Sari la conținutul principal
Soluții

Management de documente
conform GDPR

Nu doar o bifă pentru GDPR. Fiecare decizie de arhitectură — unde sunt stocate datele, cum le procesează AI-ul, cum funcționează criptarea — a fost luată având în vedere legislația UE. Pentru că suntem o companie din UE și acesta este singurul mod în care am concepe un astfel de sistem.

Ultima actualizare: Aprilie 2026

Ai cu adevărat nevoie de un DMS conform GDPR?

  • Dacă afacerea ta stochează documente care conțin date cu caracter personal — nume, adrese, detalii financiare, dosare de angajare — GDPR ți se aplică. Nu contează dacă ai 5 clienți sau 50.000. Amenzile aplicate au atins 1,145 miliarde EUR doar în 2025, iar autoritățile de reglementare vizează tot mai mult IMM-urile, nu doar giganții tech.
  • Un sistem de management al documentelor conform GDPR nu te face conform de la sine. Însă elimină barierele tehnice care fac conformitatea imposibilă: să știi ce date deții, să le găsești atunci când ți se cere, să controlezi cine le accesează și să le ștergi atunci când este necesar.
  • Concluzia: Dacă stochezi documente cu date personale în Google Drive, Dropbox sau într-un folder partajat pe un NAS, ai o problemă de GDPR de care s-ar putea să nu fii conștient. Un DMS dedicat, cu găzduire în UE, criptare și istoric de activitate (audit trails), îți oferă fundamentul tehnic pe care îl cere regulamentul.

Cele 7 principii GDPR și ce înseamnă ele pentru managementul documentelor

Articolul 5 din GDPR definește șapte principii care guvernează orice procesare de date cu caracter personal. Fiecare sistem de management al documentelor pe care îl folosești trebuie să susțină aceste principii — altfel, îți construiești conformitatea pe o fundație instabilă. Iată ce înseamnă fiecare principiu în practică atunci când stochezi, organizezi și accesezi documente care conțin date cu caracter personal.

Principiu Articol GDPR Implicații pentru managementul documentelor
Legalitate, echitate și transparență Art. 5(1)(a) Trebuie să ai un temei juridic pentru stocarea fiecărui document care conține date cu caracter personal. DMS-ul tău ar trebui să clarifice ce date sunt stocate, de ce și cum sunt procesate — istoricul de audit și jurnalele de activitate servesc acestei cerințe de transparență.
Limitarea scopului Art. 5(1)(b) Documentele colectate pentru un anumit scop (de exemplu, executarea unui contract) nu pot fi reutilizate în alte scopuri fără un nou temei juridic. DMS-ul tău nu trebuie să folosească conținutul documentelor în scopuri neafiliate — cum ar fi antrenarea modelelor AI pe datele tale.
Minimizarea datelor Art. 5(1)(c) Stochează doar documente adecvate, relevante și necesare. Un DMS cu căutare full-text și clasificare prin AI te ajută să identifici documentele redundante sau inutile și să le elimini — în loc să păstrezi totul „pentru orice eventualitate”.
Exactitate Art. 5(1)(d) Datele cu caracter personal trebuie să fie exacte și actualizate. Atunci când o persoană vizată solicită rectificarea conform Art. 16, trebuie să poți localiza fiecare document care conține informațiile sale învechite. Căutarea full-text în întreaga arhivă face acest lucru realizabil.
Limitarea stocării Art. 5(1)(e) Datele cu caracter personal nu trebuie păstrate mai mult decât este necesar. Acest lucru necesită programe de retenție și posibilitatea de a găsi și șterge documente după dată, tip și persoană vizată. Fără un DMS, aplicarea retenției în foldere împrăștiate este practic imposibilă.
Integritate și confidențialitate Art. 5(1)(f) Documentele trebuie protejate împotriva accesului neautorizat, pierderii accidentale sau distrugerii. Acest lucru înseamnă criptare în repaus și în tranzit, control al accesului bazat pe roluri și securitate a infrastructurii — nu doar o parolă pe un folder partajat.
Responsabilitate Art. 5(2) Trebuie să poți demonstra conformitatea — nu doar să o afirmi. Istoricul de audit care înregistrează cine a accesat ce document, când și ce acțiune a întreprins este esențial. Dacă o autoritate de supraveghere cere dovezi, răspunsul „respectăm cele mai bune practici” nu este suficient.

