← Toate articolele

Ghid

Legea 195/2024, explicată pe sistemele tale reale: site, CRM, 1C, WhatsApp

16 iulie 2026 · 12 min · GDPRScan.md

Urmărește o singură comandă.

Un client completează formularul de pe site. Numele și telefonul lui ajung în CRM. Managerul îi scrie pe WhatsApp să confirme adresa. Factura se emite în 1C. După livrare, clientul primește puncte de loialitate și, peste o săptămână, un SMS cu promoția lunii. Între timp, pixelul de publicitate l-a adăugat deja într-o audiență de retargeting.

O comandă. Șase sisteme. Șase locuri în care datele aceleiași persoane trăiesc vieți separate — cu accesuri diferite, termene diferite și, de cele mai multe ori, fără ca cineva din companie să vadă traseul complet.

Din 23 august 2026, Legea nr. 195/2024 privind protecția datelor cu caracter personal înlocuiește Legea nr. 133/2011 și aduce în Moldova regulile GDPR. Nu e panică, e ordine: legea nu îți interzice niciunul dintre aceste instrumente. Îți cere un singur lucru, dar îl cere serios — să poți demonstra că știi ce date ai, de ce le ai, cine le vede și când le ștergi.

Acest ghid trece prin fiecare sistem pe care îl folosește un business tipic din Moldova și îți spune concret ce să verifici. Nu la nivel de principii — la nivel de setări.

Ce se schimbă de fapt la 23 august

Datele personale sunt protejate și acum, sub Legea 133/2011. Diferența esențială a Legii 195/2024 este principiul responsabilității: nu mai e suficient să respecți regulile — trebuie să poți demonstra că le respecți, prin documente, evidențe, setări de sistem și proceduri (art. 5 alin. 2 și art. 24 din lege).

Concret, apar sau se întăresc:

  • Evidența activităților de prelucrare (art. 30) — registrul care descrie ce date prelucrezi, în ce scop, cu ce destinatari și pentru cât timp;
  • Notificarea incidentelor către CNPDCP în cel mult 72 de ore de la constatare, atunci când incidentul poate crea risc pentru persoane (art. 33);
  • Răspunsul la cererile persoanelor — acces, rectificare, ștergere, opoziție — în termen de cel mult o lună;
  • Responsabilul cu protecția datelor (DPO) — obligatoriu în anumite cazuri (art. 37–39), recomandat în rest;
  • Sancțiuni aplicate de CNPDCP proporțional cu natura, gravitatea și durata încălcării — inclusiv, pentru încălcări grave, calculate în raport cu cifra de afaceri.

Restul articolului e despre cum arată aceste obligații în sistemele tale, nu în lege.

Site-ul: aici documentele și realitatea se despart cel mai des

Site-ul e locul unde promisiunea din politica de confidențialitate se poate verifica tehnic, la secundă. Și exact aici găsim cele mai multe contradicții.

Ce verifici azi:

1. Pixelii se încarcă înainte de consimțământ? Deschide site-ul într-o fereastră incognito, cu tab-ul Network din browser deschis, și nu apăsa nimic pe bannerul de cookies. Dacă vezi cereri către facebook.net, google-analytics.com sau googletagmanager.com înainte de orice click — site-ul colectează date înainte ca vizitatorul să fi acceptat. Politica spune „prelucrăm pe bază de consimțământ"; site-ul prelucrează înainte de consimțământ. Asta nu e o nuanță juridică, e o contradicție măsurabilă.

2. Google Fonts se încarcă de pe serverele Google? Dacă da, fiecare vizită trimite adresa IP a vizitatorului către Google, fără temei documentat. În Germania, un tribunal din München a sancționat exact această practică încă din 2022. Soluția durează o oră: fonturile se descarcă și se servesc de pe propriul server (self-hosting) — gratuit, fără impact vizual.

3. Bannerul de cookies are buton real de refuz? „Accept" mare și verde plus un link gri „află mai multe" nu este consimțământ liber. Refuzul trebuie să fie la fel de simplu ca acceptul. Și dacă folosești Google Ads sau Analytics, bannerul trebuie să transmită alegerea utilizatorului prin Consent Mode v2 — altfel Google primește semnale indiferent de ce a ales vizitatorul.

4. Formularele spun ce se întâmplă cu datele? Lângă fiecare formular: link către politica de confidențialitate, scop clar, iar dacă există abonare la newsletter — checkbox separat, nebifat. Consimțământul de marketing „la pachet" cu termenii și condițiile nu e valid.

Toate cele patru verificări de mai sus le face GDPRScan automat, în circa două minute, cu un scor și lista exactă a problemelor. Gratuit.

CRM-ul: întrebarea nu e „ce CRM ai", ci „unde sunt serverele lui"

Despre accesuri și roluri în CRM s-a mai scris. Ce nu spune aproape nimeni pe piața din Moldova este partea care contează cel mai mult sub noua lege: transferurile internaționale.

