GDPR pentru formulare online — checklist complet pentru România
Ce trebuie să faci practic pentru ca formularele tale să fie GDPR-compliant în România. Lista celor 12 puncte obligatorii.
GDPR a intrat în vigoare în 2018 dar majoritatea formularelor online încă nu sunt compliant. Iată ce trebuie să faci concret.
1. Consimțământ explicit
Checkbox NU pre-bifat. Limbaj clar: 'Sunt de acord ca [Operator] să proceseze datele mele pentru [scop]. Pot retrage consimțământul oricând.'
2. Privacy policy linkată direct
Lângă submit button: 'Vezi cum procesăm datele tale.' Link la /privacy.
3. Date minime necesare
Nu cere telefon dacă nu îl folosești. Fiecare câmp = justificare.
4. Retention policy explicit
Stocăm datele tale [N] zile/luni. După, le ștergem automat.
5. Drept la acces (Art. 15)
Respondentul poate cere copia datelor sale oricând. Răspuns în 30 zile max.
6. Drept la ștergere (Art. 17)
Email la privacy@firma.ro → ștergere în 30 zile. Confirmare scrisă.
7. Hosting în UE
OVH Franța, Hetzner Germania = OK. AWS US, Google US fără SCC = ❌
8. Sub-procesori declarați
Listă publică: Stripe (plată), Resend (email), OpenAI (AI dacă activat). Toți cu DPA semnat.
9. Breach notification 72h
Dacă datele sunt expuse, notifică DPA România + persoanele afectate în maxim 72h.
10. DPIA pentru AI
Dacă folosești AI features (Whisper, gpt) → DPIA = obligatoriu sub EU AI Act.
11. Cookie banner strict-necessary
Doar pentru auth cookies (tracking = nu). Megaforms folosește doar megaforms_token.
12. Audit log
Cine a accesat ce date, când. Megaforms = audit log built-in pentru toate acțiunile sensibile.