GDPR pentru website-uri de firmă: checklist ANSPDCP + exemple cookie banner

GDPR-ul are 8 ani și încă majoritatea site-urilor de firmă din România îl tratează ca pe un disclaimer juridic. Realitatea e că ANSPDCP (Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal) a aplicat doar în 2024 amenzi cumulate de peste 1,2 milioane euro, multe pentru încălcări banale: cookie banner fără opțiune de refuz, formulare fără temei legal explicat, retenție de date fără politică.

Acest ghid e scris pentru antreprenori și administratori de firme mici-medii care vor un site conform GDPR fără să citească 99 de articole de regulament. Conține: checklist concret de 24 puncte, cod copy-paste pentru cookie banner conform, șablon politică de confidențialitate, exemple de amenzi recente din România și ce să nu faci sub nicio formă.

Pe scurt: minimul absolut pentru un site de firmă

Element	Obligatoriu?	Penalitate medie 2024
Politică de confidențialitate	Da	5.000 – 30.000€
Politică de cookies separată	Da	3.000 – 10.000€
Cookie banner cu „Refuz tot” vizibil	Da	5.000 – 75.000€
Temei legal afișat în formulare	Da	2.000 – 15.000€
DPA cu hosting/analytics/email provider	Da	10.000 – 50.000€
Registru de prelucrări (intern)	Da, dacă >250 angajați sau date sensibile	5.000 – 20.000€
Numire DPO	Doar dacă: autoritate publică, prelucrare la scară mare, sau date sensibile sistematic	–

Dacă lipsește orice element din primele 5, ești sub risc direct. Restul depind de profilul firmei.

Cele 7 capcane care duc la amenzi în România

Înainte de checklist, exemplele recente arată unde greșesc cel mai des companiile:

1. Cookie banner cu un singur buton „Accept” — Decizia ANSPDCP nr. 28/2024, amendă 15.000€ pentru un magazin online.
2. Pixel Facebook activ înainte de consimțământ — Caz recurent. Pixel-ul trimite IP-ul în SUA fără temei.
3. Formular contact fără bifă „am citit politica de confidențialitate” — Decizia 14/2023, amendă 8.000€.
4. Hosting fără DPA semnat — Mai ales pentru servere în afara SEE fără clauze contractuale standard (SCC).
5. Newsletter fără double opt-in — Lipsește consimțământul demonstrabil.
6. Date păstrate „pentru totdeauna” — Trebuie politică de retenție cu perioade concrete.
7. „Politica de confidențialitate” copiată de pe alt site — Conține referințe la firma copiată, devine ridicolă în audit.

Checklist conformitate ANSPDCP — 24 puncte

A. Documente publicate pe site (6 puncte)

• Politică de confidențialitate accesibilă din footer pe toate paginile
• Politică de cookies separată, accesibilă din banner și footer
• Termeni și condiții (obligatorii dacă vinzi online; recomandate altfel)
• Identitatea operatorului clar afișată: denumire firmă, CUI, adresă, email contact pentru date personale
• Date de contact responsabil cu protecția datelor dacă ai numit DPO ([email protected])
• Mecanism de exercitare drepturi (formular sau email dedicat pentru cereri acces/ștergere)

B. Cookie banner conform (5 puncte)

• Banner apare înainte de încărcarea oricărui cookie non-esențial
• Are minim 3 butoane vizibile: Accept tot, Refuz tot, Setări
• „Refuz tot” e la fel de proeminent vizual ca „Accept tot” (aceeași dimensiune, contrast)
• În „Setări” utilizatorul poate alege granular: analytics, marketing, preferințe
• Există buton „Retrage consimțământul” accesibil oricând (de obicei în footer)

C. Formulare (4 puncte)

• Fiecare câmp marcat clar opțional/obligatoriu
• Sub formular: text scurt cu temei legal („datele tale sunt prelucrate pe baza consimțământului, pentru a-ți răspunde la cerere; sunt păstrate 12 luni”)
• Bifă neselectată implicit pentru consimțământ marketing/newsletter
• Link către politica de confidențialitate vizibil lângă butonul de submit

