Jurisdicție · EU

Cookie Policy detaliat — categorii, ePrivacy, consent management practic

Cele 4 categorii cookies, regimul ePrivacy peste GDPR, ce conține un banner conform, dark pattern interzise, Consent Mode v2 și Google Consent. Exemplu real Megaforms.

Aprox. 1400 cuvinte · Actualizat 2026-05-29

Aviz: această pagină este un rezumat informativ cu referințe oficiale. NU constituie consultanță juridică. Pentru advice juridic concret, consultă un avocat specializat în protecția datelor sau un DPO certificat.

Cookies legalmente — ePrivacy peste GDPR

Cookies sunt reglementate la dublu nivel: (a) Directiva ePrivacy 2002/58/CE modificată în 2009 — transpusă în legislații naționale (RO: OG 13/2012; MD: legi conexe comunicații electronice); (b) GDPR pentru aspectele care includ prelucrare date personale. Regulamentul ePrivacy (e-Privacy Regulation) este în lucru de ani să înlocuiască Directiva, dar discuțiile au stagnat — Directiva rămâne în vigoare. Principiul: orice acces la informații stocate în terminal utilizator (cookies, localStorage, fingerprinting, SDK trackers) cere consimțământ informat înainte de plasare, EXCEPȚIE când e strict necesar pentru funcționarea serviciului explicit cerut de utilizator. Această excepție e îngustă — cookies session pentru login, basket e-commerce, load balancer, securitate CSRF. Tot ce e analytics, preferințe extinse, marketing — cere consimțământ. Nu există compromis «interes legitim» pentru cookies tracking — EDPB clar pe acest punct.

Cele 4 categorii standard de cookies

Industry standard împarte cookies în 4 categorii cu regim diferit: (1) **Strict necesare** — fără consimțământ, dar trebuie informate. Exemple: session ID login, anti-CSRF token, cookie consimțământ în sine, load balancer hash, cookie e-commerce coș cumpărături. Excepție ePrivacy explicită. (2) **Preferințe** — limba aleasă, regiune, tema dark/light, dimensiune font. Cer consimțământ deoarece sunt utile dar nu strict necesare. Mulți operatori le încadrează «funcționale» și nu cer consimțământ — gri legal, EDPB recomandă consimțământ formal. (3) **Statistici** — analytics agregate fără identificare individuală. Google Analytics, Mixpanel, Amplitude. Cer consimțământ. Alternative privacy-first (Plausible, Matomo self-hosted fără cookies) pot fi calificate strict necesare cu argumentare. (4) **Marketing** — targeting publicitar, remarketing, ad serving. Facebook Pixel, Google Ads, LinkedIn Insight Tag, third-party trackers. Cer consimțământ explicit, opt-in per vendor (IAB TCF v2.2 standard).

Ce trebuie să conțină un banner conform

Banner cookie conform GDPR + ePrivacy + ghiduri EDPB 2020/03/05 trebuie să aibă: (a) **informare clară** despre cookies plasate, scop, durata, partajare third-party — link la cookie policy detaliată; (b) **opțiuni granulare** — utilizatorul poate accepta categorii independent (nu doar all/none); (c) **butoanele «Accept» și «Reject» la același nivel vizual** — same size, same color treatment, same prominence. Dark pattern «Accept» mare colorat vs «Reject» mic gri = sancțiune. Best practice: 3 butoane «Accept all» / «Reject all» / «Preferences»; (d) **retragere consimțământ la fel de simplă ca acordare** — link permanent în footer «Cookie settings» care redeschide preferințele; (e) **nicio cookie plasată înainte de consimțământ** — interzis pre-loading scripturi tracking; (f) **timestamp și versiune** consimțământ logged pentru audit; (g) **re-prompt** după 6-13 luni standard (recomandare CNIL 13 luni, Italian Garante 6 luni).

