🔒

GDPR și Conformitate

Conformitate: 100% GDPR (EU) + Legea 133/2011 (Moldova) privind protecția datelor personale. Securitate: Criptare AES-256, servere în UE, acces bazat pe roluri, audit trails complete. Drepturi cetățeni: Toate drepturile GDPR implementate (acces, rectificare, ștergere, portabilitate). Documentație: DPA (Data Processing Agreement) pregătit, registru activități, politici conformitate. Certificări: ISO 27001, SOC 2 Type II, penetration testing anual.

De Ce GDPR Este Prioritate #1 pentru Voice AI în Sectorul Public

Instituțiile publice gestionează datele personale ale tuturor cetățenilor - o responsabilitate enormă care vine cu obligații legale stricte. GDPR (Regulamentul General privind Protecția Datelor) și legislația moldovenească echivalentă (Legea 133/2011) impun standarde înalte de protecție, iar neconformitatea poate duce la amenzi semnificative și pierderea încrederii publice.

Voice AI procesează vocea cetățenilor (un tip de dată personală) și potențial alte informații sensibile (CNP, date financiare, informații despre situația socială). Securizarea acestor date nu este opțională - este o cerință legală absolută. Am proiectat platforma Kallina cu "privacy by design": securitatea și conformitatea sunt încorporate în fiecare componentă, nu adăugate superficial.

Acest ghid vă va explica exact cum Kallina asigură conformitatea GDPR, ce obligații aveți ca instituție publică (data controller), ce responsabilități are Kallina (data processor), și cum colaborăm pentru protecția maximă a datelor cetățenilor. Transparență totală - nimic ascuns, totul documentat și auditable.

Cele 6 Piloni ai Conformității GDPR

Baza Legală Procesare Date

Voice AI procesează date cu voce (categorie date personale sub GDPR). Bază legală: executarea unei sarcini de interes public (art. 6(1)(e) GDPR) - instituțiile publice furnizează servicii cetățenilor. Documentare obligatorie: politică confidențialitate actualizată, informare apelant la începutul conversației ("apelul poate fi înregistrat"), registru activități procesare date (oferit de Kallina).

Minimizarea Datelor și Purpose Limitation

Principiu GDPR: colectați doar datele strict necesare scopului. Voice AI configurată să solicite/stocheze DOAR informații relevante (ex: CNP doar pentru verificare identitate, nu pentru informații generale). Datele folosite EXCLUSIV pentru scopul declarat (furnizare servicii publice), nu marketing, nu alte scopuri. Retenție limitată: înregistrări stocate max. 90 zile (configurabil), apoi șterse automat.

Securitate Tehnică: Criptare și Acces

Toate datele criptate: în tranzit (TLS 1.3) și at rest (AES-256). Acces bazat pe roluri (RBAC): doar personal autorizat vede date sensibile, cu logging complet activitate. Servere în UE (cerință GDPR), backup-uri criptate, protecție DDoS, penetration testing anual. Kallina certificată ISO 27001 (securitate informației) și SOC 2 Type II (conformitate operațională).

Drepturi Subiecților (Cetățeni)

GDPR garantează 8 drepturi cetățenilor. Implementare Kallina: (1) Drept acces - cetățean poate solicita copie date + transcripții apeluri, (2) Drept rectificare - corectare date incorecte, (3) Drept ștergere ("dreptul de a fi uitat") - ștergere date la cerere motivată, (4) Drept portabilitate - export date format structurat. Răspuns la cereri în 30 zile (conform GDPR). Kallina oferă interfață admin pentru procesare rapidă cereri.

Data Processing Agreement (DPA)

Contract legal între instituția publică (controller) și Kallina (processor) care specifică: (a) ce date procesează Kallina, (b) pentru ce scop, (c) măsuri securitate implementate, (d) obligații Kallina (confidențialitate, securitate, asistență la cereri GDPR), (e) ce se întâmplă la încetare contract (returnare/ștergere date). DPA semnat înainte de începere procesare date. Template oferit de Kallina, conform cerințelor GDPR art. 28.

Audit, Monitoring și Data Breach Response

Kallina oferă: audit trails complete (cine a accesat ce date când), monitoring securitate 24/7, alertare automată anomalii. În caz de data breach: notificare instituție în 24h (cerință GDPR: 72h către autoritate), asistență investigare, comunicare coordonată către cetățeni afectați dacă necesar. Plan incident response documentat, testat anual.

Măsuri Securitate și Conformitate

100%

Conformitate

GDPR EU + Legea 133/2011 Moldova

AES-256

Criptare

Standard militar protecție date

Complet

Audit Trail

Logging toate accesările date

ISO 27001

Certificări

Securitate informației validată

Checklist Conformitate GDPR pentru Instituții

✓

Informare Transparentă

Apelantul este informat la începutul conversației: "Bună ziua, acest apel poate fi înregistrat pentru calitate și training. Continuând conversația, sunteți de acord cu procesarea datelor conform politicii noastre de confidențialitate."

✓

Minimizare Date

Voice AI solicită doar informații strict necesare. Exemplu: pentru informații generale (orare, proceduri) nu solicită identificare; pentru verificare status cerere personală, solicită CNP dar nu îl stochează după încheierea apelului.

