Trochę pracowałem z ecommerce i wdrażałem zalecenia z audytów prawnych. Ogólnie co prawnik to opinia. Te wszystkie prztyczki, popupy itp to jest interpretacja prawników - nie ma takiego konkretnego przepisu mówiącego, że w takim a takim miejscu musi być chceckbox. Są tylko ogólne przepisy o obowiązku informacyjnym i np. Przepisy określające uprawnienia przysługujące osobie, której dane są przetwarzane.
Taki prosty przykład - przepisy mówią, że osoba ma prawo trwałe usunąć swoje dane z systemu, dlatego prawnicy zalecają wdrożenie funkcji usuwania konta. Z drugiej strony żaden przepis nie mówi, że to musi być automat i jak usunięcie konta wymaga napisania maila do BOK to też technicznie spełniasz ten przepis.
Ogólnie przepisy się nie zmieniły - po prostu Github sobie zrobił taką wykładnie i tyle. Póki nie będzie pozwu to się nie dowiemy czy ich prawnicy mają rację czy nie.
Co do rejestracji bazy danych osobowych to zgłoszenia należało dokonać do GIODO. Po wprowadzeniu Rodo chyba ten obowiązek został częściowo zniesiony, ale zostały jakieś inne obowiązki za to wprowadzone - zdaje się, że jakieś rejestry trzeba teraz prowadzić w firmie czy coś takiego. Ale mogę tutaj kręcić bo to tylko tak z rozmów z właścicielami wyciągnąłem.