Dark pattern interzise — exemple sancționate

Dark patterns explicit interzise prin ghidurile EDPB și sancțiuni autorități: (1) **Pre-bifare** — checkbox marketing/analytics bifat by default. NULL. (2) **Cookie wall** — refuz acces site dacă nu accepți cookies (excepție: paywall genuine cu plată alternativă). (3) **«Reject» ascuns** — utilizatorul trebuie să facă click pe «Customize» → 5 click-uri ca să refuze toate. (4) **«Accept» much more prominent** — buton verde mare vs «Reject» link gri micuț. (5) **Misleading copy** — «Acceptați pentru o experiență mai bună» sugerând refuzul = experiență degradată artificial. (6) **Nag patterns** — pop-up cookie reapare la fiecare pagină dacă utilizatorul nu acceptă. (7) **Forced consent bundling** — singur checkbox pentru toate categoriile. (8) **Implicit acceptance** — «prin continuare pe site, accepți cookies» — invalid. Sancțiuni notabile 2023-2025: CNIL Google 150 mln EUR 2022, CNIL Facebook 60 mln EUR 2022, Garante Italia 5+ amenzi anuale pentru cookie wall.

Consent Mode v2 Google — context special

Google a introdus Consent Mode v2 obligatoriu din martie 2024 pentru toți advertiserii care folosesc Google Ads / Google Analytics 4 cu utilizatori EEA. Schimbarea: trebuie să transmiteți semnal consent (granted/denied) către Google pentru ad_storage, analytics_storage, ad_user_data, ad_personalization. Fără Consent Mode v2 corect implementat — Google blochează tracking și pierde conversion tracking + remarketing. Soluții: (a) Google Tag Manager cu CMP integrat (Cookiebot, Usercentrics, Iubenda) — recomandat; (b) implementare manuală gtag.js cu funcție updateConsent; (c) Server-side tagging cu Google Tag Manager Server pentru mai mult control. Consent Mode v2 NU înlocuiește banner — îl complementează. Banner-ul colectează preferințele, Consent Mode le comunică Google. Verificare: Tag Assistant Google + DevTools Network → search 'g/collect' → params gcs și gcd.

Cookie policy detaliată — secțiuni obligatorii

Cookie policy (pagina dedicată, link din banner) trebuie să conțină: (1) **Definiție cookies** explicată în limbaj accesibil; (2) **De ce folosim cookies** — scopuri concrete; (3) **Tabel cookies plasate** cu coloane: nume, vendor, categorie, scop, durată, partajare third-party. Update regular când adaugi/elimini trackere; (4) **Cum modifici/retragi consimțământul** — instrucțiuni step-by-step + link «Cookie settings» funcțional; (5) **Cookies third-party și politicile lor** — link la privacy policy-urile Facebook, Google, LinkedIn pentru fiecare; (6) **Drepturile utilizatorului** — sumar GDPR; (7) **Cum ne contactezi** — DPO, email gdpr@; (8) **Data ultimei actualizări**. Lungimea ideală: 800-2.000 cuvinte. Multe firme externalizează generarea (Iubenda, Termly, generatori free), dar tabel cookies trebuie ținut acut — auditor verifică conformitatea declarată cu cookies reale plasate.

Audit tehnic — cum verifici cookies reale

Documentat scris ce zici despre cookies trebuie să corespundă realității. Procedură audit tehnic: (a) DevTools Application → Storage → Cookies — listă completă pe domain principal și third-party iframe-uri; (b) tool dedicat cookie scanner — Cookiebot scan free (până la 200 pagini), CookieScript, Cookiepedia (database categorii); (c) verifică timing-ul — cookies analytics/marketing NU trebuie să fie plasate înainte de click «Accept»; (d) verifică în browser privacy mode + clean state — comportament curat; (e) test mobile separat (cookies pot diferi); (f) re-test după update site/ad campaign (vendor noi se adaugă silent). Programează quarterly scan + alert dacă cookie nou neînregistrat în policy. Tool CI/CD: Synthetic monitoring cu Puppeteer headless + script verificare lista cookies vs whitelist.

