Clientul completează un formular pe site. Numele și numărul lui de telefon ajung în CRM. Managerul continuă discuția pe WhatsApp. Informația despre comandă ajunge în 1C. După cumpărare, clientul primește bonusuri prin UDS. Platformele de publicitate folosesc datele pentru analiză, retargeting și comunicări repetate.
Pentru business, aceasta este o zi obișnuită de lucru.
Pentru lege, sunt mai multe operațiuni cu date cu caracter personal, care au loc simultan în sisteme diferite.
Aici începe problema. Multe companii nu văd imaginea completă. Conducerea vede site-ul, CRM-ul, contabilitatea, publicitatea, managerii, mesageria, furnizorii. Dar rareori vede cel mai important lucru: cum trec datele unei persoane prin tot businessul, cine are acces la ele, unde sunt stocate, în baza cărui temei sunt folosite și ce se întâmplă dacă un client cere ștergerea datelor sau oprirea mesajelor de marketing.
Din 23 august 2026, în Republica Moldova intră în vigoare Legea nr. 195/2024 privind protecția datelor cu caracter personal. Aceasta transpune în legislația națională principalele prevederi ale GDPR și schimbă modul în care companiile trebuie să gestioneze datele personale.
Aceasta nu înseamnă că până în august 2026 businessul nu are obligații. Datele cu caracter personal sunt deja protejate de legislația în vigoare. Noua lege crește nivelul cerințelor, responsabilitatea și nevoia de a demonstra că firma lucrează corect cu datele.
Sarcina principală a businessului nu este să renunțe la CRM, site, 1C, UDS, WhatsApp, email, publicitate sau servicii cloud. Sarcina este alta: să aducă lucrul cu datele personale într-o ordine clară, controlabilă și documentată.
Legea privește aproape orice business
Mulți antreprenori încă asociază datele personale doar cu pașapoarte, IDNP, documente medicale sau registre de stat.
În practică, zona este mult mai largă.
Datele cu caracter personal înseamnă orice informație care se referă la o persoană concretă sau care permite identificarea acesteia.
Aici pot intra numele și prenumele, numărul de telefon, emailul, adresa, IDNP, datele din documente, funcția reprezentantului unei companii, istoricul cumpărăturilor, corespondența cu managerul, înregistrarea unui apel, adresa IP, cookies, informații despre bonusuri, date despre angajați, fotografii, înregistrări video, informații de plată, interesele clientului și istoricul interacțiunii lui cu firma.
Chiar dacă businessul lucrează doar în B2B, el oricum procesează date ale persoanelor fizice. Este vorba despre directori, contabili, manageri, persoane de contact, reprezentanți ai clienților, angajați ai furnizorilor și partenerilor.
De aceea, protecția datelor cu caracter personal în Moldova nu privește doar băncile, clinicile, instituțiile publice sau magazinele online. Privește agenții imobiliare, saloane de frumusețe, centre medicale, companii de construcții, restaurante, proiecte educaționale, e-commerce, distribuitori, companii de servicii, departamente HR și orice business care ține o bază de clienți.
Dacă firma are site, CRM, fișiere Excel cu clienți, 1C, UDS, newslettere, conversații cu clienții pe WhatsApp sau pixeli de publicitate, ea se află deja în această temă.
Întrebarea principală: unde se află datele clientului
Una dintre cele mai periculoase iluzii în business sună așa: „Avem toate datele în CRM”.
În realitate, datele sunt aproape întotdeauna împărțite între mai multe sisteme. O parte se află pe site. O parte în CRM. O parte în 1C. O parte în WhatsApp. O parte în email. O parte la marketer. O parte în contul de publicitate. O parte la contabil. O parte în exporturi Excel. O parte în copii de rezervă. O parte la furnizori.
Iar când un client pune o întrebare simplă, „Ce date despre mine păstrați?”, în interiorul companiei poate începe o investigație complicată.
Problema nu este doar juridică. Este o problemă de management.
Dacă firma nu știe unde se află datele, nu poate gestiona normal accesurile, termenele de păstrare, riscurile, consimțămintele de marketing, ștergerea informației și reacția la incidente.
Site-ul: prima zonă de colectare a datelor
Site-ul este adesea primul loc unde clientul lasă date personale. Formular de contact, comandă online, abonare, cerere de consultație, cont personal, cookies, Google Analytics, Meta Pixel, formulare de rezervare, chat-widgeturi, callback, integrare cu CRM.
