1. Cine intră sub incidența legii
Legea se aplică oricărui operator sau împuternicit stabilit în Republica Moldova care prelucrează date personale — indiferent de dimensiune. Se aplică și operatorilor din afara Moldovei atunci când oferă bunuri/servicii persoanelor din Moldova sau monitorizează comportamentul lor (art. 3).
- Site-uri de e-commerce care înregistrează clienți
- Clinici, cabinete, saloane cu formulare de programare online
- SaaS-uri și aplicații care stochează conturi de utilizatori
- Magazine fizice cu newsletter sau card de fidelitate digital
- Instituții publice și ONG-uri cu baze de date de beneficiari
2. Ce se schimbă față de Legea 133/2011
| Subiect | Legea 133/2011 | Legea 195/2024 |
|---|---|---|
| Notificare CNPDCP | obligatorie | eliminată — abordare bazată pe risc |
| Consimțământ | general | explicit, granular, retractabil |
| Breșe de securitate | fără termen fix | notificare în 72 de ore |
| Amenzi | până la 100.000 MDL | până la 4% din cifra de afaceri |
| DPO | rar | obligatoriu pentru autorități și prelucrări la scară largă |
3. Obligații pentru operatori
- Registrul activităților de prelucrare — obligatoriu pentru operatori cu peste 250 de angajați și pentru cei care prelucrează categorii speciale de date.
- Politică de confidențialitate completă — identitate operator, scopuri, temei legal, destinatari, transferuri, retenție, drepturi, contact DPO.
- Consimțământ documentat — cu dovadă (timestamp, versiune, IP) când e temeiul folosit.
- Evaluarea impactului asupra protecției datelor (DPIA) — pentru prelucrări cu risc ridicat (profilare, monitorizare, date sensibile la scară largă).
- Măsuri tehnice și organizatorice — HTTPS, criptare, control acces, backup, plan de răspuns la breșe.
- Contracte cu procesatorii (DPA) — pentru fiecare furnizor care primește date personale (analytics, email, plăți, cloud).
4. Drepturile persoanei vizate
Persoana ale cărei date sunt prelucrate are dreptul la: acces, rectificare, ștergere („dreptul de a fi uitat"), restricționare, portabilitate, opoziție, retragerea consimțământului, dreptul de a nu fi supus deciziilor automate. Termenul de răspuns este de 30 de zile, cu posibilitate de prelungire în cazuri justificate.
5. Amenzi și sancțiuni
Legea introduce două praguri, aliniate cu GDPR:
- Până la 2% din cifra de afaceri anuală — încălcări formale (registre, notificări, DPO).
- Până la 4% din cifra de afaceri anuală — încălcări materiale (consimțământ, drepturi, transferuri internaționale).
Pentru IMM-uri se aplică un plafon minim (sumă fixă în MDL) dacă procentul e sub prag.
6. Checklist practic până în august 2026
- Publică o politică de confidențialitate conformă (link vizibil în footer, pe toate paginile).
- Publică termeni și condiții actualizați.
- Instalează un banner de consimțământ pentru cookies cu opțiuni „Accept / Refuz / Setări" egale.
- Blochează scripturile non-esențiale (analytics, pixels) până la consimțământ.
- Adaugă bifă de consimțământ pe fiecare formular (nebifată din start), cu link la politică.
- Semnează DPA cu fiecare furnizor terț (analytics, email, plăți, cloud, CRM).
- Elimină furnizori din jurisdicții fără decizie de adecvare (Rusia, Belarus).
- Numește DPO dacă e cazul; documentează contactul lui în politică.
- Creează registrul activităților de prelucrare (chiar și simplificat).
- Stabilește un plan intern de răspuns la breșe (cine, ce, în cât timp).
Verifică-ți site-ul
Vezi în 60 de secunde unde ești
GDPRScan analizează site-ul tău și îți arată exact ce lipsește față de Legea 195/2024 — gratuit, fără cont.
Scanează gratuit →Acest ghid are scop informativ. Pentru situații specifice consultă un avocat sau DPO calificat. Sursa oficială: Monitorul Oficial al Republicii Moldova, Legea nr. 195/2024.