Prej fillimit të këtij viti, Shqipëria ka një kuadër të ri ligjor për mbrojtjen e të dhënave personale, i cili në përafrim të plotë me direktivën e BE-së, parashikon një sërë risish dhe detyrimesh për subjektet kontrolluese dhe përpunuese. Po kështu, parashikon masa administrative deri në 20 milionë euro. Por, teksa po punohet me grupe interesi për t’i mirinformuar, paralelisht kanë filluar gjobat e para. Katër vendime në korrik-gusht kanë ndëshkuar me 47 mijë euro katër subjekte ndër të tjera: dy klinika dentare, një parti politike dhe një institucion shtetëror. Subjekte të këtij ligji si përpunues apo kontrollues pohojnë se pavarësisht aspekteve pozitive që sjell ligji, ai mbetet ende i ri dhe duhet të ketë një fazë paralajmërimi përpara ndëshkimit duke i dhënë mundësi për përshtatje.
Katër vendime të periudhës korrik-gusht të këtij viti, të marra nga Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, parashikuan gjoba në vlerën 4.7 milionë lekë si efekt i shkeljeve të konstatuara në disa subjekte.
Kuadri ligjor që hyri në fuqi në janar të këtij viti për mbrojtjen e të dhënave personale, duket se ka kaluar në fazën e tij të re.
Pas paralajmërimit dhe thirrjes për ndërgjegjësim të subjekteve për të përmirësuar aspektet teknike dhe detyrimet e reja që vendoste ligji në lidhje me mbledhjen dhe përpunimin e të dhënave personale, kemi kaluar te ndëshkimi.
Gjobat në fjalë, të ndara mes katër subjekteve, sipas gjetjeve të shkeljeve të konstatuara nga zyra e Komisionerit, janë trajtuar në përshtatje me metodologjinë në fuqi për llogaritjen e tyre duke pasur në bazë tavanin që parashikon ligji, që arrin deri në 20 milionë euro dhe xhiron vjetore ekonomike të subjektit.
Gjobat e vendosura për shkeljet e konstatuara, edhe pse shumë të ulëta në raport me kufirin maksimal, janë dukshëm më të larta se ato që aplikoheshin me ligjin e vjetër.
Kush u ndëshkua, pse dhe a ka nevojë për paralajmërim para “dënimit”
Argumenti se ligji i ri përmirëson disa aspekte që lidhen si me mbrojtjen e të dhënave të qytetarëve, ashtu edhe me qartësimin e hallkave dhe aspekteve teknike që duhet të ndiqen pranohet në fakt edhe nga biznesi.
Pikëpyetja që ngre ky i fundit, në rastet kur është kontrollues apo përpunues, ka të bëjë me një fazë më diplomatike të adoptimit me kërkesat e reja ligjore.
Pra, fillimisht duhet të funksionojë paralajmërimi, qoftë edhe me një shkresë për të gjithë subjektet, nga ana e Komisionerit që i vë në dijeni lidhur me kërkesat e reja ligjore. Teksa në korporatat e mëdha, kjo është më e thjeshtë për t’u zbatuar dhe për t’u përshtatur, në subjekte më të vogla kërkohet më shumë informim.
Gjobat e fundit kanë krijuar një lloj paniku ndër subjekte. Një ekonomiste në kushte anonimati tha për “Monitor” se subjekte të caktuara po gjobiten pa u informuar dhe këshilluar paraprakisht se çfarë duhet të përshtatin me ligjin e ri, ndryshe nga sa ndodh zakonisht me tatimet.
Pjesëmarrja në tryeza informuese me grupe të caktuara interesi duket se nuk ka prekur tërësisht të gjithë subjektet që janë pjesë e këtij ligji.
Në faqen e internetit të Komisionerit janë deri më tani katër vendime lidhur me penalitete të marra ndaj subjekteve që janë gjetur në shkelje. Në krye qëndron një subjekt i regjistruar si Dental Turk, i cili është ndëshkuar me 2.4 milionë lekë gjobë, apo 24 mijë euro për disa pika të cituara në vendim se nuk janë në përputhje me ligjin.
Kjo shumë përkon me 2.2% të xhiros së kompanisë që në vitin 2024 ishte rreth 107 milionë lekë, sipas të dhënave të publikuara në Qendrën Kombëtare të Biznesit.
Një tjetër vendim i 1 gushtit parashikon një masë administrative me vlerë 1 milion lekë, apo 10 mijë euro, ndaj subjektit politik Partia Mundësia. Një ankesë e mbërritur pranë Komisionerit për përpunimin e të dhënave nga subjekti politik bëri që zyra të niste një hetim administrativ.
Pas një serie procedurash, ballafaqimesh me faktet, Komisioneri vendosi për masë administrative ndaj Kontrolluesit, në këtë rast një parti politike nën argumentin se: “Kontrolluesi ka cenuar drejtpërdrejt parimet themelore të përpunimit të të dhënave personale, përfshirë ligjshmërinë, proporcionalitetin dhe integritetin e përpunimit, të cilat mbrojnë interesin thelbësor të të dhënave personale të individit.
Konkretisht, vendosja në dispozicion e të dhënave personale të përfshira në dosjen e rivlerësimit të një subjekti të dhënash, në mënyrë të paanonimizuar, pa respektuar parimin e ligjshmërisë, proporcionalitetit dhe minimizimit të të dhënave, përbën një përpunim të paligjshëm të të dhënave personale”.
Një tjetër vendim gjobit një tjetër klinikë dentare, Union Dental Clinic, në një total prej 500 mijë lekësh apo 5 mijë euro. Ndërsa subjekti i katërt me një vendim publik është Arkivi Shtetëror i Sistemit Gjyqësor.
