23 august 2026 — Moldova are propriul GDPR. Ce trebuie să facă companiile

În câteva luni, în Republica Moldova intră în vigoare Legea nr. 195/2024 privind protecția datelor cu caracter personal. Aceasta transpune integral Regulamentul European GDPR în legislația națională. Amenzile pot ajunge până la 2% din cifra de afaceri anuală. Vă explicăm pe înțelesul tuturor: pe cine vizează, ce trebuie făcut și de unde să începeți.

Pe scurt

• Data intrării în vigoare: 23 august 2026 (24 de luni de la publicarea în Monitorul Oficial nr. 367–369, art. 574, din 23 august 2024).
• Ce face legea: transpune integral Regulamentul (UE) 2016/679 — General Data Protection Regulation (GDPR) — în legislația națională.
• Pe cine se aplică: orice companie sau organizație din Moldova care prelucrează date cu caracter personal. Și chiar și companiilor străine, dacă acestea oferă bunuri/servicii sau monitorizează comportamentul persoanelor aflate pe teritoriul Republicii Moldova.
• Amenzi: până la 2.000.000 lei, iar pentru întreprinderi — până la 2% din cifra de afaceri anuală pentru anul precedent.
• Ce trebuie făcut: aducerea proceselor în conformitate până la 23 august 2026.

1. De ce este important pentru fiecare companie din Moldova

Mulți cred că „GDPR este pentru Europa, pe noi nu ne privește”. În realitate, ne privește, iar acum — oficial, prin lege națională.

Legea nr. 195/2024 va înlocui actuala Lege nr. 133/2011, adoptată pe baza Directivei deja depășite 95/46/CE. Noua lege reprezintă o transpunere aproape literală a GDPR în dreptul moldovenesc. Aceasta se aplică prelucrării datelor cu caracter personal prin mijloace automatizate, integral sau parțial, precum și prelucrării non-automatizate, dacă datele fac parte dintr-un sistem de evidență.

Dacă aveți un magazin online, un CRM, un produs SaaS, o listă de newsletter, o aplicație mobilă, un program de loialitate, un sistem de supraveghere video în birou sau pur și simplu o bază de clienți în Excel — sunteți operator de date cu caracter personal. Iar legea se aplică inclusiv vouă.

Legea se aplică și companiilor străine

Conform art. 2 al Legii nr. 195/2024, legea se aplică operatorilor străini care nu au sediu în Moldova în două situații:

• oferă bunuri sau servicii persoanelor aflate în Moldova (inclusiv gratuit);
• monitorizează comportamentul acestor persoane pe teritoriul Republicii Moldova.

Asta înseamnă că un SaaS străin care deservește clienți moldoveni intră, de asemenea, sub incidența legii.

2. Ce se schimbă față de legea din 2011

Sunt șase schimbări majore.

2.1. Drepturi extinse pentru persoanele vizate

Orice cetățean primește un set de drepturi similar GDPR european:

• Dreptul de acces — să afle ce date personale sunt prelucrate, cui sunt transmise, în baza căror temeiuri.
• Dreptul la rectificare a datelor inexacte.
• Dreptul la ștergere („dreptul de a fi uitat”) — să solicite ștergerea datelor în cazurile prevăzute de lege.
• Dreptul la restricționarea prelucrării.
• Dreptul la portabilitatea datelor — să primească datele într-un format structurat și citibil automat, pentru a le transmite altui operator.
• Dreptul la opoziție față de anumite tipuri de prelucrare.
• Dreptul de a nu fi obiectul deciziilor automatizate, inclusiv profilarea, dacă acestea produc efecte juridice semnificative.

Termenul de răspuns la o solicitare este, ca regulă, o lună.

2.2. DPO obligatoriu în anumite cazuri

Legea introduce funcția de Responsabil cu protecția datelor (DPO, Data Protection Officer). Numirea unui DPO devine obligatorie pentru:

• autoritățile publice;
• companiile a căror activitate principală implică monitorizarea sistematică la scară largă a persoanelor vizate;
• companiile a căror activitate principală implică prelucrarea pe scară largă a categoriilor speciale de date (sănătate, biometrie, opinii politice etc.) sau a datelor privind condamnările penale.

DPO poate fi un angajat intern sau un contractor extern. Datele de contact ale DPO trebuie publicate și comunicate Centrului Național (CNPDCP).

2.3. Registrul activităților de prelucrare (RoPA)

Operatorul este obligat să țină un registru intern al tuturor proceselor de prelucrare a datelor: scopuri, categorii de date, categorii de persoane vizate, destinatari, termene de stocare, măsuri tehnice și organizatorice de securitate. Registrul trebuie să fie disponibil în orice moment pentru a fi prezentat inspectorului.

2.4. Evaluarea impactului (DPIA)

Dacă prelucrarea poate prezenta un risc ridicat pentru drepturile și libertățile persoanelor (profilare la scară largă, supraveghere video în spații publice, prelucrare biometrică etc.), operatorul este obligat ca, înainte de a începe prelucrarea, să efectueze o Evaluare a impactului asupra protecției datelor (DPIA). Dacă riscul rezidual rămâne ridicat — să consulte în prealabil CNPDCP.

2.5. Notificarea incidentelor în 72 de ore

În cazul unei breșe sau a altui incident care presupune un risc pentru drepturile persoanelor vizate, operatorul este obligat să notifice CNPDCP în termen de 72 de ore de la luarea la cunoștință. Dacă riscul este ridicat — să informeze fără întârziere nejustificată și persoanele vizate afectate.

