Przejdź do głównej treści
Gdy podmiot danych powołuje się na swoje prawo do bycia zapomnianym, potrzebujesz dwóch rzeczy: przenośnej kopii jego danych oraz nieodwracalnego usunięcia, które faktycznie sięga każdej powierzchni, której dotknęła jego aktywność — nie tylko wiersza użytkownika. OrcaRouter czyni oba samoobsługowymi. Zalogowane konto może wyeksportować swoje własne dane i zaplanować swoje własne usunięcie; usunięcie działa jako 30-dniowe okno karencji, po którym następuje czyszczenie PII, które kaskadowo usuwa rekordy obserwowalności powiązane z tym kontem. Ta strona obejmuje obserwowalny przez klienta przepływ usuwania. Co do tego, gdzie żyją artefakty dowodowe, zobacz Rezydencja danych; co do tego, jak długo logi żądań persystują niezależnie od usuwania, zobacz Retencja.

1. usuwanie gdpr llm: samoobsługowy przepływ DSAR

Trzy akcje konsoli obejmują żądanie dostępu podmiotu danych od początku do końca. Każda to trasa UserAuth pod /api/user/* — napędzana twoją sesją konsoli, nigdy kluczem relay (sk-orca-…):

Eksport

Pobierz przenośną kopię JSON swoich danych osobowych, zanim usuniesz.

Usuń

Miękko usuń natychmiast; zaplanuj nieodwracalne czyszczenie na +30 dni.

Anuluj

Przywróć konto w dowolnym momencie wewnątrz okna karencji.
Eksport to przenośność danych — połowa dostępu DSAR. Usunięcie to połowa usuwania. Uruchom najpierw eksport; gdy czyszczenie się odpali, nie ma już nic do wyeksportowania.

2. Wyeksportuj swoje dane (jeden konkretny przepływ)

Z konsoli otwórz Account → Privacy i wybierz Export my data. Konsola napędza tę trasę odczytu twoją sesją: 
GET /api/user/self/export
Authorization: Bearer <your console session>
Odpowiedź to pobieralny dokument JSON twojego profilu i niesekretnych danych osobowych. Eksport to wyraźna lista dozwolonych — nigdy nie obejmuje skrótu twojego hasła, twojego systemowego tokenu dostępu, sekretów OAuth, poświadczeń webhook/powiadomień ani ciał ładunku logów żądań.
Eksport pozostaje dostępny podczas okna karencji. Konto zaplanowane do usunięcia jest miękko usunięte, ale wciąż może dotrzeć do eksportu i anulacji — przenośność to cały sens utrzymywania tych drzwi otwartych, dopóki czyszczenie się nie uruchomi.

3. Zaplanuj usunięcie

Account → Privacy → Delete my account miękko usuwa konto natychmiast i planuje czyszczenie PII na teraz + 30 dni: 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
Odpowiedź niesie zaplanowaną datę czyszczenia. Stosuje się kilka zabezpieczeń:
Konta z hasłem muszą podać aktualne hasło na żądaniu usunięcia — obrona przed przejętą sesją trwale niszczącą dane. Konta tylko-OAuth nie mają hasła; uwierzytelniona sesja jest dowodem.
Jeśli jesteś jedynym właścicielem współdzielonej zespołowej przestrzeni roboczej, która wciąż ma innych członków, usunięcie jest odmawiane — w przeciwnym razie koledzy z zespołu odziedziczyliby przestrzeń roboczą bez właściciela. Przekaż własność lub zarchiwizuj przestrzeń roboczą najpierw.
Konto root instancji jest odmawiane — samo-usunięcie go pozostawiłoby wdrożenie bez super-admina. Przekaż rolę root najpierw.
Wywołanie usunięcia ponownie, gdy już oczekuje, zwraca przyjazną odpowiedź „już zaplanowane” zamiast błędu.
Po zaplanowaniu twoja sesja jest ograniczona do endpointów anulacji i eksportu na resztę okna karencji — zachowane ciasteczko już nie przechodzi auth na reszcie /api/user/*. Anulacja znosi ograniczenie i przywraca pełny dostęp bez ponownego logowania.

