23 августа 2026 года в Молдове вступает в силу Закон №195/2024 о защите персональных данных. До этой даты продолжает применяться действующий Закон №133/2011. Новый режим приближает молдавские правила к европейскому GDPR-подходу и меняет саму логику отношения бизнеса к персональным данным.
Главный вопрос больше не в том, есть ли у компании страница “Privacy Policy” на сайте. Важнее другое: какие данные бизнес собирает, зачем он это делает, на каком основании, сколько хранит, кому передает и может ли доказать, что эти правила реально применяются.
Новые требования касаются не только IT-компаний. Персональные данные есть почти у любого бизнеса, который работает с клиентами, сотрудниками, кандидатами, сайтами, CRM, рассылками, мессенджерами, видеонаблюдением, бухгалтерией или внешними подрядчиками.
Сначала нужно понять, какие данные уже есть у бизнеса
Персональные данные это не только IDNP, копия паспорта или банковская информация. Для обычной компании это могут быть имена клиентов, телефоны, email, адреса доставки, история заказов, данные сотрудников, резюме кандидатов, записи камер, переписка в мессенджерах, CRM-записи, платежная информация и другие сведения, по которым можно прямо или косвенно идентифицировать человека.
Первый практический шаг для бизнеса: составить простую карту данных. В ней нужно зафиксировать, какие данные собираются у клиентов, сотрудников, кандидатов и партнеров-физлиц, где они хранятся, кто имеет к ним доступ и какие подрядчики получают эти данные.
Для малого и среднего бизнеса это не обязательно должен быть большой юридический аудит. Часто достаточно понятной таблицы по основным процессам: продажи, доставка, HR, рассылки, видеонаблюдение, поддержка клиентов, бухгалтерия и работа с подрядчиками.
В такой карте стоит отдельно указать:
какие данные собираются;
где они хранятся;
кто имеет доступ внутри компании;
кому данные передаются за пределы компании;
сколько времени они хранятся;
кто отвечает за удаление или ограничение доступа.
Именно с этого начинается реальная подготовка. Пока бизнес не понимает, где находятся данные, невозможно корректно обновить документы, настроить безопасность или ответить человеку на запрос об удалении информации.
Одной политики конфиденциальности будет недостаточно
Политика конфиденциальности остается важным документом, но сама по себе она не делает обработку данных законной. Новый подход строится на принципах законности, прозрачности, ограничения цели, минимизации данных, точности, ограничения хранения, конфиденциальности и ответственности.
На практике это означает, что компании нужно проверить несколько базовых вещей. Есть ли понятная цель для каждого типа данных? Не собираются ли лишние данные “на всякий случай”? Правильно ли выбрано законное основание обработки? Понимает ли человек, какие данные у него берут, зачем, сколько их хранят и какие у него есть права?
Особое внимание стоит уделить согласию. Многие компании используют его автоматически для всего, хотя это не всегда корректно. Данные, которые нужны для исполнения договора с клиентом, данные для бухгалтерского учета и данные для маркетинговой рассылки могут обрабатываться на разных основаниях. Поэтому универсальная фраза “я согласен на обработку персональных данных” не решает все вопросы.
Бизнесу нужно переходить от формального подхода к управляемой системе: данные собираются только там, где это действительно нужно, используются только для понятной цели и хранятся не дольше необходимого срока.
Права людей потребуют внутреннего порядка ответа
Закон №195/2024 усиливает роль человека как субъекта данных. Речь идет о праве на информирование, доступ, исправление, удаление и другие права, которые компания должна учитывать в своей работе.
Если человек направляет запрос по своим данным, бизнес не может просто проигнорировать его или ответить “мы передали юристу”. Запрос нужно зарегистрировать, проверить и дать ответ в установленный срок. Поэтому к августу 2026 года компаниям стоит заранее определить внутренний порядок.
Минимальный порядок должен отвечать на несколько вопросов:
на какой email или адрес принимаются запросы по персональным данным;
кто внутри компании отвечает за их обработку;
как подтверждается личность заявителя, если есть риск раскрыть данные не тому человеку;
где фиксируется дата получения запроса;
кто принимает решение об удалении, частичном ответе или отказе;
как сохраняется доказательство, что компания ответила.
Это особенно важно для компаний с активными продажами, HR-процессами, рассылками и поддержкой клиентов. Запрос “удалите мои данные” может прийти не юристу, а менеджеру в Instagram, оператору в чате, HR-специалисту или продавцу в CRM. Если команда не понимает, что делать, срок легко потерять.
Подрядчики становятся отдельной зоной риска
Многие компании передают персональные данные внешним подрядчикам. Это может быть бухгалтер, IT-поддержка, маркетинговое агентство, email-сервис, cloud-провайдер, CRM-интегратор, подрядчик по сайту или сервис видеонаблюдения.
Важно понимать: если данные ушли подрядчику, ответственность бизнеса не исчезает. Компания должна понимать, кто обрабатывает данные по ее поручению, какие именно данные получает подрядчик, где они хранятся, какие меры безопасности применяются и что происходит с данными после завершения договора.
