Aproximativ 90% din site-urile romanesti au un cookie banner GDPR neconform. Cazuri precum cel al politicianului Calin Georgescu (amendat de ANSPDCP in 2025 pentru cookies neconforme) arata ca autoritatea de supraveghere nu mai tolereaza implementarile formale. Acest ghid explica ce spune legea, ce greseli sunt sanctionate si cum arata un cookie banner cu adevarat conform — cu un checklist final de 7 puncte.
Cadrul juridic: GDPR + Directiva ePrivacy
Cookie-urile sunt reglementate de doua cadre juridice complementare:
- Directiva ePrivacy (2002/58/CE)
Transpusa in Romania prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice. Stabileste obligatia consimtamantului prealabil pentru stocarea sau accesarea informatiilor (inclusiv cookies) in dispozitivul utilizatorului.
- GDPR (Regulamentul UE 679/2016)
Defineste cerintele unui consimtamant valid (Art. 4 si 7): liber, specific, informat, neechivoc, exprimat printr-o actiune afirmativa clara. Cookie banner-urile trebuie sa indeplineasca toate aceste cerinte simultan.
Important: cookie-urile strict necesare functionarii site-ului (sesiune, autentificare, cosul de cumparaturi, securitate) nu necesita consimtamant. Pentru orice alta categorie — analytics, marketing, retargeting, social plugins, video embeds — consimtamantul prealabil este obligatoriu.
Cele 5 greseli ce duc la amenzi
- 1Casete prebifate (prechecked boxes)
CJUE a clarificat in cazul Planet49 (2019) ca o caseta prebifata NU constituie consimtamant valid. Utilizatorul trebuie sa exprime activ acordul printr-o actiune afirmativa. Toate site-urile cu casete prebifate la categoriile non-necesare sunt automat neconforme.
- 2Cookie wall — conditionarea accesului
Blocarea continutului site-ului pana cand utilizatorul accepta toate cookie-urile. Aceasta practica face consimtamantul "fortat" si invalideaza caracterul liber al acestuia. CNIL Franta a sanctionat multiple site-uri pentru cookie walls; tendinta europeana este clara.
- 3Dark patterns — "Accepta tot" vs "Respinge tot"
Buton mare verde "Accepta tot" alaturi de un buton mic gri "Respinge tot" sau ascuns in "Setari". Autoritatile considera acest design o manipulare a alegerii utilizatorului. Cele doua optiuni trebuie sa fie la fel de vizibile.
- 4Cookies setate inainte de consimtamant
Multe site-uri afiseaza banner-ul, dar Google Analytics, Meta Pixel sau alte tag-uri ruleaza deja inainte ca utilizatorul sa apese "Accepta". Aceasta este cea mai grava neconformitate tehnica — verificarea se face usor cu instrumente precum DevTools sau Cookie-Script Audit.
- 5Descriere vaga a categoriilor
Texte de tip "folosim cookies pentru a imbunatati experienta" sunt insuficiente. Utilizatorul trebuie sa stie exact ce cookies sunt setate, de cine, in ce scop, cu ce durata. Cookie banner conform include o lista detaliata sau link clar catre politica de cookies completa.
Cum arata un cookie banner conform — cerinte tehnice si legale
Un cookie banner conform GDPR + ePrivacy contine:
- Informare clara despre tipul de cookies utilizate (necesare, functionale, analytics, marketing)
- Optiune granulara: utilizatorul poate accepta selectiv pe categorii, nu doar "tot sau nimic"
- Butoane "Accepta tot" si "Respinge tot" la fel de vizibile, dimensiuni si culori comparabile
- Link vizibil catre politica de cookies completa cu lista exhaustiva (nume cookie, scop, durata, furnizor)
- Nicio actiune de tip "scroll = consent" — derularea paginii nu constituie consimtamant valid
- Cookie-urile non-esentiale NU ruleaza inainte de consimtamant — verificabil tehnic
- Modalitate de retragere a consimtamantului ulterior, la fel de simpla ca acordarea (de regula icon "Cookie settings" persistent in colt)
- Reinregistrare a consimtamantului la maximum 12 luni — preferintele nu sunt valabile indefinit
Instrumente recomandate (Consent Management Platforms)
Solutii recunoscute la nivel european care indeplinesc cerintele actuale:
Cookiebot
CMP din Danemarca, certificare ePrivacy, scanare automata cookies, suport multilimba. Recomandat pentru site-uri mijlocii si mari.
