GDPR Complet Logo

Conformitate Website & GDPR

Evaluare DPO • SC AMPLUSNET SRL • gdprcomplet.ro

Progres: 0 din 5 categorii
0%
⚖️

De ce contează website-ul?

Website-ul tău este primul punct de contact cu persoanele vizate. Aproape toate activitățile online implică prelucrarea datelor cu caracter personal — de la cookies la formulare și newsletter.

💸

Riscul sancționator

ANSPDCP sancționează frecvent: lipsa consimțământului valid pentru cookies, absența politicii de confidențialitate, formulare fără informare prealabilă. Amenzi de până la 20 mil. EUR sau 4% din cifra de afaceri.

🌐

5 domenii evaluate

Chestionarul acoperă: Cookies & Consimțământ, Politica de Confidențialitate, Formulare & Date colectate, Terți & Transferuri și Drepturile persoanelor vizate.

📋 Matrice de risc — website GDPR (referință DPO)

Domeniu Baza legală GDPR Risc principal Nivel risc
Cookie banner / consimțământ Art. 5(3) ePrivacy + Art. 6(1)(a) GDPR Consimțământ invalid, cookie-uri analitice/marketing fără opt-in CRITIC
Politică de confidențialitate Art. 13-14 GDPR Absența sau conținut incomplet — lipsesc temeiuri, durate, destinatari CRITIC
Formulare web (contact, ofertă, CV) Art. 5(1)(c) + Art. 13 GDPR Date excesive, checkbox pre-bifat, lipsă informare la punct de colectare RIDICAT
Terți și SDK-uri (Google, Meta, HotJar) Art. 28 + Art. 44-49 GDPR Transfer date în SUA fără SCC / absența DPA cu furnizorul RIDICAT
Newsletter / email marketing Art. 6(1)(a) GDPR + Legea 506/2004 Consimțământ inițial invalid, lipsă mecanism dezabonare, double opt-in absent RIDICAT
Date contact DPO / operator Art. 13(1)(b) + Art. 37-39 GDPR Date contact DPO lipsă sau depășite în politică — persoana vizată nu poate contacta responsabilul RIDICAT
Drepturile persoanelor vizate Art. 15-22 GDPR Lipsa canalului de exercitare a drepturilor, răspuns depășit o lună MEDIU
🔍

Autoevaluare DPO: Conformitatea website-ului tău

Parcurge cele 5 categorii și răspunde sincer. Vei primi un scor detaliat pe categorii și un plan de acțiune personalizat.

⚠️ Te rugăm să răspunzi la toate întrebările din această categorie înainte de a continua.
👤

Date de identificare

Completează datele pentru a personaliza raportul DPO

🔒 Datele introduse sunt folosite exclusiv pentru generarea raportului și transmiterea acestuia echipei DPO. Nu sunt utilizate în alte scopuri.

👤 Date de contact

🏭 Sectorul de activitate

Precizarea sectorului permite DPO-ului să adapteze recomandările (ex: sănătate — date speciale; comerț — profiling).

Pasul 1 din 6
🍪

Categoria 1 — Cookies & Consimțământ (Art. 5(3) ePrivacy + Art. 6(1)(a) GDPR)

Gestionarea cookie-urilor este cel mai frecvent motiv de investigație ANSPDCP în zona website

🍪 Q1. Cookie banner funcțional

Website-ul afișează un banner de cookies care apare la primul acces, înainte ca orice cookie non-esențial să fie încărcat?

Art. 5(3) Directiva ePrivacy • EDPB Ghid 5/2020

⚠️ Risc: Sancțiuni ANSPDCP frecvente — cookie-uri analitice/marketing fără banner = amendă

✅ Q2. Consimțământ real (opt-in)

Utilizatorul poate accepta sau refuza selectiv categoriile de cookies (analitice, marketing, funcționale)? Nu există niciunul pre-bifat sau acceptare automată?

Art. 4(11) + Art. 7 GDPR • EDPB Ghid 5/2020 • C-673/17 Planet49

⚠️ Risc CRITIC: Consimțământ pre-bifat = nul juridic (CJUE C-673/17)

🚫 Q3. Refuzul la fel de simplu ca acceptarea

Butonul „Refuză" sau „Numai esențiale" este la fel de vizibil și ușor accesibil ca butonul „Acceptă toate"?

EDPB Guidelines 3/2022 (Dark Patterns) • EDPB Ghid 5/2020

⚠️ Risc: Dark pattern — buton refuz ascuns = consimțământ viciat

📋 Q4. Politică de cookies separată

Există o pagină dedicată „Politică de Cookies" care listează fiecare cookie folosit, furnizorul, scopul și durata de viață?

Art. 13 GDPR • Art. 5(3) Directiva ePrivacy

⚠️ Risc: Lipsă transparență — ANSPDCP solicită lista detaliată a cookie-urilor

🔄 Q5. Retragerea consimțământului

Utilizatorul poate reveni oricând și poate modifica preferințele de cookies (ex: prin link permanent în footer „Setări cookies")?