Pentru business, acestea sunt instrumente de vânzări și marketing. Pentru lege, sunt puncte de colectare și transmitere a datelor cu caracter personal.
Pentru fiecare formular trebuie să fie clar:
ce date se colectează;
de ce sunt necesare;
unde ajung după trimitere;
cine primește acces;
cât timp sunt păstrate;
dacă utilizatorul primește o informare clară;
dacă datele sunt folosite pentru marketing;
dacă sunt transmise către servicii externe.
Fraza „prin trimiterea formularului sunteți de acord cu tot” nu mai arată ca o protecție serioasă. Consimțământul trebuie să fie specific, informat și clar. Iar dacă datele sunt colectate în baza altui temei decât consimțământul, compania trebuie să știe care este acel temei legal.
Politica de confidențialitate de pe site trebuie să descrie procesul real. Dacă documentul spune că datele nu sunt transmise terților, dar site-ul folosește analytics, pixeli de publicitate, CRM, hosting, servicii de email marketing și widgeturi externe, politica poate să nu corespundă modului real de lucru.
CRM-ul: depozitul central care este adesea subestimat
CRM-ul devine de obicei locul principal unde se acumulează istoricul relației cu clientul.
Acolo se păstrează contacte, leaduri, tranzacții, companii, comentarii ale managerilor, corespondență, sarcini, înregistrări de apeluri, oferte comerciale, surse ale cererilor, statusuri, motive de refuz, istoric de plăți, note interne și uneori informații foarte sensibile.
CRM-ul ajută businessul să vândă. Dar, în același timp, creează o zonă serioasă de responsabilitate.
Compania trebuie să stabilească cine are acces la CRM, ce roluri au angajații, dacă poate fi exportată baza de clienți, cine vede telefoanele și emailurile, cine are acces la comentarii, cum se închide accesul după plecarea unui angajat, ce date sunt păstrate fără termen și ce date trebuie șterse sau limitate.
O atenție specială merită bazele reci. De exemplu, compania încarcă în CRM contacte din surse publice, liste de la parteneri, fișiere Excel vechi sau baze cumpărate. În acest caz, este important nu doar de unde provin datele, ci și ce obligații există privind informarea persoanei, dacă datele nu au fost obținute direct de la ea.
CRM-ul nu trebuie să fie un depozit unde se aruncă toate contactele „pentru orice eventualitate”. În noua abordare, CRM-ul trebuie să devină un sistem controlat, în care fiecare categorie de date are scop, temei, termen de păstrare și accesuri clare.
1C și sistemele contabile: datele despre care se uită des
Multe companii privesc 1C doar ca pe un instrument contabil. Dar și acolo pot exista date personale: angajați, reprezentanți ai clienților, furnizori, destinatari ai mărfurilor, plătitori, persoane de contact, adrese de livrare, facturi, contracte, acte, documente de plată.
Aici trebuie verificate rolurile utilizatorilor, accesul foștilor angajați, backupurile, exporturile în Excel, transmiterea datelor către contabil sau către o companie de outsourcing, păstrarea documentelor, arhivarea și ștergerea informației.
Trebuie separate două întrebări.
Prima întrebare: ce documente trebuie păstrate conform legislației contabile, fiscale sau de muncă.
A doua întrebare: ce date sunt păstrate pur și simplu pentru că „așa s-a obișnuit” sau „poate vor trebui cândva”.
Legea nu cere ștergerea tuturor datelor. Dar cere să fie clar de ce sunt păstrate, pentru cât timp și în baza cărui temei.
UDS și programele de loialitate: bonusurile țin tot de date personale
Programul de loialitate pare un instrument comod de marketing. Clientul primește bonusuri, compania vede cumpărările repetate, marketingul poate face oferte personalizate.
Dar UDS sau orice alt program de loialitate este tot un circuit de prelucrare a datelor cu caracter personal.
În funcție de setări, acolo pot exista numărul de telefon al clientului, numele, data nașterii, istoricul cumpărăturilor, soldul bonusurilor, nivelul de loialitate, segmentul clientului, preferințe și rezultatele comunicărilor de marketing.
Dacă sistemul analizează comportamentul persoanei, frecvența cumpărăturilor, interesele și preferințele, businessul trebuie să evalueze dacă apare un element de profilare.
