GDPR-gotowy astryologiczny API dla deweloperów UE
Pierwsze API astrologiczne z pełną rezydentnością w UE. Jeśli tworzysz produkt B2C dla europejskiego rynku — kwestia zgodności z RODO pojawia się jeszcze zanim napiszesz pierwszą linijkę kodu. AstroWay rozwiązuje ją domyślnie, bez dodatkowych opłat i prawniczych akrobacji.
Dlaczego to ważne
Dział zatytułowany „Dlaczego to ważne”Pozostałe API astrologiczne (DivineAPI, AstrologyAPI, Prokerala) są hostowane w USA / Indiach. Oznacza to:
- Twoje
birth.date,birth.time,birth.lat,birth.lon(=PII w rozumieniu RODO) przechodzą przez USA/Indie. - Ujawnienie subprocesorów w polityce prywatności: musisz wymienić ich jurysdykcję.
- Umowa o przetwarzaniu danych (DPA) — albo niedostępna, albo tylko w wersji Enterprise za dodatkowy kontrakt.
- Ryzyko kontroli przez europejski organ ochrony danych: przekazywanie danych poza UE bez SCC = kary do 10 mln €.
AstroWay w cenie Pro ($59/mies.) daje ci rezydentność w UE domyślnie: wszystkie dane są przetwarzane w Hetzner w Norymberdze, bez przekazywania poza granice.
Stos technologiczny
Dział zatytułowany „Stos technologiczny”| Warstwa | Lokalizacja / dostawca |
|---|---|
| Compute | Hetzner CPX32, Norymberga (Niemcy) |
| Baza danych | Rezydentna w UE na tym samym VPS — dane nie opuszczają infrastruktury w Norymberdze |
| CDN / DNS | Cloudflare z regułami cache dla regionu UE (zapytania z UE są obsługiwane przez europejskie edge) |
| E-mail transactional | Brevo (dawniej Sendinblue), dostawca z UE, zgodny z RODO SMTP |
| Magazyn PDF | Hetzner Storage Box (Norymberga) — signed-URL z TTL 24h, bez replikacji poza granice |
| Analiza | GA4 z anonymizeIp + brak danych osobowych w zdarzeniach (Plausible self-hosted w roadmapie) |
| Logi | strukturyzowany JSON, tylko hash IP (bez surowych adresów IP), retencja 30 dni |
RODO — co zapewniamy
Dział zatytułowany „RODO — co zapewniamy”Domyślnie (dla wszystkich kluczy Pro+)
Dział zatytułowany „Domyślnie (dla wszystkich kluczy Pro+)”- ✅ Przepływ danych wyłącznie w obrębie UE — dane urodzeniowe nigdy nie opuszczają Norymbergi
- ✅ Brak przekazywania danych osobowych poza UE — potwierdzone konfiguracją na poziomie infrastruktury
- ✅ Hashowanie adresów IP — w logach zapisywany jest jedynie skrót SHA-256 + pierwsze 16 bitów w celu ograniczenia częstotliwości zapytań
- ✅ Retencja logów 30 dni — po tym okresie logi są automatycznie usuwane
- ⚠️ Anonimowa analiza (GA4) — anonymize_ip + brak danych osobowych w zdarzeniach. Plausible self-hosted (bez cookies) — w roadmapie. Do migracji zalecamy własny baner cookies na froncie B2C.
- ✅ Prawo do bycia zapomnianym:
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — natychmiastowe usunięcie twojego konta i wszystkich powiązanych danych z naszego systemu
Na żądanie (subskrybenci Pro+)
Dział zatytułowany „Na żądanie (subskrybenci Pro+)”- 📄 Umowa o przetwarzaniu danych (DPA) — standardowy wzór zgodny z art. 28 RODO, podpisywany obustronnie w ciągu 5 dni roboczych. Wiadomość na
legal@astroway.info. - 📋 Lista subprocesorów — pełna lista (Hetzner, Cloudflare, nasz dostawca SMTP, Stripe dla klientów Stripe) z dokumentami zgodności każdego z nich. Brevo jako dostawca SMTP jest wymieniony w załączniku do DPA dla klientów, którzy ją podpisali.
- 🗂️ Wkład w ocenę skutków dla ochrony danych (DPIA) — jeśli twój zespół prawny przeprowadza DPIA dla swojego produktu, dostarczamy techniczny wkład z naszej strony.
Dla klientów Enterprise (indywidualny pakiet)
Dział zatytułowany „Dla klientów Enterprise (indywidualny pakiet)”- 🛡️ SOC 2 Type II — w roadmapie (firma audytorska nie została jeszcze wybrana, ETA TBD). Jeśli to blokuje twoją integrację — napisz na legal@astroway.info, gotowi rozważyć współpracę audytową.
- 🇪🇺 Podmiot prawny w UE — obecna forma prawna to ukraiński FOP (Maxim Burkhan). Jeśli twój dział zakupów wymaga EU GmbH (Niemcy / Estonia) — omawiamy indywidualnie przez legal@astroway.info, proces 4-8 tygodni.