D. Tehnic backend (5 puncte)

• HTTPS forțat pe toate paginile (HSTS recomandat)
• Logs server păstrate maxim 30 zile (sau cu temei legitim documentat)
• Database criptată at-rest (standard la AWS/Vercel/Hetzner managed)
• Backup criptat off-site
• IP-uri anonimizate în Google Analytics (anonymize_ip: true)

E. Contracte cu terți — DPA (4 puncte)

• DPA semnat cu provider de hosting (Vercel, Hetzner, AWS au DPA standard)
• DPA cu Google (Analytics, Ads, reCAPTCHA) — semnat automat la activarea contului business
• DPA cu provider email (SendGrid, Postmark, Resend) — disponibil în setări cont
• DPA cu orice CRM/marketing tool (HubSpot, Mailchimp, Brevo)

Cod cookie banner conform — exemplu funcțional

Următorul cod e o implementare minimă, conformă, fără dependențe externe. Funcționează în orice site Next.js, Astro, sau static. Stochează preferințele în localStorage și emite eveniment customizat pentru integrarea cu Google Tag Manager.

<!-- HTML: pus înainte de </body> -->
<div id="cookie-banner" hidden role="dialog" aria-labelledby="cb-title">
  <div class="cb-content">
    <h2 id="cb-title">Folosim cookies</h2>
    <p>
      Folosim cookies esențiale pentru funcționarea site-ului și, cu acordul tău,
      cookies pentru analiză (Google Analytics) și marketing (Facebook Pixel).
      Poți schimba opțiunile oricând din footer. Vezi
      <a href="/politica-cookies">politica de cookies</a>.
    </p>
    <div class="cb-buttons">
      <button type="button" data-cb="reject">Refuz tot</button>
      <button type="button" data-cb="settings">Setări</button>
      <button type="button" data-cb="accept">Accept tot</button>
    </div>
  </div>
</div>

// JS: pus inline înainte de orice tracker
(function () {
  var KEY = 'cookie-consent-v2';
  var saved = localStorage.getItem(KEY);
  var banner = document.getElementById('cookie-banner');

  function emit(consent) {
    window.dispatchEvent(new CustomEvent('cookie-consent', { detail: consent }));
    // Integrare GTM
    window.dataLayer = window.dataLayer || [];
    window.dataLayer.push({
      event: 'consent_update',
      analytics: consent.analytics,
      marketing: consent.marketing,
    });
  }

  function save(consent) {
    consent.timestamp = new Date().toISOString();
    localStorage.setItem(KEY, JSON.stringify(consent));
    banner.hidden = true;
    emit(consent);
  }

  if (!saved) {
    banner.hidden = false;
  } else {
    emit(JSON.parse(saved));
  }

  banner.addEventListener('click', function (e) {
    var action = e.target.getAttribute('data-cb');
    if (action === 'accept') save({ essential: true, analytics: true, marketing: true });
    if (action === 'reject') save({ essential: true, analytics: false, marketing: false });
    if (action === 'settings') window.location.href = '/setari-cookies';
  });

  window.openCookieSettings = function () {
    banner.hidden = false;
  };
})();

/* CSS minimal */
#cookie-banner {
  position: fixed; bottom: 16px; left: 16px; right: 16px;
  max-width: 640px; margin: 0 auto;
  background: #fff; border: 1px solid #e5e5e5; border-radius: 16px;
  box-shadow: 0 10px 40px rgba(0,0,0,0.12); padding: 24px;
  z-index: 9999; font-family: system-ui, sans-serif;
}
.cb-buttons { display: flex; gap: 8px; margin-top: 16px; flex-wrap: wrap; }
.cb-buttons button {
  padding: 10px 20px; border-radius: 999px; border: 1px solid #1c1b18;
  background: #fff; cursor: pointer; font-weight: 600;
}
.cb-buttons button[data-cb="accept"] { background: #1c1b18; color: #fff; }

Important: butoanele „Refuz tot” și „Accept tot” au aceeași dimensiune și nu e niciunul mai vizibil decât celălalt. Asta evită problema „dark pattern” sancționată de ANSPDCP în 2023.

