Din 23 august 2026, în Republica Moldova intră în vigoare Legea nr. 195/2024 privind protecția datelor cu caracter personal. Până la această dată, continuă să se aplice Legea nr. 133/2011. Noul cadru legislativ apropie regulile din Republica Moldova de abordarea europeană GDPR și schimbă modul în care companiile trebuie să trateze datele personale.
Pentru business, întrebarea principală nu mai este dacă există o pagină de tip „Politica de confidențialitate” pe site. Mult mai important este dacă firma știe ce date colectează, de ce le colectează, în baza cărui temei juridic, cât timp le păstrează, cui le transmite și cum poate demonstra că aceste reguli sunt respectate în practică.
Noile cerințe nu se referă doar la companiile IT. Date cu caracter personal există în aproape orice afacere care lucrează cu clienți, angajați, candidați, site-uri, CRM, campanii de email marketing, mesagerii, camere de supraveghere, contabilitate sau furnizori externi.
Primul pas: înțelegeți ce date personale are deja compania
Datele cu caracter personal nu înseamnă doar IDNP, copia buletinului sau date bancare. Pentru o companie obișnuită, acestea pot include numele clienților, numere de telefon, adrese de email, adrese de livrare, istoricul comenzilor, date despre angajați, CV-uri ale candidaților, înregistrări video, conversații în mesagerii, informații din CRM, date de plată și alte informații prin care o persoană poate fi identificată direct sau indirect.
Primul pas practic pentru o companie este crearea unei hărți simple a datelor. În această evidență trebuie notat ce date sunt colectate, unde sunt stocate, cine are acces la ele și ce furnizori externi le primesc.
Pentru întreprinderile mici și mijlocii, acest proces nu trebuie să înceapă neapărat cu un audit juridic complex. De multe ori este suficient un tabel clar, împărțit pe procesele principale ale companiei: vânzări, livrare, HR, email marketing, supraveghere video, suport clienți, contabilitate și colaborarea cu furnizorii.
În această hartă ar trebui indicate:
ce date sunt colectate;
unde sunt păstrate;
cine are acces în interiorul companiei;
căror furnizori sau parteneri le sunt transmise;
cât timp sunt păstrate;
cine răspunde de ștergere sau de limitarea accesului.
Aceasta este baza reală a pregătirii. Dacă o companie nu știe unde se află datele, nu poate actualiza corect documentele, nu poate organiza securitatea și nu poate răspunde eficient unei persoane care cere acces, rectificare sau ștergerea datelor.
O politică de confidențialitate nu este suficientă
Politica de confidențialitate rămâne un document important, dar ea nu face automat legală prelucrarea datelor. Noua logică se bazează pe principii precum legalitatea, transparența, limitarea scopului, minimizarea datelor, exactitatea, limitarea stocării, confidențialitatea și responsabilitatea operatorului.
În practică, firma trebuie să verifice mai multe lucruri esențiale. Există un scop clar pentru fiecare categorie de date? Nu se colectează mai multe date decât este necesar? A fost ales corect temeiul juridic al prelucrării? Persoana este informată ce date sunt colectate, de ce, cât timp sunt păstrate și ce drepturi are?
O atenție specială trebuie acordată consimțământului. Multe companii îl folosesc automat pentru orice situație, deși acest lucru nu este întotdeauna corect. Datele necesare pentru executarea unui contract cu clientul, datele cerute de obligațiile contabile și datele folosite pentru email marketing pot avea temeiuri juridice diferite.
Prin urmare, o formulare generală de tipul „sunt de acord cu prelucrarea datelor personale” nu rezolvă toate problemele. Companiile trebuie să treacă de la abordarea formală la un sistem administrat: datele se colectează doar atunci când sunt necesare, se folosesc doar pentru scopuri clare și se păstrează doar atât timp cât este justificat.
Drepturile persoanelor cer proceduri interne clare
Legea nr. 195/2024 consolidează rolul persoanei vizate. Este vorba despre dreptul la informare, acces, rectificare, ștergere și alte drepturi pe care companiile trebuie să le ia în considerare în activitatea lor.
