Защита персональных данных в Молдове: что бизнесу нужно сделать до 23 августа 2026 года

Клиент заполняет форму на сайте. Его имя и номер телефона попадают в CRM. Менеджер продолжает общение в WhatsApp. Информация о заказе уходит в 1C. После покупки клиенту начисляются бонусы через UDS. Рекламные платформы используют данные для аналитики, ретаргетинга и повторных коммуникаций.

Для бизнеса это обычный рабочий день.

Для закона это несколько операций с персональными данными, которые происходят одновременно в разных системах.

Именно здесь начинается проблема. Большинство компаний не видят полную картину. Руководитель видит сайт, CRM, бухгалтерию, рекламу, менеджеров, мессенджеры, подрядчиков. Но редко видит главное: как данные человека проходят через весь бизнес, кто к ним имеет доступ, где они хранятся, на каком основании используются и что произойдет, если клиент попросит удалить их или прекратить маркетинговые сообщения.

С 23 августа 2026 года в Республике Молдова вступает в силу Закон №195/2024 о защите персональных данных. Он переносит в национальное законодательство основные положения европейского GDPR и меняет подход к тому, как компании должны управлять персональными данными.

Это не означает, что до августа 2026 года у бизнеса нет обязанностей. Персональные данные уже защищаются действующим законодательством. Новый закон усиливает требования, ответственность и необходимость доказывать, что компания работает с данными правильно.

Главная задача бизнеса не в том, чтобы отказаться от CRM, сайта, 1C, UDS, WhatsApp, email, рекламы или облачных сервисов. Задача в другом: привести работу с персональными данными в понятный, управляемый и документированный порядок.

Закон касается почти каждого бизнеса

Многие предприниматели до сих пор думают, что персональные данные связаны только с паспортами, IDNP, медицинскими документами или государственными реестрами.

На практике все намного шире.

Персональные данные это любая информация, которая относится к конкретному человеку или позволяет его идентифицировать.

К таким данным могут относиться имя и фамилия, номер телефона, email, домашний адрес, IDNP, данные документов, должность представителя компании, история покупок, переписка с менеджером, запись телефонного разговора, IP-адрес, cookies, данные о бонусах, сведения о сотрудниках, фотографии, видеозаписи, платежная информация, интересы клиента и история его взаимодействия с компанией.

Даже если бизнес работает только в B2B, он все равно обрабатывает данные физических лиц. Это директора, бухгалтеры, менеджеры, контактные лица, представители клиентов, сотрудники поставщиков и партнеров.

Поэтому вопрос защиты персональных данных в Молдове касается не только банков, клиник, государственных учреждений или интернет-магазинов. Он касается агентств недвижимости, салонов красоты, медицинских центров, строительных компаний, ресторанов, образовательных проектов, e-commerce, дистрибьюторов, сервисных компаний, HR-отделов и любого бизнеса, который ведет клиентскую базу.

Если у компании есть сайт, CRM, Excel-файлы с клиентами, 1C, UDS, рассылки, WhatsApp-переписка с клиентами или рекламные пиксели, она уже находится внутри этой темы.

Главный вопрос: где находятся данные клиента

Одна из самых опасных иллюзий в бизнесе звучит так: “У нас все данные в CRM”.

На самом деле данные почти всегда распределены между несколькими системами. Часть находится на сайте. Часть в CRM. Часть в 1C. Часть в WhatsApp. Часть в email. Часть у маркетолога. Часть в рекламном кабинете. Часть у бухгалтера. Часть в выгрузках Excel. Часть в резервных копиях. Часть у подрядчиков.

И когда клиент задает простой вопрос “Какие мои данные вы храните?”, внутри компании это может превратиться в сложное расследование.

Проблема не только юридическая. Это вопрос управления бизнесом.

Если компания не знает, где находятся данные, она не может нормально управлять доступами, сроками хранения, рисками, маркетинговыми согласиями, удалением информации и реакцией на инциденты.