Cerințe tehnice pentru un management al documentelor conform GDPR

GDPR nu impune tehnologii specifice — Articolul 32 solicită „măsuri tehnice și organizatorice adecvate” bazate pe stadiul actual al tehnologiei, costuri și riscuri. În practică, pentru sistemele DMS care gestionează date cu caracter personal, patru capacități tehnice au devenit standardul pe care autoritățile de supraveghere îl așteaptă. Șablonul standardizat DPIA (v1.0) al EDPB din martie 2026 întărește acest lucru, cerând operatorilor să documenteze exact aceste măsuri atunci când evaluează riscul de procesare.

Criptare în repaus și în tranzit

Articolul 32(1)(a) menționează criptarea ca o măsură de securitate adecvată. Standardul industriei este criptarea AES-256 în repaus și TLS 1.2+ în tranzit. Veluvanto utilizează SSE-C (Criptare pe partea de server cu chei furnizate de client) pentru datele în repaus și TLS pentru toate datele în tranzit. Documentele tale sunt criptate din momentul în care părăsesc browserul și până când sunt stocate — iar cheile de criptare nu sunt partajate cu furnizorul de infrastructură.

Controlul accesului și autentificarea

Articolul 32(1)(b) cere capacitatea de a asigura confidențialitatea continuă a sistemelor de procesare. În practică, acest lucru înseamnă controlul accesului bazat pe roluri (RBAC): nu oricine din organizația ta ar trebui să vadă fiecare document. Veluvanto implementează permisiuni la nivel de spațiu de lucru cu roluri de Administrator, Editor și Vizualizator. Fiecare utilizator se autentifică individual — fără conturi comune, fără acces anonim. Fiecare acțiune este legată de o identitate verificată.

Istoric de audit și registre de procesare

Articolul 30 cere operatorilor să mențină o evidență a activităților de procesare. Pentru managementul documentelor, acest lucru se traduce prin înregistrarea automată a persoanei care a accesat un document, a momentului și a acțiunii efectuate (vizualizare, editare, descărcare, ștergere). Veluvanto menține jurnale de activitate per spațiu de lucru care servesc drept bază pentru registrele tale conform Art. 30. Aceste jurnale nu pot fi editate și nici șterse de membrii spațiului de lucru.

Acorduri de procesare a datelor și sub-împuterniciți

Articolul 28 solicită un Acord de Procesare a Datelor (DPA) cu fiecare împuternicit care gestionează date cu caracter personal în numele tău. Aceasta include furnizorul tău de DMS, furnizorul său de infrastructură cloud și orice servicii AI utilizate pentru procesarea documentelor. Procesarea prin AI în Veluvanto utilizează API-ul Google Gemini Enterprise sub un acord de retenție zero a datelor — documentele tale sunt procesate în memorie și șterse imediat. Ele nu sunt stocate niciodată pe serverele Google și nu sunt folosite pentru antrenarea modelelor.

Gestionarea solicitărilor persoanelor vizate: Un proces în 4 pași

Conform GDPR, persoanele fizice au dreptul de acces la datele lor (Art. 15), dreptul la rectificare (Art. 16), dreptul la ștergere (Art. 17) și dreptul de a-și obține datele într-un format portabil (Art. 20). Trebuie să răspunzi în termen de 30 de zile. Pentru companiile care se bazează pe arhive de e-mailuri, unități de stocare partajate sau dosare fizice, simpla localizare a tuturor documentelor legate de o singură persoană poate dura zile întregi. Un DMS cu căutare full-text reduce acest timp la câteva minute.

1

1. Identificare: Găsește fiecare document care conține informațiile persoanei vizate

Caută numele, adresa de e-mail sau alte elemente de identificare ale persoanei vizate în întreaga arhivă de documente. Căutarea full-text din Veluvanto acoperă conținutul fiecărui document — inclusiv PDF-urile scanate și procesate prin OCR. Acest lucru scoate la suprafață facturi, contracte, corespondență și orice alt document care menționează persoana respectivă, indiferent de numele fișierului sau de folderul în care se află.

2

2. Revizuire: Evaluează ce trebuie dezvăluit, păstrat sau șters

Nu orice document trebuie dezvăluit sau șters. Obligațiile legale (cerințele de păstrare a documentelor fiscale, obligațiile contractuale în curs) pot prevala asupra dreptului de ștergere conform Art. 17(3). Revizuiește rezultatele căutării și clasifică-le: documente de dezvăluit pentru o cerere de acces, documente de șters pentru o cerere de ștergere și documente pe care ești obligat legal să le păstrezi. Documentează-ți raționamentul — principiul responsabilității conform Art. 5(2) o cere.

