Amenzi GDPR pentru cookies in Romania — Ce risci si cum te protejezi in 2026

In 2025, Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) a aplicat 105 amenzi in valoare totala de 2.565.020 RON (peste 500.000 EUR) — o crestere semnificativa fata de cele 83 de amenzi din 2024. Dintre acestea, 9 au vizat explicit incalcari ale Legii 506/2004, legea care reglementeaza cookie-urile si confidentialitatea in comunicatiile electronice.

Daca ai un business online in Romania — fie ca e un magazin, un blog, o platforma SaaS sau un site de prezentare — conformitatea cu legislatia privind cookie-urile nu mai este optionala. Este o obligatie legala cu consecinte financiare reale.

In acest articol explicam pe larg ce legislatie se aplica, cum se calculeaza amenzile, ce companii au fost deja sanctionate in Romania si in Europa, si cum poti verifica gratuit daca site-ul tau este compliant.

Ce legislatie reglementeaza cookie-urile in Romania si UE

Cookie-urile si tehnologiile similare de tracking sunt reglementate printr-un cadru legislativ cu mai multe niveluri. Nu exista o singura lege, ci un ansamblu de reglementari europene si nationale care se completeaza reciproc.

1. Directiva ePrivacy (2002/58/CE)

Cunoscuta si ca Directiva Cookie, aceasta este fundamentul legislatiei privind cookie-urile in UE. Articolul 5(3) prevede ca stocarea informatiilor sau accesarea informatiilor deja stocate pe dispozitivul unui utilizator necesita consimtamantul prealabil al acestuia, cu exceptia cookie-urilor strict necesare (de exemplu, cosul de cumparaturi sau securitatea sesiunii).

Directiva se aplica tuturor tehnologiilor de tracking, nu doar cookie-urilor clasice — include local storage, pixeli de tracking, fingerprinting si SDK-uri integrate in aplicatii.

2. Regulamentul General privind Protectia Datelor (GDPR / RGPD)

Regulamentul (UE) 2016/679 — aplicabil direct in toate statele membre UE din mai 2018 — stabileste regulile generale privind prelucrarea datelor cu caracter personal. Cookie-urile care colecteaza sau proceseaza date personale (adrese IP, identificatori unici, comportament de navigare) intra direct sub incidenta GDPR.

GDPR defineste standardul de consimtamant: acesta trebuie sa fie liber exprimat, specific, informat si lipsit de ambiguitate, exprimat printr-o actiune afirmativa clara. Casetele pre-bifate, mecanismele de tip opt-out sau cookie wall-urile nu indeplinesc aceste cerinte.

3. Legea 506/2004 (transpunerea nationala a Directivei ePrivacy)

In Romania, Directiva ePrivacy a fost transpusa prin Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice. Articolul 4, alineatul 5 prevede ca stocarea de module cookie sau accesarea informatiilor de pe dispozitivele utilizatorilor necesita informarea clara a acestora si obtinerea consimtamantului expres.

ANSPDCP aplica sanctiuni atat in baza GDPR, cat si in baza Legii 506/2004, in functie de natura incalcarii.

Cum se calculeaza amenzile GDPR

GDPR prevede doua niveluri de sanctiuni administrative, in functie de gravitatea incalcarii:

• Nivelul 1 (Articolul 83, alin. 4): pana la 10 milioane EUR sau 2% din cifra de afaceri anuala globala (se aplica valoarea mai mare) — pentru incalcari ale obligatiilor operatorilor, inclusiv lipsa masurilor tehnice si organizatorice adecvate.
• Nivelul 2 (Articolul 83, alin. 5-6): pana la 20 milioane EUR sau 4% din cifra de afaceri anuala globala (se aplica valoarea mai mare) — pentru incalcari ale principiilor de baza ale prelucrarii, inclusiv conditiile de consimtamant.

Incalcarile legate de cookie-uri — absenta consimtamantului, cookie-uri de marketing incarcate inainte de consimtamant, lipsa optiunii de refuz — intra in Nivelul 2 (cel mai sever), deoarece vizeaza conditiile de consimtamant prevazute de GDPR.

Criteriile de evaluare (Articolul 83, alineatul 2)

Conform ghidurilor EDPB (European Data Protection Board), autoritatile de supraveghere folosesc o metodologie in 5 pasi pentru calcularea amenzilor. Criteriile luate in considerare includ:

• Natura, gravitatea si durata incalcarii — cat timp a functionat site-ul fara consimtamant valid
• Numarul de persoane afectate — cati vizitatori au fost expusi la tracking fara consimtamant
• Caracterul intentional sau din neglijenta — daca operatorul a ignorat deliberat regulile
• Masuri luate pentru atenuarea daunelor — daca s-au luat masuri corective dupa notificare
• Gradul de cooperare cu autoritatea — daca operatorul a cooperat sau a obstructionat investigatia
• Categoriile de date afectate — date de navigare, identificatori, profilare comportamentala
• Antecedente — incalcari anterioare ale aceluiasi operator

Amenda finala trebuie sa fie eficace, proportionala si descurajanta. Pentru companiile mici, o amenda de cateva mii de euro poate fi suficient de descurajanta. Pentru corporatii, sumele pot ajunge la sute de milioane.

