Datele personale în Moldova: ce trebuie să pregătească afacerile până în august 2026

Ce se schimbă pentru afaceri până la 23 august 2026

• Legea nr. 195/2024 privind protecția datelor cu caracter personal intră în vigoare la 23 august 2026; până atunci continuă să se aplice Legea nr. 133/2011.
• Noile reguli nu vizează doar companiile IT: date personale prelucrează orice afacere care lucrează cu clienți, angajați, candidați, newslettere, CRM, camere video sau prestatori externi.
• Pregătirea reală nu înseamnă doar o politică de confidențialitate, ci să știți ce date colectați, de ce, în baza cărui temei, cât timp le păstrați și cui le transmiteți.
• Separat trebuie verificate drepturile persoanelor, contractele cu persoanele împuternicite, securitatea, reacția la incidente și necesitatea unui DPO.

Noua lege apropie regulile din Moldova de logica GDPR: mai puțină formalitate de tipul “avem consimțământ” și mai multă responsabilitate pentru întregul ciclu de prelucrare. Pentru afaceri, acesta nu este un motiv de panică, ci un motiv de revizuire înainte ca CNPDCP să aplice noul regim în practică.

Mai întâi înțelegeți ce date personale aveți deja

Datele personale nu înseamnă doar IDNP sau copia buletinului. În business, acestea includ de obicei numele clienților, telefoane, emailuri, adrese de livrare, istoricul comenzilor, datele angajaților, CV-urile candidaților, înregistrările video, corespondența în mesagerie, datele din CRM, informațiile de plată și alte informații prin care o persoană poate fi identificată direct sau indirect.

Începeți cu o hartă simplă a datelor:

• ce date colectați de la clienți, angajați, candidați și parteneri persoane fizice;
• unde sunt păstrate: site, CRM, Google Drive, program contabil, cloud, camere video, arhive pe hârtie;
• cine are acces în interiorul companiei;
• ce prestatori primesc date: contabil, suport IT, serviciu de email, cloud provider, agenție de marketing;
• cât timp sunt păstrate datele în realitate și cine răspunde de ștergere.

CNPDCP recomandă în materialele practice să începeți cu claritate: ce date există, unde se află și pentru ce scop sunt folosite. Pentru o afacere mică, aceasta nu trebuie să fie neapărat un audit amplu. De multe ori este suficient un tabel cu procesele principale: vânzări, livrare, HR, newslettere, supraveghere video, suport clienți.

O singură politică de confidențialitate nu este suficientă

Politica de confidențialitate este utilă, dar nu face singură prelucrarea legală. Noua logică se bazează pe principii: legalitate, echitate și transparență, limitarea scopului, minimizarea datelor, exactitate, limitarea stocării, integritate și confidențialitate, responsabilitate.

În practică, verificați:

• dacă există un scop clar pentru fiecare categorie de date;
• dacă nu colectați mai mult decât aveți nevoie;
• dacă a fost ales temeiul legal corect, nu automat “consimțământ” pentru orice;
• dacă explicați persoanei ce date colectați, de ce, cât timp le păstrați și ce drepturi are;
• dacă există o durată de păstrare după care datele sunt șterse sau anonimizate;
• dacă puteți demonstra că regulile nu sunt doar scrise, ci și aplicate.

Consimțământul este folosit des greșit. El nu trebuie să înlocuiască un contract, o obligație legală sau un alt temei aplicabil. De exemplu, datele necesare pentru executarea unui contract cu clientul și datele folosite pentru marketing pot avea temeiuri și informări diferite.

Drepturile persoanelor cer o procedură internă de răspuns

Legea nr. 195/2024 pune mai mult control în mâinile persoanei vizate. În explicațiile CNPDCP sunt indicate drepturile persoanei, inclusiv informarea, accesul, ștergerea și alte drepturi prevăzute la art. 13-22. Dacă o persoană trimite o cerere, operatorul nu o poate ignora: cererea trebuie înregistrată și soluționată în termen legal. În materialul practic al CNPDCP este indicat termenul de cel mult o lună de la primirea cererii.

