Защита персональных данных, версия 2.0: последствия Закона № 195/2024, Часть I

23 августа 2026 года вступит в силу Закон № 195 от 25 июля 2024 года, который установит новую законодательную базу в сфере защиты персональных данных. Цель нового закона — привести законодательство Республики Молдова в соответствие с европейскими стандартами, в частности с GDPR ЕС (Регламент (ЕС) 2016/679), обеспечив современную систему защиты персональных данных.

2.1. Приведение в соответствие с GDPR Новое регулирование в значительной степени заимствует структуру и принципы Общего регламента по защите данных (GDPR), закрепляя современный подход в данной области. Акцент делается на превенцию и интеграцию защиты данных во внутренние процессы организаций. На практике это означает введение конкретных обязанностей для операторов, таких как документирование операций обработки, оценка рисков и внедрение внутренних механизмов контроля, одновременно с существенным расширением прав субъектов данных.

2.2. Ответственность оператора Принцип подотчётности (accountability) становится одним из центральных элементов нового закона. Оператор больше не является лишь субъектом, обязанным соблюдать закон, а должен в любой момент уметь доказать соответствие своей деятельности требованиям законодательства. Это предполагает внедрение соответствующих технических и организационных мер в зависимости от характера, целей и рисков обработки. В частности, операторы обязаны внедрять внутренние политики, обеспечивать безопасность данных с помощью технических решений, устанавливать процедуры реагирования на инциденты и вести чёткий учёт операций обработки. Также обучение персонала и формирование культуры защиты данных становятся обязательными элементами. В зависимости от характера обрабатываемых данных оператор обязан внедрить такие меры, как: • внутренние политики по защите данных, минимизации данных и ограничению доступа; • технические и организационные меры, включая шифрование, ИТ-безопасность, псевдонимизацию; • процедуры реагирования на инциденты и планы действий при утечках данных; • реестры операций обработки персональных данных; • проведение аудита в области защиты данных; • оценка воздействия для операций с высоким риском; • назначение ответственного по защите данных; • ежегодное обучение персонала; • разработка кодексов поведения.

2.3. Права субъекта данных Новый закон существенно усиливает положение субъекта данных, превращая его в полноценного обладателя контроля над своими данными. Прозрачность становится основой: операторы обязаны предоставлять ясную, краткую и доступную информацию об обработке данных. Информация должна предоставляться в течение максимум одного месяца. Если запросы субъекта данных являются явно необоснованными или чрезмерными (в частности, из-за их повторяемости), оператор может: a) взимать разумную плату с учётом административных расходов; или b) отказать в удовлетворении запроса. В таких случаях оператор обязан доказать необоснованность или чрезмерность запроса. Классические права — доступ, исправление, удаление и ограничение обработки — дополняются современными правами, такими как переносимость данных и право на возражение, особенно в контексте прямого маркетинга. Важным нововведением является регулирование автоматизированных решений. Закон ограничивает их использование, если они имеют юридические последствия или существенно затрагивают субъекта, и предусматривает дополнительные гарантии, включая право на вмешательство человека и обжалование решения.

2.4. Учёт операций обработки данных Новый закон обязывает операторов и уполномоченных лиц вести учёт обработки персональных данных. Такой учёт может вестись в бумажной или электронной форме и должен охватывать все операции обработки. Ведение реестра обязательно в следующих случаях: ▪ у оператора не менее 250 сотрудников; ▪ обработка может представлять риск для прав субъектов данных (например, видеонаблюдение, GPS и др.); ▪ обработка не является эпизодической (например, данные сотрудников или клиентов); ▪ обрабатываются специальные категории данных (здоровье, биометрические, генетические данные, политические взгляды и др.); ▪ обрабатываются данные о судимостях и правонарушениях. Реестр должен содержать: a) имя и контактные данные оператора/представителя/DPO; b) цели обработки; c) категории субъектов данных и данных; d) категории получателей данных; e) трансграничные передачи данных (если применимо); f) сроки хранения данных (если возможно); g) общее описание мер безопасности.

В условиях нового регулирования операторы больше не могут позволить себе формальный или реактивный подход. Закон № 195/2024 требует реального изменения подхода, начиная с комплексной оценки всех операций обработки данных. Идентификация и документирование потоков данных — от целей и категорий до получателей — становится обязательным условием соответствия. На основе этого анализа организации должны создать устойчивую внутреннюю систему через чёткие и актуальные политики, подкреплённые техническими и организационными мерами, адаптированными к реальным рискам. Практика показывает, что основные уязвимости чаще всего связаны с человеческим фактором. Поэтому обучение сотрудников и формирование культуры защиты данных являются критически важными. Прозрачность также приобретает стратегическое значение. Операторы должны не только предоставлять информацию, но и эффективно управлять запросами субъектов данных — быстро, последовательно и документировано. Данная статья является первой в серии, посвящённой Закону № 195/2024, целью которой является подробный анализ его положений.