4. 30-dniowe okno karencji

Okno karencji to rozmyślny bufor cofnięcia. Dopóki nie upłynie, konto jest miękko usunięte, nie wymazane, a jedno wywołanie je przywraca: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
Jeśli anulacja wyląduje w wyścigu między zamiataniem wybierającym twoje konto a uruchamianym czyszczeniem, teraz-aktywne konto nie jest anonimizowane — czyszczenie zabezpiecza się stanem wciąż-oczekującym i pomija wszystko, co zostało reaktywowane.
Traktuj te 30 dni jako bufor SLA realizacji DSAR. Podmiot, który zmienia zdanie, lub żądanie wniesione przez pomyłkę, jest w pełni odzyskiwalny, dopóki okno się nie zamknie — po czym czyszczenie jest nieodwracalne z założenia.

5. Czyszczenie PII i jego kaskadowe usunięcie

Gdy okno karencji upłynie, zamiatanie uruchamia czyszczenie. Nie tylko ukrywa wiersz — usuwa bezpośrednie identyfikatory i kaskadowo usuwa rekordy, które twoja aktywność zostawiła na każdej powierzchni obserwowalności:
PowierzchniaCo robi czyszczenie
KontoBezpośrednie identyfikatory zanonimizowane; poświadczenia, klucze, powiązania OAuth, passkeye i 2FA twardo usunięte
Logi żądańUsunięte z magazynu logów żądań
Wiersze rozliczeń / użyciaNazwa użytkownika zredagowana i IP wyczyszczone na wierszach zachowanych do rozliczeń
Dopasowania guardrailUsunięte — w tym wszelkie surowe dopasowane podłańcuchy
Zdarzenia firewallaUsunięte — nazwy narzędzi, IP i id żądań przypisane do ciebie
Pola konta są anonimizowane na miejscu (nazwa użytkownika i e-mail przepisane na placeholder deleted-…, status wyłączony), więc wiersze rozliczeń i audytu, które mają podstawę prawną do persystencji, zachowują swój kształt, tracąc osadzone dane osobowe. Wszystko niosące poświadczenia jest twardo usuwane — prawdziwe usuwanie, nie miękkie usunięcie, które tylko ukrywa.
Kaskada sięga tych samych trzech powierzchni, które czytasz gdzie indziej w konsoli: dopasowań Guardrail, zdarzeń Firewall oraz logów żądań. Po czyszczeniu żadna z nich nie rozwiązuje się z powrotem do usuniętej osoby. To czyni usuwanie symetrycznym w warstwie treści, warstwie akcji i logu.
Zauważ rozróżnienie od surowej dopasowanej treści. Dopasowania guardrail przechowują dopasowany podłańcuch tylko, gdy przełącznik Log raw content tego guardrailu jest włączony (domyślnie wyłączony). Tak czy inaczej, czyszczenie usuwa te rekordy całkowicie — więc przełącznik zmienia to, co kiedykolwiek zostało zarejestrowane, nie to, co przetrwa usunięcie.

6. Usuwanie vs retencja

Usuwanie i retencja to dwa różne zegary — nie myl ich:
  • Retencja starzeje logi żądań na przesuwnym oknie dla wszystkich — domyślne 30 dni, ograniczane przez serwer do twardego maksimum 180 dni. Zobacz Retencja.
  • Usuwanie to jednorazowe, ograniczone do konta zdarzenie wyzwolone przez DSAR: 30-dniowe okno karencji, potem czyszczenie.
Logi podmiotu mogą się już zestarzeć pod retencją, zanim w ogóle złoży DSAR; czyszczenie wciąż działa wobec tego, co pozostaje, i redaguje zachowane wiersze rozliczeń.

7. Gdzie to pasuje

Prawo do usunięcia to jeden element twoich obowiązków wobec podmiotu danych. Sparuj je ze stemplowanymi regionem dowodami i szerszą pętlą zgodności:

Retencja

Przesuwne okno logów żądań — domyślne 30 dni, ograniczenie 180 dni — które działa niezależnie od usuwania.

Rezydencja danych

Region, którym stemplowane i pod którym serwowane są twoje podpisane raporty zgodności.

Pakiet GDPR

Zainstaluj kontrole i wydaj podpisane dowody GDPR audytorowi.

Współdzielona odpowiedzialność

Co brama usuwa za ciebie, a co pozostaje twoją decyzją.
Brama daje ci samoobsługowy DSAR, który sięga każdego rekordu, który posiada. Decydowanie, kiedy usunięcie jest wymagane, i dotrzymywanie jakiegokolwiek terminu specyficznego dla jurysdykcji, pozostaje twoją decyzją — 30-dniowe okno karencji to twój bufor na jej podjęcie.