Dacă o persoană trimite o solicitare privind datele sale, compania nu o poate ignora și nu poate răspunde informal că „se ocupă juristul”. Solicitarea trebuie înregistrată, analizată și tratată în termenul prevăzut de lege.
De aceea, până în august 2026, companiile ar trebui să stabilească o procedură internă simplă. Aceasta trebuie să răspundă la câteva întrebări practice:
la ce adresă de email sau pe ce canal se primesc solicitările privind datele personale;
cine din companie le verifică;
cum se confirmă identitatea solicitantului, dacă există riscul de a transmite date unei persoane greșite;
unde se fixează data primirii solicitării;
cine decide dacă datele se șterg, se corectează sau se oferă un răspuns parțial;
cum se păstrează dovada că răspunsul a fost transmis.
Acest aspect este important mai ales pentru companiile cu vânzări active, procese HR, email marketing și suport pentru clienți. O solicitare de tipul „ștergeți datele mele” poate ajunge la un manager de vânzări, într-un mesaj pe Instagram, la un operator de chat sau la un specialist HR. Dacă echipa nu știe ce trebuie să facă, termenul poate fi pierdut foarte ușor.
Furnizorii externi devin o zonă importantă de risc
Multe companii transmit date personale către furnizori externi. Poate fi vorba despre contabil, suport IT, agenție de marketing, serviciu de email marketing, furnizor cloud, integrator CRM, administrator de site sau companie care gestionează sistemul de supraveghere video.
Este important de înțeles că, dacă datele ajung la un furnizor, responsabilitatea companiei nu dispare. Operatorul trebuie să știe cine prelucrează datele în numele său, ce date primește furnizorul, unde sunt păstrate, ce măsuri de securitate sunt aplicate și ce se întâmplă cu datele după încetarea contractului.
Până la intrarea în vigoare a noii legi, companiile ar trebui să verifice contractele existente și să includă prevederi clare privind protecția datelor cu caracter personal. În cazurile simple, poate fi suficientă o clauză separată. În procese mai complexe, poate fi necesar un acord detaliat privind prelucrarea datelor.
O atenție specială merită serviciile care se află în afara Republicii Moldova sau folosesc infrastructură internațională. Aici pot intra sistemele CRM, platformele de email marketing, serviciile cloud, instrumentele de analiză, chatboturile și alte soluții digitale.
DPO nu este obligatoriu pentru toți, dar responsabilitatea trebuie să existe
Una dintre întrebările pe care multe companii și le vor pune este dacă trebuie să desemneze un responsabil cu protecția datelor, cunoscut și ca DPO.
Răspunsul nu trebuie simplificat. Nu orice companie este obligată să desemneze un DPO. Obligația depinde de natura activității, volumul prelucrărilor, tipul datelor și alte criterii. De aceea, abordarea corectă nu este numirea formală a unei persoane „pentru orice eventualitate”, ci verificarea situației reale a companiei.
Chiar dacă DPO nu este obligatoriu, în interiorul companiei trebuie să existe o persoană responsabilă de procesele legate de protecția datelor. Cine verifică accesurile? Cine răspunde la solicitările persoanelor? Cine verifică furnizorii? Cine decide ce se face în cazul unei scurgeri de date sau al unei trimiteri greșite a unei baze de clienți?
Pentru o companie mică, această responsabilitate poate fi gestionată de administrator, de un manager, de un jurist extern sau de un angajat desemnat. Important este ca responsabilitatea să nu rămână „între toți”, pentru că în practică aceasta înseamnă că nimeni nu controlează procesul.
Un incident nu înseamnă doar un atac cibernetic
Un alt bloc important ține de incidentele de securitate. Mulți antreprenori cred că un incident înseamnă doar spargerea site-ului sau un atac cibernetic. În realitate, riscurile sunt mult mai largi.
