Protecția datelor cu caracter personal, versiunea 2.0: implicațiile Legii nr. 195/2024. Partea I

La 23 august 2026 va intra în vigoare Legea nr. 195 din 25 iulie 2024 care, va institui un nou cadru legislativ în domeniul protecției datelor cu caracter personal. Scopul noii legi este să aducă legislația RM în linie cu standardele europene – în special cu GDPR-ul UE (Regulamentul (UE) 2016/679) — oferind un cadru modern de protecție a datelor personale.

2.1. Alinierea la GDPR

Noua reglementare preia în mare parte arhitectura și principiile Regulamentul General privind Protecția Datelor (GDPR), consacrând o abordare modernă în materia protecției datelor. Accentul este plasat pe prevenție și pe integrarea protecției datelor în procesele interne ale organizațiilor.

În practică, aceasta se traduce prin introducerea unor obligații concrete pentru operatori, precum documentarea activităților de prelucrare, evaluarea riscurilor și implementarea unor mecanisme interne de control, concomitent cu extinderea semnificativă a drepturilor persoanelor vizate.

2.2. Responsabilitatea operatorului

Principiul responsabilității demonstrabile (accountability) devine unul dintre pilonii centrali ai noii legi. Operatorul nu mai este doar un subiect obligat să respecte legea, ci un actor care trebuie să poată proba, în orice moment, conformitatea activităților sale.

Această obligație implică adoptarea unor măsuri tehnice și organizatorice adecvate, în funcție de natura, scopul și riscurile prelucrării. În mod concret, operatorii trebuie să implementeze politici interne, să asigure securitatea datelor prin soluții tehnice adecvate, să instituie proceduri pentru gestionarea incidentelor și să mențină evidențe clare ale activităților de prelucrare. Totodată, instruirea personalului și dezvoltarea unei culturi organizaționale orientate spre protecția datelor devin elemente indispensabile.

În funcție de natura datelor prelucrate, operatorul este obligat să adopte măsuri tehnice și organizatorice adecvate, precum:

• Politici interne actualizate privind protecția datelor, minimizarea datelor și accesul limitat;

• Proceduri tehnice și organizatorice precum: criptare, securitate IT, pseudominizare;

• Proceduri pentru incidente de securitate și plan de răspuns la breșe;

• Registre de evidență– înregistrare a tuturor activitățile de prelucrare a datelor cu caracter personal;

• Efectuarea auditului privind protecția datelor;

• Evaluarea impactului pentru prelucrările cu risc ridicat;

• Desemnarea unui responsabil cu protecția datelor;

• Instruirea anuală a personalului privind respectarea prevederile legii;

• Elaborarea codurilor de conduită,

2.3. Drepturile persoanei vizate

Noua lege consolidează semnificativ poziția persoanei vizate, transformând-o într-un veritabil titular de control asupra propriilor date. Transparența constituie punctul de plecare, operatorii fiind obligați să furnizeze informații clare, concise și accesibile privind modul de prelucrare a datelor. Informația urmează a fi prezentată persoanei vizate în termen de cel mult de o lună.

În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

a) să perceapă o taxă rezonabilă ţinând cont de costurile administrative pentru furnizarea informaţiilor sau a comunicării ori pentru luarea măsurilor solicitate; sau

b) să refuze să dea curs cererii.

În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

Drepturile clasice — accesul, rectificarea, ștergerea și restricționarea prelucrării — sunt completate de drepturi moderne, precum portabilitatea datelor și dreptul la opoziție, în special în contextul prelucrărilor realizate în scop de marketing direct.

Un element de noutate relevant îl constituie reglementarea deciziilor automatizate. Legea limitează utilizarea acestora în situațiile în care produc efecte juridice sau afectează semnificativ persoana vizată și impune garanții suplimentare, inclusiv dreptul la intervenție umană și la contestarea deciziei.

2.4. Evidența activităților de prelucrare a datelor

Noua lege obligă operatorii de date personale și persoanele împuternicite de aceștia să păstreze o evidență a prelucrării datelor cu caracter personal. Această evidență poate fi ținută în format fizic sau digital și cuprinde toate operațiunile de prelucrare a datelor cu caracter personal realizate de către o organizație.

