GDPR-připravený astrologický API pro vývojáře EU
První astrologický API s plnou rezidentností v EU. Pokud vyvíjíš B2C produkt pro evropský trh, otázka souladu s GDPR vyvstává ještě před napsáním prvního řádku kódu. AstroWay to řeší automaticky, bez dodatečných poplatků a právnických gymnastik.
Proč je to důležité
Sekce “Proč je to důležité”Ostatní astrologická API (DivineAPI, AstrologyAPI, Prokerala) jsou umístěna v USA / Indii. To znamená:
- Tvoje
birth.date,birth.time,birth.lat,birth.lon(=PII ve smyslu GDPR) prochází přes USA/Indii. - Seznam subprocesorů pro tvůj privacy policy: musíš uvádět jejich jurisdikci.
- DPA (Data Processing Agreement) — buď není k dispozici, nebo pouze pro Enterprise za zvláštní smlouvu.
- Riziko auditu Evropského úřadu pro ochranu osobních údajů (EDPB): přeshraniční přenos bez SCC = pokuty €10M+.
AstroWay v tarifu Pro ($59/měs) ti poskytuje rezidentnost v EU automaticky: všechna data jsou zpracovávána v Hetzneru v Norimberku, bez přeshraničního přenosu.
Technický stack
Sekce “Technický stack”| Vrstva | Umístění / poskytovatel |
|---|---|
| Výpočetní prostředky | Hetzner CPX32, Norimberk (Německo) |
| Databáze | EU-rezidentní na stejném VPS — data neopouštějí infrastrukturu v Norimberku |
| CDN / DNS | Cloudflare s pravidly pro cachování v EU (dotazy z EU jsou obsluhovány prostřednictvím EU edge) |
| Transakční emaily | Brevo (dříve Sendinblue), EU-based, GDPR-compliant SMTP |
| Úložiště PDF | Hetzner Storage Box (Norimberk) — signed-URL TTL 24h, žádná cross-border replikace |
| Analytika | GA4 s anonymizeIp + žádná osobní data v událostech (Plausible self-hosted v roadmapě) |
| Logy | strukturovaný JSON, pouze hash IP (žádné raw IP), doba uchování 30 dní |
GDPR — co poskytujeme
Sekce “GDPR — co poskytujeme”Automaticky (pro všechny klíče Pro+)
Sekce “Automaticky (pro všechny klíče Pro+)”- ✅ Tok dat pouze v rámci EU — birth-data nikdy neopouští Norimberk
- ✅ Žádný přeshraniční přenos osobních údajů — potvrzeno na úrovni infrastruktury
- ✅ Hashování IP — v logách je uložen pouze SHA-256 hash + první 16 bitů pro omezení frekvence dotazů
- ✅ Uchování logů 30 dní — poté jsou logy automaticky odstraněny
- ⚠️ Anonymizovaná analytika (GA4) — anonymize_ip + žádná osobní data v událostech. Plausible self-hosted (bez cookies) je v roadmapě. Do migrace doporučujeme vlastní cookie-banner na B2C frontendu.
- ✅ Právo na vymazání:
DELETE /v1/me/account(Bearer JWT, tělo{"confirmation": "DELETE"}) — okamžité smazání tvého účtu a všech souvisejících dat z našeho systému
Na vyžádání (předplatitelé Pro+)
Sekce “Na vyžádání (předplatitelé Pro+)”- 📄 DPA (Data Processing Agreement) — standardní šablona GDPR Art. 28, podepsaná oběma stranami do 5 pracovních dnů. Email na
legal@astroway.info. - 📋 Seznam subprocesorů — úplný seznam (Hetzner, Cloudflare, náš SMTP poskytovatel, Stripe pro zákazníky Stripe) s dokumenty o souladu každého z nich. Brevo jako SMTP vendor je uveden v příloze DPA pro klienty, kteří jej podepsali.
- 🗂️ Vstup do DPIA (Data Protection Impact Assessment) — pokud tvůj právní tým zpracovává DPIA pro svůj produkt, poskytneme technickou zprávu z naší strany.
Pro zákazníky Enterprise (individuální tarif)
Sekce “Pro zákazníky Enterprise (individuální tarif)”- 🛡️ SOC 2 Type II — v roadmapě (auditorská firma není stanovena, ETA TBD). Pokud to blokuje tvou integraci — napiš na legal@astroway.info, jsme ochotni zvážit samostatnou auditorskou spolupráci.
- 🇪🇺 Právnická osoba v rámci EU — aktuální právní forma je ukrajinský FO (Maxim Burkhan). Pokud tvůj nákupní oddělení vyžaduje EU GmbH (Německo / Estonsko) — projednáme individuálně prostřednictvím legal@astroway.info, proces 4-8 týdnů.