Folosirea UDS nu este o încălcare în sine. Problema apare atunci când compania nu înțelege ce date colectează, de ce le folosește, cum reglementează mesajele de marketing, cum poate clientul să refuze comunicarea, cine are acces la profiluri și cum se face ștergerea sau corectarea informației.
Sistemul de bonusuri nu trebuie să devină o zonă gri, în care clientul nu înțelege ce se întâmplă cu datele lui.
WhatsApp, Viber, Telegram și email: datele ies din sistemul oficial
În realitate, multe vânzări în Moldova nu au loc doar în CRM. Ele au loc în WhatsApp, Viber, Telegram, email și convorbiri telefonice.
Clientul trimite numărul, adresa, fotografii, documente, facturi, contracte, date despre comandă. Managerul răspunde de pe telefonul de serviciu sau personal. Apoi o parte din informație ajunge în CRM, o parte rămâne în conversație, o parte este trimisă contabilului, o parte ajunge într-un chat cu livrarea sau cu un furnizor.
Pentru client, este un singur dialog cu firma.
Pentru companie, sunt deja mai multe locuri de stocare a datelor.
Aici trebuie stabilit dacă angajații pot folosi conturi și dispozitive personale, cum se închide accesul după plecarea unui angajat, unde se păstrează conversațiile, dacă pot fi trimise documente în chaturi personale, cum este mutată informația în sistemul oficial și ce se întâmplă dacă un client cere ștergerea datelor.
Cel mai neplăcut scenariu pentru business este simplu: angajatul pleacă, iar tot istoricul discuțiilor cu clienții rămâne în WhatsApp-ul lui personal.
Aceasta nu mai este doar o problemă de comoditate. Este o problemă de control asupra datelor și asupra relației cu clientul.
Telefonia și înregistrările apelurilor
Telefonia poate prelucra numărul clientului, ora apelului, numele managerului, rezultatul discuției și înregistrarea convorbirii.
Dacă apelurile sunt înregistrate, compania trebuie să stabilească scopul înregistrării, modul de informare, accesul la fișiere și termenul de păstrare. Înregistrările nu trebuie păstrate nelimitat doar pentru că sistemul permite tehnic acest lucru.
Este important de reținut: o înregistrare de apel poate conține nu doar nume și telefon. Poate conține adresă, detalii despre comandă, informații financiare, reclamații, date medicale, circumstanțe personale sau alte informații sensibile.
Cu cât compania înregistrează mai mult, cu atât sistemul de acces și păstrare trebuie să fie mai clar.
Servicii cloud și furnizori
Google Workspace, Microsoft 365, hosting, CRM-uri cloud, servicii de newslettere, telefonie, platforme de publicitate, integratori, contabili externalizați, agenții de marketing și servicii de automatizare pot participa la prelucrarea datelor cu caracter personal.
Aceasta înseamnă că furnizorul nu este întotdeauna doar o „companie tehnică”. El poate acționa la instrucțiunea operatorului de date sau poate avea un alt rol juridic.
Businessul trebuie să înțeleagă cine prelucrează datele, în ce scop, unde sunt stocate, dacă sunt implicați subcontractori, dacă există transfer internațional, ce măsuri de securitate se aplică și ce se întâmplă cu datele după încetarea contractului.
Folosirea soluțiilor cloud nu este o problemă în sine. Problema apare atunci când managementul nu știe prin ce servicii trec datele clienților și ale angajaților.
Ce cere de fapt noua lege
Legea nu interzice businessului să colecteze și să folosească date personale. Ea stabilește reguli.
Sensul acestor reguli poate fi spus simplu: datele trebuie folosite legal, transparent, pentru scopuri clare, în volum necesar, cu termen limitat de păstrare, cu protecție adecvată și cu posibilitatea de a demonstra că firma respectă cerințele.
Ultima parte este deosebit de importantă.
Nu este suficient să spui: „Noi lucrăm corect”.
Compania trebuie să poată demonstra acest lucru prin documente, setări ale sistemelor, contracte, proceduri, registre, reguli interne și acțiuni reale ale angajaților.
De aceea, protecția datelor cu caracter personal în Moldova devine nu doar o sarcină juridică. Este o sarcină de management. Ține de procese, disciplină, setări IT, marketing, HR, contabilitate și lucru cu furnizorii.
