„Stai puțin, pot să le trimit emailuri sau nu? Ce e cu GDPR-ul ăsta?"
Dacă ai o listă de contacte și nu o folosești pentru că nu ești sigur ce e legal și ce nu, nu ești singurul. Cei mai mulți antreprenori români aud „GDPR" și înțeleg „nu am voie să fac email marketing". Lucru care e fals.
GDPR-ul nu îți interzice email marketing-ul. GDPR-ul îți cere să fii corect cu oamenii de pe listă. Atât. Iar diferența între „corect" și „amendă" e cam de 4-5 reguli pe care le poți bifa într-o după-amiază.
În articolul ăsta îți explic ce trebuie să faci ca antreprenor - nu ca avocat - ca să dormi liniștit când trimiți o campanie. Fără jargon, fără paranoia, fără citate de articole din regulament. Doar ce contează în practică.
Ce vei afla din acest articol
- GDPR-ul îți permite să faci email marketing - dacă respecți 5 reguli simple
- Datele oaspeților din Booking sau ale clienților din magazinul online le poți folosi, dar nu oricum
- Listele cumpărate sunt cea mai rapidă cale spre amendă - chiar dacă vânzătorul jură că „sunt verificate GDPR"
- Două cazuri reale ANSPDCP îți arată exact ce greșeli să eviți
Ce zice GDPR pe limba ta
GDPR (Regulamentul General privind Protecția Datelor) e o lege europeană din 2018. Pentru email marketing, ce trebuie să reții e simplu:
Ai voie să trimiți emailuri comerciale dacă persoana e de acord să le primească. Punct.
„De acord" înseamnă două lucruri:
- Persoana a spus „da" explicit (a bifat un checkbox, a completat un formular, a confirmat printr-un email de bun venit)
- Persoana știe la ce a spus „da" (i-ai zis clar că o să primească emailuri de marketing, nu doar „informări")
În România, peste GDPR mai e și Legea 506/2004, care e mai strictă pe partea de email și SMS comercial. Pe scurt: dacă te respecti pe GDPR, ești ok și pe legea română.
Cele 5 reguli practice
1. Consimțământ corect, nu pre-bifat
Când cineva îți lasă emailul pe site, are nevoie să apese activ pe un checkbox care zice ceva de tipul: „Sunt de acord să primesc emailuri cu noutăți și oferte de la [firma ta]."
Trei greșeli pe care le văd des:
- Checkbox pre-bifat - asta NU e consimțământ, e presupunere. Ilegal.
- „Acceptând Termenii, ești de acord cu marketing-ul" - combini două lucruri diferite. Ilegal.
- Niciun checkbox, doar un câmp de email - la newsletter merge, dacă scrii clar „te abonezi la newsletter" lângă buton. La rezervări sau achiziții, NU merge - îți trebuie un checkbox separat pentru marketing.
Ce să faci: un checkbox separat, NEbifat, cu text clar despre ce primește persoana.
2. Unsubscribe în fiecare email, ușor de găsit
Fiecare email pe care îl trimiți trebuie să aibă un link de dezabonare. Nu ascuns în footer cu font de 6 pixeli, ci vizibil. Și trebuie să funcționeze - un singur click, nu „te rugăm să trimiți un email la cerere@firma.ro și să specifici numele complet".
Cele mai multe amenzi din România pe email marketing sunt pe asta. Persoana cere să se dezaboneze, firma continuă să trimită. Ajunge la ANSPDCP, urmează amenda.
Ce să faci: folosește o platformă de email marketing care pune unsubscribe automat în fiecare email. Toate platformele serioase fac asta.
3. Politica de confidențialitate accesibilă
Pe site-ul tău trebuie să existe o pagină de „Politică de confidențialitate" în care explici:
- ce date colectezi (email, nume, telefon)
- de ce le colectezi (marketing, facturare, suport)
- cu cine le împărtășești (platforma de email, contabilitate, hosting)
- cât timp le păstrezi
- cum se poate dezabona / șterge cineva din listă
În formularul de înscriere, pune un link clar către această pagină. Nu trebuie să fie 20 de pagini juridice - o pagină simplă, în limba română, e suficient.
4. Datele din Booking, formularul de check-in, comenzi online - POȚI să le folosești
Aici e marea confuzie. Răspunsul scurt: da, le poți folosi, dar respectând regulile.
Pentru oaspeții din pensiune/hotel: Când fac rezervarea sau check-in-ul, pe formular trebuie să existe un checkbox separat pentru „doresc să primesc oferte și noutăți". Dacă bifează - listă curată, poți trimite. Dacă nu bifează - emailul rămâne doar pentru lucruri legate de rezervare (confirmare, factură, întrebări legate de șederea lor).
Pentru clienții magazinului online: La checkout, separi achiziția de marketing. „Comandă" = legitim oricum (le trebuie emailul pentru factură și livrare). „Newsletter" = checkbox separat. Doar cei care bifează intră în lista de marketing.
Pentru contactele vechi din liste mai vechi de 2018: Aici depinde cum le-ai colectat. Dacă nu ai dovada consimțământului explicit, cel mai sigur e să trimiți un singur email de „re-permission" - întrebi politicos dacă vor să continue să primească mesaje. Cei care bifează „da" rămân. Restul, ștergi. Pierzi volum, dar curăți lista.
5. Cât timp păstrezi datele
Nu le ții la nesfârșit. GDPR-ul cere să le ții doar cât ai nevoie. Pentru email marketing, regula bună e:
- Subscriberi activi (deschid emailuri, dau click) → îi păstrezi cât e relevantă relația
- Subscriberi inactivi de 12-18 luni → ștergi sau trimiți un email de „re-engagement". Dacă nu răspund, ștergi.