2.6. Amenzi reale

Aceasta este cea mai sensibilă schimbare. În baza actualei Legi nr. 133/2011, amenda maximă era exprimată în unități convenționale conform Codului contravențional. Conform Legii nr. 195/2024:

• Până la 2.000.000 lei — amenda pentru operatorul care încalcă legea;
• Pentru întreprinderi — până la 2% din cifra totală de afaceri pentru anul precedent, inclusiv pentru încălcarea măsurii de remediere dispuse de CNPDCP.

Legea prevede o perioadă tranzitorie de aplicare a sancțiunilor: în primul an de la intrarea în vigoare se aplică 10% din amenda dispusă, în al doilea an — 40%, începând cu al treilea an — 100%. Astfel, amenda completă poate fi aplicată după 23 august 2028.

3. Checklist: ce trebuie să fie gata până la 23 august 2026

Dacă compania dvs. prelucrează date cu caracter personal — în orice volum — iată lista minimă a ceea ce trebuie să fie pus la punct până în august 2026.

Partea juridică

1. Politica de confidențialitate în toate limbile site-ului/aplicației, cu elementele obligatorii prevăzute la art. 13–14: identitatea operatorului, contacte, scopuri, temeiuri, termene de stocare, drepturile persoanei vizate, contacte DPO.
2. Formulare de consimțământ — explicite, separate pe scopuri, ușor de retras. Fără căsuțe bifate în prealabil.
3. Contracte de prelucrare (DPA) cu toți subcontractanții cărora le transmiteți date: hosting, CRM, platforme de marketing, servicii contabile.
4. Registrul activităților de prelucrare (RoPA).
5. Politici interne: politica de securitate a datelor cu caracter personal, regulamentul de acces, regulamentul de gestionare a incidentelor.
6. Bannerul de cookie-uri cu consimțământ granular pe categorii.

Măsuri tehnice

1. Criptarea datelor at rest (pe discuri) și in transit (TLS 1.2/1.3 peste tot).
2. Controlul accesului conform principiului celor mai mici privilegii + autentificare cu doi factori pentru conturile administrative.
3. Loguri de audit protejate împotriva modificării.
4. Copii de rezervă cu teste periodice de restaurare.
5. Gestionarea vulnerabilităților: patching regulat, scanarea dependențelor.
6. Pseudonimizarea și anonimizarea datelor în mediile de test.

Procese

1. Procedură de gestionare a solicitărilor persoanelor vizate (DSAR), cu SLA de maxim 30 de zile.
2. Plan de răspuns la incidente cu șabloane de notificare a CNPDCP și a persoanelor vizate.
3. DPIA pentru procesele cu risc ridicat (dacă există).
4. Numirea DPO (dacă este aplicabil) sau a unui responsabil dedicat.
5. Program de instruire a angajaților.

Transferuri transfrontaliere

Dacă folosiți AWS, Google Cloud, Microsoft Azure, Mailchimp, HubSpot sau orice alt serviciu care găzduiește datele în afara Moldovei — trebuie să verificați temeiul juridic al transferului și să semnați Clauze contractuale standard (SCC) cu furnizorul.

4. De unde să începeți chiar acum

Până la 23 august 2026 a rămas mai puțin decât pare. Pregătirea pentru lege nu se face într-o săptămână. Recomandăm următoarea succesiune:

Luna 1. Audit de discovery: să înțelegeți ce date personale prelucrează compania, unde sunt stocate, cui sunt transmise. În paralel — actualizați documentația de bază (politica de confidențialitate, consimțămintele, contractele cu subcontractanții).

Lunile 2–3. Acoperiți măsurile tehnice de bază: criptare, control al accesului, logare, backup-uri.

Lunile 4–5. Implementați procesele de gestionare a solicitărilor persoanelor vizate și a răspunsului la incidente. Realizați DPIA pentru procesele cu risc ridicat.

Luna 6. Numiți DPO (dacă este aplicabil), instruiți angajații, organizați un exercițiu de simulare a unei breșe.

Apoi permanent. Mențineți actualizat registrul, reînnoiți documentele, efectuați audituri, urmăriți deciziile CNPDCP.

5. Cum ajută echipa WebDirect

Noi — echipa DevOps WebDirect — ajutăm afacerile din Moldova să acopere sarcinile de conformitate atât punctual, cât și complex. Avem servicii separate pentru fiecare punct din checklist: de la auditul de discovery și criptarea bazelor de date până la DPO-as-a-Service și monitorizare SOC 24/7. Puteți începe cu un singur audit și extinde treptat.

Dacă vreți să înțelegeți cât de pregătită este compania dvs. pentru 23 august 2026 — scrieți-ne. Evaluarea inițială durează 1–2 zile și oferă o foaie de parcurs clară.

---

Surse

• Legea nr. 195/2024 privind protecția datelor cu caracter personal — Monitorul Oficial nr. 367–369, art. 574 din 23.08.2024.
• Legea nr. 133/2011 privind protecția datelor cu caracter personal (în vigoare până la 22.08.2026).
• Regulamentul (UE) 2016/679 (GDPR).
• Comunicat oficial CNPDCP (datepersonale.md) privind publicarea Legii nr. 195/2024.
• Ministerul Justiției al Republicii Moldova (justice.gov.md), comunicat din 05.02.2025: „Legea va intra în vigoare la 23.08.2026”.

Materialul are caracter informativ și nu reprezintă consultanță juridică. Pentru întrebări individuale, adresați-vă unui avocat sau echipei WebDirect.