Lipsa unui banner de cookies sau utilizarea unui sistem de consimţământ inadecvat poate să conducă la sancţiuni de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în România. Iată ce trebuie să ştii — şi patru exemple concrete din realitate.
Conform legislaţiei române (de exemplu Legea nr. 506/2004 privind comunicaţiile electronice) și normelor europene (Regulamentul (UE) 2016/679 – GDPR), stocarea de informaţii sau accesul la informaţii stocate pe echipamentul terminal al utilizatorului (cookie-uri, local storage etc.) este permis doar dacă:
- utilizatorul și-a dat consimțământul, şi
- i s-au furnizat în prealabil informații clare și accesibile despre scopurile respective. (ex. art. 4 alin. (5) lit. a) şi b) din Legea 506/2004)
Dacă nu aveţi un sistem de consimţământ valid (banner, opţiuni de refuz, documentare), riscul este real: cookie-uri neesenţiale pot fi plasate arbitrari fără aprobare, ceea ce constituie o sancţiune contravenţională GDPR/Legea 506 şi poate duce la amendă.
Exemplu recent din România:
Firma de constructii amendata pentru incalcarea GDPR
Nume: M…A Construct Prest SRL
Amendă: 2.000 € (aproximativ) pentru divulgarea ilegală a datelor personale şi de sănătate ale unui fost angajat către o terţă persoană, care le-a folosit într-un litigiu.
Motivul: A fost constatat că operatorul a transmis date precum nume, prenume, adresă, CNP, serie act identitate, funcţie, semnătură, parafă medic, afecţiuni medicale – toate fără temei legal (art. 5 alin. (1) lit. a), b), f), alin. (2), art. 6 şi art. 9 din GDPR) .
În 17 noiembrie 2025, Consiliul UE a adoptat un nou regulament privind cooperarea mai rapidă între autoritățile de protecție a datelor. Scopul lui este să accelereze soluționarea plângerilor transfrontaliere GDPR și să elimine întârzierile administrative dintre autoritățile statelor membre.
Dacă site-ul tău este accesat și din alte țări ale Uniunii Europene, o plângere depusă într-un alt stat poate fi soluționată mai rapid, coordonat și fără blocaje procedurale. Nu mai există „timp pierdut” între autorități, iar investigațiile pot porni mult mai ușor.
Pentru firmele mici și mijlocii, inclusiv din construcții sau servicii, asta înseamnă un lucru simplu:
riscul de sancțiuni efective crește, iar lipsa unui banner de cookies conform sau a unei politici clare nu mai este o chestiune care „trece neobservată”.
Practic, dacă firma are sediul principal în România, ANSPDCP rămâne autoritatea principală, dar orice client din orice stat UE poate depune plângerea la autoritatea din țara lui, iar acea autoritate va lucra direct cu ANSPDCP pe același caz, astfel încât competența devine, în fapt, europeană, investigațiile se mișcă mai repede și riscul de sancțiuni pentru firmele din România este mai mare decât înainte.