Сайт: первая точка сбора данных

Сайт часто является первым местом, где клиент оставляет персональные данные. Форма обратной связи, онлайн-заказ, подписка, заявка на консультацию, личный кабинет, cookies, Google Analytics, Meta Pixel, формы бронирования, чат-виджеты, callback, интеграции с CRM.

Для бизнеса это инструменты продаж и маркетинга. Для закона это точки сбора и передачи персональных данных.

По каждой форме нужно понимать:

какие данные собираются;
зачем они нужны;
куда они передаются после отправки;
кто получает доступ;
сколько времени они хранятся;
получает ли пользователь понятную информацию;
используются ли данные для маркетинга;
передаются ли они внешним сервисам.

Фраза “отправляя форму, вы соглашаетесь со всем” больше не выглядит серьезной защитой. Согласие должно быть конкретным, информированным и понятным. А если данные собираются не на основании согласия, компания должна понимать другое законное основание обработки.

Политика конфиденциальности на сайте тоже должна описывать реальный процесс. Если в документе написано, что данные не передаются третьим лицам, но сайт использует аналитику, рекламные пиксели, CRM, хостинг, email-рассылки и внешние виджеты, такая политика может не соответствовать фактической работе бизнеса.

CRM: центральное хранилище, которое часто недооценивают

CRM обычно становится главным местом, где накапливается история отношений с клиентом.

Там хранятся контакты, лиды, сделки, компании, комментарии менеджеров, переписка, задачи, записи звонков, коммерческие предложения, источники заявок, статусы, причины отказа, история оплат, внутренние заметки и иногда очень чувствительная информация.

CRM помогает бизнесу продавать. Но одновременно создает серьезную зону ответственности.

Компании необходимо определить, кто имеет доступ к CRM, какие роли у сотрудников, можно ли выгружать клиентскую базу, кто видит телефоны и email, кто имеет доступ к комментариям, как закрывается доступ после увольнения, какие данные хранятся бессрочно и какие должны быть удалены или ограничены.

Особого внимания требует холодная база. Например, компания загружает в CRM контакты из открытых источников, партнерских списков, старых Excel-файлов или купленных баз. В этом случае важно понимать не только источник данных, но и обязанность информирования человека, если данные были получены не напрямую от него.

CRM не должна быть складом, куда можно бессрочно складывать все контакты “на всякий случай”. В новом подходе CRM должна стать управляемой системой, где каждая категория данных имеет цель, основание, срок хранения и понятные права доступа.

1C и бухгалтерские системы: данные, о которых часто забывают

Многие компании воспринимают 1C только как бухгалтерский инструмент. Но в нем тоже могут находиться персональные данные: сотрудники, представители клиентов, поставщики, получатели товаров, плательщики, контактные лица, адреса доставки, счета, договоры, акты, платежные документы.

Здесь важно проверить роли пользователей, доступ бывших сотрудников, резервное копирование, выгрузки в Excel, передачу данных бухгалтеру или аутсорсинговой компании, хранение документов, архивирование и удаление информации.

Нужно разделять два разных вопроса.

Первый вопрос: какие документы компания обязана хранить по бухгалтерскому, налоговому или трудовому законодательству.

Второй вопрос: какие данные компания хранит просто потому, что “так сложилось” или “вдруг когда-то понадобится”.

Закон не требует удалять все подряд. Но он требует понимать, почему данные хранятся, как долго и на каком основании.

UDS и программы лояльности: бонусы тоже связаны с персональными данными

Программа лояльности выглядит как удобный маркетинговый инструмент. Клиент получает бонусы, компания видит повторные покупки, маркетинг может делать персональные предложения.

Но UDS или другая программа лояльности тоже является контуром обработки персональных данных.

В зависимости от настроек там могут находиться телефон клиента, имя, дата рождения, история покупок, бонусный баланс, уровень лояльности, сегмент клиента, предпочтения и результаты маркетинговых коммуникаций.

Если система анализирует поведение человека, частоту покупок, интересы и предпочтения, бизнесу нужно оценить, появляется ли элемент профайлинга.