Consimțământul nu este necesar întotdeauna
Una dintre cele mai răspândite confuzii este ideea că pentru orice acțiune cu datele este nevoie de consimțământ.
În practică, legea prevede mai multe temeiuri de prelucrare. Poate fi consimțământul, executarea unui contract, îndeplinirea unei obligații legale, protejarea intereselor vitale, îndeplinirea unei sarcini de interes public sau interesul legitim al operatorului.
De exemplu, compania nu are nevoie de un consimțământ separat al clientului pentru a folosi datele de contact în vederea pregătirii unui contract sau executării unei comenzi. Angajatorul poate prelucra o parte din datele angajatului pentru îndeplinirea obligațiilor de muncă, fiscale și contabile.
Dar existența unui contract nu oferă automat dreptul de a folosi datele pentru orice scop. Mesajele publicitare, profilarea, publicarea fotografiilor, transmiterea bazei către parteneri sau folosirea datelor în scenarii noi de marketing trebuie analizate separat.
Dacă firma folosește consimțământul ca temei, trebuie să poată demonstra când, cum și pentru ce a consimțit persoana. Consimțământul trebuie să fie liber, specific, informat și lipsit de ambiguitate. Persoana trebuie să îl poată retrage la fel de simplu cum l-a oferit.
Marketing direct: baza de clienți nu este un activ etern
Multe companii privesc baza de clienți ca pe un activ care poate fi folosit la nesfârșit.
Persoana a lăsat odată numărul. Deci îi putem scrie pe WhatsApp. A cumpărat un produs. Deci îi putem trimite promoții. A fost în CRM. Deci rămâne în newsletter.
Această abordare devine tot mai riscantă.
Persoana are dreptul să se opună prelucrării datelor sale pentru marketing direct. După o astfel de opoziție, compania trebuie să înceteze folosirea datelor respective în acest scop.
În practică, CRM-ul și sistemele de newsletter trebuie să susțină statusuri clare: comunicare de marketing permisă, client dezabonat, client care s-a opus marketingului direct, comunicare limitată, sursa permisiunii cunoscută, data obținerii înregistrată, textul consimțământului păstrat.
Nu este suficient să scoți contactul dintr-un singur newsletter, dacă aceeași persoană continuă să primească mesaje prin alt canal.
Dacă un client a refuzat marketingul, acest lucru trebuie să fie vizibil în tot sistemul: CRM, email, SMS, WhatsApp, audiențe de publicitate, UDS și alte instrumente.
Drepturile persoanei: businessul trebuie să fie pregătit să răspundă
Persoana vizată poate cere informații despre faptul dacă firma îi prelucrează datele, în ce scopuri, ce categorii de date sunt folosite, cui au fost transmise și cât timp vor fi păstrate.
De asemenea, persoana poate cere rectificarea, ștergerea, restricționarea prelucrării, portabilitatea datelor sau se poate opune unei anumite prelucrări.
De regulă, compania trebuie să răspundă fără întârzieri nejustificate, dar nu mai târziu de o lună. În cazuri complexe, termenul poate fi prelungit, însă persoana trebuie informată la timp despre motive.
Pentru business, aceasta înseamnă un lucru: este nevoie de o procedură internă.
Nu este suficient să pui un formular pe site. Trebuie să fie clar cine primește cererea, cum se verifică identitatea solicitantului, cine caută datele, ce sisteme sunt verificate, cum sunt luate în calcul drepturile altor persoane, cine pregătește răspunsul, cine execută ștergerea sau restricționarea și unde se păstrează dovada executării.
Dacă datele unei persoane se află simultan în CRM, 1C, UDS, WhatsApp, email, telefonie și backupuri, executarea unei astfel de cereri fără un proces stabilit din timp va fi dificilă.
În perioade liniștite, acest lucru poate părea birocrație. În momentul unei cereri reale, devine clar că este vorba despre control.
Scurgerea de date nu înseamnă doar atac cibernetic
Când businessul aude cuvântul „scurgere”, mulți se gândesc la un atac cibernetic major. Dar incidentele arată adesea mult mai simplu.
Laptop pierdut. Telefon furat. Email trimis destinatarului greșit. Link deschis către un document cloud. Acces al unui fost angajat la CRM. Export al bazei de clienți în Excel. Publicare greșită a unui document. Virus pe calculator. Ștergere de date fără posibilitate de recuperare.
