dataconsulting.ro
Inapoi la blog
GDPR 28 mai 2026 8 min

GDPR magazin online — checklist ecommerce Romania 2026

Echipa GLOBAL DATA PROTECTION SRL·Specialist protectia datelor

Un magazin online conform GDPR in Romania colecteaza in medie 7 categorii de date personale si lucreaza cu 5-10 procesatori externi (curier, plata, email marketing, analytics). Fiecare interactiune declanseaza obligatii GDPR distincte. Acest ghid sintetizeaza tot ce trebuie sa stii ca proprietar de magazin online sau platforma ecommerce, cu un checklist final de 10 puncte.

Ce date personale colecteaza un magazin online

Sapte categorii principale, fiecare cu temei legal si obligatii distincte:

  • Cont client

    Email, parola (hashed), nume, prenume, telefon, data inregistrare. Temei legal: executare contract (Art. 6.1.b GDPR).

  • Date comanda

    Adresa livrare, adresa facturare, produse, sume. Daca este persoana juridica: CUI, CIF, denumire firma. Temei legal: executare contract si obligatie legala (facturare).

  • Date plata

    Numarul cardului, CVV NU sunt stocate de magazin — prelucrate de procesator (Stripe, NETOPIA, PayU, EuPlatesc). Magazinul stocheaza doar referinta tranzactiei si statusul. Temei legal: executare contract si obligatie legala.

  • Date livrare

    Transmise catre curier (FAN, Sameday, GLS, DPD). Curierul devine procesator si necesita DPA semnat. Temei legal: executare contract.

  • Date marketing

    Consimtamant newsletter, preferinte, istoric campanii. Temei legal: consimtamant explicit (Art. 6.1.a) sau interes legitim soft opt-in (clienti existenti).

  • Date tracking

    Cookies, adresa IP, comportament navigare, cos abandonat, retargeting. Necesita consimtamant prin cookie banner conform (Directiva ePrivacy).

  • Recenzii si reclamatii

    Reviews postate (publice), reclamatii prin email/formular, comunicari customer support. Temei legal: interes legitim si obligatie legala (rezolvare reclamatii).

Obligatii GDPR specifice pentru ecommerce

Pe langa obligatiile GDPR generale (vezi articolul nostru despre GDPR pentru orice firma), un magazin online are urmatoarele obligatii suplimentare specifice:

  • Politica de confidentialitate detaliata si accesibila

    Link permanent in footer, vizibil pe fiecare pagina. Trebuie sa includa: identitatea operatorului (denumire firma, CUI, adresa, contact DPO), scopurile prelucrarii pe categorii, temeiul legal, destinatarii (curier, plata, hosting, analytics), perioada de pastrare, drepturile persoanei vizate.

  • DPA-uri (Data Processing Agreements) cu toti procesatorii

    Conform Art. 28 GDPR, orice furnizor extern care prelucreaza date in numele tau necesita contract scris de prelucrare. Lista tipica: procesator plata, curier, platforma SaaS (Shopify/BigCommerce), email marketing, hosting, analytics, chat, reviews. Fara DPA — neconformitate directa.

  • Consimtamant valid pentru marketing direct

    Casute NEbifate pentru newsletter la inregistrare cont si checkout. Soft opt-in permis pentru clienti existenti (produse similare). Toate emailurile marketing necesita link unsubscribe functional in maxim 2 click-uri.

  • Cookie banner conform Directivei ePrivacy

    Cookies non-esentiale (analytics, marketing, retargeting) NU se seteaza pana la consimtamant explicit. Vezi articolul nostru despre cookie banner GDPR pentru detalii.

  • Mecanism robust pentru drepturile persoanelor vizate

    Email dedicat publicat (gdpr@ sau dpo@), formular in contul utilizatorului, procedura interna documentata, raspuns in 30 de zile. Cereri tipice: acces, stergere cont, portabilitate (export comenzi), rectificare.

  • Notificare incidente in 72 de ore

    Procedura scrisa pentru identificare, evaluare si notificare a incidentelor catre ANSPDCP. Magazinele online sunt frecvent tinta atacurilor — pregatirea procedurii in avans este esentiala.

DPA — Data Processing Agreement cu fiecare procesator

Toti urmatorii furnizori procesoaza date in numele tau si necesita DPA semnat:

Procesatori plata

Stripe, NETOPIA, PayU, EuPlatesc, Mobilpay

Curieri

FAN Courier, Sameday, GLS, DPD, Cargus

Platforma ecommerce SaaS

Shopify, BigCommerce, Wix (DPA standard furnizor)

Hosting

AWS, Hetzner, OVH, ContaboKey-CDN

Email marketing

Mailchimp, ActiveCampaign, Sendinblue, NewzMail

Analytics

Google Analytics 4, Hotjar, Microsoft Clarity (DPA + acord transfer SUA)

Chat customer support

Intercom, Tidio, LiveChat, Zendesk

Recenzii

Trustpilot, Trusted Shops, REVIEWS.io

Furnizorii americani (Google, AWS, Microsoft) au DPA-uri standard disponibile online — le poti descarca, completa si semna. Furnizorii romanesti (NETOPIA, FAN Courier, OVH Romania) au de regula DPA-ul pe site sau il transmit la cerere. Nu este suficient sa accepti termenii standard — trebuie sa semnezi efectiv DPA-ul si sa il pastrezi in dosar.

