2. Consimțământ pe formulare
Pentru comandă, temeiul e „executarea contractului" — nu ai nevoie de bifă separată. Pentru newsletter, marketing, profilare, ai nevoie de bifă nebifată din start, cu text clar:
„☐ Sunt de acord să primesc oferte comerciale de la [Numele magazinului] prin email. Îmi pot retrage consimțământul oricând din link-ul din email sau la privacy@magazin.md."
- Nu combina consimțământul pentru comandă cu cel pentru marketing.
- Stochează dovada consimțământului: timestamp, IP, versiune text, ID utilizator.
- Oferă un buton „Dezabonare" cu 1 click în fiecare email.
3. DPA cu procesatori
Orice serviciu extern care primește date personale ale clienților tăi trebuie să semneze un Acord de Prelucrare (DPA). Lista tipică pentru un magazin online:
- Procesator de plăți (Stripe, PayPal, MAIB, PayNet) — au DPA standard.
- Curier (Nova Poșta, DPD, Cargus) — cere DPA explicit.
- Email marketing (Mailchimp, Brevo, MailerLite) — DPA în cont.
- Chat & suport (Intercom, Tidio) — DPA standard.
- Analytics (Google Analytics 4) — DPA în Google Ads.
- Hosting (AWS, Hetzner, DigitalOcean) — DPA în cont.
- CRM (HubSpot, Pipedrive) — DPA standard.
Menține un registru intern cu numele procesatorului, scopul, țara serverului, data semnării DPA.
4. Retenția datelor clienților
| Tip de date | Durata recomandată |
|---|---|
| Facturi și documente contabile | 10 ani (obligație legală MD) |
| Cont client inactiv | 3 ani de la ultima activitate, apoi ștergere sau anonimizare |
| Abonați newsletter | până la dezabonare |
| Coșuri abandonate | 30 de zile |
| Log-uri server | 6-12 luni |
5. Cererile de acces și ștergere
Trebuie să răspunzi în 30 de zile la cereri de acces, rectificare, ștergere, portabilitate. Recomandat:
- Adresă dedicată:
privacy@magazin.md— nu email-ul general. - Verifică identitatea solicitantului (verificare prin cont sau document).
- Pentru ștergere: șterge din CRM, ESP, backup-uri programate, dar păstrează facturile (obligație legală).
- Ține un log intern al cererilor procesate.
6. Politica de confidențialitate — ce include
- Identitatea completă a operatorului (denumire juridică, IDNO, sediu, email, telefon).
- Date colectate și scopurile (comandă, livrare, marketing, analytics, suport).
- Temei legal pentru fiecare scop (contract, consimțământ, obligație legală, interes legitim).
- Destinatari și procesatori (lista celor 5-10 servicii externe).
- Transferuri internaționale (SUA, țări fără decizie de adecvare).
- Perioade de retenție (tabelul de mai sus).
- Drepturile clientului și cum le exercită.
- Date de contact DPO (dacă e cazul).
- Data ultimei actualizări și istoric versiuni.
7. Plan de răspuns la breșe
Legea 195/2024 impune notificarea CNPDCP în 72 de ore de la descoperirea unei breșe cu risc pentru drepturile persoanelor. Pregătește-te:
- Cine e primul contactat (admin tehnic, DPO, avocat)?
- Cum decizi dacă breșa are risc (checklist intern)?
- Șablon de notificare CNPDCP pregătit.
- Șablon de notificare a clienților afectați (când e cazul).
- Log intern al incidentului cu timeline, cauză, măsuri corective.
Verifică-ți magazinul
Vezi ce lipsește pe site-ul tău
GDPRScan analizează checkout-ul, formularele, cookies și politica de confidențialitate — și îți dă lista concretă de probleme. Gratuit.
Scanează gratuit →