Ghiduri
Politica de confidențialitate pe site: ce trebuie să conțină, legal, și de ce e obligatorie
Aproape orice site cu un formular de contact, comenzi sau analytics are nevoie de o politică de confidențialitate. Vezi ce trebuie să conțină legal, prin ce diferă de politica de cookie-uri și ce te poate costa lipsa ei.
Ai un site de prezentare sau un magazin mic și cineva îți spune că ai nevoie de o politică de confidențialitate. Te întrebi dacă chiar e obligatorie pentru tine sau e doar o formalitate pe care o copiezi de pe primul site care îți iese în cale. Răspunsul scurt: da, e obligatorie aproape mereu, iar varianta copiată te poate băga în mai multe probleme decât lipsa ei.
Vei vedea de unde vine obligația, ce trebuie să conțină exact o politică de confidențialitate, prin ce diferă de politica de cookie-uri și de termenii și condițiile site-ului, și ce greșeli sunt deja amendate în România. Reține un lucru de la început: acesta e un ghid general, nu o consultanță juridică pentru cazul tău.
De ce e obligatorie pe aproape orice site
Obligația vine din GDPR, mai exact din articolele 12, 13 și 14, care îți cer să informezi clar și pe înțeles persoanele ale căror date le prelucrezi. Iar tu prelucrezi date personale chiar dacă nu îți dai seama: un formular de contact, comenzile dintr-un magazin, un cont de client, un newsletter sau pur și simplu analytics-ul și cookie-urile. Important de știut: chiar și o adresă IP sau un identificator de cookie pot fi date personale, conform GDPR și deciziilor Curții de Justiție a UE. Așa că ideea că un simplu site de prezentare nu colectează nimic este aproape mereu greșită.
Ce trebuie să conțină o politică de confidențialitate
O politică corectă nu e un text vag despre cât de mult respecți datele oamenilor, ci o informare concretă. Conform articolului 13, ea trebuie să cuprindă cel puțin următoarele.
Cine ești tu, operatorul
Identitatea și datele de contact ale firmei și, dacă există, ale responsabilului cu protecția datelor (DPO).
Ce date și în ce scop
Ce categorii de date colectezi și scopurile concrete: livrarea comenzilor, facturare, răspuns la mesaje, marketing.
Pe ce temei legal
Temeiul fiecărei prelucrări: consimțământ, executarea unui contract, obligație legală sau interes legitim, pe care trebuie să îl explici.
Cui transmiți datele
Categoriile de destinatari: furnizorul de găzduire, curierul, procesatorul de plăți, instrumentul de email sau de analytics.
Transferuri în afara UE
Dacă datele ajung în afara Uniunii Europene, de exemplu prin unele servicii cloud, și pe ce garanții se sprijină transferul.
Cât păstrezi datele
Perioada de stocare sau criteriile după care o stabilești, pe categorii de date.
Ce drepturi au oamenii
Acces, rectificare, ștergere, restricționare, portabilitate, opoziție, retragerea consimțământului și dreptul de a se plânge la ANSPDCP.
Decizii automate, dacă există
Dacă faci profilare sau decizii automate cu efecte importante, trebuie explicate logica și consecințele.
Politica de confidențialitate nu e politica de cookie-uri
Aici se încurcă foarte multă lume. Sunt trei documente diferite, cu roluri diferite.
Politica de confidențialitate
Explică ce date personale prelucrezi și de ce. Se bazează pe GDPR, articolele 12 până la 14.
Politica de cookie-uri și bannerul
Țin de Legea 506/2004 în România, care cere consimțământ înainte de a pune cookie-uri ce nu sunt strict necesare. E o obligație separată de politica de confidențialitate.
Termenii și condițiile
Regulile contractuale de folosire a site-ului sau a magazinului. Nu sunt un document de protecția datelor și nu le înlocuiesc pe celelalte două.
De multe ori sunt legate împreună în footer, dar nu se înlocuiesc între ele. Un banner de cookie-uri nu acoperă obligația de informare din GDPR, iar o politică de confidențialitate nu rezolvă singură partea de consimțământ pentru cookie-uri.
Cookie-uri: ce înseamnă un consimțământ valabil
Pentru cookie-urile care nu sunt strict necesare, adică analytics, marketing și pixeli de social media, ai nevoie de consimțământ înainte să le pui, nu după. Iar consimțământul trebuie să fie liber, specific, informat și dat printr-o acțiune clară. Concret, nu sunt valabile situațiile de mai jos.
Căsuțe deja bifate
O căsuță pre-bifată nu este consimțământ, a confirmat și Curtea de Justiție a UE.
Acceptarea prin simpla navigare
Formula prin care continuarea navigării ar însemna acceptare nu este un consimțământ clar și valabil.
Butoane inegale
Dacă butonul de acceptare e mare și colorat, iar respingerea e ascunsă, consimțământul nu e cu adevărat liber. Respingerea trebuie să fie la fel de ușoară.
Fără posibilitatea de retragere
Utilizatorul trebuie să își poată retrage consimțământul la fel de simplu cum l-a dat.
