23 августа 2026 — у Молдовы свой GDPR. Что компаниям нужно успеть сделать

Через несколько месяцев в Республике Молдова заработает Закон № 195/2024 о защите персональных данных. Он полностью переносит положения европейского GDPR в национальное законодательство. Штрафы — до 2% годового оборота. Рассказываем простым языком: кого это касается, что именно нужно сделать и с чего начать.

Коротко о главном

• Дата вступления в силу: 23 августа 2026 года (24 месяца с момента публикации 23 августа 2024 года в Monitorul Oficial № 367–369, ст. 574).
• Что делает закон: полностью переносит в национальное право Регламент (ЕС) 2016/679 — General Data Protection Regulation (GDPR).
• Кого касается: любой компании или организации в Молдове, которая обрабатывает персональные данные. И даже иностранных компаний, если они предлагают товары/услуги или отслеживают поведение людей, находящихся на территории РМ.
• Штрафы: до 2 000 000 леев, а для предприятий — до 2% годового оборота за предыдущий год.
• Что делать: привести процессы в соответствие до 23 августа 2026 года.

1. Почему это важно для каждой молдавской компании

Многие думают: «GDPR — это про Европу, нас он не касается». На самом деле касается, и теперь — официально через национальный закон.

Закон № 195/2024 заменит действующий Закон № 133/2011, который был принят ещё на основе устаревшей Директивы 95/46/ЕС. Новый закон — это почти дословный перенос GDPR в молдавское право. Он применяется к обработке персональных данных автоматизированными средствами полностью или частично, а также к ручной обработке, если данные входят в систему учёта.

Если у вас есть интернет-магазин, CRM, SaaS-продукт, рассылка, мобильное приложение, программа лояльности, видеонаблюдение в офисе или просто база клиентов в Excel — вы оператор персональных данных. И закон распространяется на вас.

Закон действует даже на иностранные компании

В соответствии со ст. 2 Закона № 195/2024, закон применяется к иностранным операторам, не имеющим места нахождения в Молдове, в двух случаях:

• они предлагают товары или услуги людям, находящимся в Молдове (даже бесплатно);
• они отслеживают поведение этих людей на территории Молдовы.

То есть зарубежный SaaS, обслуживающий молдавских клиентов, тоже попадает под действие закона.

2. Что меняется по сравнению с законом 2011 года

Главных перемен — шесть.

2.1. Расширенные права субъектов данных

Любой гражданин получит набор прав, аналогичный европейскому GDPR:

• Право доступа — узнать, какие его данные обрабатываются, кому передаются, на каком основании.
• Право на исправление неточных данных.
• Право на удаление («право быть забытым») — потребовать удаления данных в установленных законом случаях.
• Право на ограничение обработки.
• Право на переносимость данных — получить свои данные в машиночитаемом формате, чтобы передать другому оператору.
• Право на возражение против определённых видов обработки.
• Право не быть объектом автоматизированных решений, включая профилирование, если они порождают значительные правовые последствия.

Срок ответа на обращение — как правило, один месяц.

2.2. Обязательный DPO в ряде случаев

Закон вводит фигуру Ответственного за защиту персональных данных (DPO, Data Protection Officer). Назначение DPO становится обязательным для:

• органов публичной власти;
• компаний, чья основная деятельность связана с систематическим масштабным мониторингом субъектов данных;
• компаний, чья основная деятельность связана с обработкой больших объёмов специальных категорий данных (здоровье, биометрия, политические взгляды и др.) или данных о судимости.

DPO может быть штатным сотрудником или внешним подрядчиком. Контакты DPO нужно публиковать и сообщать в Национальный центр (CNPDCP).

2.3. Реестр деятельности по обработке (RoPA)

Оператор обязан вести внутренний реестр всех процессов обработки персональных данных: цели, категории данных, категории субъектов, получатели, сроки хранения, технические и организационные меры защиты. Реестр должен быть готов в любой момент к предъявлению инспектору.

2.4. Оценка воздействия (DPIA)

Если обработка может представлять высокий риск для прав и свобод людей (массовый профайлинг, видеонаблюдение в публичных местах, обработка биометрии и т. д.), оператор обязан до начала обработки провести Оценку воздействия на защиту данных (DPIA). Если остаточный риск всё ещё высокий — провести предварительную консультацию с CNPDCP.

2.5. Уведомление об инцидентах за 72 часа

В случае утечки или другого инцидента, который влечёт риск для прав субъектов, оператор обязан уведомить CNPDCP в течение 72 часов с момента обнаружения. Если риск высокий — уведомить ещё и самих пострадавших субъектов данных без неоправданной задержки.