Art. 7(3) GDPR — retragerea consimțământului oricând

⚠️ Risc: Consimțământ irevocabil în practică = neconformitate GDPR

Pasul 2 din 6
📄

Categoria 2 — Politica de Confidențialitate (Art. 13-14 GDPR)

Informarea persoanelor vizate este o obligație absolută — nu o opțiune

📄 Q6. Existența politicii

Website-ul are o Politică de Confidențialitate (Privacy Policy) publicată, ușor accesibilă, cu link vizibil în footer sau meniu?

Art. 13 GDPR — informare obligatorie la colectare

⚠️ Risc CRITIC: Absența politicii = neconformitate Art. 13 GDPR, amendă ANSPDCP

⚖️ Q7. Temeiul juridic menționat explicit

Politica de confidențialitate specifică, pentru fiecare scop de prelucrare, temeiul juridic invocat (Art. 6 GDPR: consimțământ / contract / obligație legală / interes legitim)?

Art. 13(1)(c) GDPR • Art. 6 GDPR

⚠️ Risc: Temei juridic absent sau vag = neconformitate fundamentală

📅 Q8. Durata de stocare specificată

Politica specifică perioadele de retenție a datelor (sau criteriile de determinare a acestora) pentru fiecare categorie de date?

Art. 13(2)(a) GDPR — durata stocării obligatorie

⚠️ Risc: Formulări vagi „atât cât este necesar" fără criterii = neconformitate

📬 Q9. Datele de contact ale DPO / operatorului

Politica conține datele complete de contact ale operatorului și, dacă este cazul, ale DPO (responsabilul cu protecția datelor)?

Art. 13(1)(a),(b) GDPR — identitate și contact obligatorii

⚠️ Risc: Lipsă date contact = persoana vizată nu poate exercita drepturile

🔁 Q10. Actualizare periodică a politicii

Politica de confidențialitate este revizuită și actualizată periodic, reflectând orice modificare a prelucrărilor, a furnizorilor terți sau a legislației aplicabile?

Principiul responsabilității — Art. 5(2) GDPR

⚠️ Risc: Politică depășită nu reflectă realitatea prelucrărilor actuale

Pasul 3 din 6
📝

Categoria 3 — Formulare Web & Colectarea datelor (Art. 5(1)(c) + Art. 13 GDPR)

Fiecare formular de pe website este un punct de prelucrare a datelor personale

📋 Q11. Informare la punctul de colectare

Fiecare formular de pe website (contact, ofertă, programare, CV) conține un link vizibil către politica de confidențialitate sau o scurtă informare despre scopul prelucrării?

Art. 13 GDPR — informare la momentul colectării

⚠️ Risc: Colectare fără informare = Art. 13 nerespectat la fiecare formular

✂️ Q12. Minimizarea datelor

Formularele colectează doar datele strict necesare scopului (ex: formularul de contact nu solicită CNP, dată naștere sau alte date excesive)?

Art. 5(1)(c) GDPR — principiul minimizării datelor

⚠️ Risc: Date excesive = amendă ANSPDCP (precedent UniCredit Bank 2019)

📧 Q13. Newsletter — consimțământ separat

Abonarea la newsletter (dacă există) se face printr-un checkbox separat, nebifat implicit, cu menționarea clară a scopului comercial și a procedurii de dezabonare?

Art. 6(1)(a) GDPR + Art. 12 Legea 506/2004 (spam)

⚠️ Risc: Newsletter fără consimțământ separat = spam + amendă ANCOM/ANSPDCP

🔒 Q14. Securitate formulare (HTTPS + CAPTCHA)

Website-ul folosește HTTPS (SSL/TLS), iar formularele sunt protejate împotriva spam-ului automatizat (CAPTCHA sau similar)?

Art. 32 GDPR — securitatea prelucrării

⚠️ Risc: HTTP = date transmise necriptat; CAPTCHA Google = transfer SUA verificat?

🗂️ Q15. Stocare răspunsuri formular

Datele completate în formulare sunt stocate conform perioadei stabilite în ROPA, iar accesul este restricționat la persoanele autorizate?

Art. 5(1)(b)(e) GDPR — limitare scopuri + stocare

⚠️ Risc: Stocare nedefinită sau acces nerestricționat la date formular

Pasul 4 din 6
🌍

Categoria 4 — Terți, Integrări & Transferuri Internaționale (Art. 28 + Art. 44-49 GDPR)

Google Analytics, Meta Pixel, HotJar — fiecare plugin transferă date și necesită garanții legale

📋 Q16. Inventarul serviciilor terțe

Există un inventar actualizat al tuturor serviciilor/plugin-urilor terțe integrate pe website (Google Analytics, Meta Pixel, HotJar, Mailchimp, Stripe, etc.)?