Estimăm că între 200 și 500 de companii din Moldova folosesc astăzi sisteme cu date stocate în jurisdicții fără decizie de adecvare:

  • amoCRM (amocrm.ru) — datele pe servere în Federația Rusă. Alternativa aceleiași companii, Kommo, stochează datele în alte jurisdicții — verifică în contract exact unde.
  • Bitrix24 — contează domeniul contului: .ru înseamnă servere în Rusia, .eu înseamnă servere în UE. Migrarea între ele e posibilă și e primul pas concret de conformare pentru mulți.
  • 1C — versiunea on-premise (pe serverul tău din Chișinău) nu ridică problema transferului; versiunile cloud găzduite în afara Moldovei/UE, da.

Transferul de date către un stat fără nivel adecvat de protecție cere garanții suplimentare documentate. „Nu știam unde sunt serverele" nu e o garanție.

Ce verifici azi: unde sunt fizic serverele CRM-ului (întreabă furnizorul în scris); cine are drept de export al bazei; dacă foștii angajați mai au conturi active; dacă statusul „refuz marketing" există ca și câmp și se respectă în toate integrările.

1C și contabilitatea: datele care „stau" cel mai mult

În 1C trăiesc date de angajați, reprezentanți ai clienților, adrese de livrare, documente de plată — adesea pe termen nelimitat, pentru că „așa s-a obișnuit".

Aici trebuie separate două întrebări care se confundă constant:

  1. Ce trebuie păstrat prin lege — documentele contabile și fiscale au termene legale de păstrare. Acelea rămân. Temeiul e obligația legală, nu consimțământul.
  2. Ce se păstrează din inerție — leaduri din 2019, CV-uri de la candidați respinși acum trei ani, exporturi Excel pe desktopul contabilului. Acestea au nevoie de un termen și un motiv, altfel devin risc pur.

Ce verifici azi: cine are acces la baza 1C și cu ce roluri; unde ajung backupurile și cine le poate deschide; dacă contabilul extern are un contract care acoperă prelucrarea datelor (nu doar serviciile contabile).

WhatsApp, Viber, Telegram: vânzarea reală se întâmplă aici — și tot aici se pierde controlul

Realitatea comerțului din Moldova: clientul scrie pe Viber, trimite buletin pentru livrare, confirmă pe WhatsApp. Managerul răspunde de pe telefonul personal.

Scenariul care doare: managerul pleacă la concurență, iar istoricul complet al discuțiilor cu clienții — cu tot cu date personale — pleacă cu el, în telefonul lui. Nu e doar o problemă de conformitate. E o problemă de business.

Ce verifici azi: angajații folosesc conturi de serviciu sau personale pentru comunicarea cu clienții? Există regulă scrisă despre ce documente pot fi cerute/trimise prin mesagerie? Informația relevantă ajunge în CRM sau rămâne în chat? Ce se întâmplă cu conversațiile la plecarea unui angajat?

Nu trebuie să interzici mesageria. Trebuie s-o aduci într-un perimetru controlat: conturi business, reguli clare, transfer în sistemul oficial.

Programele de loialitate și SMS-urile: baza de clienți nu e un activ etern

„A cumpărat o dată, deci îi pot trimite promoții pentru totdeauna" — cea mai scumpă presupunere din marketingul moldovenesc de după 23 august.

Persoana are dreptul de opoziție la marketing direct. Din momentul în care s-a opus, comunicarea comercială către ea trebuie să înceteze — pe toate canalele. Dezabonarea din email nu acoperă SMS-ul. Refuzul la SMS nu acoperă audiența de retargeting din contul de publicitate.

Ce verifici azi: refuzul de marketing e un status central (în CRM) care se propagă în email, SMS, mesagerie și audiențe de publicitate — sau fiecare canal are lista lui separată? Poți demonstra pentru fiecare contact când și cum a dat acordul de marketing? Programul de loialitate analizează comportamentul de cumpărare — și dacă da, ai evaluat elementul de profilare?

Furnizorii și cloud-ul: responsabilitatea nu se externalizează

Hosting, CRM cloud, platformă de email marketing, agenție de publicitate, contabil extern, integrator IT — toți pot prelucra date în numele tău. Legea cere ca relația să fie acoperită de contract cu clauze de prelucrare (echivalentul art. 28 GDPR): obiect, durată, tipuri de date, obligații de securitate, ce se întâmplă cu datele la finalul contractului.

Un exemplu concret, pe care îl întâlnim la aproape fiecare scan: compania folosește Google Analytics și Google Workspace, dar nimeni nu a acceptat vreodată Data Processing Amendment-ul Google din setările contului. Documentul există, e gratuit, se activează din câteva click-uri — dar trebuie să știi că există.

Ce verifici azi: lista furnizorilor care ating date personale; pentru fiecare — există contract/DPA? unde stochează datele? folosește subcontractori?