Amenzi pentru cookie-uri aplicate in Romania

ANSPDCP a intensificat controalele in ultimii doi ani, iar sanctiunile pentru cookie-uri au devenit o categorie distincta de enforcement. Iata cateva cazuri recente:

There's an AI for That SRL — 30.000 RON (~6.000 EUR)

In octombrie 2025, ANSPDCP a amendat platforma romaneasca de catalogare a instrumentelor AI cu 30.000 RON pentru instalarea de cookie-uri optionale fara consimtamantul expres al utilizatorilor. Investigatia a confirmat ca modulele cookie non-esentiale erau stocate pe dispozitivele vizitatorilor fara informare clara si fara obtinerea consimtamantului. Compania raportase in 2024 o cifra de afaceri de 7,97 milioane lei si un profit net de 3,53 milioane lei.

Lenjeria Magica SRL — 15.000 RON

In august 2025, magazinul online a fost sanctionat cu 15.000 RON pentru stocarea de cookie-uri fara necesitate tehnica pe dispozitivele utilizatorilor, fara informare clara si fara consimtamant expres. Incalcarea a fost constatata incepand cu 15 aprilie 2025.

Calin Georgescu — peste 50.000 RON (~10.000 EUR)

Site-ul personal al fostului candidat la presedintie a fost sanctionat cu doua amenzi GDPR insumand peste 50.000 RON pentru instalarea de cookie-uri fara consimtamantul utilizatorilor. Investigatia a acoperit perioada 6 decembrie 2024 — 3 aprilie 2025, in care site-ul a functionat fara un mecanism valid de consimtamant.

Dumitrescu Mihai-Ovidiu — 37.000 RON

In august 2025, un operator de site-uri web a fost amendat cu 37.000 RON pentru permiterea instalarii de module cookie ne-esentiale inainte ca utilizatorii sa-si exprime consimtamantul, dar si pentru utilizarea de tehnologii de monitorizare care plasau reclame malitioase.

Aceste cazuri demonstreaza ca ANSPDCP nu sanctioneaza doar corporatiile mari — orice operator de site web din Romania, indiferent de dimensiune, poate fi investigat si sanctionat.

Cele mai mari amenzi pentru cookie-uri din Europa

La nivel european, amenzile pentru incalcarea regulilor privind cookie-urile au atins sume considerabile, demonstrand cat de serios trateaza autoritatile de reglementare aceasta problema:

Google — 200 milioane EUR (Franta, 2025)

In septembrie 2025, CNIL (autoritatea franceza) a amendat Google LLC cu 200 milioane EUR pentru afisarea de reclame in Gmail fara consimtamant valid. Google plasa cookie-uri publicitare pe dispozitivele utilizatorilor in procesul de creare a contului, fara a oferi o modalitate clara de refuz. Peste 74 milioane de utilizatori din Franta au fost afectati.

Shein — 150 milioane EUR (Franta, 2025)

CNIL a amendat subsidiara irlandeza a Shein cu 150 milioane EUR pentru incalcari grave ale regulilor de consimtamant privind cookie-urile. Investigatia a descoperit ca Shein utiliza interfete inselatoare (dark patterns) care nu ofereau informatii clare despre scopul cookie-urilor.

Google — 150 milioane EUR (Franta, 2021)

CNIL a amendat Google LLC (90 milioane EUR) si Google Ireland (60 milioane EUR) pentru ca utilizatorii puteau accepta cookie-urile cu un singur click, dar refuzul necesita navigarea prin mai multe pagini. Interfata era deliberat conceputa pentru a favoriza acceptarea cookie-urilor — butonul „Accept All" era vizibil, iar optiunea de refuz era ascunsa in setari.

Meta — 1,2 miliarde EUR (Irlanda, 2023)

Desi nu strict despre cookie-uri, aceasta este cea mai mare amenda GDPR din istorie — aplicata de European Data Protection Board pentru transferul datelor utilizatorilor europeni catre SUA fara garantii adecvate. Demonstreaza amploarea sanctiunilor posibile in domeniul protectiei datelor.

