GDPR by default vs add-on
Majoritatea form builders tratează GDPR ca feature opt-in ("add a consent checkbox"). Megaforms o tratează ca fundament: orice formular nou are consent layer pre-configurat, retention period default 90 zile (configurabil), DPIA wizard care întreabă «colectezi date sensibile?» și ajustează consent text + storage rules automat. Pentru SaaS cu clienți EU sau orice MD/RO care procesează cetățeni UE, asta înseamnă diferența între compliance default și risc audit ANSPDCP / EDPB.
DPIA wizard — Data Protection Impact Assessment
La crearea unui formular cu câmpuri sensibile (medical, biometric, financial), wizard-ul DPIA întreabă: (1) Care e finalitatea procesării? (2) Ce baza legală alegi (consent / contract / legitimate interest)? (3) Cât timp păstrezi datele? (4) Cu cine partajezi (sub-processors)? (5) Ce drepturi informezi user-ul (acces, ștergere, portabilitate, opoziție)? Output: document DPIA PDF generat automat, atașat la workspace pentru audit ANSPDCP/EDPB.
RoPA — Records of Processing Activities
Articolul 30 GDPR cere RoPA pentru orice organizație. Megaforms generează automat RoPA per workspace din formulare existente: pentru fiecare form, completează (denumirea activității, scop, categorii date, recipients, transferuri terțe țări, retention, masuri securitate). Export Excel pentru DPO-ul tău.
Sub-processors transparency
Lista publică sub-processors la /sub-processors: OVH (hosting EU France), Stripe (payments), OpenAI (Whisper transcription, hosted self pe OVH cu Whisper-large-v3), Infobip (SMS Pro+), Cloudflare (CDN edge, EU PoPs). Pentru fiecare: locație procesare, finalitate, DPA semnat. Notificare email la modificări lista (60 zile preaviz pentru sub-processor nou).
Consent log per submission
Fiecare submission salvează consent layer accepted (text exact + timestamp + IP + user-agent). Audit trail imutabil. Pentru DSAR (data subject access request), user poate cere exportul cu un click prin DSAR portal — sistem generează ZIP cu toate submissions ale email-ului + consent logs + metadata. Pentru cerere de ștergere (right to erasure / Art. 17), self-serve via portal cu confirmare email — ștergere hard în 30 zile.
// Consent log per submission
{
"submission_id": "sub_xyz",
"consents": [
{
"id": "marketing_communications",
"text": "Sunt de acord să primesc comunicări de marketing",
"accepted": true,
"version": "2026-01-15",
"timestamp": "2026-05-31T14:23:45Z",
"ip": "188.x.x.x",
"user_agent": "Mozilla/5.0..."
}
]
}EU AI Act readiness (Q3 2026)
EU AI Act devine fully enforced august 2026 pentru high-risk AI systems. Megaforms voice + AI follow-up sunt categorisate «limited risk» (transparență obligatorie — user trebuie informat că interacționează cu AI). Adăugăm automat disclosure label pe câmpuri voice + AI follow-up: «Răspunsul tău va fi procesat de AI pentru transcripție / urmărire». Owner poate edita textul dar nu îl poate elimina total (compliance enforcement).