Ca să înțelegi cine ce responsabilități are în protecția datelor, trebuie să știi cine sunt „jucătorii". Legea 133/2011 și GDPR folosesc aceiași termeni: operator, persoană vizată și persoană împuternicită. Sună tehnic, dar cu exemple devine clar imediat.

Persoana vizată: proprietarul datelor

Persoana vizată este omul căruia îi aparțin datele. Clientul care completează formularul, vizitatorul site-ului, angajatul din baza ta de date.

Ea este „vedeta" legii: toate obligațiile există ca să-i protejeze drepturile. Persoana vizată poate:

  • Să afle ce date ai despre ea.
  • Să ceară corectarea unor date greșite.
  • Să ceară ștergerea datelor.
  • Să retragă consimțământul.

Practic, persoana vizată ești tu însuți când cumperi ceva online și lași emailul.

Operatorul: cel care decide

Operatorul (sau operatorul de date) este persoana fizică sau juridică ce decide de ce și cum se prelucrează datele. Este afacerea ta.

Dacă tu hotărăști să colectezi emailuri pentru newsletter, să folosești Google Analytics și să păstrezi datele clienților în CRM, tu ești operatorul. Pe umerii operatorului stau cele mai multe obligații:

  • Să aibă un temei legal pentru prelucrare.
  • Să informeze persoanele vizate.
  • Să asigure securitatea datelor.
  • Să răspundă cererilor de acces sau ștergere.
  • Să răspundă în fața CNPDCP în caz de control.

Reține: operator ești chiar dacă altcineva îți gestionează tehnic datele. Responsabilitatea rămâne la tine, pentru că tu ai decis.

Persoana împuternicită: cel care execută

Persoana împuternicită (procesatorul) este cea care prelucrează datele în numele operatorului, după instrucțiunile lui. Nu decide scopurile — doar execută.

Exemple tipice de persoane împuternicite pentru o afacere din Moldova:

  • Furnizorul de hosting care stochează site-ul și baza de date.
  • Platforma de email marketing (unde ții lista de abonați).
  • Procesatorul de plăți.
  • Agenția care îți administrează campaniile.
  • Furnizorul de CRM sau software de facturare.

Cu fiecare persoană împuternicită ar trebui să ai un contract (sau clauze) care spune cum tratează datele.

Un exemplu care leagă totul

Ai un magazin online:

  • Client cumpără o pereche de pantofi și lasă nume, adresă, telefon → persoană vizată.
  • Tu, magazinul, decizi să colectezi aceste date pentru livrare și marketing → operator.
  • Serviciul de curierat și platforma de email care primesc datele ca să livreze coletul și newsletterul → persoane împuternicite.

Toți trei sunt legați de aceleași reguli, dar cu roluri diferite.

De ce contează distincția

Pentru că responsabilitatea principală e a ta, operatorul. Nu poți da vina pe furnizor dacă apare o problemă: tu ai ales cu cine lucrezi și tu răspunzi în fața persoanei vizate și a CNPDCP. De aceea contează să lucrezi cu furnizori serioși și să fii transparent.

Partea practică pe site

Ca operator, prima ta obligație vizibilă este să fii transparent și să ceri consimțământ acolo unde e nevoie — mai ales pentru cookies și tracking. Un banner de consimțământ care blochează real scripturile până la acord îți acoperă acest rol.

GDPR Moldova îți oferă bannerul conform cu blocare prin Google Consent Mode v2 și politica de cookies RO/RU, astfel încât să-ți îndeplinești obligațiile de operator fără muncă tehnică. 7 zile gratuite pentru testare.

Concluzie

Trei roluri, simple de reținut: persoana vizată deține datele, operatorul (tu) decide ce se face cu ele, persoana împuternicită le prelucrează la comanda ta. Responsabilitatea principală este a operatorului. Odată ce știi unde te afli în această schemă, îți e clar ce ai de făcut.

Material orientativ, nu constituie consultanță juridică.