Email marketing si GDPR — consimtamant vs interes legitim

Doua scenarii distincte:

Consimtamant explicit (Art. 6.1.a)

Necesar pentru: persoane care s-au inscris la newsletter fara sa fi cumparat; prospect-uri din formulare lead generation; date achizitionate de la terti. Forma: casuta NEbifata, text clar despre ce primesc si cat de des. Pastrarea dovezii consimtamantului (timestamp, IP, sursa).

Soft opt-in / interes legitim (Art. 6.1.f)

Permis pentru: clienti existenti, pentru marketing de produse similare cu cele cumparate. Conditii cumulative: persoana a fost informata clar la momentul achizitiei despre primirea acestor mesaje; are optiunea de dezabonare la fiecare email; mesajele sunt despre produse similare, nu campanii generice.

Toate emailurile marketing necesita: link unsubscribe functional in fiecare email, identificarea expeditorului (denumire firma, contact), header tehnice corecte (DMARC, SPF, DKIM pentru deliverability si conformitate).

Cookies, tracking si retargeting

Magazinele online sunt printre cei mai intensi utilizatori de cookies si tracking: Google Analytics, Meta Pixel, Google Ads conversion, Hotjar, retargeting, abandoned cart recovery. Toate necesita consimtamant prealabil prin cookie banner conform.

Pentru detalii complete despre implementare cookie banner conform — categorii, butoane simetrice, cookies setate doar dupa consimtamant — vedeti articolul nostru dedicat: Cookie banner GDPR Romania — ghid conform 2026.

Sectoare specifice — riscuri si cerinte aditionale

  • Magazine farmacie online

    Datele despre comenzi pot dezvalui starea de sanatate (categorie speciala — Art. 9 GDPR). Necesita temei legal special, masuri suplimentare de securitate si potential DPIA.

  • Magazine fashion cu marimi/preferinte

    Profiluri detaliate de client. Daca se foloseste AI pentru recomandari, intra in scop AI Act (Art. 50 transparenta).

  • Marketplace-uri B2B

    Date despre persoane juridice (CUI) NU sunt date personale, dar persoanele de contact din firmele cliente DA. Necesita DPA-uri detaliate intre marketplace si vanzatorii listati.

  • Magazine cu programe de fidelizare

    Profilare extensiva si scoring comportamental. Cand depasesc anumite praguri (scoring sistematic pe scara larga), declanseaza obligatia de DPIA.

Checklist GDPR ecommerce — 10 puncte de verificat

  1. 1

    Politica de confidentialitate publicata, accesibila si actualizata (operator, scopuri, temei, destinatari, drepturi)

  2. 2

    Registrul activitatilor de prelucrare (Art. 30) actualizat, in format documentat

  3. 3

    DPA semnat cu fiecare procesator extern (lista verificabila in dosar)

  4. 4

    Cookie banner conform: butoane simetrice, niciun cookie non-esential pana la consimtamant explicit

  5. 5

    Casute newsletter NEbifate (consimtamant valid), link unsubscribe functional in fiecare email

  6. 6

    Email dedicat publicat pentru cereri persoane vizate (gdpr@ sau dpo@)

  7. 7

    Procedura interna documentata pentru raspuns in 30 zile la cereri (acces, stergere, rectificare)

  8. 8

    Procedura notificare incidente in 72 de ore catre ANSPDCP (template gata pregatit)

  9. 9

    Masuri tehnice de securitate: HTTPS, parole hashed, MFA pentru admin, backup-uri

  10. 10

    Training periodic pentru echipa customer support privind drepturile persoanelor vizate

Lipsa oricaruia dintre cele 10 puncte expune firma la sanctiuni ANSPDCP. Cazurile reale de amenzi pentru magazine online si retaileri (UniCredit, Rompetrol, IKEA, Kaufland, Altex) sunt analizate in articolul nostru despre amenzi GDPR — cazuri reale ANSPDCP.

Intrebari frecvente despre GDPR magazin online

Ce date personale colecteaza un magazin online?

Sapte categorii: cont client, comanda, plata, livrare, marketing, tracking (cookies/IP), recenzii. Fiecare are temei legal diferit (executare contract, obligatie legala, consimtamant, interes legitim).

Ce obligatii GDPR are un magazin online in Romania?

Politica de confidentialitate, registrul activitatilor (Art. 30), DPA cu toti procesatorii, cookie banner conform, consimtamant marketing valid, mecanism pentru drepturi (raspuns in 30 zile), procedura notificare incidente in 72 ore catre ANSPDCP.

Cu cine trebuie sa am DPA?

Cu toti furnizorii externi care prelucreaza date in numele tau: procesator plata, curier, platforma SaaS (Shopify), email marketing, hosting, analytics, chat customer support, sistem reviews. Fara DPA — neconformitate directa.

Pot trimite email marketing fara consimtamant explicit?

Pentru clienti care au cumparat deja, da, pe baza interesului legitim (soft opt-in), pentru produse similare, cu informare prealabila si optiune dezabonare. Pentru lead-uri din newsletter, consimtamantul explicit (casuta nebifata) este obligatoriu.

Cum implementez drepturile persoanelor vizate?

Email dedicat publicat in politica, formular in contul utilizatorului, procedura interna pentru identificare/verificare/raspuns in 30 de zile, registru cereri documentat. Ignorarea cererilor e una dintre cele mai frecvente cauze de amenzi (cazul Orange — 40.000 EUR).

Audit GDPR pentru magazinul tau online

Auditul GDPR ecommerce verifica toate cele 10 puncte din checklist: politica, registru, DPA-uri, cookies, marketing, drepturi, securitate. Gratuit, 20 minute, raport personalizat cu prioritizarea masurilor.

Audit gratuit magazin online Servicii GDPR
← Inapoi la toate articolele