Complianz
Plugin WordPress popular in Europa, configurabil pe jurisdictii, gratuit la versiune de baza. Recomandat pentru WordPress.
CookieYes
Solutie accesibila pentru IMM-uri, plan gratuit pentru site-uri mici. Banner customizabil vizual.
Usercentrics
CMP enterprise german, utilizat de companii mari. Integrari avansate cu TCF (Transparency & Consent Framework).
Mentiune: solutiile gratuite generice (plugin-uri WordPress nemarcate, cookie scripts improvizate) sunt adesea neconforme cu cerintele actuale CJUE si CNIL. Verificarea cu un DPO sau DPO externalizat inainte de implementare evita costurile unei reconfigurari ulterioare.
Sanctiuni ANSPDCP pentru cookies neconforme
In Romania, ANSPDCP a aplicat amenzi pentru cookies neconforme, cel mai notoriu fiind cazul politicianului Calin Georgescu (2025), sanctionat pentru cookies setate fara consimtamant pe site-ul personal. La nivel european, tendinta este de aplicare ferma:
- Google — 150 milioane EUR (Franta, 2022) — cookie banner cu refuz complicat
- Meta/Facebook — 60 milioane EUR (Franta, 2022) — aceeasi problema
- Microsoft — 60 milioane EUR (Franta, 2022) — cookies setate pe bing.com fara consimtamant
- TikTok — 5 milioane EUR (Franta, 2023) — refuz cookies mai complicat decat acceptarea
Pentru contextul complet al amenzilor GDPR aplicate de ANSPDCP in Romania, vedeti articolul nostru despre amenzi GDPR — cazuri reale ANSPDCP.
Checklist rapid: 7 puncte de verificat pe site-ul tau
- 1
Banner apare la prima vizita, inainte de orice setare de cookie non-esential
- 2
Butoanele "Accepta tot" si "Respinge tot" sunt la fel de vizibile (dimensiuni, culori comparabile)
- 3
Optiunea de configurare granulara este accesibila in maximum un click
- 4
Cookie-urile non-esentiale NU sunt setate pana la consimtamant explicit (verifica in DevTools)
- 5
Politica de cookies este accesibila si contine lista exhaustiva cu durate si scopuri
- 6
Modalitate de retragere consimtamant persistenta (icon "Cookie settings" sau link in footer)
- 7
Consimtamantul se reinregistreaza la maximum 12 luni
Daca aveti dubii la oricare dintre punctele de mai sus, un audit GDPR pe site web identifica rapid neconformitatile si recomanda corecturile. Pentru consultanta GDPR dedicata pe verticala dvs. de business, vedeti si segmentele de industrie acoperite.
Intrebari frecvente despre cookie banner GDPR
Cookie banner este obligatoriu pentru toate site-urile din Romania?
Da, daca site-ul foloseste cookies non-esentiale (analytics, marketing, retargeting, social plugins). Cookie-urile strict necesare functionarii (sesiune, autentificare, cos cumparaturi) nu necesita consimtamant. Cadrul: Directiva ePrivacy (Legea 506/2004) si GDPR.
Care sunt cele mai frecvente greseli la cookie banner?
Cinci greseli majore: casete prebifate (interzise), cookie wall, lipsa butonului "Respinge tot" la fel de vizibil, descriere vaga a categoriilor si cookies setate inainte de consimtamant. CJUE si autoritatile UE au sanctionat repetat aceste practici.
Ce trebuie sa contina un cookie banner conform?
Sapte elemente: informare clara pe categorii, lista detaliata cookies, butoane simetrice "Accepta tot"/"Respinge tot", configurare granulara, link politica completa, modalitate de retragere ulterioara, niciun cookie non-esential pana la consimtamant.
A aplicat ANSPDCP amenzi pentru cookies in Romania?
Da. Cazul Calin Georgescu (2025) este un exemplu notoriu — amendat pentru cookies neconforme. La nivel european: Google 150 mil. EUR, Meta 60 mil., Microsoft 60 mil., TikTok 5 mil. — toate pentru cookies neconforme.
Ce instrumente recomandate pentru cookie banner conform?
Cookiebot (Danemarca, certificare ePrivacy), Complianz (WordPress), CookieYes (IMM), Usercentrics (enterprise). Solutiile gratuite generice sunt adesea neconforme — verificati cu DPO inainte de implementare.