- Date despre comenzi → le păstrezi cât cere legea contabilă (10 ani în România), dar separat de lista de marketing
Bonus: un proces simplu de ștergere - orice persoană care îți cere să fie ștearsă, ștergi în maxim 30 de zile. Și răspunzi la cerere, chiar dacă răspunsul e „gata, am șters".
Greșeli care duc direct la amendă
Liste cumpărate sau scrape-uite
Cineva îți vinde o listă de „5.000 de hotelieri din România, garantat verificate GDPR". Costă 200 EUR. Pare tentant.
Nu. Niciodată. Indiferent ce-ți promite vânzătorul.
Răspunderea juridică e a ta - nu a celui care ți-a vândut lista. Dacă o singură persoană din lista aia se plânge la ANSPDCP, ești tu pe foc, nu vânzătorul. Iar prima întrebare a autorității e: „Aveți dovada consimțământului?". Răspunsul „mi-au vândut alții" nu e o apărare validă.
Mesaje comerciale după ce cineva s-a dezabonat
În decembrie 2024, ANSPDCP a amendat English Home SRL cu 5.000 EUR. Motivul: o persoană a cerut în mai multe rânduri, în scris și prin link-ul din email, să nu mai primească mesaje. Firma a continuat. (sursa: comunicat ANSPDCP, decembrie 2024)
Lecția pentru tine: când cineva apasă „dezabonare", ieșirea trebuie să fie instant și completă. Nu peste o săptămână, nu „doar pentru această campanie", nu „te scoatem din lista A dar rămâi în lista B". Out e out.
Trimitere fără mecanism de opoziție clar
În ianuarie 2026, ANSPDCP a amendat Money Seeds S.R.L. cu un total de aproximativ 3.000 EUR (5.000 lei + 10.178 lei). Motivul: au trimis mesaje comerciale pe email și nu au asigurat un mecanism simplu prin care destinatarul să se poată opune. (sursa: comunicat ANSPDCP, 8 ianuarie 2026)
Lecția pentru tine: linkul de dezabonare nu e un detaliu cosmetic, ci o cerință legală. Dacă platforma ta de email nu îl pune automat sau dacă duce către o pagină care nu funcționează, ești expus.
Ce face DeviDevs pentru tine în mod automat
Lista de mai sus pare lungă. Vestea bună: o parte din lucruri se rezolvă în spatele tău, dacă platforma e bine făcută.
Cu DeviDevs, ai automat:
- Unsubscribe one-click în fiecare email - link standard Gmail/Yahoo 2024, fără configurare
- Log de consimțământ - timestamp și sursă (formular, import, manual, API) pentru fiecare subscriber
- Suprimare automată - cine se dezabonează iese instant din toate campaniile viitoare
Suntem transparenți și cu ce urmează. În roadmap-ul Q2-Q3 2026 avem:
- Double opt-in cu email de confirmare la înscriere
- Self-service de ștergere a datelor în mai puțin de 30 de zile
Construim platforma cu GDPR în minte de la început, nu adăugat la final. Iar ce face deja, face corect.
Întrebări frecvente
Pot trimite la contactele din Booking?
Da, dar doar dacă în procesul de check-in (sau rezervare directă) ai un checkbox separat pentru „doresc să primesc oferte". Pentru oaspeții care nu au bifat, poți comunica doar lucruri legate strict de șederea lor (confirmare, factură, întrebări).
Trebuie să cer din nou consimțământ pentru lista veche?
Dacă nu ai dovada cum ai colectat-o (formular cu dată, IP, checkbox bifat), da - recomandat. Trimiți un email de „re-permission" și păstrezi doar cei care confirmă. Pierzi volum, câștigi liniște.
Ce risc dacă nu respect?
În România, ANSPDCP aplică amenzi între 5.000 și 35.000 EUR în cazurile uzuale de email/SMS comercial. Pentru firme mici, riscul e mai puțin amenda în sine și mai mult timpul pierdut cu investigația. Plus stresul.
Care e diferența dintre GDPR și legea română?
GDPR e regulamentul european general. Legea 506/2004 e legea română mai strictă pentru comunicări electronice (email și SMS comercial). În practică, dacă respecti GDPR-ul corect, ești ok și pe legea română. ANSPDCP poate aplica ambele simultan.
E nevoie de DPO (responsabil cu protecția datelor)?
Pentru o pensiune sau magazin online mic, în general nu. DPO-ul e obligatoriu doar pentru categorii speciale (autorități publice, prelucrare la scară mare de date sensibile). Dacă ești curios, întreabă un avocat - dar pentru 99% din afacerile mici, răspunsul e „nu".
Concluzie
GDPR-ul nu e un zid, ci un set de reguli care te pun pe aceeași parte cu clienții tăi: oameni care primesc de la tine doar ce au cerut, când au cerut, și pot pleca oricând fără greutăți.
Dacă faci cele 5 lucruri de mai sus - consimțământ corect, unsubscribe vizibil, politică de confidențialitate, gestiune corectă a surselor de date, păstrare cât e nevoie - ești pe partea bună a legii.
Iar dacă nu vrei să te ocupi tu de partea tehnică, vezi cum funcționează platforma noastră. Setăm totul corect, tu te ocupi de business.
Articol informativ. Nu înlocuiește consultanța juridică pentru cazurile complexe. Pentru situații specifice, consultă un avocat specializat în protecția datelor.