✓

Retenție Limitată

Înregistrările audio: 90 zile (configurabil: 30-365 zile). Transcripțiile: 12 luni pentru analiză/îmbunătățire. Metadata (când, durata, topic): 24 luni pentru statistici. După expirare, ștergere automată ireversibilă.

✓

Drepturi Subiecți Implementate

Interfață admin pentru procesare cereri GDPR: cetățean trimite email/formular → operator găsește în sistem toate datele asociate CNP-ului → exportă/șterge conform cererii → confirmă cetățeanului. Timp procesare: sub 5 zile (legal: 30 zile).

✓

DPA Semnat

Data Processing Agreement între instituție și Kallina semnat înainte de procesare date. Specifică roluri, responsabilități, măsuri securitate, proceduri breach, clauze încetare contract. Conform art. 28 GDPR.

✓

Documentație Conformitate

Kallina oferă: (1) Registru activități procesare (art. 30 GDPR), (2) Data Protection Impact Assessment (DPIA) pentru procesări high-risk, (3) Documentație tehnică măsuri securitate, (4) Rapoarte audit anuale. Instituția le include în documentația sa GDPR.

Scenarii Reale: Gestionarea Drepturilor GDPR

Scenariu 1: Cerere Acces Date (SAR - Subject Access Request)

Cetățean: "Vreau să văd ce date aveți despre mine în sistemul vocal."

Procedură: Cetățean completează formular cu CNP + dovadă identitate (protecție împotriva accesului neautorizat). Operator caută în dashboard Kallina după CNP.

Export: Sistem generează raport PDF: listă apeluri (date, ore, durate), transcripții complete, date personale procesate, scopuri procesare.

Livrare: Raport trimis cetățeanului prin email securizat sau ridicare personală. Întregul proces: 3-5 zile (limită legală: 30 zile).

Scenariu 2: Cerere Ștergere Date ("Dreptul de a Fi Uitat")

Cetățean: "Vreau să ștergeți toate înregistrările apelurilor mele."

Evaluare: Operator verifică: există obligație legală retenție? (ex: apel despre plângere oficială în investigare = trebuie păstrat). Dacă nu, cererea e validă.

Ștergere: În dashboard Kallina: selectare toate datele cetățeanului → buton "Delete Permanently" → confirmare cu parolă admin → ștergere ireversibilă (inclusiv backup-uri).

Confirmare: Cetățean primeșteconfirmare scrisă: "Datele dvs. au fost șterse permanent la data X. Nu mai există înregistrări în sistem."

Întrebări Frecvente - GDPR

Trebuie să numim un Data Protection Officer (DPO) pentru utilizarea Voice AI?

Dacă instituția voastră este deja obligată legal să aibă DPO (majoritatea instituțiilor publice sunt), atunci da, DPO-ul existent supervizează și implementarea Voice AI. Kallina oferă tot suportul tehnic necesar DPO-ului: documentație, acces audit trails, asistență la DPIA (evaluare impact). Dacă nu aveți DPO, vă recomandăm numirea unuia (cerință GDPR pentru instituții publice mari).

Unde sunt stocate fizic datele? Pot rămâne în Moldova/infrastructura noastră?

Stocarea standard Kallina: servere în UE (Frankfurt, Germania) - conform GDPR. Pentru instituții cu cerințe speciale (date ultra-sensibile, securitate națională), oferim deployment on-premise: serverele Kallina instalate fizic în datacenter-ul instituției, în Moldova. Datele nu ies niciodată din țară. Cost suplimentar, dar asigură control total.

Ce se întâmplă cu datele dacă încetăm contractul cu Kallina?

Clauză standard în DPA: la încetare contract, Kallina oferă export complet al tuturor datelor în format structurat (CSV, JSON), apoi șterge ireversibil toate datele din sistemele noastre în 30 zile. Instituția primește confirmare scrisă de ștergere. Alternative: dacă doriți, putem păstra datele arhivate (read-only) pentru perioadă de retenție legală, apoi ștergere.

Cum demonstrăm conformitatea GDPR în caz de audit de la autoritatea de protecție date?

Kallina oferă pachet documentație conformitate: (1) DPA semnat, (2) Documentație tehnică măsuri securitate (criptare, acces, backup), (3) Certificări (ISO 27001, SOC 2), (4) Registru activități procesare, (5) Rapoarte audit anual, (6) Proceduri incident response. Plus: export audit trails pentru dovedit că drepturile subiecților sunt respectate. Documentație pregătită specific pentru audituri.

Voice AI folosește subcontractori (sub-processors) pentru procesare date?

Transparență completă: Da, folosim: (1) AWS (Amazon Web Services) pentru hosting - servere UE, (2) Twilio pentru telefonie VoIP - infrastructură UE. Ambii sunt certificați GDPR, au DPA-uri proprii. Lista completă subcontractori în DPA, cu dreptul instituției de a obiecta la schimbări. Niciun subcontractor nu are acces la date decriptate - doar Kallina și instituția au cheile de criptare.

Securitate și Conformitate - Prioritatea Noastră #1

Consultați-vă cu echipa noastră de conformitate pentru evaluarea detaliată a nevoilor voastre specifice.

Consultație Conformitate →Detalii Securitate Tehnică

Ghid GDPR și Conformitate