„B2B nu atinge GDPR pentru că lucrăm cu firme, nu cu persoane fizice.” E o confuzie scumpă. Orice aplicație B2B procesează date de contact ale unor persoane (Ion Popescu din departamentul achiziții al clientului tău), date de login, adrese IP, eventual date de angajați. Toate intră sub GDPR. Iată checklistul pe care îl folosim noi în auditurile tehnice, grupat pe categorii, 40 de puncte concrete.
Baza legală și documentare (1-8)
- Ai identificat baza legală pentru fiecare tip de prelucrare (contract, interes legitim, consimțământ)
- Ai Registrul activităților de prelucrare actualizat (Art. 30)
- Ai DPIA făcut pentru prelucrările cu risc ridicat
- Ai Politica de confidențialitate accesibilă din orice pagină
- Ai procedură documentată de răspuns la drepturile persoanelor vizate (acces, rectificare, ștergere, portabilitate)
- Ai DPA semnat cu fiecare subcontractor (hosting, email, analytics)
- Ai documentat perioadele de retenție pentru fiecare categorie de date
- Ai numit un DPO dacă ești obligat (sau ai documentat de ce nu e obligatoriu)
Autentificare și autorizare (9-16)
- Parole hash-uite cu bcrypt/argon2, niciodată MD5/SHA1
- Complexitate minimă parole documentată (8+ caractere, verificat la server)
- 2FA disponibil și recomandat pentru admin-i
- Sesiunile au timeout rezonabil (30-60 minute inactivitate)
- RBAC implementat — utilizatorii văd doar datele lor
- Log-uri de autentificare păstrate minim 6 luni
- Account lockout după N încercări eșuate
- Reset parolă prin email cu token cu expirare scurtă (max 1 oră)
Transport și stocare (17-24)
- HTTPS obligatoriu, TLS 1.2+ minim
- HSTS activ cu preload
- Certificate auto-reînnoite (Let's Encrypt sau provider)
- Baza de date nu e accesibilă direct de pe internet
- Date sensibile (date de card, date medicale) criptate la nivel de coloană
- Backup-uri criptate, stocate într-o altă locație geografică
- Backup-urile testate de restore regulat (minim trimestrial)
- Datele tale nu părăsesc UE fără mecanism legal (SCC-uri)
Jurnalizare și monitorizare (25-30)
- Audit log pe acțiuni sensibile (acces date, modificări, export)
- Log-urile nu conțin parole, token-uri, date card
- Log-urile au retenție clară (90 zile minim pentru securitate, maxim 1 an pentru majoritatea)
- Ai sistem de alerting pentru tentative suspecte (multe login-uri eșuate, exfiltrare)
- Log-urile sunt protejate împotriva modificării (immutable sau write-once)
- Ai un proces documentat de răspuns la incidente (inclusiv notificare 72h)
Drepturile persoanelor vizate — implementare tehnică (31-36)
- Export date utilizator (portabilitate) — funcțional, format structurat (JSON/CSV)
- Ștergere cont — funcțional, cu distincție între delete logic și physical
- Anonimizare pentru datele care trebuie păstrate legal (facturi)
- Rectificare — UI pentru utilizator să-și editeze datele
- Time-to-complete: export < 30 zile, ștergere < 30 zile
- Dovadă că cererea a fost executată (log + notificare)
Dezvoltare și deployment (37-40)
- Medii separate (dev, staging, prod) — datele de prod nu se copiază în dev
- Date de test pseudonimizate, nu date reale
- Code review obligatoriu pe modificări cu impact pe date personale
- Scanare automată de vulnerabilități în pipeline (SAST, dependency check)
Sancțiuni reale, nu teoretice
Categorie încălcare | Amenzi documentate ANSPDCP (2023-2025) |
Lipsă măsuri de securitate adecvate | 15.000 – 150.000 EUR |
Nerespectarea drepturilor vizatului | 10.000 – 80.000 EUR |
Neraportare breach în 72h | 5.000 – 50.000 EUR |
Transfer date extra-UE fără bază | 20.000 – 200.000 EUR |
Amenda maximă legală e 4% din cifra de afaceri globală sau 20 milioane EUR. În România, amenzile reale aplicate până în 2025 sunt în zona de 5.000-200.000 EUR, în funcție de gravitate și cooperare.
Ce facem la Skyvertex
Auditul GDPR tehnic e unul dintre cele mai solicitate servicii ale noastre. Durează 2-4 săptămâni, acoperă toate 40 de puncte de mai sus plus analiza codului pe vulnerabilități specifice, și livrează un raport cu priorități 1/2/3 și plan de remediere. Nu e un audit legal (îl face avocatul/DPO), e unul tehnic și operațional — partea pe care juriștii nu o pot face singuri.
Ai o aplicație B2B de auditat pe GDPR și vrei o evaluare în 3 săptămâni? Hai să vorbim fără obligație. → skyvertex.ro/contact
Întrebări frecvente (FAQ)
Chiar și un simplu formular de contact intră sub GDPR?
Da — colectezi email și nume, ambele date personale. Ai nevoie de politică de confidențialitate și bază legală.
Am nevoie de DPO dacă am 5 angajați?
Nu automat. Obligație apare la prelucrări sistematice pe scară largă sau categorii speciale de date. Dar chiar și fără obligație, e util să ai un responsabil desemnat intern.
Pot folosi Google Analytics în România?
Cu configurare specifică (anonimizare IP, server-side tagging, consent mode). Fără asta, riscul e crescut.
Cât costă un audit GDPR tehnic?
Între 3.000 și 12.000 EUR pentru aplicații B2B medii, în funcție de complexitate și numărul de componente.