Само использование UDS не является нарушением. Проблема возникает тогда, когда компания не понимает, какие данные собирает, для чего использует, как регулирует маркетинговые сообщения, как клиент может отказаться от коммуникации, кто имеет доступ к профилям и как выполняется удаление или исправление информации.

Бонусная система не должна превращаться в серую зону, где клиент не понимает, что именно происходит с его данными.

WhatsApp, Viber, Telegram и email: данные уходят из официальной системы

В реальности многие продажи в Молдове происходят не только в CRM. Они происходят в WhatsApp, Viber, Telegram, email и телефонных разговорах.

Клиент присылает номер, адрес, фото, документы, счет, договор, данные заказа. Менеджер отвечает с рабочего или личного телефона. Потом часть информации переносится в CRM, часть остается в переписке, часть пересылается бухгалтеру, часть попадает в чат с доставкой или подрядчиком.

Для клиента это один диалог с компанией.

Для компании это уже несколько мест хранения данных.

Здесь нужно определить, разрешено ли сотрудникам использовать личные аккаунты и личные устройства, как закрывается доступ после увольнения, где хранится переписка, можно ли пересылать документы в личные чаты, как информация переносится в официальную систему и что делать, если клиент просит удалить данные.

Самый неприятный сценарий для бизнеса выглядит просто: сотрудник увольняется, а вся история общения с клиентами остается в его личном WhatsApp.

Это уже не вопрос удобства. Это вопрос контроля над данными и клиентскими отношениями.

Телефония и записи звонков

Телефония может обрабатывать номер клиента, время звонка, имя менеджера, результат разговора и запись звонка.

Если разговоры записываются, компания должна определить цель записи, порядок информирования, доступ к файлам и срок хранения. Записи не должны храниться бессрочно только потому, что технически система позволяет это делать.

Важно помнить: запись разговора может содержать не только имя и телефон. В ней могут быть адрес, детали заказа, финансовая информация, жалоба, медицинские сведения, личные обстоятельства или другие чувствительные данные.

Чем больше компания записывает, тем лучше должна быть система управления доступом и хранением.

Облачные сервисы и подрядчики

Google Workspace, Microsoft 365, хостинг, облачные CRM, сервисы рассылок, телефония, рекламные платформы, интеграторы, бухгалтерские аутсорсеры, маркетинговые агентства и сервисы автоматизации могут участвовать в обработке персональных данных.

Это значит, что поставщик не всегда является просто “технической компанией”. Он может действовать по поручению оператора данных или выполнять другую юридическую роль.

Бизнесу важно понимать, кто обрабатывает данные, для какой цели, где они хранятся, привлекаются ли субподрядчики, есть ли международная передача, какие меры безопасности применяются и что происходит с данными после окончания договора.

Если компания использует облачные решения, это не проблема само по себе. Проблема возникает тогда, когда руководство не знает, через какие сервисы проходят данные клиентов и сотрудников.

Что на самом деле требует новый закон

Закон не запрещает бизнесу собирать и использовать персональные данные. Он устанавливает правила.

Смысл этих правил можно выразить просто: данные должны использоваться законно, прозрачно, для понятных целей, в необходимом объеме, с ограниченным сроком хранения, с должной защитой и с возможностью доказать, что компания соблюдает требования.

Последняя часть особенно важна.

Недостаточно сказать: “Мы работаем правильно”.

Компания должна быть способна подтвердить это документами, настройками систем, договорами, процедурами, журналами, внутренними правилами и реальными действиями сотрудников.

Именно поэтому защита персональных данных в Молдове становится не только юридической задачей. Это управленческая задача. Это вопрос процессов, дисциплины, IT-настроек, маркетинга, HR, бухгалтерии и работы с подрядчиками.

Согласие требуется не всегда

Одно из самых распространенных заблуждений: на любое действие с данными нужно получать согласие.

На практике закон предусматривает разные основания обработки. Это может быть согласие, выполнение договора, исполнение юридической обязанности, защита жизненно важных интересов, выполнение задачи в общественных интересах или законный интерес оператора.