Server-side tagging — soluția pentru control + performance

Server-side tagging (Google Tag Manager Server, Tealium iQ, Segment) mută execuția trackerelor de pe browser client pe server propriu. Avantaje: (a) control absolut ce date sunt trimise vendor third-party; (b) performance — mai puțin JavaScript browser; (c) bypass cookie blockers (Safari ITP, Firefox ETP) prin first-party cookies de pe domain propriu; (d) reduce risc data leakage prin redacted PII; (e) consent enforcement la nivel server (mai greu de bypass). Dezavantaje: (a) cost infra (~50-300 EUR/lună pentru server tagging container Google Cloud Run); (b) complexitate setup; (c) responsabilitate juridică crescută (devii operator pentru hostarea proxy). Recomandare: server-side tagging pentru SaaS cu trafic peste 100k vizitatori/lună; pentru sub, banner client-side conform suficient.

Cookie law specific Moldova — ce trebuie să știi

Moldova nu are reglementare ePrivacy-equivalent dedicată (UE Directive nu se aplică direct fără transpoziție). Cadrul cookies în MD: (a) Legea 133/2011 protecția datelor — pentru aspectele care includ prelucrare date personale via cookies (tracking individual); (b) Legea 241/2007 comunicațiilor electronice — cerințe minime informare; (c) ghiduri CNPDCP — recomandare aliniere cu standardele GDPR/ePrivacy ca best practice. Aderarea Moldovei la UE va aduce transpoziție obligatorie ePrivacy. Recomandare pragmatică: implementează cookie banner conform GDPR/ePrivacy de la început — nu vei avea remediere ulterioară când aderarea se petrece. Multe site-uri MD au deja banner-uri în acest stil — sectoarele bancar, retail, media sunt deja aliniate.

Cum face Megaforms cookies

Megaforms aplică standardul strict pe propriul site și oferă features pentru clienții care embedează formulare. Pe forms.megapromoting.com: (a) **zero cookies marketing** by default — folosim Plausible self-hosted (fără cookies, fără fingerprinting, GDPR-friendly out of box); (b) **cookies strict necesare** doar — session login, anti-CSRF, consimțământ banner version; (c) **fără third-party trackers** — fără Google Analytics, fără Facebook Pixel, fără Hotjar; (d) **banner minimal** doar pentru transparență — fără nag pattern. Pentru clienți care embedează formulare Megaforms pe site-uri proprii: (a) iframe Megaforms NU setează cookies pe domain părinte; (b) JS embed mode minimal — sub 5KB, fără tracking; (c) ghid integrare cu CMP-ul clientului (Cookiebot, Usercentrics) — Megaforms se încarcă doar după consent; (d) opțiune zero-cookie mode complet pentru clienții cu cerințe extreme.

Greșeli comune și consecințe

Top 10 greșeli pe care le observăm la audituri: (1) Google Analytics auto-instalat de developer fără bifă consimțământ → instant cookie illegal; (2) Facebook Pixel adăugat de marketing fără update banner → vendor neînregistrat în policy; (3) buton «Reject» lipsă sau ascuns 3 click-uri adânc → dark pattern; (4) consimțământul logged dar fără timestamp/versiune → fără audit trail valid; (5) cookies marketing setate înainte de click consimțământ → pre-loading interzis; (6) cookie policy outdated (cookies enumerate diferă de cele reale plasate) → înșelare utilizator; (7) re-prompt prea agresiv (fiecare sesiune) sau prea rar (nu re-prompt deloc) → standard 6-13 luni; (8) consimțământ unic la primul vizit fără opțiune re-edit ulterior → încalcă dreptul retragere; (9) iframe-uri third-party (YouTube, Vimeo, Twitter embed) plasează cookies fără consimțământ → folosește versiunile no-cookie (youtube-nocookie.com); (10) lipsă scan periodic — cookies noi se adaugă silent prin tag-uri marketing. Sancțiuni: median 5-50k EUR pentru SME, dar dăunare reputație + remediere costă mult mai mult.

Referințe oficiale

regulation
Directiva ePrivacy 2002/58/CE consolidată
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02002L0058-20091219
regulation
OG nr. 13/2012 transpunere ePrivacy RO
https://legislatie.just.ro/Public/DetaliiDocument/140014
guidance
EDPB — guideline 5/2020 consent
https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
guidance
CNIL — cookies & autres traceurs
https://www.cnil.fr/fr/cookies-et-autres-traceurs
guidance
Google — Consent Mode v2 documentation
https://developers.google.com/tag-platform/security/guides/consent

Megaforms acoperă cerințele de mai sus by design

Host 100% UE, DPA semnabil online, sub-procesatori listați transparent, retention configurabil, audit log accesare date sensibile, portal DSAR self-serve. Începe pe Free, evaluezi conformitatea pe propriul tău use case.