Dacă o încălcare de securitate poate crea risc pentru drepturile și libertățile persoanelor fizice, compania trebuie să evalueze situația și, dacă este necesar, să notifice Centrul Național pentru Protecția Datelor cu Caracter Personal fără întârzieri nejustificate, pe cât posibil în cel mult 72 de ore din momentul în care a aflat despre incident.
Aceasta cere o procedură de reacție.
Angajații trebuie să știe cui raportează problema. Persoanele responsabile trebuie să poată opri răspândirea datelor, evalua riscul, documenta circumstanțele, lua măsuri și decide dacă este necesară notificarea.
Cea mai mare greșeală a businessului în astfel de situații este să tacă, să spere că „trece de la sine” și să nu documenteze ce s-a întâmplat.
Are nevoie fiecare companie de DPO
Nu fiecare companie este obligată să numească o persoană separată responsabilă de protecția datelor.
Această obligație apare în anumite situații, de exemplu când activitatea principală cere monitorizarea regulată și sistematică la scară largă a persoanelor sau implică prelucrarea la scară largă a unor categorii speciale de date.
Dar chiar dacă o funcție separată nu este obligatorie, responsabilitatea nu dispare.
Compania trebuie să stabilească cine răspunde intern de tema datelor personale, cine coordonează cererile, cine controlează accesurile, cine lucrează cu furnizorii, cine verifică procesele de marketing și cine participă la reacția la incidente.
Pentru multe companii mici și mijlocii, o soluție rezonabilă poate fi un specialist extern sau o diagnosticare de proiect, urmată de implementarea procedurilor.
Este suficientă politica de confidențialitate de pe site
Nu.
Politica de confidențialitate este importantă, dar nu înlocuiește ordinea reală.
Documentul de pe site nu va rezolva problema dacă toți angajații au acces complet la CRM, foștii angajați au păstrat parolele, baza de clienți este exportată în Excel, datele sunt păstrate nelimitat în 1C, refuzurile de marketing nu sunt înregistrate, furnizorii nu sunt verificați, formularele de pe site nu corespund fluxului real de date, iar angajații trimit documente ale clienților prin mesagerie personală.
Politica trebuie să descrie realitatea, nu o imagine frumoasă.
Dacă în document scrie una, iar în business se întâmplă alta, riscul crește. Mai ales dacă un client, angajat sau autoritatea de control pune o întrebare concretă: unde sunt datele mele, de ce le folosiți și cui le-ați transmis?
Este necesar registrul activităților de prelucrare
Legea prevede evidența activităților de prelucrare a datelor. În această evidență sunt indicate scopurile, categoriile de persoane vizate, categoriile de date, destinatarii, transferurile internaționale, termenele de ștergere și măsurile de securitate.
Pentru organizațiile cu mai puțin de 250 de angajați există anumite excepții. Dar aceste excepții nu funcționează automat în toate situațiile, mai ales dacă prelucrarea nu este ocazională, poate crea risc sau include categorii speciale de date.
Pentru un business care ține regulat o bază de clienți, folosește CRM, lucrează cu angajați, lansează publicitate, folosește programe de loialitate și păstrează istoricul comunicărilor, tema evidenței activităților de prelucrare trebuie evaluată atent.
Chiar dacă o excepție formală se aplică, harta prelucrării rămâne un instrument util de management.
Fără ea este greu de înțeles unde sunt datele, cine are acces, ce furnizori sunt implicați, ce termene de păstrare sunt necesare și care riscuri sunt cu adevărat critice.
Plan practic de pregătire pentru business
Pregătirea nu ar trebui să înceapă cu copierea unei politici de confidențialitate de pe internet.
Ar trebui să înceapă cu inventarierea.
Mai întâi, compania trebuie să facă o listă cu toate sistemele în care pot exista date cu caracter personal: site, CRM, 1C, UDS, email, WhatsApp, Viber, Telegram, telefonie, servicii cloud, calculatoare locale, fișiere Excel, arhivă pe hârtie, platforme de publicitate și servicii ale furnizorilor.
Apoi trebuie stabilit ce date sunt folosite în fiecare sistem, de unde provin, în ce scop sunt prelucrate, în baza cărui temei, cui sunt transmise și cât timp se păstrează.
După aceasta trebuie verificate accesurile. Cine vede baza de clienți? Cine poate exporta date? Cine are drepturi de administrator? Au rămas accesuri la foști angajați? Se folosesc dispozitive personale? Există autentificare în doi pași acolo unde este necesară?