3

3. Acțiune: Exportă, rectifică sau șterge — cu istoric de audit

Pentru cererile de acces (Art. 15): exportă documentele relevante într-un format utilizat în mod curent. Exportul din Veluvanto oferă fișierele originale plus metadate structurate. Pentru rectificare (Art. 16): actualizează sau înlocuiește documentele inexacte. Pentru ștergere (Art. 17): șterge documentele identificate. Fiecare acțiune — export, editare, ștergere — este înregistrată în istoricul de activitate din Veluvanto cu timestamp și identitatea utilizatorului.

4

4. Confirmare: Răspunde persoanei vizate și păstrează dovada conformității

Răspunde persoanei vizate în termenul limită de 30 de zile, confirmând acțiunea întreprinsă. Păstrează înregistrările din istoricul de audit ca dovadă că ai îndeplinit solicitarea. Dacă o autoritate de supraveghere va investiga ulterior cazul, trebuie să demonstrezi nu doar că ai răspuns, ci și cum ai căutat, ce ai găsit și ce măsuri ai luat. Jurnalul de activitate servește drept dovadă.

Găzduire în UE vs. SUA: Implicații legale pentru managementul documentelor

Locația serverelor pe care îți gestionezi documentele nu este doar un detaliu tehnic — este o decizie juridică cu consecințe reale. Conform legii americane CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), autoritățile din SUA pot obliga orice companie cu sediul în SUA să predea datele stocate pe serverele sale, indiferent de locul în care acestea se află fizic. Acest lucru înseamnă că stocarea documentelor în Google Drive, Dropbox, OneDrive sau Notion — toate fiind companii americane — expune datele tale unui potențial acces din partea guvernului SUA, chiar dacă serverele sunt fizic în UE. Decizia Schrems II (CJEU, iulie 2020) a invalidat acordul Scutul de Confidențialitate UE-SUA exact din acest motiv: legile de supraveghere din SUA au fost considerate incompatibile cu drepturile fundamentale din UE. Cadrul de confidențialitate a datelor UE-SUA adoptat în 2023 oferă o nouă decizie de adecvare, însă contestațiile juridice continuă, iar Comitetul European pentru Protecția Datelor recomandă în continuare măsuri suplimentare pentru orice transfer de date din UE către SUA.

Veluvanto elimină complet această complexitate juridică. Fiind o companie cehă înregistrată și funcționând sub incidența legislației UE, Veluvanto stochează toate datele exclusiv în centre de date din UE. Nu există o companie-mamă în SUA, nicio filială în SUA și nicio structură corporativă care ar supune datele tale legii CLOUD Act. Procesarea prin AI utilizează API-ul Google Gemini Enterprise în baza unui acord de retenție zero — documentele sunt procesate în memorie în UE și șterse imediat. Nicio dată cu caracter personal nu este transferată sau stocată în Statele Unite în niciun moment. Pentru organizațiile care trebuie să demonstreze conformitatea cu GDPR în fața clienților, partenerilor sau autorităților de supraveghere, găzduirea exclusivă în UE de către o companie înregistrată în UE reprezintă cea mai sigură poziție juridică disponibilă.

Listă de verificare pentru conformitatea GDPR: Cum se prezintă Veluvanto

Transparența construiește încredere. În loc să pretindem o conformitate totală fără acoperire, iată o evaluare sinceră a modului în care Veluvanto răspunde fiecărei cerințe cheie a GDPR pentru managementul documentelor. Acolo unde avem lipsuri, le menționăm deschis.