Șablon politică de confidențialitate — secțiuni obligatorii

Politica ta trebuie să conțină minim aceste 11 secțiuni, în limbaj clar (nu juridic copiat):

1. Identitatea operatorului: denumire, CUI, adresă sediu social, email contact
2. Date colectate: listă completă pe categorii (nume, email, IP, cookies, etc.)
3. Scopuri prelucrare: pentru fiecare categorie de date, scopul concret
4. Temei legal: consimțământ / contract / obligație legală / interes legitim
5. Destinatari: cui transmiți datele (provider email, hosting, CRM, contabil)
6. Transferuri în afara SEE: dacă folosești Google, Meta, AWS US — trebuie menționat + temei (SCC)
7. Perioadă retenție: pentru fiecare categorie, perioada concretă în luni/ani
8. Drepturile persoanei vizate: acces, rectificare, ștergere, restricție, portabilitate, opoziție
9. Drept plângere ANSPDCP: cu adresa autorității
10. Cookies: rezumat + link către politica de cookies separată
11. Modificări politică: cum anunți modificările (notificare în site)

Nu copia politica altcuiva. ANSPDCP verifică în audit dacă politica corespunde realității prelucrărilor — dacă ai scris că „nu transferăm date în afara UE” dar ai Google Analytics activ, amenda e garantată.

Drepturile utilizatorilor — cum le implementezi

GDPR îți cere să răspunzi la cereri în maxim 30 zile. Drepturile principale:

Drept	Ce înseamnă practic	Cum răspunzi
Acces	„Ce date aveți despre mine?”	Export CSV cu toate datele asociate emailului
Rectificare	„Schimbați adresa mea”	Update în CRM/database
Ștergere	„Ștergeți datele mele”	Delete + confirmare scrisă
Restricție	„Nu mai prelucrați”	Marcare în CRM, fără ștergere
Portabilitate	„Trimiteți datele într-un format machine-readable”	Export JSON/CSV
Opoziție	„Nu mai vreau newsletter”	Unsubscribe + record

Practic: pune un email [email protected] în politică și asignează responsabil intern. Pentru firme cu volum mare, un tool ca GDPR Compliance Manager gestionează automat.

Amenzi reale ANSPDCP 2024–2026 — ce să eviți

• 75.000€, magazin online, octombrie 2024 — cookie banner fără opțiune refuz + Facebook Pixel activ pre-consimțământ
• 30.000€, clinică medicală, martie 2024 — date sensibile (sănătate) trimise prin email necriptat
• 15.000€, agenție imobiliară, iulie 2024 — newsletter fără double opt-in, lipsă temei legal
• 12.000€, firmă recrutare, februarie 2025 — păstrare CV-uri timp de 5+ ani fără justificare
• 8.000€, restaurant cu sistem rezervări online, august 2024 — formular fără bifă politică, lipsă DPA cu provider booking

Vezi lista completă pe site-ul ANSPDCP. Pattern-ul e clar: amenzile mari sunt pentru încălcări sistemice (cookie banner manipulativ, transferuri în SUA fără SCC), nu pentru chestiuni accidentale.

Erori frecvente de evitat

„Site-ul meu e mic, nu mă vede ANSPDCP.” ANSPDCP face audit aleator + verifică sesizările cetățenilor. O singură sesizare poate declanșa audit complet. Amenda minimă e 5.000€.

„Folosesc plugin WordPress gratuit pentru cookies, e ok.” Multe plugin-uri implementează banner non-conform (un singur buton Accept, sau bifează „accept” implicit). Verifică manual.