Separat trebuie verificate site-ul și marketingul: formulare, cookies, analytics, pixeli de publicitate, newslettere, baze de contacte, consimțăminte, dezabonări și mecanismul de refuz al marketingului direct.
Următorul pas sunt furnizorii. CRM, hosting, UDS, telefonie, email, servicii cloud, contabilitate, furnizori IT și agenții de marketing trebuie incluși în harta prelucrării. Pentru fiecare trebuie înțelese rolurile părților, contractele, subcontractorii, măsurile de securitate și eventualele transferuri internaționale.
Apoi trebuie stabilite termenele de păstrare. Pentru fiecare categorie de date trebuie să existe un termen sau un criteriu clar. O parte din documente se păstrează conform legii. O parte din date pot fi șterse, limitate sau anonimizate. Dar păstrarea nelimitată „pentru orice eventualitate” devine un punct slab.
După aceasta se implementează proceduri: răspunsuri la cererile persoanelor fizice, rectificarea datelor, oprirea prelucrării pentru marketing, ștergerea sau restricționarea informației, reacția la incidente, documentarea deciziilor.
În final, angajații trebuie să înțeleagă ce au de făcut. Managerul trebuie să știe dacă poate exporta baza pe computerul personal. Contabilul trebuie să știe cui poate trimite documente. Directorul trebuie să controleze închiderea accesurilor după plecarea unui angajat. Marketerul trebuie să țină cont de statusul consimțământului și al refuzului de comunicare.
Protecția datelor personale nu începe cu o mapă de documente. Începe cu comportamentul oamenilor din companie.
Responsabilitatea există, dar frica nu este o strategie
Noua lege prevede sancțiuni serioase pentru încălcări. În funcție de caracterul încălcării, amenzile pot ajunge la sume importante, inclusiv la calcul în funcție de cifra de afaceri a companiei.
Dar businessul nu trebuie să transforme această temă doar în frică.
Frica duce la două greșeli. Unele companii intră în panică și comandă documente formale, fără să schimbe procesele. Altele amână subiectul, pentru că pare prea complicat.
Ambele abordări sunt periculoase.
Scopul legii nu este să interzică CRM-ul, site-ul, UDS, mesageria, publicitatea sau serviciile cloud. Scopul este ca firmele să gestioneze responsabil și transparent informațiile despre oameni.
Strategia corectă nu este panica. Este pregătirea pe etape.
Conformitatea nu este un singur document
Un sistem funcțional de protecție a datelor personale unește mai multe zone: juridică, managerială, tehnică, organizațională și documentară.
Juristul poate pregăti formulări și verifica temeiurile legale. Dar juristul nu va seta întotdeauna drepturile de acces în CRM, nu va modifica formularul de pe site, nu va stabili termenul de ștergere a unui lead și nu va închide contul unui fost angajat.
Specialistul IT poate proteja serverul. Dar nu întotdeauna va stabili temeiul legal al comunicărilor de marketing sau textul corect al informării pentru client.
Marketerul poate seta publicitate și newslettere. Dar trebuie să știe de unde provine baza, dacă există permisiune pentru comunicare și ce trebuie făcut când clientul refuză marketingul.
HR-ul poate colecta date ale candidaților și angajaților. Dar are nevoie de termene de păstrare, accesuri și reguli clare pentru documente.
De aceea, conformitatea cere lucru comun între conducere, jurist, IT, marketing, HR, contabilitate și angajații care lucrează zilnic cu date.
Aici multe companii întâlnesc realitatea: protecția datelor cu caracter personal nu este un fișier juridic separat. Este parte din managementul businessului.
Cum poate începe pregătirea
Compania nu trebuie să reconstruiască totul într-o singură săptămână. Mai rezonabil este să înceapă cu o diagnosticare.
Diagnosticarea trebuie să arate ce date personale prelucrează compania, unde se află, ce sisteme participă, ce furnizori au acces, ce procese creează risc, ce documente lipsesc și ce trebuie schimbat în primul rând.
Pentru business, acesta este un prim pas comod. Nu oprește activitatea companiei, dar oferă o hartă clară de acțiuni.