Ținerea unui registru este obligatorie în următoarele cazuri:

• Operatorii au cel puțin 250 de angajați.

• Dacă prelucrarea efectuată este susceptibilă de a genera un risc pentru drepturile persoanelor vizate (spre exemplu, utilizarea camerelor de supraveghere, GPS-ului, etc.).

• În cazul în care prelucrarea datelor nu este ocazională, spre exemplu prelucrarea datelor salariaților sau ale clienților companiei.

• Atunci când prelucrarea include categorii speciale de date, precum cele datele privind sănătatea, biometrice, genetice, care dezvăluie originea rasială sau etnică, opiniile politice, etc.

• Atunci când prelucrarea include date cu caracter personal referitoare la condamnări penale şi infracţiuni.

Registrul de evidență a datelor trebuie să conțină următoarele informații:

a) numele şi datele de contact ale operatorului/ reprezentantului operatorului/responsabilului cu protecţia datelor;

b) scopurile prelucrării - adică activitățile desfășurate în cadrul organizației, care presupun prelucrarea de date cu caracter personal. Acestea pot fi: administrarea de personal, marketing, încheierea contractelor cu furnizori sau clienți etc.

c) o descriere a categoriilor de persoane vizate şi a categoriilor de date cu caracter personal - printre persoanele vizate se pot regăsi angajații companiei (ale căror date personale se regăsesc în dosarele de personal), clienții/pacienții sau alți colaboratori ai operatorului;

d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din alte state sau din organizaţii internaţionale;

e) dacă este cazul, transferurile de date cu caracter personal către un alt stat sau către o organizaţie internaţională, inclusiv identificarea acestui stat sau a organizaţiei internaţionale respective;

f) dacă este posibil, termenele-limită preconizate pentru ştergerea diferitelor categorii de date;

g) dacă este posibil, o descriere generală a măsurilor tehnice şi organizatorice de securitate - Aceste măsuri pot fi: pseudonimizarea și criptarea datelor, asigurarea accesului în clădire/birou doar pentru persoanele care au dreptul să fie acolo, permiterea accesului la date numai prin folosirea unei parole care va fi schimbată la anumite intervale de timp etc.

În contextul noii reglementări, operatorii de date nu își mai pot permite o abordare reactivă sau formală a conformării. Legea nr. 195/2024 impune o schimbare reală de abordare, iar primul pas în această direcție îl reprezintă evaluarea completă a activităților de prelucrare.

Identificarea și documentarea fluxurilor de date: – de la scopuri și categorii de date până la destinatari – nu mai este doar o bună practică, ci o condiție esențială pentru a demonstra conformitatea.

Pe baza acestei analize, organizațiile trebuie să își construiască un cadru intern solid, prin politici clare și actualizate privind protecția datelor și securitatea informațiilor.

Acestea trebuie să fie dublate de măsuri tehnice și organizatorice adecvate, adaptate riscurilor reale – de la controlul accesului și criptare, până la testarea periodică a sistemelor. În lipsa unor astfel de mecanisme, expunerea la riscuri juridice și sancțiuni devine semnificativă.

Totodată, experiența practică demonstrează că cele mai frecvente vulnerabilități nu sunt de natură tehnică, ci umană. Din acest motiv, instruirea angajaților și dezvoltarea unei culturi organizaționale orientate spre protecția datelor nu reprezintă un element opțional, ci o investiție directă în reducerea riscurilor.

Transparența față de persoanele vizate capătă, de asemenea, o importanță strategică. Operatorii trebuie să fie în măsură nu doar să furnizeze informații clare privind prelucrarea datelor, ci și să gestioneze eficient solicitările privind exercitarea drepturilor – într-un mod rapid, coerent și documentat.

Acest articol este primul dintr-o serie dedicată Legii nr. 195/2024 având scopul de analiza pe larg noile prevederi ale acesteia.