Ghid GDPR pentru Website-uri

Orice informație care identifică o persoană e dată personală: nume, email, telefon, IP, cookie ID. Dacă ai formular de contact, newsletter, Google Analytics sau Facebook Pixel — procesezi date personale. Operatorul de date (tu) e responsabil legal, indiferent că folosești furnizori terți.

• Date personale: orice info legată de persoană identificabilă
• Operator: firma care decide scopul procesării (tu)
• Persoană împuternicită: furnizor (hosting, email, analytics)
• Baza legală: consimțământ, contract, interes legitim, obligație legală
• Principii: transparență, minimizare, limitare scop, acuratețe
• Inventar date: listează ce colectezi, de unde, unde stochezi, cât timp

Cookie-urile non-esențiale (analytics, marketing) necesită consimțământ explicit înainte de activare. Banner-ul „Continuă navigarea = accepți” nu e conform GDPR. Trebuie butoane egale: Acceptă tot, Refuză tot, Personalizează — fără dark patterns.

• Consimțământ înainte de setare cookie non-esențial — nu după
• Buton „Refuză” la fel de vizibil ca „Acceptă”
• Granularitate: analytics separat de marketing separat de funcționale
• Dovadă consimțământ: log cu timestamp, versiune politică, alegere
• Retragere la fel de ușoară ca acordarea — link în footer
• Cookie-uri esențiale (sesiune, coș) — fără consimțământ necesar

Politica de confidențialitate e contractul tău cu utilizatorul. Trebuie să explice ce date colectezi, de ce, cât timp, cui le transmiți și ce drepturi are utilizatorul. Copy-paste din template fără personalizare e la fel de riscant ca lipsa politicii.

• Identitate operator: denumire, CUI, adresă, email DPO/contact
• Categorii date colectate și scopul fiecărei categorii
• Baza legală per tip de procesare
• Destinatari: hosting, email, analytics, plăți — nume furnizori
• Transferuri în afara UE: SCCs, Privacy Shield alternativ
• Perioade de retenție per categorie de date
• Drepturile utilizatorului și cum le exercită

Fiecare formular colectează date — și fiecare câmp trebuie justificat. „Data nașterii” pe un formular de contact nu e minimizare. Checkbox-ul de consimțământ nu poate fi pre-bifat, iar scopul trebuie explicat în limbaj clar, nu în jargon juridic.

• Câmpuri strict necesare — elimină tot ce nu e obligatoriu
• Checkbox consimțământ ne-bifat by default, cu link la politică
• Scop explicit: „Sunt de acord să fiu contactat în legătură cu...”
• Consimțământ separat pentru newsletter vs. solicitare ofertă
• CAPTCHA sau honeypot anti-spam — fără transfer date în SUA fără DPA
• Criptare transmisie: HTTPS obligatoriu, SMTP securizat

Orice furnizor care procesează date în numele tău (hosting, email marketing, analytics) trebuie să aibă un Data Processing Agreement semnat. Fără DPA, ești responsabil pentru nerespectarea GDPR de către furnizor. Majoritatea furnizorilor mari oferă DPA standard — trebuie doar acceptat.

• DPA obligatoriu cu: hosting, email (Mailchimp, SendGrid), CRM, analytics
• Google: DPA în Google Cloud Terms, acceptă din Admin Console
• Meta: DPA în Business Tools Terms
• Furnizori RO: solicită DPA scris, chiar dacă e template
• Sub-persoane împuternicite: verifică că furnizorul are DPA cu sub-furnizori
• Revizuire anuală: la schimbare furnizor, actualizează DPA

GDPR acordă 8 drepturi utilizatorilor, iar tu trebuie să răspunzi în 30 de zile. Cele mai frecvente solicitări: acces la date (ce aveți despre mine?) și ștergere (right to be forgotten). Procesul trebuie documentat, nu ad-hoc.

• Drept de acces: export date în format structurat (JSON/CSV)
• Drept la ștergere: ștergere din DB, email, backup în 30 zile
• Drept la rectificare: corectare date incorecte la cerere
• Drept la portabilitate: transfer date către alt operator
• Drept la opoziție: oprire marketing direct imediat
• Canal cereri: email dedicat (ex: gdpr@firma.ro), nu formular generic

ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) poate amenda până la 20 milioane € sau 4% din cifra de afaceri globală. În practică, IMM-urile primesc amenzi de 5.000–50.000 lei pentru nerespectări grave, dar repetate.

• Amendă maximă: 20M € sau 4% CA globală (art. 83 GDPR)
• Amenzi reale RO: 5.000–25.000 lei frecvente pentru cookie-uri
• Cauze frecvente: lipsă consimțământ, politică inexistentă, breach nenotificat
• Notificare breach: 72h la ANSPDCP dacă e risc pentru persoane
• Avertisment scris: prima abatere minoră, dacă cooperezi
• Factor agravant: date copii, date sensibile, reincidență

Parcurge checklist-ul de mai jos și remediază golurile înainte de un control ANSPDCP sau înainte de lansare. Conformitatea GDPR e un proces continuu, nu un proiect unic — revizuiește la fiecare 6 luni sau la schimbare majoră.

• Inventar date personale complet și actualizat
• Banner cookie conform: consimțământ înainte, refuz egal cu accept
• Politică confidențialitate publicată, personalizată, datată
• DPA semnat cu toți furnizorii care procesează date
• Formulare: minimizare câmpuri, consimțământ explicit
• Procedură răspuns cereri GDPR documentată (30 zile)
• HTTPS pe tot site-ul, backup criptat
• Registru prelucrări (obligatoriu dacă >250 angajați sau date sensibile)