Afacerea trebuie să decidă din timp:

• la ce email sau adresă se primesc cererile privind datele personale;
• cine verifică astfel de cereri în companie;
• cum se confirmă identitatea solicitantului, dacă există risc de divulgare către o persoană greșită;
• unde se fixează data primirii și data răspunsului;
• cine decide asupra refuzului, răspunsului parțial sau ștergerii datelor;
• cum se păstrează dovada că răspunsul a fost transmis.

Acest lucru este important pentru companiile cu vânzări active, procese HR și newslettere. Cererea “ștergeți datele mele” poate veni nu la jurist, ci la un manager pe Instagram, la operatorul de chat sau la HR. Dacă echipa nu știe ce să facă, termenul poate fi pierdut ușor.

Prestatorii, DPO și incidentele: trei zone cu risc ridicat

Dacă datele ajung la prestatori, responsabilitatea nu dispare. CNPDCP arată separat că, atunci când lucrați cu persoane împuternicite, cum ar fi contabilul, compania IT sau serviciile cloud, responsabilitățile trebuie stabilite prin contract sau printr-o clauză clară. Verificați cel puțin cine prelucrează datele în numele dvs., unde se află serviciile și ce se întâmplă cu datele după încetarea contractului.

A doua zonă este DPO, responsabilul cu protecția datelor. Nu simplificați excesiv: nu orice afacere este obligată să desemneze un DPO. Potrivit explicațiilor CNPDCP, desemnarea este obligatorie în anumite cazuri, iar când nu este obligatorie poate fi recomandată. Pasul sigur este să verificați dacă intrați în cazurile obligatorii și cine răspunde efectiv de procesele privacy.

A treia zonă este incidentul de securitate. Nu este vorba doar despre atacuri cibernetice. Incident poate fi trimiterea bazei de clienți către destinatarul greșit, pierderea laptopului, accesul public la un tabel, o parolă slabă sau un fost angajat care păstrează acces la CRM. Până în august 2026 merită pregătită o procedură scurtă:

• cine primește raportarea incidentului;
• cum se limitează rapid accesul;
• cine stabilește ce date au fost afectate;
• când trebuie informate persoanele sau CNPDCP;
• cum se documentează decizia.

Ce trebuie făcut până în august 2026

Nu lăsați pregătirea pentru ultima săptămână. Pentru majoritatea companiilor, un plan rezonabil arată astfel.

În prima etapă, puneți ordine în date: faceți harta prelucrărilor, eliminați câmpurile inutile din formulare, verificați accesul la CRM, cloud, email și camere video, desemnați o persoană responsabilă de întrebările privind datele personale.

În a doua etapă, actualizați documentele: informarea de confidențialitate de pe site, formularele de consimțământ acolo unde sunt necesare, regulile interne de păstrare, contractele sau clauzele cu prestatorii, procedura de răspuns la cererile persoanelor.

În a treia etapă, verificați procesele cu risc ridicat: newslettere, baze HR, supraveghere video, servicii transfrontaliere, cloud, date ale copiilor sau date sensibile, dacă există. Pentru aceste procese poate fi necesară o evaluare juridică mai detaliată, inclusiv privind DPO sau evaluarea impactului.

Concluzia este simplă: Legea nr. 195/2024 nu este despre o pagină frumoasă “Privacy Policy”, ci despre un sistem controlabil. Dacă afacerea știe deja ce date colectează, de ce, cui le transmite și cum răspunde la cereri și incidente, trecerea la noile reguli va fi mult mai calmă.

Dacă aveți site, CRM, newslettere, camere video, bază HR sau prestatori cu acces la datele clienților, verificați aceste procese din timp. Un jurist poate separa cerințele obligatorii de birocrația inutilă și poate adapta documentele la modelul real al afacerii.

Citește și: Munca la distanță în Moldova și Cum deschizi un SRL în Moldova.