Un incident poate fi trimiterea bazei de clienți către un destinatar greșit, pierderea unui laptop, accesul public la un fișier din Google Drive, o parolă slabă, un fost angajat care încă are acces la CRM, o eroare într-o campanie de email sau publicarea accidentală a unui document cu date personale.
Până în august 2026, companiile ar trebui să pregătească o procedură scurtă pentru astfel de situații:
cine primește informația despre incident;
cum se limitează rapid accesul;
cine verifică ce date au fost afectate;
când trebuie informate persoanele sau autoritatea competentă;
cum se documentează decizia luată.
Această procedură nu trebuie să fie complicată. Dar trebuie să existe înainte ca problema să apară.
Ce ar trebui să facă firmele până la 23 august 2026
Pregătirea nu ar trebui lăsată pentru ultima săptămână. Pentru majoritatea companiilor, un plan rezonabil poate fi împărțit în trei etape.
În prima etapă, compania trebuie să facă ordine în date. Asta înseamnă să creeze harta prelucrărilor, să elimine câmpurile inutile din formulare, să verifice accesurile la CRM, cloud, email, programe contabile și camere video, precum și să desemneze o persoană responsabilă de protecția datelor.
În a doua etapă, trebuie actualizate documentele. Este vorba despre nota de informare sau politica de confidențialitate de pe site, formularele de consimțământ acolo unde ele sunt într-adevăr necesare, regulile interne de păstrare a datelor, contractele sau clauzele cu furnizorii, procedura de răspuns la solicitările persoanelor și instrucțiunea pentru incidente.
În a treia etapă, trebuie verificate procesele cu risc mai mare: email marketing, baze HR, supraveghere video, servicii transfrontaliere, stocare cloud, prelucrarea datelor copiilor sau a datelor sensibile, dacă acestea există. Pentru aceste procese poate fi necesară o analiză juridică mai detaliată, inclusiv verificarea necesității unui DPO sau a unei evaluări de impact.
Concluzie
Legea nr. 195/2024 nu este doar despre documente. Ea este despre capacitatea unei companii de a controla întregul ciclu de prelucrare a datelor: de la colectare până la ștergere sau transmitere către un furnizor.
Pentru business, aceasta nu este o cauză de panică. Dar este un motiv serios pentru o revizie făcută din timp. Dacă o companie are site, CRM, email marketing, camere video, bază HR sau furnizori cu acces la datele clienților, aceste procese trebuie verificate înainte de 23 august 2026.
Cu cât firma face ordine mai devreme, cu atât tranziția la noile reguli va fi mai calmă, mai ieftină și mai ușor de administrat.
Întrebări frecvente
Pe cine vizează noua lege privind protecția datelor?
Legea nu vizează doar companiile IT. Ea se aplică oricărei companii care prelucrează date ale persoanelor fizice: clienți, angajați, candidați, utilizatori ai site-ului, abonați la newsletter sau parteneri persoane fizice.
Toate companiile trebuie să desemneze un DPO?
Nu. Obligația depinde de natura activității, volumul prelucrărilor și tipul datelor. Totuși, chiar dacă DPO nu este obligatoriu, compania trebuie să aibă o persoană responsabilă de procesele privind protecția datelor.
Este suficientă actualizarea politicii de confidențialitate?
Nu. Politica de confidențialitate este importantă, dar nu este suficientă. Compania trebuie să știe ce date colectează, de ce, unde le păstrează, cui le transmite, cum le protejează și cum răspunde la solicitările persoanelor.
Ce trebuie verificat în primul rând?
În primul rând trebuie verificate site-ul, CRM-ul, formularele de contact, email marketingul, bazele HR, camerele video, accesurile angajaților, stocarea cloud și contractele cu furnizorii care primesc date personale.
Trebuie companiile să se pregătească deja?
Da. Legea intră în vigoare la 23 august 2026, dar pregătirea necesită timp. Mai ales dacă firma nu are o hartă a datelor, reguli de păstrare, control al accesului, procedură pentru solicitările persoanelor și instrucțiuni pentru incidente.