Art. 30 GDPR (ROPA) + Art. 28 GDPR (DPA)

⚠️ Risc: Servicii terțe nelistate în ROPA = activitate de prelucrare nedocumentată

📜 Q17. DPA (Acord de Prelucrare) cu furnizorii

Există acorduri de prelucrare a datelor (DPA / Data Processing Agreement) semnate cu fiecare furnizor terț care accesează date personale ale vizitatorilor?

Art. 28(3) GDPR — DPA obligatoriu cu împuterniciții

⚠️ Risc RIDICAT: Lipsa DPA = amendă directă (Art. 83(4) GDPR — până la 10 mil. EUR)

🌐 Q18. Transfer date în afara SEE — garanții

Dacă serviciile terțe procesează date în SUA sau alte țări extra-SEE (ex: Google, Meta, HubSpot), există garanții legale documentate (SCC, decizie de adecvare, TIA)?

Art. 44-49 GDPR • Decizia CJUE Schrems II (C-311/18)

⚠️ Risc CRITIC: Transfer SUA fără garanții = neconformitate post-Schrems II

🚦 Q19. Google Analytics — configurare conformă

Dacă folosești Google Analytics, IP-ul este anonimizat (GA4 anonimizare activă), datele nu sunt partajate cu Google Signals fără consimțământ, și nu se stochează ID-uri Cross-Device fără opt-in?

Art. 5(1)(b)(c) GDPR • EDPB recomandare 01/2020

⚠️ Risc: France DPA (CNIL) a sancționat GA fără anonimizare — precedent aplicabil

🎯 Q20. Remarketing / Tracking — acoperit de consimțământ

Pixel-urile de remarketing (Meta Pixel, Google Ads, LinkedIn Insight Tag) sunt activate NUMAI după ce utilizatorul a acordat consimțământ explicit pentru cookie-uri de marketing?

Art. 6(1)(a) GDPR + Art. 5(3) ePrivacy

⚠️ Risc: Pixel activ înainte de consimțământ = colectare ilegală de date comportamentale

Pasul 5 din 6
⚖️

Categoria 5 — Drepturile Persoanelor Vizate (Art. 15-22 GDPR)

Exercitarea drepturilor trebuie să fie posibilă, gratuită și răspunsul în maxim 30 de zile calendaristice

📬 Q21. Canal dedicat pentru exercitarea drepturilor

Website-ul pune la dispoziție un canal clar (email DPO, formular specific, adresă poștală) prin care persoanele vizate pot exercita drepturile GDPR (acces, rectificare, ștergere, etc.)?

Art. 12(1) GDPR — facilitarea exercitării drepturilor

⚠️ Risc: Lipsa canalului = persoana vizată nu poate exercita drepturile, plângere ANSPDCP

⏱️ Q22. Procedura internă de răspuns la solicitări

Există o procedură internă documentată care asigură că solicitările persoanelor vizate primesc răspuns în maxim 30 de zile calendaristice (cu posibilitate de prelungire justificată la 90 zile)?

Art. 12(3) GDPR — termen răspuns 30 zile

⚠️ Risc: Depășirea termenului = neconformitate; ANSPDCP amendează frecvent această situație

🗑️ Q23. Dreptul la ștergere — posibil tehnic?

Există posibilitatea tehnică și procedurală de a șterge / anonimiza datele unui utilizator din toate sistemele (CRM, email marketing, baze de date website) la cerere?

Art. 17 GDPR — dreptul de ștergere „dreptul de a fi uitat"

⚠️ Risc: Imposibilitate tehnică de ștergere = drept GDPR blocat

🔗 Q24. Dreptul la portabilitate (dacă aplicabil)

Dacă pe website există conturi utilizator sau se prelucrează date pe bază de consimțământ / contract, utilizatorul poate descărca datele sale într-un format structurat (JSON, CSV)?

Art. 20 GDPR — portabilitatea datelor

⚠️ Risc: Platforme e-commerce sau cu conturi — portabilitatea este obligatorie

📝 Q25. Registru de evidență a solicitărilor

Există un registru intern (fizic sau digital) unde se înregistrează toate solicitările primite de la persoanele vizate, data primirii, tipul dreptului solicitat, data și modul de răspuns?

Art. 5(2) GDPR — principiul responsabilității (accountability)

⚠️ Risc: Lipsa registrului = imposibilitate de a demonstra conformitatea în fața ANSPDCP

💬 Observații suplimentare (opțional)

Dacă ai detalii suplimentare, întrebări sau situații specifice pe care dorești să le discuți cu DPO-ul, descrie-le aici:

Pasul 6 din 6

🎯 Plan de Acțiune DPO — Prioritizat

Notă DPO: Acest chestionar reprezintă o autoevaluare orientativă și nu înlocuiește un audit profesional GDPR. Recomandăm reauditarea website-ului la fiecare 12 luni sau la orice modificare semnificativă a prelucrărilor sau platformei. © GDPRComplet — SC AMPLUSNET SRL