GDPR pe un site WordPress: ce trebuie să ai obligatoriu

Dacă site-ul tău WordPress colectează orice fel de date despre vizitatori — un formular de contact, un newsletter, comentarii, chiar și doar statistici de trafic — intri sub incidența GDPR. Nu contează dacă ești o afacere mică sau un blog personal cu ambiții comerciale: regulamentul se aplică oricui prelucrează date ale unor persoane din UE, indiferent de mărimea afacerii.

Vestea bună: conformitatea de bază pentru un site WordPress obișnuit nu e complicată. Articolul ăsta trece prin ce ai obligatoriu nevoie, fără jargon juridic inutil.

Ce înseamnă „date cu caracter personal” pe un site WordPress

Orice informație care poate identifica o persoană, direct sau indirect: nume, email, adresă IP, cookie-uri de urmărire, numărul de telefon dintr-un formular, chiar și comentariile lăsate sub un articol (care includ automat adresa de email a comentatorului). Adresa IP contează ca dată personală chiar dacă nu pare evident — de aceea și statisticile de trafic intră sub GDPR.

Elementele obligatorii, în ordinea priorității

1. Politica de confidențialitate

Pagina cea mai importantă din perspectivă legală. Trebuie să explice clar: ce date colectezi, în ce scop, cât timp le păstrezi, cui le transmiți (dacă e cazul — de exemplu unui procesator de plăți sau unui serviciu de email marketing), și ce drepturi are persoana vizată (acces, rectificare, ștergere, portabilitate).

WordPress are de fapt un generator de bază de politică de confidențialitate integrat, în Setări → Confidențialitate — un punct de plecare util, dar aproape întotdeauna insuficient pentru o afacere reală, pentru că nu acoperă automat toate plugin-urile și serviciile terțe pe care le folosești.

2. Banner de consimțământ pentru cookie-uri

Dacă site-ul folosește cookie-uri de urmărire (Google Analytics, Facebook Pixel, orice tool de marketing) sau cookie-uri non-esențiale, ai nevoie de un banner care cere consimțământ explicit înainte ca acele cookie-uri să fie plasate — nu doar o notificare informativă. Diferența contează legal: un banner care doar „te informează” că site-ul folosește cookie-uri, fără să ofere opțiunea reală de a refuza, nu respectă cerințele actuale.

Cookie-urile strict necesare pentru funcționarea site-ului (de exemplu, cele pentru coșul de cumpărături sau sesiunea de autentificare) nu necesită consimțământ explicit, dar tot trebuie menționate în politica de cookie-uri.

3. Politica de cookie-uri, separată sau integrată

O listă clară a cookie-urilor folosite pe site, cu scopul fiecăruia și durata de stocare. Poate fi o pagină separată sau o secțiune în politica de confidențialitate — important e să existe și să fie actualizată când adaugi un plugin nou care setează cookie-uri (multe plugin-uri de analytics, chat live sau marketing o fac fără să anunți explicit).

4. Consimțământ explicit la formulare

Orice formular care colectează date (contact, newsletter, comandă) are nevoie de o casetă de bifat separată, nebifată implicit, prin care persoana confirmă că a citit și acceptă politica de confidențialitate. Consimțământul nu poate fi presupus prin simpla completare a formularului — trebuie să fie o acțiune activă și distinctă.

Pentru newsletter, e nevoie de un consimțământ separat față de acceptul general al politicii de confidențialitate — colectarea datelor pentru a răspunde unei solicitări de contact e un temei legal diferit de cel pentru trimiterea de materiale de marketing.

5. Procesarea securizată și minimizarea datelor

GDPR cere să colectezi doar datele strict necesare scopului declarat („minimizarea datelor”). Un formular de contact care cere data nașterii sau adresa completă, fără un motiv clar pentru care ai nevoie de acele informații, e o problemă de conformitate, nu doar o alegere de design.

Datele colectate trebuie protejate corespunzător — asta înseamnă HTTPS pe tot site-ul, actualizări regulate, protecție împotriva atacurilor și, dacă lucrezi cu date sensibile, criptare suplimentară. Un breach de securitate care expune date personale e simultan un incident tehnic și o încălcare GDPR cu obligație de notificare.

6. Dreptul la ștergere și portabilitate

Orice persoană poate cere ștergerea datelor sale sau o copie a acestora, într-un format utilizabil. Practic, asta înseamnă că trebuie să ai un proces (chiar și manual, pentru un site mic) prin care poți identifica și șterge datele unei persoane din baza de date WordPress, din pluginul de newsletter, din CRM și din orice alt loc unde ar putea exista.

7. Notificarea în caz de breach

Dacă site-ul e compromis și date personale sunt expuse, ai obligația de a notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în 72 de ore de la descoperirea incidentului, și, în anumite cazuri, și persoanele afectate direct. „Nu am observat” nu e o apărare — lipsa monitorizării adecvate e ea însăși o problemă de conformitate.

Servicii terțe care necesită atenție specială

Google Analytics, Facebook Pixel, plugin-uri de chat live, formulare încorporate de la servicii externe, sisteme de email marketing — toate acestea transmit date către servere terțe, adesea în afara UE. Verifică dacă furnizorul are un acord de procesare a datelor (DPA) conform GDPR și dacă transferul internațional de date e acoperit legal (de exemplu prin clauze contractuale standard).

Google Analytics 4, în configurația implicită, poate ridica probleme de conformitate în anumite interpretări naționale — merită verificat dacă ai activat anonimizarea IP-ului și dacă politica ta de cookie-uri menționează explicit acest serviciu.

Ce NU rezolvă un plugin, oricât de bun

Plugin-urile de tip „GDPR compliance” (Complianz, CookieYes, WP GDPR Compliance) sunt utile pentru banner-ul de cookie-uri și generarea de bază a politicilor, dar nu înlocuiesc o analiză reală a datelor pe care le colectezi efectiv. Un plugin nu poate ști ce câmpuri ai în formularul tău personalizat sau ce face fiecare integrare terță de pe site — configurarea corectă rămâne responsabilitatea ta sau a celui care administrează site-ul.

Sancțiuni și riscuri reale

Amenzile GDPR pot ajunge teoretic la 4% din cifra de afaceri anuală globală sau 20 de milioane de euro, oricare e mai mare — dar pentru afacerile mici din România, riscul practic mai frecvent e o plângere depusă de un vizitator nemulțumit la ANSPDCP, urmată de o solicitare de clarificări și, în cazuri de nerespectare gravă sau repetată, o amendă proporțională cu dimensiunea afacerii. Costul real al neconformității e adesea mai mic decât reputația afectată dacă un incident de date ajunge public.

Un site conform, verificat corect

Conformitatea GDPR pentru un site WordPress obișnuit nu e un proiect uriaș, dar cere atenție la detalii care se pierd ușor pe măsură ce adaugi plugin-uri și integrări noi de-a lungul timpului. Un audit periodic — mai ales după orice schimbare majoră a funcționalităților site-ului — previne acumularea de mici neconformități care, adunate, devin un risc real.

Toate pachetele noastre de administrare WordPress includ verificarea elementelor de conformitate de bază — politici publicate corect, banner de cookie-uri funcțional, formulare cu consimțământ explicit. De la 49 €/lună.

Vrei să știi dacă site-ul tău respectă cerințele de bază GDPR? Cere auditul gratuit — verificăm configurarea și îți spunem exact ce lipsește, fără obligații.