- 🔐 Vyhrazená infrastruktura dle požadavku — samostatný VPS v Norimberku, izolovaná databáze, ne sdílený výpočetní výkon
- 📞 Přímý bezpečnostní kanál —
security@astroway.infopro reakci na incidenty
Srovnání: AstroWay vs. konkurence s hostingem v USA
Sekce “Srovnání: AstroWay vs. konkurence s hostingem v USA”| Kritické pro vývojáře v EU | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Výpočet v EU | ✅ Hetzner Norimberk | ❌ USA | ❌ USA | ❌ Indie |
| Standardní DPA k dispozici | ✅ na Pro+ | ❌ pouze Enterprise | ❌ pouze Enterprise | ❌ pouze Enterprise |
| GDPR-soulad automaticky | ✅ na úrovni infrastruktury | ⚠️ prostřednictvím SCC | ⚠️ prostřednictvím SCC | ⚠️ prostřednictvím SCC |
| Analytika bez cookies | ⚠️ GA4 anonymizováno (Plausible v roadmapě) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Záruka toku dat pouze v EU | ✅ písemně | ❌ | ❌ | ❌ |
| Technický vstup do DPIA | ✅ poskytován | ❌ | ❌ | ❌ |
| Endpoint práva na vymazání | ✅ DELETE /v1/me/account | ❌ prostřednictvím ticketu | ❌ prostřednictvím ticketu | ❌ prostřednictvím ticketu |
Cena
Sekce “Cena”Rezidentnost v EU, DPA, GDPR na úrovni infrastruktury — vše zahrnuto v tarifu Pro $59/měs. Není to zvláštní tarif, není třeba kontaktovat prodej, není individuální cenotvorba.
Toto je vědomá strategie: umístění v Hetzneru nás nic dodatečně nestojí (náš VPS je v Norimberku v každém případě), a DPA je standardní šablona, která se podepisuje jednou prostřednictvím emailu. Nemusíš platit za soukromí to, co by mělo být automatické.
FAQ
Sekce “FAQ”Mohu používat Free tarif pro GDPR-citlivý projekt?
Sekce “Mohu používat Free tarif pro GDPR-citlivý projekt?”Ano — Free tarif má stejnou infrastrukturu (Hetzner Norimberk), stejnou anonymizovanou analytiku, stejnou dobu uchování logů 30 dní. DPA není k dispozici na Free (jde o administrativní overhead, který se vyplatí pouze na placené úrovni), ale technicky jsou data zpracovávána stejně.
Pokud tvůj právník vyžaduje podepsanou DPA — Indie ($5/měs) ji také neposkytuje. Nejlevnější varianta s DPA je Pro $59.
Co s ECJ Schrems II? Tvůj Cloudflare CDN je americká společnost?
Sekce “Co s ECJ Schrems II? Tvůj Cloudflare CDN je americká společnost?”Cloudflare je americká společnost, ale používáme pravidla pro cachování v EU (dotaz z EU IP je obsluhován prostřednictvím EU edge), a origin server (kde jsou data skutečně zpracovávána) je Hetzner Norimberk. PII (birth-data) prochází prostřednictvím Cloudflare edge ve stejném regionu a není na něm uloženo — pouze v tranzitu.
Pro kriticky citlivé scénáře použití (zdravotnické aplikace, B2G) lze obejít Cloudflare prostřednictvím DNS-routing na origin — napiš na legal@astroway.info.
Jak rychle dostanu DPA po přihlášení k tarifu Pro?
Sekce “Jak rychle dostanu DPA po přihlášení k tarifu Pro?”- Standardní DPA (naše šablona) — okamžitě, soubor
astroway-dpa-v1.pdfje k dispozici v dashboardu po prvním odečtení. - Individuální úpravy od tvého právníka — 3-5 pracovních dnů. Nebudeme agresivně vyjednávat standardní body Art. 28.
Musím podepsat DPA, pokud jsem B2B vývojář bez vlastních PII?
Sekce “Musím podepsat DPA, pokud jsem B2B vývojář bez vlastních PII?”Pokud tvůj konečný produkt zpracovává PII (a birth-data je PII) — pak ano, tvůj právník s největší pravděpodobností požádá o podepsanou DPA se všemi subprocesory. Poskytujeme ji standardně. Pokud je tvá integrace interní (pouze pro zaměstnance), DPA pravděpodobně není kritická, ale stejně ji doporučujeme podepsat.
Co dělá AstroWay, když provedu DELETE /v1/me/account?
Sekce “Co dělá AstroWay, když provedu DELETE /v1/me/account?”- API klíče — jsou jemně smazány (ochranná doba proti zneužití)
- Vazba účet-klíč — je přerušena; klíč nelze znovu přiřadit
- Uživatelský profil — je označen jako smazaný s časovou značkou
- Logy použití — hash IP již není PII, zůstává pro audit fakturace
- Historie objednávek — je uchována (právní finanční uchování 7 let dle GDPR Art. 17 §3 e)
- Transakční emaily — jsou automaticky smazány prostřednictvím našeho SMTP poskytovatele do 90 dnů
Úplný flow je k dispozici na vyžádání prostřednictvím legal@astroway.info.
Kontakty
Sekce “Kontakty”- Právní/DPA: legal@astroway.info
- Bezpečnostní incidenty: security@astroway.info
- Seznam subprocesorů / DPIA: hello@astroway.info