Un control de la autoritatea de protecție a datelor nu apare din senin, dar când apare, verifică lucruri concrete și verificabile. Dacă știi din timp ce se urmărește, poți transforma un moment stresant într-o simplă formalitate. Iată la ce se uită CNPDCP atunci când evaluează conformitatea unui site sau a unei firme din Moldova.

Baza legală a prelucrării

Primul lucru verificat este de ce prelucrezi datele. Conform Legii 133/2011, orice prelucrare trebuie să aibă un temei legal: consimțământul persoanei, executarea unui contract, o obligație legală sau un interes legitim justificabil.

Pentru cookies de marketing și analiză, temeiul relevant este de regulă consimțământul. Autoritatea va întreba: cum îl obții și cum îl poți dovedi? Dacă răspunsul e „nu îl cerem", ai o problemă imediată.

Bannerul de consimțământ

Un banner există pe multe site-uri, dar nu orice banner este conform. Verificarea urmărește dacă:

  • Cookies-urile de marketing și analiză sunt blocate real până la acceptare, nu doar afișate cosmetic.
  • Utilizatorul are opțiune clară de acceptare și respingere, nu doar un buton „OK".
  • Consimțământul poate fi retras la fel de ușor cum a fost dat.
  • Există înregistrarea acordului.

Un banner care încarcă Google Analytics sau pixelul Meta înainte de acord este, practic, o dovadă de neconformitate în fața autorității.

Politica de confidențialitate

Autoritatea verifică existența și calitatea unei politici de confidențialitate accesibile. Aceasta trebuie să informeze clar:

  • Ce date colectezi și în ce scop.
  • Cui le transmiți (procesatori, parteneri).
  • Cât timp le păstrezi.
  • Ce drepturi are persoana vizată și cum le poate exercita.

O politică lipsă, copiată de pe alt site sau redactată doar într-o limbă, când publicul tău vorbește și rusă, ridică semne de întrebare.

Exercitarea drepturilor persoanelor

Un control poate include testarea modului în care răspunzi cererilor. Persoanele au dreptul să afle ce date deții despre ele, să le corecteze sau să le șteargă. Firma trebuie să demonstreze că are un canal funcțional pentru astfel de solicitări și că răspunde în termen rezonabil.

Transferurile și procesatorii

Dacă folosești servicii externe (hosting, email marketing, analytics), autoritatea poate verifica relația cu acești procesatori și modul în care datele ajung eventual în afara țării. Contractele și clauzele relevante contează aici.

Cum te pregătești

Pregătirea pentru un control se rezumă la trei acțiuni concrete:

  1. Instalează un banner conform care blochează efectiv scripturile până la consimțământ și oferă opțiuni clare de acceptare/respingere.
  2. Publică o politică de confidențialitate completă, în română și rusă.
  3. Documentează baza legală și fluxul de răspuns la cererile persoanelor.

GDPR Moldova acoperă primele două puncte instant: banner cu blocare reală și Consent Mode v2, plus politică bilingvă generată automat. În loc să improvizezi în timpul unui control, prezinți un setup care demonstrează bună-credință și conformare.

Documentarea și principiul responsabilității

Un aspect subestimat este că nu ajunge să fii conform: trebuie să poți demonstra conformitatea. Acesta este principiul responsabilizării (accountability). Autoritatea nu se mulțumește cu afirmația „respectăm legea"; cere dovezi: înregistrarea consimțămintelor, versiunile politicii, evidența cererilor primite de la persoane și modul în care ai răspuns. O firmă care nu poate produce aceste documente pe loc pornește dezavantajată, chiar dacă practicile sale sunt, în esență, corecte. De aceea, un setup care înregistrează automat acordurile utilizatorilor valorează mai mult decât unul care doar le afișează.

Nu îți vom prezenta sume de amenzi inventate. Reține însă că un control găsit nepregătit înseamnă timp pierdut, obligații de conformare urgentă și risc reputațional. Un control găsit pregătit înseamnă doar câteva minute de discuție.

Material orientativ, nu constituie consultanță juridică.