Într-o astfel de diagnosticare este important să fie verificate site-ul, CRM-ul, 1C, UDS, emailul, WhatsApp-ul, telefonia, conturile de publicitate, serviciile cloud, accesurile angajaților, contractele cu furnizorii, consimțămintele de marketing, termenele de păstrare, cererile persoanelor vizate și procedura de reacție la incidente.
După diagnosticare poate fi creat un plan practic: ce se corectează rapid, ce necesită pregătire juridică, ce trebuie setat tehnic, ce procese trebuie introduse, ce documente trebuie pregătite și cine trebuie instruit în echipă.
Rolul Totul Digital
Totul Digital ajută companiile să lege cerințele legislației de procesele digitale reale ale businessului.
Lucrul practic poate include inventarierea site-ului, CRM-ului, 1C, UDS și a altor sisteme, construirea hărții fluxului de date personale, analiza accesurilor și integrațiilor, identificarea riscurilor tehnice și organizaționale, setarea proceselor CRM, verificarea formularelor, cookies și comunicărilor de marketing, pregătirea scenariilor de ștergere și restricționare, precum și implementarea schimbărilor necesare împreună cu specialiști juridici de profil.
Acest lucru este important, pentru că nu poți construi conformitatea doar pe hârtie. Dacă în companie accesurile sunt setate greșit, nu există hartă a datelor, refuzurile de marketing nu sunt înregistrate, angajații folosesc mesageria personală, iar formularele de pe site nu corespund procesului real, nici cea mai bună politică de confidențialitate nu va rezolva problema.
Primul pas poate fi diagnosticarea. Ea arată ce date prelucrează compania, unde se află, care riscuri sunt critice și ce trebuie schimbat până la 23 august 2026.
Întrebări frecvente
Când intră în vigoare noua lege privind protecția datelor personale în Moldova?
Legea nr. 195/2024 privind protecția datelor cu caracter personal intră în vigoare la 23 august 2026. Ea va înlocui Legea nr. 133/2011 și introduce o abordare mai sistemică a prelucrării datelor personale, apropiată de GDPR.
Pe cine vizează protecția datelor personale?
Vizează aproape orice business care lucrează cu date ale persoanelor fizice. Acestea pot fi clienți, angajați, candidați, reprezentanți ai companiilor, furnizori, parteneri sau utilizatori ai site-ului.
Dacă firma folosește site, CRM, 1C, UDS, WhatsApp, email, telefonie, platforme de publicitate sau baze de clienți, ea prelucrează deja date personale.
Ce se consideră date cu caracter personal?
Date cu caracter personal poate fi orice informație prin care o persoană poate fi identificată direct sau indirect. De exemplu: nume, număr de telefon, email, adresă, IDNP, funcție, istoric de cumpărături, corespondență cu managerul, înregistrare de apel, IP, cookies, date despre bonusuri, fotografii, documente sau informații despre comportamentul clientului.
Este suficientă politica de confidențialitate de pe site?
Nu. Politica de confidențialitate este importantă, dar nu înlocuiește ordinea reală din interiorul companiei.
Dacă angajații au acces excesiv la CRM, foștii angajați au păstrat parolele, datele sunt exportate în Excel, refuzurile de marketing nu sunt înregistrate, iar informațiile clienților sunt păstrate în mesageria personală a managerilor, un singur document pe site nu rezolvă problema.
Politica trebuie să descrie procesul real de lucru cu datele.
Trebuie consimțământul clientului pentru orice prelucrare?
Nu. Consimțământul este doar unul dintre temeiurile de prelucrare. În unele cazuri, datele pot fi prelucrate pentru executarea unui contract, îndeplinirea unei obligații legale sau în baza interesului legitim al companiei.
Dar dacă datele sunt folosite pentru marketing, profilare, transmitere către parteneri, publicarea fotografiilor sau alte scopuri suplimentare, trebuie evaluat separat temeiul legal și modul de informare a persoanei.
Pot fi folosite CRM, UDS, WhatsApp și platformele de publicitate după intrarea în vigoare a legii?
Da. Legea nu interzice folosirea CRM-ului, UDS, WhatsApp, email, telefoniei, publicității sau serviciilor cloud.
Întrebarea nu este dacă aceste instrumente sunt interzise. Întrebarea este dacă firma înțelege ce date colectează, de ce le folosește, cine are acces, unde sunt păstrate, cui sunt transmise și cum sunt protejate.
Ce trebuie verificat pe site?