Începe gratuit Features compliance Megaforms

Întrebări frecvente

Pot să nu am banner cookies dacă folosesc doar Plausible / Matomo self-hosted?▾

Depinde de configurație. Plausible/Matomo configurate cu opțiuni anonymization (IP truncated, no cookies, no fingerprinting, no cross-site) — pot fi calificate strict necesare și nu cer banner. Documenții decizia într-un memo intern. Dacă vinzi UE/SUA, conservativ — adaugă totuși un banner minimal informativ chiar fără consimțământ activ (transparență).

Cookies pentru A/B testing necesită consimțământ?▾

Da, A/B testing folosește cookies pentru a-ți menține pe utilizator în același variant între vizite — analytics-related, non-essential. Cere consimțământ. Optimizely, VWO, Google Optimize toate intră aici. Excepție rar: A/B test pentru securitate (challenge variant) — argumentabil strict necesar.

Iframe YouTube pe pagina mea — set cookies?▾

Da, YouTube standard plasează cookies marketing imediat la load iframe. Soluție: folosește youtube-nocookie.com (privacy-enhanced mode) — cookies setate doar dacă userul face click play. Embed URL: https://www.youtube-nocookie.com/embed/VIDEO_ID. Aliniat GDPR/ePrivacy fără banner cookies pentru video.

Cookies CDN (Cloudflare) — strict necesare?▾

Cookies funcționale Cloudflare (__cflb pentru load balancing, __cf_bm pentru bot management, cf_clearance pentru challenge) — strict necesare pentru funcționare securizată. Cookies analytics opționali (Cloudflare Web Analytics) — opt-in. Documentează în cookie policy categoria și scopul fiecărui __cf*.

Pot face cookies cu «interes legitim» în loc de consimțământ?▾

Nu pentru cookies non-essential. ePrivacy cere consimțământ explicit pentru orice acces în terminal utilizator, peste regimul GDPR. «Interes legitim» GDPR nu acoperă cerința ePrivacy specifică. Excepție: cookies strict necesare (loginul session, anti-CSRF, basket e-commerce) — fără consimțământ dar trebuie informate.

Trebuie să refac consimțământul dacă schimb CMP-ul?▾

Dacă schimbi vendor CMP dar păstrezi aceleași categorii și aceiași third-party trackers — nu, păstrezi consimțământul existent. Dacă adaugi vendor noi, schimbi durate, sau modifici categorii — da, re-prompt. Best practice: update versiune consimțământ în log la orice modificare semnificativă în policy.

Cum auditează ANSPDCP cookies în control?▾

Auditor folosește browser în mod incognito + DevTools, accesează site, monitorizează ce cookies se plasează în primele secunde fără orice click. Compară cu policy declarat. Verifică banner — design (dark pattern), opțiuni granulare, ușurința refuzului. Test re-acces după acceptare/refuz — comportament consistent. Tools dedicat ANSPDCP (cookiescan automatizat) raportat în 2024.

Ghiduri conexe

GDPR/GDPR UE

De la Art. 5 la sub-procesatori și transferuri internaționale — ce trebuie să faci concret când colectezi date prin formulare online în UE.

GDPR România

Cum se aplică GDPR în România prin Legea 190/2018, ce face ANSPDCP în controale, sancțiunile reale 2023-2025 și ce pregătești înainte de orice colectare de date.

Protecția datelor Moldova

Cadrul legal Moldova prin Legea 133/2011 modificată în 2023, CNPDCP în 2024-2025, transferurile RO-MD și roadmap-ul către aderarea la SEE.

EU AI Act

Calendar oficial, clasificarea pe nivele de risc, Art. 50 transparența chatbot/AI, Art. 14 supraveghere umană, sancțiuni până la 35 mln EUR sau 7% CA.