Например, компании не нужно отдельное согласие клиента, чтобы использовать его контактные данные для подготовки договора или исполнения заказа. Работодатель может обрабатывать часть данных сотрудника для выполнения трудовых, налоговых и бухгалтерских обязанностей.

Но наличие договора не дает автоматического права использовать данные для любых целей. Рекламные сообщения, профайлинг, публикация фотографий, передача базы партнерам или использование данных в новых маркетинговых сценариях требуют отдельного анализа.

Если компания использует согласие как основание, она должна доказать, когда, как и на что человек согласился. Согласие должно быть свободным, конкретным, информированным и однозначным. Человек должен иметь возможность отозвать его так же просто, как предоставил.

Прямой маркетинг: база клиентов не является вечным активом

Многие компании воспринимают клиентскую базу как актив, который можно использовать бесконечно.

Человек однажды оставил номер. Значит, ему можно писать в WhatsApp. Он купил товар. Значит, ему можно отправлять акции. Он был в CRM. Значит, он остается в рассылке.

Такой подход становится все более рискованным.

Человек имеет право возражать против обработки его данных для прямого маркетинга. После такого возражения компания должна прекратить использовать соответствующие данные для этой цели.

На практике CRM и системы рассылок должны поддерживать понятные статусы: маркетинговая коммуникация разрешена, клиент отписался, клиент возразил против прямого маркетинга, коммуникация ограничена, источник разрешения известен, дата получения зафиксирована, текст согласия сохранен.

Удалить контакт из одной рассылки недостаточно, если тот же человек продолжает получать сообщения через другой канал.

Если клиент отказался от маркетинга, это должно быть видно всей системе: CRM, email, SMS, WhatsApp, рекламные аудитории, UDS и другим инструментам.

Права человека: бизнес должен быть готов отвечать

Субъект персональных данных может запросить информацию о том, обрабатывает ли компания его данные, для каких целей, какие категории данных используются, кому они передавались и сколько времени будут храниться.

Также человек может запросить исправление, удаление, ограничение обработки, переносимость данных или возразить против определенной обработки.

Обычно компания должна ответить без необоснованной задержки, но не позднее одного месяца. В сложных случаях срок может быть продлен, однако человека нужно своевременно проинформировать о причинах.

Для бизнеса это означает одно: нужна внутренняя процедура.

Недостаточно поставить форму на сайт. Нужно понимать, кто принимает запрос, как проверяется личность заявителя, кто ищет данные, какие системы проверяются, как учитываются права других лиц, кто готовит ответ, кто выполняет удаление или ограничение, где хранится доказательство исполнения.

Если данные человека находятся одновременно в CRM, 1C, UDS, WhatsApp, email, телефонии и резервных копиях, выполнить такой запрос без заранее установленного процесса будет трудно.

В спокойное время это выглядит как бюрократия. В момент реального запроса становится понятно, что это управляемость.

Утечка данных: это не только хакерская атака

Когда бизнес слышит слово “утечка”, многие представляют крупную кибератаку. Но инциденты часто выглядят намного проще.

Потерянный ноутбук. Украденный телефон сотрудника. Письмо, отправленное неправильному получателю. Открытая ссылка на облачный документ. Доступ бывшего сотрудника к CRM. Выгрузка клиентской базы в Excel. Ошибочная публикация документа. Вирус на компьютере. Удаление данных без возможности восстановления.

Если нарушение безопасности может создать риск для прав и свобод физических лиц, компания должна оценить ситуацию и при необходимости уведомить Национальный центр по защите персональных данных без необоснованной задержки, по возможности не позднее 72 часов с момента, когда стало известно об инциденте.

Это требует процедуры реагирования.

Сотрудники должны знать, кому сообщать о проблеме. Ответственные лица должны уметь остановить дальнейшее распространение данных, оценить риск, зафиксировать обстоятельства, принять меры и решить, требуется ли уведомление.

Главная ошибка бизнеса в таких ситуациях: молчать, надеяться, что “само пройдет”, и не фиксировать происходящее.

