GDPR pentru aplicații web în România — ghid practic 2025
GDPR (Regulamentul General privind Protecția Datelor) este în vigoare din 2018 și se aplică oricărei aplicații web care colectează date de la persoane din UE — indiferent unde este găzduită aplicația. În România, autoritatea de supraveghere este ANSPDCP, care a emis deja amenzi de zeci de mii de euro pentru companii care au ignorat regulile.
Ce impune GDPR pentru aplicații web
Orice aplicație care colectează un câmp de email, un număr de telefon sau date despre comportamentul utilizatorului (analytics, heatmap) trebuie să respecte GDPR. Cerințele de bază sunt: bază legală pentru prelucrare (cel mai adesea consimțământ explicit), informare clară a utilizatorilor, posibilitatea de a-și retrage consimțământul și posibilitatea de a cere ștergerea datelor.
Cookie banner — ce nu e suficient
Un banner care spune «Această pagină folosește cookies» și un buton «OK» nu este conformitate GDPR — este theater. Un banner conform trebuie să: listeze scopurile concrete (analytics, marketing, funcțional), să permită acceptarea sau refuzul individual pe fiecare scop, să nu aibă bifate implicit categoriile non-esențiale și să fie la fel de ușor să refuzi cum e să accepți.
Stocarea datelor — de ce contează serverul
Datele utilizatorilor tăi trebuie stocate pe servere unde GDPR se aplică. Serverele din UE sunt automat conforme. Serverele din SUA sunt problematice: decizia Schrems II din 2020 a invalidat mecanismul Privacy Shield și a creat incertitudine juridică pentru transferurile de date EU-SUA. Practic: alege hosting european — Frankfurt, Amsterdam, Paris — pentru orice aplicație care colectează date de la clienți români.
Drepturile utilizatorilor pe care trebuie să le respecți
- Dreptul de acces: utilizatorul poate cere ce date ai despre el
- Dreptul la rectificare: utilizatorul poate corecta datele incorecte
- Dreptul la ștergere («dreptul de a fi uitat»): trebuie procesat în 30 de zile
- Dreptul la portabilitate: datele pot fi exportate în format standard (CSV/JSON)
- Dreptul de opoziție: utilizatorul poate opri prelucrarea pentru marketing
Amenzi în România — cât riscați
ANSPDCP poate impune amenzi de până la 20 milioane EUR sau 4% din cifra de afaceri globală anuală — oricare e mai mare. Companiile mici riscă amenzi de 5.000-50.000 EUR pentru încălcări ale principiilor GDPR. Din 2023, ANSPDCP a intensificat investigațiile, inclusiv în sectorul HoReCa și e-commerce.
Vrei o aplicație construită cu AI de o echipă profesionistă?
La Asking Galaxy construim micro-aplicații custom în 1–3 săptămâni, cu cod sursă predat, GDPR inclus și hosting pe servere EU. De la brief la live — fără surprize la preț.