Sunt toate datele stocate în UE? — Da. Toate spațiile de stocare a documentelor și copiile de siguranță se află în centre de date din UE. Nicio dată nu părăsește UE. Veluvanto este o companie cehă — fără entitate-mamă în SUA, fără expunere la CLOUD Act.
Sunt datele criptate în repaus și în tranzit? — Da. Criptare SSE-C (AES-256) în repaus cu chei furnizate de client. Criptare TLS pentru toate datele în tranzit. Cheile de criptare nu sunt partajate cu furnizorul de infrastructură.
Își pot exercita persoanele vizate drepturile (acces, ștergere, portabilitate)? — Da. Exportul complet de date susține portabilitatea (Art. 20). Ștergerea documentelor cu istoric de audit susține dreptul de ștergere (Art. 17). Căutarea full-text permite localizarea tuturor datelor legate de o anumită persoană pentru cererile de acces (Art. 15).
Sunt înregistrate activitățile de procesare (Art. 30)? — Da. Jurnalele de activitate înregistrează cine a accesat, modificat sau șters fiecare document, împreună cu marcajele temporale. Aceste jurnale sunt imutabile și servesc drept bază pentru evidențele activităților tale de procesare.
Respectă procesarea prin AI cerințele de protecție a datelor? — Da. AI-ul folosește API-ul Google Gemini Enterprise cu un acord de retenție zero. Documentele sunt procesate în memorie și șterse imediat — nu sunt niciodată stocate, stocate în cache sau folosite pentru antrenarea modelelor. Sistemul este, de asemenea, proiectat pentru a fi conform cu Regulamentul UE privind IA (EU AI Act).
Sunt disponibile politici automate de retenție și ștergere? — Nu încă. Veluvanto nu oferă în prezent programe automate de retenție sau reguli de ștergere bazate pe timp. Poți șterge manual documentele și poți folosi căutarea pentru a identifica înregistrările expirate, însă aplicarea automată a limitării stocării conform Art. 5(1)(e) este pe foaia noastră de parcurs (roadmap), nu a fost încă lansată.
Este Veluvanto certificat ISO 27001 sau SOC 2? — Nu. Veluvanto în sine nu este certificat ISO 27001 sau SOC 2. Furnizorul nostru de infrastructură deține certificarea ISO 27001. Noi implementăm măsuri de securitate conforme cu aceste standarde, dar nu am trecut printr-o certificare independentă. Dacă organizația ta solicită certificarea furnizorului, aceasta este o lipsă.
Oferă Veluvanto un șablon de Acord de Procesare a Datelor (DPA)? — Nu ca șablon self-service. Un DPA care acoperă procesarea datelor tale de către Veluvanto este disponibil la cerere. În prezent, nu oferim un șablon de DPA predefinit pentru propriile tale relații de tip operator-împuternicit cu terțe părți.

Când Veluvanto NU este alegerea potrivită pentru conformitatea GDPR

Veluvanto este un sistem de management al documentelor pentru freelanceri, familii și afaceri mici. Acesta acoperă fundamentul tehnic pentru stocarea și regăsirea documentelor în conformitate cu GDPR. Însă nu este o platformă de conformitate pentru corporații mari și există scenarii în care nu este suficient.

Procesezi date din categorii speciale la scară largă (Art. 9) — Dacă gestionezi volume mari de dosare medicale, date biometrice, date genetice sau date care dezvăluie originea rasială sau etnică, ai nevoie de un sistem cu controale de acces la nivel de câmp, infrastructură de audit dedicată și, cel mai probabil, certificări specifice sectorului (de exemplu, ISO 27799 pentru informatică în sănătate). Controalele de acces din Veluvanto sunt la nivel de spațiu de lucru, nu la nivel de câmp.
Ai nevoie de politici automate de retenție cu blocare legală (legal hold) — Dacă programul tău de conformitate cere ca documentele să fie șterse automat după o perioadă de retenție definită — cu excepții pentru blocarea legală în timpul litigiilor — ai nevoie de un software de management al înregistrărilor de tip enterprise (de exemplu, OpenText, M-Files). Veluvanto nu acceptă încă retenția automată sau funcționalitatea de legal hold.
Clienții sau autoritățile tale de reglementare solicită certificare ISO 27001 sau SOC 2 — Unele industrii și procese de achiziții corporate solicită ca furnizorii să dețină certificarea ISO 27001 sau SOC 2 Type II. Veluvanto nu deține aceste certificări. Dacă aceasta este o cerință obligatorie în procesul tău de selecție a furnizorilor, Veluvanto nu va trece de chestionarul tău de securitate.

Sinceritatea cu privire la limitări face parte din construirea încrederii. Dacă nevoile tale depășesc ceea ce oferă Veluvanto, preferăm să îți spunem de la început decât să descoperi acest lucru după migrarea documentelor. Pentru majoritatea freelancerilor, familiilor și afacerilor mici, Veluvanto oferă o bază solidă și conformă cu GDPR. Pentru companiile reglementate, cu cerințe complexe de conformitate, platformele enterprise dedicate reprezintă alegerea mai bună.

Ghiduri conexe

Arhivarea digitală a documentelor

Retenție, istorice de audit și stocare pe termen lung — cum sprijină arhivarea digitală conformitatea cu GDPR.

Software de management al documentelor (DMS)

Ce face un software DMS, cum să alegi unul și de ce AI-ul schimbă totul în 2026.

Directiva NIS2 și managementul documentelor

NIS2 și GDPR au o suprapunere semnificativă în ceea ce privește documentația — iată ce aduce în plus directiva privind securitatea cibernetică.