До августа 2026 года стоит проверить договоры и добавить в них положения о защите персональных данных. В простых случаях это может быть отдельная клауза. В более сложных процессах может понадобиться полноценное соглашение об обработке данных.
Особое внимание нужно уделить сервисам, которые находятся за пределами Молдовы или используют зарубежную инфраструктуру. Это касается CRM, email-маркетинга, облачных хранилищ, аналитики, чат-ботов и других цифровых инструментов.
DPO нужен не всем, но ответственность нужна каждому
Один из вопросов, который бизнес будет задавать чаще всего: нужно ли назначать DPO, ответственное лицо по защите данных?
Важно не упрощать. Не каждый бизнес обязан назначать DPO. Обязательность зависит от характера деятельности, масштаба обработки, типов данных и других факторов. Поэтому безопасный подход не в том, чтобы назначить формального DPO “для галочки”, а в том, чтобы проверить, подпадает ли компания под обязательные случаи.
Даже если DPO не обязателен, внутри компании должен быть понятный ответственный за privacy-процессы. Кто контролирует доступы? Кто отвечает на запросы людей? Кто проверяет подрядчиков? Кто решает, что делать при утечке или ошибочной отправке базы?
Для малого бизнеса это может быть руководитель, администратор, юрист на аутсорсе или другой назначенный сотрудник. Главное, чтобы ответственность не оставалась “между всеми”.
Инцидентом может быть не только хакерская атака
Еще один блок подготовки связан с инцидентами безопасности. Многие предприниматели думают, что инцидент это только взлом сайта или кибератака. На практике риск шире.
Инцидентом может стать отправка клиентской базы не тому получателю, потерянный ноутбук, открытый доступ к Google-таблице, слабый пароль, бывший сотрудник с доступом к CRM, ошибка в рассылке или случайная публикация файла с персональными данными.
До вступления нового закона в силу бизнесу стоит подготовить короткий порядок действий:
кто принимает сообщение об инциденте;
как быстро ограничивается доступ;
кто выясняет, какие данные затронуты;
когда нужно уведомлять людей или CNPDCP;
как документируется принятое решение.
Такой порядок не должен быть сложным. Но он должен существовать до того, как проблема уже произошла.
Что бизнесу стоит сделать до 23 августа 2026 года
Готовиться лучше не в последнюю неделю. Для большинства компаний разумный план можно разделить на три этапа.
На первом этапе нужно навести порядок в данных. Составить карту обработок, убрать лишние поля из форм, проверить доступы к CRM, облаку, почте, бухгалтерским системам и камерам, а также назначить ответственного за вопросы персональных данных.
На втором этапе стоит обновить документы. Это privacy notice на сайте, формы согласий там, где они действительно нужны, внутренние правила хранения данных, договоры или клаузы с подрядчиками, порядок ответа на запросы людей и инструкция по инцидентам.
На третьем этапе нужно проверить самые рискованные процессы: маркетинговые рассылки, HR-базы, видеонаблюдение, трансграничные сервисы, cloud-хранение, обработку данных детей или чувствительных данных, если такие процессы есть. Для них может понадобиться более глубокая юридическая оценка, включая проверку необходимости DPO или оценки воздействия.
Главный вывод
Закон №195/2024 не только о документах. Он о том, чтобы бизнес понимал весь цикл обработки персональных данных: от момента сбора до удаления или передачи подрядчику.
Для компаний это не повод паниковать. Но это серьезный повод провести ревизию заранее. Если у бизнеса уже есть сайт, CRM, рассылки, видеонаблюдение, HR-база или подрядчики с доступом к данным клиентов, эти процессы стоит проверить до 23 августа 2026 года.
Чем раньше компания наведет порядок в данных, тем спокойнее пройдет переход к новым правилам и тем меньше риск, что изменения придется делать срочно, дорого и под давлением.
Частые вопросы
Кого касается новый закон о персональных данных?
Он касается не только IT-компаний. Под новые правила подпадает любой бизнес, который обрабатывает данные физических лиц: клиентов, сотрудников, кандидатов, партнеров, пользователей сайта или подписчиков рассылки.
Нужно ли всем компаниям назначать DPO?
Нет, не всем. Обязанность зависит от характера и масштаба обработки данных. Но даже если DPO не обязателен, внутри компании должен быть человек или внешний специалист, который отвечает за процессы защиты персональных данных.
Достаточно ли просто обновить политику конфиденциальности на сайте?
Нет. Политика конфиденциальности важна, но недостаточна. Нужно понимать, какие данные собираются, зачем, где хранятся, кому передаются, как защищаются и как компания отвечает на запросы людей.
Что нужно проверить в первую очередь?
В первую очередь стоит проверить сайт, CRM, рассылки, HR-базы, видеонаблюдение, доступы сотрудников, облачные хранилища и договоры с подрядчиками, которые получают персональные данные.
Нужно ли готовиться уже сейчас?
Да. Закон вступает в силу 23 августа 2026 года, но подготовка требует времени. Особенно если в компании нет карты данных, порядка работы с запросами людей, правил хранения и контроля доступа.