Каждой ли компании нужен DPO

Не каждой компании обязательно назначать отдельного специалиста по защите данных.

Такая обязанность возникает в определенных случаях, например когда основная деятельность требует регулярного и систематического широкомасштабного мониторинга людей или включает широкомасштабную обработку специальных категорий данных.

Но даже если отдельная должность не обязательна, это не означает, что ответственность исчезает.

Компания должна определить, кто внутри бизнеса отвечает за тему персональных данных, кто координирует запросы, кто контролирует доступы, кто работает с подрядчиками, кто проверяет маркетинговые процессы и кто участвует в реагировании на инциденты.

Для многих малых и средних компаний разумным решением может быть внешний специалист или проектная диагностика с последующим внедрением процедур.

Достаточно ли политики конфиденциальности на сайте

Нет.

Политика конфиденциальности важна, но она не заменяет реального порядка.

Документ на сайте не решит проблему, если всем сотрудникам открыт полный доступ к CRM, бывшие сотрудники сохранили пароли, клиентская база выгружается в Excel, данные бессрочно хранятся в 1C, маркетинговые отказы не фиксируются, поставщики не проверены, формы сайта не соответствуют реальному движению данных, а сотрудники отправляют документы клиентов через личные мессенджеры.

Политика должна описывать реальность, а не красивую картинку.

Если в документе написано одно, а в бизнесе происходит другое, риск только увеличивается. Особенно если клиент, сотрудник или регулятор задаст конкретный вопрос: где мои данные, зачем вы их используете и кому передали?

Нужен ли реестр обработки

Закон предусматривает учет деятельности по обработке данных. В таком учете фиксируются цели, категории субъектов, категории данных, получатели, международные передачи, сроки удаления и меры безопасности.

Для организаций с численностью менее 250 сотрудников предусмотрены исключения. Но эти исключения не работают автоматически во всех ситуациях, особенно если обработка не является случайной, может создавать риск или включает специальные категории данных.

Для бизнеса, который регулярно ведет клиентскую базу, использует CRM, работает с сотрудниками, запускает рекламу, использует программы лояльности и хранит историю коммуникаций, вопрос учета обработки нужно оценивать внимательно.

Даже если формальное исключение применимо, карта обработки остается полезным управленческим инструментом.

Без нее невозможно понять, где данные находятся, кто к ним имеет доступ, какие подрядчики участвуют, какие сроки хранения нужны и какие риски действительно критичны.

Практический план подготовки бизнеса

Подготовку не стоит начинать с копирования чужой политики конфиденциальности.

Начинать нужно с инвентаризации.

Сначала компания должна составить перечень всех систем, где могут находиться персональные данные: сайт, CRM, 1C, UDS, email, WhatsApp, Viber, Telegram, телефония, облачные сервисы, локальные компьютеры, Excel-файлы, бумажный архив, рекламные платформы и сервисы подрядчиков.

Затем нужно определить, какие данные используются в каждой системе, откуда они получены, для какой цели обрабатываются, на каком основании, кому передаются и сколько времени хранятся.

После этого необходимо проверить доступы. Кто видит клиентскую базу? Кто может выгружать данные? У кого есть администраторские права? Остались ли доступы у бывших сотрудников? Используются ли личные устройства? Есть ли двухфакторная аутентификация там, где она нужна?

Отдельно стоит проверить сайт и маркетинг: формы, cookies, аналитику, рекламные пиксели, рассылки, базы контактов, согласия, отписки и механизм отказа от прямого маркетинга.

Следующий шаг: поставщики. CRM, хостинг, UDS, телефония, email, облачные сервисы, бухгалтерия, IT-подрядчики и маркетинговые агентства должны быть включены в карту обработки. По ним нужно понимать роли сторон, договоры, субподрядчиков, меры безопасности и возможные международные передачи.

Затем нужно определить сроки хранения. Для каждой категории данных должен быть срок или понятный критерий. Часть документов хранится по закону. Часть данных можно удалить, ограничить или обезличить. Но бессрочное хранение “на всякий случай” становится слабым местом.

