2026-05-04 · 11 min citire · Compliance

GDPR pentru e-commerce — checklist developer 2026

GDPR nu e doar privacy policy de copy-paste. Sunt 14 lucruri concrete pe care un developer trebuie să le implementeze ca magazinul tău online să fie conform real, nu doar pe hârtie. Iată checklist-ul, fără jargon legal, cu trimiteri la cod unde e relevant.

Cele 14 puncte de implementat tehnic

1. Cookie consent banner cu opt-in granular

Fără «accepți cookies?» cu un buton mare verde și restul ascuns. Bannerul trebuie să permită utilizatorului să accepte / respingă pe categorii: necesare, analytics, marketing, personalizare. Refuzul nu trebuie să fie mai greu decât acceptul.

Tool-uri recomandate: Cookiebot, Iubenda, Osano. Sau implementare custom (~ 1 zi de dev).

2. Cookies marketing & analytics — încărcate doar după consent

Google Analytics, Meta Pixel, TikTok Pixel — niciunul nu se încarcă în browser până când user-ul nu apasă «accept». Verifică în Network tab al DevTools că nu pleacă request-uri către google-analytics.com înainte de consent.

3. Privacy policy actualizat și versionat

Privacy policy nu e document static. Versionat cu data ultimei modificări. Notificare către utilizatori la schimbări semnificative. Listează concret: ce date colectezi, de ce, cu cine le împărtășești, cât timp le păstrezi.

4. Data export pentru utilizator (drept la portabilitate)

În cont, buton «descarcă datele mele». Generează ZIP cu toate datele utilizatorului în format machine-readable (JSON sau CSV). Comenzi, adrese, mesaje, preferințe.

5. Data deletion (drept la ștergere / right to be forgotten)

Buton «șterge contul» care chiar șterge datele, nu doar «dezactivează». Excepții legale (date contabile cu retention 5-10 ani conform legii române) se anonimizează — nu se șterg fizic, dar se înlocuiesc identificatorii personali.

6. Data minimization la colectare

Nu colectezi telefonul dacă nu-l folosești. Nu cere CNP-ul dacă nu emiți factură fiscală. Câmpurile «opționale» să fie cu adevărat opționale — fără asterisc roșu de obligativitate ascunsă.

7. Encryption la rest pentru date sensibile

Parole — bcrypt cu cost factor 12+. Tokenuri sensibile — encryption AES-256 înainte de a fi stocate în DB. Pentru aplicații FinTech / MedTech, encryption la nivel de coloană în DB.

8. Encryption în tranzit (HTTPS obligatoriu)

HTTPS pe absolut tot — inclusiv pagini «statice». HSTS header. Certificat valid (Let's Encrypt e gratuit, nu există scuze). Verificat cu SSL Labs să fie A+.

9. Audit logs pentru acțiuni sensibile

Log când: user-ul își schimbă parola, modifică email, exportă date, șterge cont. Admin-ul accesează date utilizator. Date sensibile sunt modificate. Logurile imutabile (append-only) cu retention configurabil.

10. Data Processing Agreement (DPA) cu sub-procesatori

Folosești Stripe, AWS, SendGrid, Mailchimp? Toate sunt sub-procesatori conform GDPR. Trebuie listate în privacy policy + DPA semnat cu fiecare.

11. Notificare breach în 72 ore

Plan scris de incident response. Cine notifică ANSPDCP, cine notifică utilizatorii afectați, ce date includ în notificare. Nu așteaptă să se întâmple — pregătit dinainte.

12. Server și backup în UE (sau cu adequacy decision)

Server US fără DPF certification = problemă GDPR. AWS EU-Frankfurt, Hetzner Falkenstein, GCP europe-west — în regulă. Backup-uri în aceeași zonă.

13. Cookies third-party — minimize

Embed-uri YouTube, Google Maps, fonts — toate plantează cookies third-party. Folosește versiunile fără cookies (YouTube nocookie, font self-hosted) sau încarcă-le doar după consent.

14. DPO — Data Protection Officer

Necesar dacă procesezi date pe scară mare sau date sensibile. Pentru e-commerce mediu, opțional dar recomandat. Poate fi extern (consultant pe contract).

Penalități reale, nu teoretice

ANSPDCP a aplicat în 2024-2025 amenzi între €5,000 și €100,000 magazinelor online românești pentru: cookie consent prost configurat, lipsă de privacy policy, refuz la cereri de export date. Nu e «problemă teoretică». Aplicarea s-a strâns.

Audit GDPR rapid pentru site-ul tău

  1. Deschide site-ul în incognito. Apasă DevTools > Network. Vezi câte request-uri pleacă către domenii non-tale înainte de consent. Dacă vezi google-analytics, facebook, doubleclick — ești neconform.
  2. Caută «privacy policy» sau «politică de confidențialitate». Verifică data ultimei actualizări. Dacă e mai veche de 12 luni, e aproape sigur învechit.
  3. Înregistrează un cont test. Caută «descarcă datele mele» și «șterge contul». Dacă lipsesc, ai problemă.
  4. Verifică în privacy policy că sunt listați sub-procesatorii (Stripe, AWS, etc). Lipsă = problemă.

Audit GDPR rapid pentru magazinul tău?

În 2 zile primești raport detaliat cu fiecare neconformitate găsită + plan de remediere prioritizat.

Cere audit GDPR

Citește în continuare