Pe site trebuie verificate formularele de cerere, cookies, analytics, pixelii de publicitate, chat-widgeturile, formularele callback, abonările, conturile personale și integrările cu CRM.
Pentru fiecare formular este important să fie clar ce date se colectează, de ce sunt necesare, unde ajung, cine primește acces și dacă utilizatorul primește o informare clară.
Ce trebuie verificat în CRM?
În CRM trebuie verificate sursele datelor, drepturile de acces, rolurile angajaților, posibilitatea de export a bazei, istoricul comunicărilor, înregistrările de apeluri, termenele de păstrare, statusurile de marketing, refuzurile de comunicare și procedura de ștergere sau restricționare a datelor.
CRM-ul nu trebuie să fie un depozit de contacte „pentru orice eventualitate”. Trebuie să devină un sistem controlat de lucru cu datele clienților.
Ce trebuie făcut dacă un client cere ștergerea datelor?
Compania trebuie să înregistreze cererea, să confirme identitatea solicitantului, să găsească datele în toate sistemele, să verifice temeiurile legale de păstrare, să execute ștergerea sau restricționarea acolo unde este posibil și să păstreze dovada executării.
Dacă o parte din date trebuie păstrată în baza unor obligații fiscale, contabile sau contractuale, compania trebuie să explice acest lucru clientului.
Ce trebuie făcut dacă un client refuză mesajele de marketing?
Compania trebuie să înceteze folosirea datelor lui pentru marketing direct. Acest lucru trebuie reflectat nu doar într-un newsletter, ci în toate canalele de comunicare: CRM, email, SMS, WhatsApp, UDS, audiențe de publicitate și alte sisteme.
Nu este suficient să scoți contactul dintr-o singură listă, dacă persoana continuă să primească mesaje prin alt canal.
Are nevoie fiecare companie de DPO?
Nu. Numirea unei persoane responsabile de protecția datelor nu este obligatorie pentru fiecare companie. Obligația depinde de natura, amploarea și riscurile prelucrării.
Dar chiar dacă DPO nu este obligatoriu, compania trebuie să stabilească cine răspunde de datele personale, cererile clienților, accesuri, furnizori, procese de marketing și reacția la incidente.
Ce este o scurgere de date personale?
O scurgere nu este doar un atac cibernetic. Incident poate fi un laptop pierdut, un telefon furat, un email trimis persoanei greșite, un link deschis către un document cloud, accesul unui fost angajat la CRM, exportul bazei de clienți sau publicarea greșită a unui fișier.
Dacă incidentul poate crea risc pentru drepturile și libertățile persoanei, compania trebuie să evalueze situația, să o documenteze și, dacă este necesar, să notifice autoritatea competentă.
De unde trebuie să înceapă businessul pregătirea?
Primul pas este diagnosticarea. Nu copierea unei politici de confidențialitate, ci înțelegerea imaginii reale.
Compania trebuie să stabilească unde se află datele personale, ce sisteme participă la prelucrare, cine are acces, ce furnizori sunt conectați, ce date sunt folosite pentru marketing, ce termene de păstrare se aplică și ce procese trebuie schimbate până la 23 august 2026.
Ce este important de făcut acum
Dacă o companie folosește site, CRM, 1C, UDS, email, WhatsApp, telefonie, platforme de publicitate sau baze de clienți, ea lucrează deja cu date cu caracter personal.
Nu trebuie să renunțe la aceste instrumente. Trebuie să înțeleagă:
ce date colectează;
de ce sunt folosite;
în baza cărui temei;
cine are acces la ele;
cui sunt transmise;
cât timp sunt păstrate;
cum sunt protejate;
cum va răspunde compania la cererea unei persoane;
cum va reacționa businessul la un incident.
Protecția datelor cu caracter personal trebuie să devină nu o mapă formală cu documente, ci parte din managementul normal al businessului.
Companiile care încep pregătirea din timp vor putea evita schimbările haotice, vor putea împărți lucrul pe etape și vor intra în noul regim juridic cu procese clare.
Dacă businessul dvs. folosește website, CRM, 1C, UDS, WhatsApp, email, publicitate sau baze de clienți, începeți cu o diagnosticare a sistemelor și a fluxului de date personale. Aceasta va arăta riscurile reale și va permite formarea unui plan practic de implementare, fără birocrație inutilă și fără oprirea activității.
Materialul are caracter informativ și nu înlocuiește o opinie juridică individuală.

