GDPR dla naszej roli jako administratora danych. Powiadomienia zawierają: charakter naruszenia, kategorie i przybliżoną liczbę dotkniętych rekordów, prawdopodobne konsekwencje oraz podjęte lub planowane środki.
14. Zmiany niniejszej polityki
Możemy okresowo aktualizować niniejszą Politykę prywatności. O istotnych zmianach będziemy informować pocztą elektroniczną na adres zarejestrowany w koncie subskrybentów Pro oraz przez zamieszczenie wyraźnego powiadomienia na tej stronie. Data wejścia w życie na górze tej strony odzwierciedla aktualną wersję. Historyczne wersje są dostępne na stronie dziennika zmian.
15. Kontakt
Pytania dotyczące prywatności, wnioski osób, których dane dotyczą, lub uwagi: privacy@abundera.ai (dedykowany adres) lub support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.