После этого внедряются процедуры: ответы на запросы физических лиц, исправление данных, прекращение маркетинговой обработки, удаление или ограничение информации, реакция на инциденты, документирование решений.

И наконец, сотрудники должны понимать свои действия. Менеджер должен знать, можно ли выгружать базу на личный компьютер. Бухгалтер должен понимать, кому разрешено отправлять документы. Руководитель должен контролировать закрытие доступов после увольнения. Маркетолог должен учитывать статус согласия и отказа от коммуникации.

Защита персональных данных начинается не с папки документов. Она начинается с поведения людей внутри компании.

Ответственность существует, но страх не является стратегией

Новый закон предусматривает серьезные санкции за нарушения. В зависимости от характера нарушения штрафы могут достигать значительных сумм, включая расчет от оборота компании.

Но бизнесу важно не превращать эту тему только в страх.

Страх приводит к двум ошибкам. Одни компании начинают паниковать и заказывают формальные документы, не меняя процессы. Другие откладывают вопрос, потому что он кажется слишком сложным.

Оба подхода опасны.

Цель закона не в том, чтобы запретить CRM, сайт, UDS, мессенджеры, рекламу или облачные сервисы. Цель в том, чтобы компании ответственно и прозрачно управляли информацией о людях.

Правильная стратегия бизнеса не паника, а поэтапная подготовка.

Соответствие не является одним документом

Рабочая система защиты персональных данных объединяет несколько контуров: правовой, управленческий, технический, организационный и документальный.

Юрист может подготовить формулировки и проверить правовые основания. Но юрист не всегда настроит права доступа в CRM, не изменит форму на сайте, не установит срок удаления лида и не закроет аккаунт бывшего сотрудника.

IT-специалист может защитить сервер. Но он не всегда определит законное основание маркетинговой обработки или правильный текст уведомления для клиента.

Маркетолог может настроить рекламу и рассылку. Но он должен понимать, откуда взялась база, есть ли разрешение на коммуникацию и что делать при отказе клиента.

HR может собирать данные кандидатов и сотрудников. Но ему нужны сроки хранения, доступы и порядок работы с документами.

Поэтому соответствие требует совместной работы руководства, юриста, IT, маркетинга, HR, бухгалтерии и сотрудников, которые ежедневно работают с данными.

Именно здесь многие компании сталкиваются с реальностью: защита персональных данных это не отдельный юридический файл. Это часть управления бизнесом.

Как бизнес может подойти к подготовке

Компании не нужно сразу перестраивать все за одну неделю. Более разумно начать с диагностики.

Диагностика должна показать, какие персональные данные обрабатывает компания, где они находятся, какие системы участвуют, какие подрядчики имеют доступ, какие процессы создают риск, какие документы отсутствуют и что нужно изменить в первую очередь.

Для бизнеса это удобный первый шаг. Он не останавливает работу компании, но дает понятную карту действий.

В такой диагностике важно проверить сайт, CRM, 1C, UDS, email, WhatsApp, телефонию, рекламные кабинеты, облачные сервисы, доступы сотрудников, договоры с поставщиками, маркетинговые согласия, сроки хранения, запросы субъектов данных и процедуру реагирования на инциденты.

После диагностики можно составить практический план: что исправить быстро, что требует юридической подготовки, что нужно настроить технически, какие процессы внедрить, какие документы подготовить и кого обучить внутри команды.

Роль Totul Digital

Totul Digital помогает компаниям связать требования законодательства с реальными цифровыми процессами бизнеса.

Практическая работа может включать инвентаризацию сайта, CRM, 1C, UDS и других систем, построение карты движения персональных данных, анализ доступов и интеграций, выявление технических и организационных рисков, настройку CRM-процессов, проверку форм, cookies и маркетинговых коммуникаций, подготовку сценариев удаления и ограничений, а также внедрение необходимых изменений совместно с профильными юридическими специалистами.