LinkedIn — 310 milioane EUR (Irlanda, 2024)

In octombrie 2024, autoritatea irlandeza a amendat LinkedIn cu 310 milioane EUR pentru prelucrarea ilegala a datelor utilizatorilor in scopuri de analiza comportamentala si publicitate targetata, fara o baza legala valida si fara informarea adecvata a utilizatorilor.

Ce inseamna sa fii compliant — cerinte esentiale

Conformitatea cu legislatia privind cookie-urile nu inseamna doar sa ai un banner cookie pe site. Iata cerintele reale pe care trebuie sa le indeplinesti:

• Banner de consimtamant vizibil — la prima vizita, utilizatorul trebuie informat despre cookie-urile folosite si scopul lor, inainte ca orice cookie non-esential sa fie incarcat
• Buton de refuz (Reject All) la fel de accesibil ca Accept All — utilizatorul trebuie sa poata refuza cookie-urile la fel de usor cum le accepta, fara pasi suplimentari sau dark patterns
• Niciun cookie de marketing sau analytics inainte de consimtamant — scripturile de tracking (Google Analytics, Facebook Pixel, reclame) nu trebuie sa se incarce pana cand utilizatorul nu a dat consimtamantul explicit
• Politica de confidentialitate accesibila — care explica ce cookie-uri sunt folosite, ce date colecteaza, cat sunt pastrate si cum poate utilizatorul sa-si retraga consimtamantul
• Posibilitatea de a retrage consimtamantul oricand — la fel de usor cum a fost acordat
• Google Consent Mode v2 — daca folosesti servicii Google (Analytics, Ads), implementarea GCM v2 este obligatorie din martie 2024 pentru a asigura conformitatea cookie-urilor publicitare
• Inregistrarea consimtamantului — trebuie sa poti demonstra ca ai obtinut consimtamantul valid al fiecarui utilizator

Greseli frecvente care duc la sanctiuni

Din analiza cazurilor sanctionate de ANSPDCP si de autoritatile europene, cele mai frecvente greseli sunt:

• Cookie-uri de analytics/marketing incarcate inainte de consimtamant — cea mai frecventa incalcare. Google Analytics, Facebook Pixel sau alte scripturi se incarca automat inainte ca utilizatorul sa interactioneze cu bannerul
• Banner fara buton de refuz — doar optiunea „Accept" fara „Reject" sau „Doar necesare" nu indeplineste cerintele GDPR
• Dark patterns — butonul de acceptare mare si colorat, cel de refuz mic si gri, sau ascuns in setari
• Cookie wall — conditionarea accesului la continut de acceptarea cookie-urilor este considerata ilegala in majoritatea cazurilor
• Consimtamant implicit — textul „Prin continuarea navigarii accepti cookie-urile" nu constituie consimtamant valid
• Lipsa politicii de confidentialitate — sau o politica generica, copiata, care nu reflecta cookie-urile reale folosite pe site

Consecinte practice pentru afacerea ta

Dincolo de amenzile directe, non-conformitatea poate avea si alte consecinte:

• Pierderea increderii clientilor — consumatorii sunt din ce in ce mai constienti de drepturile lor privind datele personale
• Impact asupra SEO si publicitatii — Google Consent Mode v2 afecteaza direct masurarea conversiilor si optimizarea campaniilor publicitare
• Investigatii declansate de reclamatii — orice persoana poate depune o plangere la ANSPDCP, iar autoritatea este obligata sa investigheze
• Publicitatea sanctiunii — amenzile ANSPDCP sunt publice si pot afecta reputatia brandului
• Costuri de remediere sub presiune — implementarea conformitatii dupa o sanctiune este mai costisitoare si mai stresanta decat prevenirea

ANSPDCP in cifre — 2024 vs 2025

Tendinta este clara: ANSPDCP isi intensifica activitatea de control, iar sanctiunile pentru cookie-uri au devenit o prioritate distincta. In 2026, se asteapta o crestere si mai mare a numarului de investigatii, mai ales in contextul digitalizarii accelerate a afacerilor romanesti.

Verifica gratuit daca site-ul tau este compliant

Nu esti sigur daca site-ul tau respecta toate normele GDPR privind cookie-urile? HostPedia ofera un scanner gratuit care analizeaza in detaliu cookie-urile unui site, verificand ce se incarca inainte si dupa consimtamant, daca exista un banner de consimtamant, daca butonul de refuz este functional si daca cookie-urile de marketing sunt incarcate inainte de acordul utilizatorului.

👉 Scaneaza-ti site-ul gratuit aici — rezultatele sunt instantanee si nu necesita cont sau inregistrare.

Daca in urma scanarii descoperi ca site-ul tau nu este compliant, echipa HostPedia te poate ajuta cu implementarea unei solutii complete de conformitate — de la banner cookie si politica de confidentialitate, pana la Google Consent Mode v2 si audit complet GDPR.