Cui îi trebuie GDPR — chiar dacă nu ești în UE
Concepție greșită răspândită: «Am site în Moldova, GDPR e pentru Europa, nu mă privește». Este incorect.
GDPR se aplică oricărui site care:
• Colectează date ale clienților europeni (formular de contact, înregistrare, abonare)
• Folosește Google Analytics, Facebook Pixel sau alte servicii care transmit date în UE/SUA
• Acceptă plăți de la utilizatori europeni
• Folosește cookies pentru tracking
Dacă ești în Moldova și lucrezi cu clienți români, germani sau francezi — GDPR se aplică. Dacă ești în România și promovezi servicii pe piața europeană — cu atât mai mult.
Plus — legi naționale. Din 2018 în România este în vigoare Legea 190/2018 — armonizată cu GDPR. În Moldova din 2023 — Legea privind protecția datelor cu caracter personal. În ambele cazuri amenzile sunt reale.
7 elemente obligatorii pe site
1. Cookie consent banner
Fereastră pop-up cu acord explicit pentru utilizarea cookies. Nu «prin continuarea navigării sunteți de acord» (asta nu funcționează cu GDPR), ci butoane separate «Accept tot» / «Doar necesare» / «Setări». Fără el Google Analytics și orice alte tracking-cookies nu pot fi folosite.
2. Privacy Policy (politica de confidențialitate)
Pagină cu descrierea:
• Ce date colectăm (nume, email, telefon, IP, cookies)
• De ce (procesarea cererilor, marketing, analytics)
• Cui transmitem (Google, Resend, hosting, CRM)
• Cât timp păstrăm
• Cum utilizatorul poate cere ștergerea, accesul, transferul datelor
• Contactele responsabilului pentru date personale
Șabloane sunt pe e-recht24.de și iubenda.com, dar versiunea finală trebuie aprobată de un jurist.
3. Acord în formulare (checkbox)
Orice formular care colectează date — trebuie să aibă un checkbox obligatoriu cu text explicit: «Sunt de acord cu prelucrarea datelor cu caracter personal conform politicii de confidențialitate» cu link către Privacy Policy. Checkbox-ul NU trebuie să fie bifat în mod implicit.
4. Impressum (pentru piața germană)
Dacă lucrezi pe DE/AT/CH — pagină obligatorie cu rechizite: numele firmei, adresa juridică, telefon, email, număr de înregistrare, persoana responsabilă. În România analogul obligatoriu nu există, dar se recomandă pagina «Contacte» cu rechizite.
5. Protecție împotriva spamului și atacurilor
reCAPTCHA sau analog în formulare. Fără asta 70% din scrisorile de pe site vor fi spam-boți. Aceasta este și o cerință GDPR — compania trebuie să asigure securitatea datelor împotriva accesului neautorizat.
6. HTTPS obligatoriu
Certificatul SSL trebuie să fie activat. În 2026 nici nu se discută — fără HTTPS Google marchează site-ul ca «nesigur», și utilizatorii pleacă. Certificatul gratuit Let's Encrypt se activează în orice hosting modern.
7. Dreptul la ștergere, acces, transfer al datelor
Utilizatorul trebuie să poată să-ți scrie pe email și să ceară:
• Ce date ale lui ai
• Ștergerea datelor
• Transfer (export în format CSV/JSON)
• Corectare
Pe site trebuie să fie un link vizibil către «politica de confidențialitate» (deseori în footer) cu descrierea cum se face asta.
Amenzi reale — nu este o sperietoare
În 2024-2025 reglementatorii europeni au emis amenzi de €5+ miliarde. Câteva exemple:
• Meta — €1.2 mlrd pentru transferul datelor în SUA
• Amazon — €746 mln pentru încălcare în prelucrarea cookies
• Marriott — €18.4 mln pentru scurgere de date
• Carrefour — €2.25 mln pentru spam de marketing
Și business-ul mic se amendează. O cafenea în Austria — €4 800 pentru cameră de supraveghere fără semn. Frizer în Germania — €2 500 pentru newsletter fără acord.
În România amenzile pentru încălcări GDPR au depășit €1 mln în 2024 (cumulativ). Pentru încălcări de tip mic — €1000-50 000.
Problema principală nu este amenda, ci reputația. Un singur scandal cu scurgere de date sau plângere a clientului la regulator — și despre compania ta se va ști ca despre «cei care au scurs baza de clienți». Restabilirea încrederii e mult mai scumpă decât configurarea GDPR de la început.
Mituri — ce NU trebuie să faci
Mit 1: «Dacă refuzi cookies — nu funcționează analytics și advertising».
Asta e adevărat doar dacă nu folosești Google Consent Mode v2. Cu Consent Mode analytics colectează date anonimizate chiar și la refuz — suficient pentru metrici de bază.
Mit 2: «Trebuie să te înregistrezi în UE ca operator de date».
Doar dacă business-ul tău e bazat în UE sau cifra de afaceri depășește anumite praguri. Pentru o agenție tipică din Moldova/România — nu e nevoie.
Mit 3: «Confidențialitatea e importantă doar pentru proiecte mari».
GDPR se aplică la fel pentru un landing cu un singur formular și pentru Amazon. Mărimea nu te eliberează de obligații.
Mit 4: «N-am clienți europeni, GDPR nu mă privește».
Dacă pe site poate intra un utilizator european și lăsa o cerere (asta se întâmplă automat — site-ul e deschis lumii), GDPR se aplică acelei cereri. Verificarea geolocației local — încă mai mult risc (deja e prelucrare de date fără acord).
Mit 5: «GDPR e doar cookie banner».
Cookie banner e partea vizibilă. Sub el — politica de confidențialitate, acord în formulare, stocare sigură, dreptul la ștergere. Fără asta banner-ul e o fațadă fără clădire.
Checklist rapid «GDPR-readiness»
Deschide site-ul tău și verifică:
✓ La prima vizită apare cookie banner cu posibilitatea de a refuza
✓ În footer există un link vizibil «Politica de confidențialitate»
✓ În fiecare formular există checkbox obligatoriu de acord (NU bifat implicit)
✓ Privacy Policy descrie toate serviciile folosite (Google, analytics, formulare)
✓ Site-ul funcționează prin HTTPS (lacăt verde în bara de adrese)
✓ În formulare există reCAPTCHA sau analog
✓ Există email sau formular pentru cererea ștergerii datelor
✓ Dacă lucrezi cu DE — există Impressum
✓ Analytics e conectat prin Consent Mode v2 (pentru Google)
Dacă cel puțin 1-2 puncte lipsesc — este risc juridic care mai devreme sau mai târziu va exploda. Mai bine petrece o zi pe configurare decât o lună pe rezolvarea amenzii.