Персональные данные в Молдове: что бизнес должен успеть до августа 2026

Что меняется для бизнеса к 23 августа 2026

• Закон №195/2024 о защите персональных данных вступает в силу 23 августа 2026 года; до этой даты продолжает применяться Закон №133/2011.
• Новые правила касаются не только IT-компаний: персональные данные есть у бизнеса, который работает с клиентами, сотрудниками, кандидатами, рассылками, CRM, видеонаблюдением или подрядчиками.
• Главная подготовка — не купить шаблон политики, а понять, какие данные вы собираете, зачем, на каком основании, сколько храните и кому передаете.
• Отдельно нужно проверить права людей, договоры с обработчиками, безопасность, порядок реакции на инциденты и необходимость DPO.

Новый закон приближает молдавские правила к GDPR-подходу: меньше формального “у нас есть согласие” и больше ответственности за весь цикл обработки данных. Для бизнеса это не повод паниковать, но повод провести ревизию до того, как CNPDCP начнет применять новый режим на практике.

Сначала поймите, какие персональные данные у вас уже есть

Персональные данные — это не только IDNP или копия паспорта. Для бизнеса это обычно имена клиентов, телефоны, email, адреса доставки, история заказов, данные сотрудников, резюме кандидатов, записи камер, переписка в мессенджерах, CRM-записи, платежная информация и другие сведения, по которым можно прямо или косвенно идентифицировать человека.

Начните с простой карты данных:

• какие данные вы собираете у клиентов, сотрудников, кандидатов и партнеров-физлиц;
• где они хранятся: сайт, CRM, Google Drive, бухгалтерская программа, облако, камеры, бумажные архивы;
• кто имеет доступ внутри компании;
• какие подрядчики получают данные: бухгалтер, IT-поддержка, email-сервис, cloud-провайдер, маркетинговое агентство;
• сколько времени данные реально хранятся и кто отвечает за удаление.

CNPDCP в практических разъяснениях прямо предлагает начинать с ясности: что за данные есть, где они находятся и для какой цели используются. Для малого бизнеса это не обязательно большой аудит. Часто достаточно таблицы, которая показывает основные процессы: продажа, доставка, HR, рассылки, видеонаблюдение, поддержка клиентов.

Одной политики конфиденциальности мало

Политика конфиденциальности полезна, но сама по себе она не делает обработку законной. Новая логика строится на принципах: законность, справедливость и прозрачность, ограничение цели, минимизация данных, точность, ограничение хранения, целостность и конфиденциальность, ответственность.

На практике это означает несколько проверок:

• есть ли понятная цель для каждого типа данных;
• не собираете ли вы “на всякий случай” больше, чем нужно;
• выбрано ли законное основание обработки, а не автоматически “согласие” для всего;
• объясняете ли вы человеку, какие данные собираете, зачем, сколько храните и какие у него права;
• есть ли срок хранения, после которого данные удаляются или обезличиваются;
• можете ли вы доказать, что эти правила не только написаны, но и применяются.

Согласие особенно часто используют неправильно. Оно не должно подменять договор, законную обязанность или другой применимый правовой режим. Например, данные для исполнения договора с клиентом и данные для маркетинговой рассылки могут требовать разных оснований и разных уведомлений.

Права людей требуют внутреннего порядка ответа

Закон №195/2024 усиливает роль человека как владельца контроля над своими данными. В разъяснениях CNPDCP указаны права субъекта данных, включая информирование, доступ, удаление и другие права по статьям 13-22. Если человек направляет запрос, оператор не может его просто проигнорировать: запрос нужно зарегистрировать и ответить в законный срок. В практическом материале CNPDCP указан срок не более одного месяца с момента получения запроса.

Бизнесу стоит заранее решить:

• на какой email или адрес принимаются запросы по персональным данным;
• кто внутри компании проверяет такие запросы;
• как подтверждается личность заявителя, если есть риск раскрыть данные не тому человеку;
• где фиксируется дата получения запроса и дата ответа;
• кто принимает решение об отказе, частичном ответе или удалении данных;
• как сохраняются доказательства, что ответ был дан.

Это особенно важно для компаний с активными продажами, HR-процессами и рассылками. Запрос “удалите мои данные” может прийти не юристу, а менеджеру в Instagram, оператору в чате или HR-специалисту. Если команда не понимает, что делать, срок легко потерять.

Подрядчики, DPO и инциденты: три блока повышенного риска

Если данные уходят подрядчикам, ответственность не исчезает. CNPDCP отдельно указывает, что при работе с обработчиками, например бухгалтером, IT-компанией или cloud-сервисом, обязанности нужно закреплять договором или ясной клаузой. Минимум стоит проверить, кто обрабатывает данные по вашему поручению, где физически или юридически находятся сервисы и что происходит с данными после завершения договора.

Второй блок — DPO, ответственное лицо по защите данных. Важно не упрощать: не каждый бизнес обязан назначать DPO. По разъяснениям CNPDCP, назначение обязательно в определенных случаях, а когда оно не обязательно, может быть рекомендованным. Поэтому безопасный шаг — не сразу назначать формального DPO “для галочки”, а проверить, подпадает ли компания под обязательные случаи и кто фактически отвечает за privacy-процессы.

Третий блок — инциденты безопасности. Это не только хакерская атака. Инцидентом может стать отправка клиентской базы не тому получателю, потерянный ноутбук, общий доступ к таблице, слабый пароль или бывший сотрудник, у которого остался доступ к CRM. До августа 2026 года стоит подготовить короткий порядок действий:

• кто принимает сообщение об инциденте;
• как быстро ограничивается доступ;
• кто выясняет, какие данные затронуты;
• когда нужно уведомлять людей или CNPDCP;
• как документируется решение.

Что сделать до августа 2026

Лучше готовиться не в последнюю неделю. Для большинства компаний разумный план выглядит так.

В первый этап внесите порядок в данные: составьте карту обработок, уберите лишние поля из форм, проверьте доступы к CRM, облаку, почте и камерам, назначьте ответственного за вопросы персональных данных.

Во второй этап обновите документы: privacy notice на сайте, формы согласий там, где они действительно нужны, внутренние правила хранения, договоры или клаузы с подрядчиками, порядок ответа на запросы людей.

В третий этап проверьте рискованные процессы: маркетинговые рассылки, HR-базы, видеонаблюдение, трансграничные сервисы, cloud-хранение, обработку данных детей или чувствительных данных, если они есть. Для таких процессов может понадобиться более глубокая юридическая оценка, включая необходимость DPO или оценки воздействия.

Главный вывод простой: Закон №195/2024 не про красивую страницу “Privacy Policy”, а про управляемую систему. Если бизнес уже сейчас понимает, какие данные собирает, зачем, кому передает и как реагирует на запросы и инциденты, переход к новым правилам будет намного спокойнее.

Если у вас есть сайт, CRM, рассылки, видеонаблюдение, HR-база или подрядчики с доступом к данным клиентов, проверьте эти процессы заранее. Юрист может помочь отделить обязательные требования от лишней бюрократии и подготовить документы под реальную модель вашего бизнеса.

Читайте также: Удаленная работа в Молдове и Как открыть SRL в Молдове.