GDPR și Email Marketing în România: Ghid Practic 2026

30 aprilie 2026

GDPR nu îți interzice email marketing-ul. Îți cere să fii corect cu oamenii de pe listă: consimțământ explicit, unsubscribe ușor de găsit în fiecare email, politică de confidențialitate accesibilă, gestiune corectă a surselor de date și păstrare doar cât ai nevoie. Respecți astea cinci și ești pe partea bună a legii.

Ce zice GDPR pe limba ta

GDPR e o lege europeană din 2018. Pentru email marketing, ce trebuie să reții e simplu: ai voie să trimiți emailuri comerciale dacă persoana e de acord să le primească.

De acord înseamnă două lucruri: persoana a spus da explicit (a bifat un checkbox, a completat un formular, a confirmat printr-un email) și persoana știe la ce a spus da, adică i-ai zis clar că primește emailuri de marketing, nu doar informări.

În România, peste GDPR mai e și Legea 506/2004, mai strictă pe partea de email și SMS comercial. Pe scurt: dacă te respecți pe GDPR, ești ok și pe legea română.

Cele 5 reguli practice

1. Consimțământ corect, nu pre-bifat. Un checkbox separat, NEbifat, cu text clar. Checkbox pre-bifat nu e consimțământ, e presupunere. Să combini acceptarea Termenilor cu marketingul e tot ilegal.

2. Unsubscribe în fiecare email, ușor de găsit. Vizibil, nu ascuns cu font de 6 pixeli, și trebuie să funcționeze dintr-un singur click. Cele mai multe amenzi din România pe email marketing sunt pe asta.

3. Politică de confidențialitate accesibilă. Explici ce date colectezi, de ce, cu cine le împarți, cât le păstrezi și cum se poate dezabona cineva. O pagină simplă în română e suficientă.

4. Sursele de date - Booking, check-in, comenzi online - le POȚI folosi, dar cu un checkbox separat pentru oferte. Fără bifă, emailul rămâne doar pentru lucruri legate de rezervare. Pentru liste vechi fără dovada consimțământului, trimite un singur email de re-permission și păstrezi doar cine confirmă.

5. Cât timp păstrezi datele. Doar cât ai nevoie. Subscriberii inactivi de 12-18 luni: ștergi sau trimiți re-engagement. Datele de comenzi le ții cât cere legea contabilă (10 ani în România), dar separat de lista de marketing. Orice cerere de ștergere, o rezolvi în maxim 30 de zile.

Greșeli care duc direct la amendă

Liste cumpărate sau scrape-uite. Cineva îți vinde 5.000 de contacte garantat verificate GDPR pe 200 EUR. Niciodată. Răspunderea juridică e a ta, nu a vânzătorului. Prima întrebare a autorității e: aveți dovada consimțământului? Răspunsul mi-au vândut alții nu e o apărare validă.

Mesaje după dezabonare. În decembrie 2024, ANSPDCP a amendat English Home SRL cu 5.000 EUR: o persoană a cerut în mai multe rânduri să nu mai primească mesaje, iar firma a continuat (sursa: comunicat ANSPDCP, decembrie 2024). Când cineva apasă dezabonare, ieșirea e instant și completă.

Trimitere fără mecanism de opoziție clar. În ianuarie 2026, ANSPDCP a amendat Money Seeds S.R.L. cu un total de circa 3.000 EUR (5.000 lei plus 10.178 lei) pentru că a trimis mesaje comerciale fără un mecanism simplu de opoziție (sursa: comunicat ANSPDCP, 8 ianuarie 2026). Linkul de dezabonare e o cerință legală, nu un detaliu cosmetic.

Ce se rezolvă automat cu o platformă bună

O parte din lucruri se rezolvă în spatele tău dacă platforma e bine făcută. Cu o platformă serioasă ai automat: unsubscribe one-click în fiecare email (linkul standard cerut de Gmail și Yahoo din 2024), un log de consimțământ cu timestamp și sursă pentru fiecare subscriber și suprimare automată, adică cine se dezabonează iese instant din toate campaniile viitoare.

Construiești conformitatea de la început, nu adăugată la final. Iar ce face deja, face corect.

Întrebări frecvente

Pot trimite la contactele din Booking? Da, dar doar dacă la check-in sau la rezervarea directă ai un checkbox separat pentru oferte. Pentru cei care nu au bifat, comunici doar lucruri legate de șederea lor.

Trebuie să cer din nou consimțământ pentru lista veche? Dacă nu ai dovada cum ai colectat-o, da, recomandat. Un email de re-permission și păstrezi doar cine confirmă.

Ce risc dacă nu respect? În România, ANSPDCP aplică amenzi între 5.000 și 35.000 EUR în cazurile uzuale de email sau SMS comercial. Pentru firme mici, riscul e mai puțin amenda și mai mult timpul pierdut cu investigația.

E nevoie de DPO? Pentru o pensiune sau un magazin mic, în general nu. DPO-ul e obligatoriu doar pentru categorii speciale.

Acest articol e informativ și nu înlocuiește consultanța juridică pentru cazuri complexe.

Vrei să punem noi email marketing-ul la treabă?

Îți facem un audit gratuit al listei și al fluxurilor tale de email. Fără obligații, primești pașii concreți pentru afacerea ta.