Ce te costă o politică lipsă sau greșită
Nu e doar teorie. În 2025, ANSPDCP a amendat firme și persoane tocmai pentru aceste lucruri. Într-un caz, sancțiunea a vizat în același timp cookie-uri puse fără consimțământ, încălcarea Legii 506/2004, și lipsa informării corecte a persoanelor ale căror date erau colectate printr-un formular de contact, încălcarea articolelor 12 până la 14 din GDPR. Amenda a fost de zeci de mii de lei. Cu alte cuvinte, exact cele două greșeli despre care vorbește acest articol, lipsa informării și cookie-urile fără consimțământ, sunt sancționate împreună, în practică.
Greșeli frecvente de evitat
Copiezi politica de pe alt site
O politică furată descrie afacerea altcuiva, nu pe a ta. O informare inexactă e ea însăși o încălcare a transparenței.
Folosești un șablon nepersonalizat
Un șablon e doar un punct de plecare. Trebuie completat cu instrumentele tale reale: găzduire, analytics, plăți, email.
Te bazezi pe o singură frază liniștitoare
A spune doar că nu vinzi datele nu acoperă lista cerută de lege: scopuri, temei, păstrare, drepturi, destinatari.
Lași bannerul de cookie-uri să țină loc de tot
Bannerul rezolvă consimțământul pentru cookie-uri, nu obligația de informare din GDPR. Ai nevoie de ambele.
Unde pui linkul și în ce limbă
Politica trebuie să fie ușor de găsit. În practică, asta înseamnă un link în footer-ul fiecărei pagini și, în plus, lângă sau în fiecare formular în care colectezi date, fie el de contact, newsletter, cont sau finalizarea comenzii, ca informarea să fie disponibilă chiar în momentul în care iei datele. Pentru un public din România, politica trebuie scrisă în limba română și într-un limbaj clar, pe înțelesul oricui, nu într-un jargon juridic de neînțeles. Plasarea în footer este o bună practică recunoscută, derivată din cerința ca informarea să fie ușor accesibilă.
Cum se leagă de restul obligațiilor
Politica de confidențialitate merge mână în mână cu alte obligații GDPR. Informația din ea se sprijină pe registrul de evidență a prelucrărilor, iar dacă firma ta e obligată să aibă un responsabil cu protecția datelor, datele lui de contact apar chiar în politică. Pentru ce se întâmplă când lipsesc măsurile de bază, vezi și amenzile GDPR din 2025.
Vrei documentele GDPR făcute corect, nu copiate
Întrebări frecvente
Politica de confidențialitate e obligatorie pentru orice site?
Practic, da, dacă site-ul colectează date personale, iar majoritatea o fac: un formular de contact, comenzi, un cont de client sau chiar analytics. Obligația vine din articolele 12, 13 și 14 din GDPR, care cer să informezi clar persoanele despre ce date le iei și de ce. Chiar și o adresă IP sau un identificator de cookie pot fi date personale, conform GDPR și jurisprudenței europene, așa că un site „de prezentare" nu e automat exceptat.
Politica de confidențialitate e același lucru cu politica de cookie-uri?
Nu, sunt documente diferite. Politica de confidențialitate explică ce date personale prelucrezi și de ce (GDPR). Politica de cookie-uri și bannerul de consimțământ țin de altă lege în România, Legea 506/2004, care cere consimțământ înainte de a pune cookie-uri ce nu sunt strict necesare. Iar termenii și condițiile sunt un al treilea document, despre regulile de folosire a site-ului. De multe ori sunt legate în footer, dar nu se înlocuiesc între ele.
Pot să copiez politica de confidențialitate de pe alt site?
Nu e o idee bună. Politica trebuie să reflecte exact ce face site-ul tău: scopurile reale, temeiul legal, cui transmiți datele (găzduire, analytics, procesator de plăți), cât le păstrezi și ce drepturi au oamenii. O politică copiată e aproape mereu inexactă, iar o informare greșită e ea însăși o încălcare a transparenței. Un șablon poate fi un punct de plecare, dar trebuie personalizat pe firma ta.
Ce înseamnă un consimțământ valabil pentru cookie-uri?
Trebuie să fie liber, specific, informat și dat printr-o acțiune clară, conform GDPR. Asta înseamnă că nu sunt valabile căsuțele deja bifate, simpla derulare a paginii sau formula „prin continuarea navigării accepți", lucruri confirmate de Curtea de Justiție a UE și de ghidurile europene. Butonul de respingere trebuie să fie la fel de la îndemână ca cel de acceptare, iar utilizatorul trebuie să își poată retrage ușor consimțământul. ANSPDCP a amendat deja firme pentru cookie-uri fără consimțământ.
Citește și
GhiduriRegistrul de prelucrări GDPR: cine e obligat să-l țină
Mulți cred că, dacă au sub 250 de angajați, nu trebuie să țină registrul de prelucrări. Greșit, din cauza a trei excepții. Vezi cine e obligat, ce conține registrul operatorului și al persoanei împuternicite și cum îl ții corect.
GhiduriDPO: când e obligatoriu un responsabil cu datele
Nu orice firmă are nevoie de un DPO, dar multe cred greșit că sunt obligate, sau că nu sunt. Vezi cele trei cazuri clare din GDPR, ce face un responsabil cu protecția datelor și cum îl declari la ANSPDCP.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.