Întrebări frecvente

Unde anume sunt stocate datele mele?
Toate datele sunt stocate în centre de date din UE operate de furnizori de infrastructură cu sediul în UE. Copiile de siguranță sunt stocate la un furnizor separat din UE. Nicio dată — documente, metadate sau intrări de procesare AI — nu părăsește vreodată Uniunea Europeană. Veluvanto este o companie înregistrată în Republica Cehă, fără o companie-mamă sau filială în SUA.
Procesarea prin AI îmi trimite datele în afara UE?
Nu. Procesarea prin AI utilizează API-ul Google Gemini Enterprise în baza unui acord de procesare a datelor cu retenție zero. Documentele sunt procesate în memorie și șterse imediat — nu sunt stocate niciodată pe serverele Google, nu sunt stocate în cache și nu sunt folosite pentru antrenarea modelelor. Procesarea are loc în interiorul UE.
Îmi pot exporta toate datele dacă decid să plec?
Da. Veluvanto acceptă exportul complet de date conform Articolului 20 (dreptul la portabilitatea datelor). Primești toate documentele originale în formatele lor inițiale, plus metadate structurate (etichete, date, entități extrase). Formate standard, fără blocare în formate proprietare, fără a fi nevoie să contactezi serviciul de asistență.
Este Veluvanto certificat (ISO 27001, SOC 2)?
Nu. Veluvanto în sine nu deține certificarea ISO 27001 sau SOC 2. Furnizorul nostru de infrastructură este certificat ISO 27001. Noi implementăm măsuri de securitate aliniate cu aceste standarde — criptare în repaus (SSE-C/AES-256), TLS în tranzit, RBAC, jurnale de audit imutabile — dar nu am trecut printr-o certificare independentă. Dacă certificarea furnizorului este o cerință de achiziție pentru organizația ta, aceasta este o lipsă despre care vorbim transparent.
Cum se compară Veluvanto cu alternativele găzduite în SUA în ceea ce privește GDPR?
Serviciile găzduite în SUA (Google Drive, Dropbox, Notion, Evernote) sunt operate de companii americane supuse legii CLOUD Act, care permite autorităților din SUA să acceseze datele indiferent de locația serverului. Decizia Schrems II a considerat acest lucru incompatibil cu drepturile fundamentale din UE. Veluvanto este o companie cehă cu date stocate exclusiv în UE — se aplică doar legislația UE. Fără decizii de adecvare problematice, fără măsuri suplimentare, fără incertitudine juridică.
Ce se întâmplă în cazul unei încălcări a securității datelor?
Conform Articolului 33, operatorii trebuie să notifice autoritatea de supraveghere în termen de 72 de ore de la data la care au luat cunoștință de o încălcare a securității datelor cu caracter personal. Jurnalele de activitate și înregistrările de acces din Veluvanto te ajută să evaluezi amploarea oricărui incident — ce documente au fost afectate, cine a avut acces și când. În calitate de împuternicit, Veluvanto te va notifica fără întârzieri nejustificate dacă luăm cunoștință de o încălcare care îți afectează datele, oferindu-ți informațiile necesare pentru a-ți îndeplini obligațiile de notificare.
Trebuie să efectuez o Evaluare a Impactului asupra Protecției Datelor (DPIA) pentru a folosi Veluvanto?
Depinde de natura și volumul datelor cu caracter personal pe care le procesezi. Conform Articolului 35, o evaluare DPIA este necesară atunci când procesarea este „susceptibilă să genereze un risc ridicat” pentru drepturile persoanelor — de exemplu, monitorizarea sistematică sau procesarea la scară largă a datelor sensibile. Pentru majoritatea freelancerilor și afacerilor mici care stochează facturi, contracte și corespondență comercială, o evaluare DPIA nu este necesară. EDPB a publicat un șablon standardizat DPIA (v1.0) în martie 2026, care simplifică procesul în cazul în care ai nevoie de unul.
Este Veluvanto conform cu Regulamentul UE privind IA (EU AI Act)?
Funcțiile AI ale Veluvanto — clasificarea documentelor, extragerea metadatelor și asistentul AI — sunt proiectate având în vedere conformitatea cu Regulamentul UE privind IA. Sistemul AI este transparent (poți vedea ce a extras AI-ul și poți modifica informațiile), nu ia decizii autonome cu efecte juridice și folosește procesare cu retenție zero, astfel încât documentele tale nu sunt folosite niciodată pentru antrenarea modelelor. Utilizarea AI este înregistrată și poate fi auditată.

Nu mai căuta documente. Începe să le găsești.

Gratuit de încercat. Nu este nevoie de card de credit. Treci la un plan superior doar când ești pregătit.

Încearcă gratuit — fără card Vezi prețurile

🔒 Cloud în UE · Fără card de credit · Garanție de returnare a banilor în 14 zile