2.6. Реальные штрафы

Это самое чувствительное изменение. По действующему Закону № 133/2011 максимальный штраф измерялся условными единицами в кодексе о правонарушениях. По Закону № 195/2024:

• До 2 000 000 леев — штраф для оператора-нарушителя;
• Для предприятий — до 2% общего оборота за предшествующий год, в том числе за нарушение корректирующей меры, назначенной CNPDCP.

Закон предусматривает переходный период применения санкций: в первый год после вступления в силу взыскивается 10% от наложенного штрафа, на второй год — 40%, начиная с третьего года — 100%. То есть полную ставку компания может получить уже после 23 августа 2028 года.

3. Чек-лист: что должно быть готово к 23 августа 2026 года

Если ваша компания обрабатывает персональные данные в любом объёме — вот минимальный список того, что должно быть в порядке к августу 2026 года.

Юридическая часть

1. Политика конфиденциальности на всех языках сайта/приложения, с обязательными элементами по ст. 13–14 закона: личность оператора, контакты, цели, основания, сроки хранения, права субъекта, контакты DPO.
2. Формы согласия — явные, разделённые по целям, легко отзываемые. Никаких заранее проставленных галочек.
3. Договоры обработки (DPA) со всеми подрядчиками, которым вы передаёте данные: хостинги, CRM, маркетинговые платформы, бухгалтерские сервисы.
4. Реестр деятельности по обработке (RoPA).
5. Внутренние политики: политика безопасности персональных данных, регламент доступа, регламент работы с инцидентами.
6. Cookie-баннер с гранулярным согласием по категориям.

Технические меры

1. Шифрование данных at rest (на дисках) и in transit (TLS 1.2/1.3 везде).
2. Контроль доступа по принципу минимальных привилегий + двухфакторная аутентификация для административных аккаунтов.
3. Аудит-логи с защитой от модификации.
4. Резервные копии с регулярными тестами восстановления.
5. Управление уязвимостями: регулярный патчинг, сканирование зависимостей.
6. Псевдонимизация и анонимизация данных в тестовых средах.

Процессы

1. Процедура обработки запросов субъектов (DSAR) с SLA не более 30 дней.
2. План реагирования на инциденты с шаблонами уведомлений CNPDCP и субъектам.
3. DPIA по высокорисковым процессам (если такие есть).
4. Назначение DPO (если применимо), либо назначение ответственного лица.
5. Программа обучения сотрудников.

Трансграничные передачи

Если вы используете AWS, Google Cloud, Microsoft Azure, Mailchimp, HubSpot или любой другой сервис, размещающий данные за пределами Молдовы — нужно проверить юридическое основание передачи и подписать Стандартные договорные условия (SCC) с провайдером.

4. С чего начать прямо сейчас

До 23 августа 2026 года осталось меньше, чем кажется. Подготовка к закону — это не одна неделя работы. Рекомендуем такую последовательность:

Месяц 1. Discovery-аудит: понять, какие персональные данные обрабатывает компания, где они хранятся, кому передаются. Сразу же — обновить базовую документацию (политика конфиденциальности, согласия, договоры с подрядчиками).

Месяцы 2–3. Закрыть технические базовые меры: шифрование, контроль доступа, логирование, бэкапы.

Месяцы 4–5. Внедрить процессы обработки запросов субъектов и реагирования на инциденты. Провести DPIA по высокорисковым процессам.

Месяц 6. Назначить DPO (если применимо), обучить сотрудников, провести «учения» по утечке.

Постоянно после. Поддерживать актуальность реестра, обновлять документы, проводить аудиты, отслеживать решения CNPDCP.

5. Как помогает команда WebDirect

Мы — DevOps-команда WebDirect — помогаем бизнесу в Молдове закрывать compliance-задачи как точечно, так и комплексно. У нас есть отдельные сервисы под каждый пункт чек-листа: от Discovery-аудита и шифрования баз данных до DPO-as-a-Service и SOC-мониторинга 24/7. Можно начать с одного небольшого аудита и постепенно расширяться.

Если хотите понять, насколько ваша компания готова к 23 августа 2026 года — напишите нам. Первичная оценка занимает 1–2 дня и даёт чёткую дорожную карту.

---

Источники

• Закон № 195/2024 о защите персональных данных — Monitorul Oficial № 367–369, ст. 574 от 23.08.2024.
• Закон № 133/2011 о защите персональных данных (действующая редакция, действует до 22.08.2026).
• Регламент (ЕС) 2016/679 (GDPR).
• Официальное сообщение CNPDCP (datepersonale.md) о публикации Закона № 195/2024.
• Министерство юстиции РМ (justice.gov.md), сообщение от 05.02.2025: «Закон вступит в силу 23.08.2026».

Материал носит информационный характер и не является юридической консультацией. Для индивидуальных вопросов обращайтесь к юристам или к команде WebDirect.