„Politica de confidențialitate am luat-o de la vechiul meu site.” Politica trebuie să reflecte exact ce date prelucrezi acum, cu ce instrumente. Update obligatoriu la fiecare schimbare majoră.

„Google Analytics 4 e GDPR-friendly by default.” Fals. GA4 trebuie configurat cu IP anonymization, consent mode v2, și consimțământ explicit. Altfel transferă IP în SUA — încălcare clară.

„Nu am nevoie de DPA cu Vercel/AWS, e doar hosting.” Hosting-ul procesează date personale. DPA e obligatoriu. Din fericire, toți provider-ii serioși au DPA standard accesibil în 2 click-uri în setări cont.

Cum livrăm noi site-uri conforme GDPR

La pachetele Pro și Custom de creare website firmă includem standard:

• Cookie banner conform cu cele 3 butoane vizibile
• Politică de confidențialitate redactată pe baza unui chestionar de 12 întrebări despre firma ta
• Politică de cookies cu lista exactă a cookies setate
• Configurare Google Analytics 4 cu Consent Mode v2
• HTTPS forțat + HSTS preload
• DPA model pentru hosting (semnat automat dacă alegi Vercel/Netlify)
• Documentație internă pentru responsabil GDPR din firma ta

Vezi exemplu integrat pe site-urile noastre pentru website pentru cabinet medical (unde GDPR e și mai strict — date sensibile).

Întrebări frecvente

Sunt obligat să am DPO (Data Protection Officer)? Doar dacă: ești autoritate publică, prelucrezi date la scară mare (peste 10.000 persoane vizate/an) sau prelucrezi sistematic date sensibile (sănătate, religie, orientare politică etc.). Majoritatea IMM-urilor nu au nevoie de DPO, dar trebuie să numiți un responsabil intern.

Cât costă o politică de confidențialitate redactată corect? Între 200€ (template adaptat) și 1500€ (audit complet + politică custom + DPA-uri). În pachetele noastre Pro e inclusă.

Pot folosi Google Fonts încărcat de pe servere Google? Riscant. O instanță din Germania a stabilit în 2022 că self-hosting fonturilor e mai sigur GDPR. Noi recomandăm fonturi self-hosted by default.

Trebuie să cer consimțământ pentru reCAPTCHA? Da. reCAPTCHA setează cookies și trimite date în SUA. Trebuie încărcat doar după consimțământ marketing, sau înlocuit cu alternativă (hCaptcha cu serverele EU, sau honeypot pur).

Câte zile am pentru a răspunde la cerere GDPR? 30 zile calendaristice, extensibil cu 60 zile pentru cereri complexe (cu notificare în primele 30 zile).

Ce fac dacă primesc o cerere de la cineva care nu e în CRM-ul meu? Trebuie să răspunzi oricum în 30 zile, confirmând că nu ai date despre acea persoană. Lipsa răspunsului = încălcare.

Pixelul Facebook e legal în România? Da, cu consimțământ explicit obținut prin cookie banner. Fără consimțământ — nu se încarcă deloc.

Trebuie să afișez DPA-urile pe site? Nu. DPA-urile sunt contracte interne între operator și procesator. Dar trebuie să le ai semnate și disponibile la control ANSPDCP.

Concluzie

GDPR pentru site-uri de firmă nu e despre conformitate juridică opacă, ci despre 24 de puncte concrete care, odată implementate, te scot din zona de risc. Costurile sunt mici (cookie banner — câteva ore de dev; politici — sub 500€ redactate; DPA-uri — gratuite la provideri serioși). Costul neconformității e între 5.000€ și 75.000€ amendă + reparația tehnică tot îți cade pe cap.

Dacă vrei un audit gratuit al site-ului tău actual (analizăm cookie banner, politici, formulare și trimitem raport în 48h), scrie-ne.

---

Articol scris de echipa Website Firma. Informațiile sunt valabile la data publicării (iunie 2026) și nu reprezintă consultanță juridică. Pentru cazuri specifice consultă un avocat specializat în protecția datelor.