Это важно, потому что соответствие невозможно построить только на бумаге. Если в компании неправильно настроены доступы, нет карты данных, не фиксируются маркетинговые отказы, сотрудники используют личные мессенджеры, а формы сайта не соответствуют реальному процессу, даже хорошая политика конфиденциальности не решит проблему.

Первым этапом может стать диагностика. Она показывает, какие данные обрабатывает компания, где они находятся, какие риски являются критическими и что необходимо изменить до 23 августа 2026 года.

Частые вопросы

Когда вступает в силу новый закон о защите персональных данных в Молдове?

Закон №195/2024 о защите персональных данных вступает в силу 23 августа 2026 года. Он заменит действующий Закон №133/2011 и вводит более системный подход к обработке персональных данных, близкий к европейскому GDPR.

Кого касается защита персональных данных?

Она касается почти любого бизнеса, который работает с данными физических лиц. Это могут быть клиенты, сотрудники, кандидаты, представители компаний, поставщики, партнеры или пользователи сайта.

Если компания использует сайт, CRM, 1C, UDS, WhatsApp, email, телефонию, рекламные платформы или клиентские базы, она уже обрабатывает персональные данные.

Что считается персональными данными?

Персональными данными может быть любая информация, по которой можно прямо или косвенно идентифицировать человека. Например: имя, номер телефона, email, адрес, IDNP, должность, история покупок, переписка с менеджером, запись звонка, IP-адрес, cookies, данные о бонусах, фотографии, документы или информация о поведении клиента.

Достаточно ли разместить политику конфиденциальности на сайте?

Нет. Политика конфиденциальности важна, но она не заменяет реального порядка внутри компании.

Если сотрудники имеют избыточный доступ к CRM, бывшие сотрудники сохранили пароли, данные выгружаются в Excel, маркетинговые отказы не фиксируются, а информация клиентов хранится в личных мессенджерах менеджеров, один документ на сайте не решит проблему.

Политика должна описывать реальный процесс работы с данными.

Нужно ли получать согласие клиента на любую обработку данных?

Нет. Согласие является только одним из оснований обработки. В некоторых случаях данные могут обрабатываться для исполнения договора, выполнения юридической обязанности или на основании законного интереса компании.

Но если данные используются для маркетинга, профайлинга, передачи партнерам, публикации фотографий или других дополнительных целей, необходимо отдельно оценить законное основание и способ информирования человека.

Можно ли использовать CRM, UDS, WhatsApp и рекламные платформы после вступления закона в силу?

Да. Закон не запрещает использовать CRM, UDS, WhatsApp, email, телефонию, рекламу или облачные сервисы.

Вопрос не в запрете инструментов. Вопрос в том, чтобы компания понимала, какие данные собираются, зачем используются, кто имеет к ним доступ, где они хранятся, кому передаются и как защищаются.

Что нужно проверить на сайте?

На сайте нужно проверить формы заявок, cookies, аналитику, рекламные пиксели, чат-виджеты, callback-формы, подписки, личные кабинеты и интеграции с CRM.

Для каждой формы важно понимать, какие данные собираются, зачем они нужны, куда передаются, кто получает доступ и получает ли пользователь понятное уведомление.

Что нужно проверить в CRM?

В CRM нужно проверить источники данных, права доступа, роли сотрудников, возможность выгрузки базы, историю коммуникаций, записи звонков, сроки хранения, маркетинговые статусы, отказы от коммуникации и порядок удаления или ограничения данных.

CRM не должна быть складом контактов “на всякий случай”. Она должна стать управляемой системой работы с клиентскими данными.

Что делать, если клиент просит удалить свои данные?

Компания должна зарегистрировать запрос, подтвердить личность заявителя, найти его данные во всех системах, проверить законные основания хранения, выполнить удаление или ограничение там, где это возможно, и сохранить доказательство исполнения.

Если часть данных должна храниться по налоговому, бухгалтерскому или договорному основанию, компания должна объяснить это клиенту.

Что делать, если клиент отказался от маркетинговых сообщений?