Documentele minime — și de ce nu încep cu politica de confidențialitate

Ordinea corectă e inversă față de instinct. Nu scrii întâi politica și apoi speri că businessul o respectă. Întâi afli ce se întâmplă de fapt, apoi documentezi realitatea:

  1. Harta datelor — ce sisteme, ce date, de unde vin, unde pleacă;
  2. Evidența activităților de prelucrare (art. 30) — scopuri, categorii de date și persoane, destinatari, transferuri internaționale, termene, măsuri de securitate. Excepția pentru organizațiile sub 250 de angajați există, dar nu se aplică automat când prelucrarea nu e ocazională — iar o bază de clienți folosită zilnic nu e prelucrare ocazională;
  3. Politica de confidențialitate — care descrie realitatea de la punctele 1–2, nu un ideal copiat de pe internet;
  4. Procedurile — răspuns la cererile persoanelor (max. 1 lună), reacție la incidente (evaluare + notificare CNPDCP în max. 72h dacă există risc), reguli interne pentru angajați.

O politică frumoasă pe un site care încarcă pixeli înainte de consimțământ nu reduce riscul. Îl documentează.

DPO: obligatoriu sau nu?

Nu pentru toți. Desemnarea e obligatorie în cazurile prevăzute la art. 37–39 — în esență, când activitatea principală implică monitorizare regulată și sistematică la scară largă sau prelucrare la scară largă de categorii speciale de date. Pentru un magazin online mediu sau un salon, de regulă nu e obligatorie.

Dar responsabilitatea nu dispare odată cu lipsa obligației. Cineva din companie trebuie să răspundă de cereri, accesuri, furnizori și incidente. Pentru majoritatea IMM-urilor, soluția practică e un responsabil intern desemnat plus suport extern la nevoie — fără angajări noi și, atenție la contracte, fără abonamente cu blocare pe 12 luni. Nevoia reală de suport scade după implementare; contractul ar trebui să reflecte asta.

Planul pe 6 săptămâni

Până la 23 august mai e timp — dacă lucrezi pe etape, nu în panică:

Săptămâna 1 — Diagnoză. Scanează site-ul (poți începe gratuit, aici), inventariază sistemele, notează unde sunt serverele fiecăruia.

Săptămâna 2 — Accesuri. Închide conturile foștilor angajați peste tot: CRM, 1C, email, admin site, cont de publicitate. E cea mai rapidă reducere de risc disponibilă.

Săptămâna 3 — Site-ul. Banner de cookies cu refuz real, pixeli după consimțământ, Consent Mode v2, Google Fonts self-hosted, checkbox separat de marketing la formulare.

Săptămâna 4 — Furnizori. DPA cu Google, contracte cu clauzele de prelucrare, decizia pe CRM (.ru → .eu unde e cazul).

Săptămâna 5 — Documente. Evidența activităților de prelucrare, politica rescrisă pe realitate, termene de păstrare pe categorii.

Săptămâna 6 — Oameni și proceduri. Instruire scurtă pe echipă, procedura de răspuns la cereri, procedura de incident. Rescanare — și compari scorul cu cel din săptămâna 1.

Ultima parte e diferența dintre „am făcut ceva" și „pot demonstra": un scor înainte, un scor după, și lista problemelor rezolvate. Exact ce cere principiul responsabilității.

Întrebări frecvente

Legea mă obligă să renunț la amoCRM / Bitrix24.ru / WhatsApp?

Nu. Te obligă să știi unde ajung datele și să ai temei și garanții pentru transferuri. Pentru sistemele cu servere în Rusia, varianta practică e migrarea către versiunile cu găzduire UE (Kommo, Bitrix24.eu) sau garanții suplimentare documentate.

Am politică de confidențialitate pe site. E suficient?

Nu, și e verificabil în 2 minute: dacă politica promite consimțământ, iar pixelii se încarcă înainte de banner, documentul contrazice site-ul. Conformitatea = documente + implementare tehnică, împreună.

Sub 250 de angajați — scap de registrul de prelucrare?

Excepția există, dar nu acoperă prelucrarea care nu e ocazională. O bază de clienți în CRM, folosită zilnic pentru vânzări și marketing, nu e ocazională. Practic: fă registrul. E și cel mai util instrument de management din tot procesul.

Ce risc dacă nu fac nimic până la 23 august?

CNPDCP aplică sancțiuni proporțional cu gravitatea — pentru încălcări minore poate fi avertisment, pentru cele grave amenzile se pot raporta la cifra de afaceri. Dar riscul cel mai probabil nu e controlul din oficiu, ci plângerea: un client nemulțumit, un fost angajat, un concurent. O singură cerere de ștergere la care nu poți răspunde în 30 de zile deschide tot dosarul.

De unde încep, concret, azi?

Cu o măsurătoare, nu cu un document. Scanează-ți site-ul gratuit pe gdprscan.md — primești în 2 minute scorul, problemele găsite și soluția pentru fiecare, cu pași specifici platformei tale.


Material informativ. Nu înlocuiește o opinie juridică individuală. Referințele legale: Legea nr. 195/2024, Îndrumările de aplicare și recomandările CNPDCP.

Verifică-ți site-ul

Vezi în 60 de secunde unde ești

GDPRScan analizează site-ul tău și îți arată ce lipsește față de Legea 195/2024 — gratuit, fără cont.

Scanează gratuit →