- 🔐 Dedykowana infrastruktura na żądanie — osobny VPS w Norymberdze, izolowana baza danych, nie współdzielony compute
- 📞 Bezpośredni kanał do zespołu bezpieczeństwa —
security@astroway.infodo reagowania na incydenty
Porównanie: AstroWay vs. konkurencja z hostingiem w USA
Dział zatytułowany „Porównanie: AstroWay vs. konkurencja z hostingiem w USA”| Krytyczne dla developera z UE | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute w UE | ✅ Hetzner Norymberga | ❌ USA | ❌ USA | ❌ Indie |
| Standardowa DPA dostępna | ✅ w pakiecie Pro+ | ❌ tylko Enterprise | ❌ tylko Enterprise | ❌ tylko Enterprise |
| Zgodność z RODO domyślnie | ✅ na poziomie infrastruktury | ⚠️ przez SCC | ⚠️ przez SCC | ⚠️ przez SCC |
| Analiza bez cookies | ⚠️ GA4 zanonimizowane (Plausible w roadmapie) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Gwarancja przepływu danych wyłącznie w UE | ✅ pisemne potwierdzenie | ❌ | ❌ | ❌ |
| Wkład techniczny w DPIA | ✅ dostępny | ❌ | ❌ | ❌ |
| Endpoint prawa do usunięcia | ✅ DELETE /v1/me/account | ❌ przez ticket | ❌ przez ticket | ❌ przez ticket |
Rezydentność w UE, DPA, zgodność z RODO na poziomie infrastruktury — wszystko w pakiecie Pro za $59/mies. Nie osobny pakiet, nie kontakt z działem sprzedaży, nie indywidualna wycena.
To świadoma strategia: hosting w Hetzner nie generuje dla nas dodatkowych kosztów (nasz VPS i tak jest w Norymberdze), a DPA to standardowy wzór podpisywany raz przez e-mail. Nie musisz płacić za prywatność, która powinna być domyślna.
Czy mogę używać darmowego pakietu do projektu wrażliwego pod względem RODO?
Dział zatytułowany „Czy mogę używać darmowego pakietu do projektu wrażliwego pod względem RODO?”Tak — darmowy pakiet ma tę samą infrastrukturę (Hetzner Norymberga), tę samą anonimową analizę, tę samą retencję logów 30 dni. DPA w pakiecie Free nie jest dostępna (to administracyjny overhead, który zwraca się dopiero na płatnym poziomie), ale dane są przetwarzane w ten sam sposób.
Jeśli twój prawnik wymaga podpisanej DPA — pakiet Indie ($5/mies.) też jej nie zapewnia. Najtańsza opcja z DPA to Pro za $59.
Co z wyrokiem TSUE Schrems II? Wasz CDN Cloudflare to firma z USA?
Dział zatytułowany „Co z wyrokiem TSUE Schrems II? Wasz CDN Cloudflare to firma z USA?”Cloudflare jest amerykański, ale używamy reguł cache dla regionu UE (zapytanie z IP z UE jest obsługiwane przez europejski edge), a serwer origin (gdzie dane są faktycznie przetwarzane) to Hetzner w Norymberdze. Dane osobowe (urodzeniowe) przechodzą przez europejski edge Cloudflare i nie są tam przechowywane — tylko w tranzycie.
W krytycznie wrażliwych scenariuszach (aplikacje medyczne, B2G) możesz ominąć Cloudflare poprzez routing DNS bezpośrednio na origin — napisz na legal@astroway.info.
Jak szybko otrzymam DPA po subskrypcji pakietu Pro?
Dział zatytułowany „Jak szybko otrzymam DPA po subskrypcji pakietu Pro?”- Standardowa DPA (nasz wzór) — natychmiastowo, plik
astroway-dpa-v1.pdfdostępny w panelu po pierwszym pobraniu. - Indywidualne poprawki od twojego prawnika — 3-5 dni roboczych. Nie prowadzimy agresywnych negocjacji przy standardowych punktach art. 28.
Czy muszę podpisywać DPA, jeśli jestem developerem B2B bez własnych PII?
Dział zatytułowany „Czy muszę podpisywać DPA, jeśli jestem developerem B2B bez własnych PII?”Jeśli twój produkt końcowy przetwarza PII (a dane urodzeniowe to PII) — tak, twój prawnik prawdopodobnie poprosi o podpisaną DPA ze wszystkimi subprocesorami. My ją standardowo dostarczamy. Jeśli twoja integracja jest wewnętrzna (tylko pracownicy), DPA prawdopodobnie nie jest krytyczna, ale i tak warto ją podpisać.
Co robi AstroWay, gdy wykonasz DELETE /v1/me/account?
Dział zatytułowany „Co robi AstroWay, gdy wykonasz DELETE /v1/me/account?”- Klucze API — są łagodnie usuwane (okres ochronny przed nadużyciami)
- Powiązanie konto-klucz — zerwane; klucz nie może być ponownie przypisany
- Profil użytkownika — oznaczony jako usunięty z datą
- Logi użycia — hash IP nie jest już PII, pozostaje do audytu rozliczeń
- Historia zamówień — jest zachowywana (retencja finansowa 7 lat zgodnie z art. 17 §3 e RODO)
- Transakcyjne e-maile — są automatycznie usuwane przez naszego dostawcę SMTP po 90 dniach
Pełny flow dostępny na żądanie przez legal@astroway.info.
Kontakt
Dział zatytułowany „Kontakt”- Prawny/DPA: legal@astroway.info
- Incydenty bezpieczeństwa: security@astroway.info
- Lista subprocesorów / DPIA: hello@astroway.info