Компания должна прекратить использовать его данные для прямого маркетинга. Это должно быть отражено не только в одной рассылке, но и во всех каналах коммуникации: CRM, email, SMS, WhatsApp, UDS, рекламных аудиториях и других системах.

Удалить контакт из одной рассылки недостаточно, если человек продолжает получать сообщения через другой канал.

Каждой ли компании нужен DPO?

Нет. Назначение отдельного специалиста по защите данных обязательно не для каждой компании. Такая обязанность зависит от характера, масштаба и рисков обработки.

Но даже если DPO не обязателен, компания должна определить, кто отвечает за тему персональных данных, запросы клиентов, доступы, подрядчиков, маркетинговые процессы и реакцию на инциденты.

Что считается утечкой персональных данных?

Утечка это не только хакерская атака. Инцидентом может быть потерянный ноутбук, украденный телефон, письмо не тому получателю, открытая ссылка на облачный документ, доступ бывшего сотрудника к CRM, выгрузка базы клиентов или ошибочная публикация файла.

Если инцидент может создать риск для прав и свобод человека, компания должна оценить ситуацию, зафиксировать ее и при необходимости уведомить компетентный орган.

С чего бизнесу начать подготовку?

Начать нужно с диагностики. Не с копирования чужой политики конфиденциальности, а с понимания реальной картины.

Компания должна определить, где находятся персональные данные, какие системы участвуют в обработке, кто имеет доступ, какие подрядчики подключены, какие данные используются для маркетинга, какие сроки хранения применяются и какие процессы нужно изменить до 23 августа 2026 года.

Что важно сделать сейчас

Если компания использует сайт, CRM, 1C, UDS, email, WhatsApp, телефонию, рекламные платформы или клиентские базы, она уже работает с персональными данными.

Не нужно отказываться от этих инструментов. Нужно понять:

какие данные собираются;
зачем они используются;
на каком основании;
кто имеет к ним доступ;
кому они передаются;
сколько времени хранятся;
как защищаются;
как компания выполнит запрос человека;
как бизнес отреагирует на инцидент.

Защита персональных данных должна стать не формальной папкой с документами, а частью нормального управления бизнесом.

Компании, которые начнут подготовку заранее, смогут избежать хаотичных изменений, распределить работу по этапам и войти в новый правовой режим с понятными процессами.

Если ваш бизнес использует website, CRM, 1C, UDS, WhatsApp, email, рекламу или клиентские базы, начните с диагностики систем и движения персональных данных. Она покажет реальные риски и позволит сформировать практический план внедрения без лишней бюрократии и остановки бизнеса.

Материал носит информационный характер и не заменяет индивидуальное юридическое заключение.

Недавние публикации

Главные символы поп-культуры XXI века: как экран изменил наше представление о реальности

Поп-культура XXI века отражает не только вкусы поколения. Она показывает, как изменились внимание, общение, публичность, искусство и само ощущение реальности.

Экономика открытого общества: архитектура процветания

История фонда Эндрю Карнеги и программа Great Immigrants, Great Americans напоминают: процветание создают общества, которые умеют превращать талант, знания и разнообразие опыта в развитие.

10 книг вне времени: летний выбор редакции

Лето подходит не только для поездок. Иногда главное путешествие начинается с книги, которая переносит в другую эпоху, другой город или чужую судьбу

Monteverdi Tuscany: деревня в Тоскане, где искусство становится путешествием

Monteverdi Tuscany — не просто отель в тосканской деревне, а место, где архитектура, музыка, искусство, гастрономия и пейзаж складываются в редкий опыт медленного путешествия.

Не пропустите

Главные символы поп-культуры XXI века: как экран изменил наше представление о реальности

Поп-культура XXI века отражает не только вкусы поколения. Она показывает, как изменились внимание, общение, публичность, искусство и само ощущение реальности.

Экономика открытого общества: архитектура процветания

История фонда Эндрю Карнеги и программа Great Immigrants, Great Americans напоминают: процветание создают общества, которые умеют превращать талант, знания и разнообразие опыта в развитие.

Вам может понравиться