Një individ është ankuar se dosja e saj është vendosur në dispozicion nga Arkivi pa miratimin e saj për një palë të tretë. Pas ndjekjes së këtij hetimi dhe fakteve, Komisioneri ka vendosur një masë administrative 800 mijë lekë apo 8 mijë euro për kontrolluesin që në këtë rast, është Arkivi Shtetëror i Sistemit Gjyqësor.
Metodologjia e përllogaritjes së masës së sanksioneve administrative
Pavarësisht tavaneve që vendos ligji lidhur me masat administrative që mund të vendosen për shkelje të caktuara, të cilat mund të arrijnë deri në 20 milionë euro, pjesë e integruar e zbatimit është një metodologji që synon të përllogarisë më saktë këto masa.
Më herët, në një intervistë për “Monitor”, Komisioneri Besnik Dervishi tha se në thelb do të ruhet edhe parimi i proporcionalitetit. Por çfarë parashikon në fakt metodologjia që është dokumenti kyç mbi të cilën llogariten shifrat?
Që në krye të këtij dokumenti pranohet se përllogaritja e masës së sanksionit administrativ është në diskrecionin e Zyrës së Komisionerit si autoriteti mbikëqyrës i ngarkuar me ligj për këtë qëllim.
“Dispozitat dhe fryma e përgjithshme e Ligjit për Mbrojtjen e të Dhënave, kërkojnë që shuma e sanksionit në çdo rast individual të jetë efektive, proporcionale dhe me karakter parandalues (neni 93 (1) i ligjit).
Për më tepër, gjatë përcaktimit të masës së sanksionit, duhet t’i kushtohet vëmendje listës së rrethanave që u referohen veçorive të shkeljes (shkallës së rëndësisë së saj) ose sjelljes së shkelësit (neni 93 (2) i ligjit).
Prandaj, përcaktimi sasior i masës së sanksionit bazohet në një vlerësim specifik të kryer në çdo rast, duke marrë parasysh parametrat e përfshirë në dispozitat e Ligjit për Mbrojtjen e të Dhënave”, – thuhet në metodologji.
Metodologjia sanksionon se nuk ka masë minimale gjobe, por vetëm tavane të saj të përcaktuara. Janë të paktën pesë hapa që ndiqen në metodologji.
Hapi 1: Identifikimi i proceseve / veprimtarisë së përpunimit, sipas rastit konkret dhe vlerësimi i zbatimit të pikës 3 të nenit 93 (ka të bëjë me rastet e pakujdesisë me ose pa dashje sa i takon përpunimit të të dhënave personale), të Ligjit për Mbrojtjen e të Dhënave
Hapi 2: Përcaktimi i modelit për përllogaritjen e mëtejshme të sanksionit, bazuar në një vlerësim të: a) klasifikimit të shkeljes, seriozitetit të shkeljes, xhiros së Ndërmarrjes, si një element i rëndësishëm për t’u marrë në konsideratë, me synim vendosjen e një sanksioni efektiv, proporcional dhe me karakter parandalues.
Hapi 3: Vlerësimi i rrethanave rënduese dhe lehtësuese që lidhen me sjelljen e mëparshme ose të tanishme të kontrolluesit / përpunuesit si dhe zmadhimi ose zvogëlimi i masës së sanksionit, në përputhje me këto rrethana.
Hapi 4: Identifikimi i tavanit ligjor, për masën e sanksionit lidhur me proceset / veprimtaritë e ndryshme të përpunimit. Zmadhimet e aplikuara ose që do të aplikohen nuk mund të tejkalojnë këtë tavan.
Hapi 5: Kryerja e analizës nëse shuma përfundimtare e sanksionit të përllogaritur plotëson kërkesat e efektivitetit, proporcionalitetit dhe karakterit parandalues, siç kërkohet nga dispozitat e pikës 1, të 93, të Ligjit për Mbrojtjen e të Dhënave, dhe duke zmadhuar ose duke zvogëluar masën e sanksionit, në përputhje me rrethanat.
Çfarë solli kuadri i ri ligjor në mbrojtjen e të dhënave personale
Kuadri ligjor që hyri në fuqi në fillim të këtij viti erdhi në përshtatje të plotë me direktivën e Bashkimit Europian. Kjo i referohet rregullores 2016/679 e Parlamentit Europian dhe Këshillit (GDPR) që u miratua thuajse një dekadë më parë dhe nën tendencën e zhvillimeve të shpejta teknologjike të kohëve të fundit, edhe ligji shqiptar 124/2024 është produkt i këtyre zhvillimeve.
Më herët, në një komunikim për “Monitor”, Zyra e Komisionerit tha se nëpërmjet risive që sjell, ligji garanton për qytetarët, në cilësinë e subjekteve të të dhënave, standardet më të larta në fushën e mbrojtjes së të dhënave personale, në një kohë kur përpunimi i të dhënave personale në epokën dixhitale është shumëfishuar. Për më tepër, aspektet që përmirësohen sipas Komisionerit janë:
– Zgjerimi i kategorisë së të drejtave të individit (subjektit të të dhënave);
– Përmirësimi i të drejtave që subjekti gëzon aktualisht, me qëllim garantimin e një niveli kontrolli më të lartë mbi të dhënat e tij personale;
– Forcimi i së drejtës për akses. Është e drejtë e subjektit të të dhënave të marrë nga kontrolluesi, me kërkesën e tij, konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapën të dhënat personale.
– Rregullohet posaçërisht e drejta për të mos iu nënshtruar vendimeve automatike. Kjo e drejtë konsiston në të drejtën e subjektit për të mos iu nënshtruar një vendimi që bazohet vetëm në përpunimin automatik, përfshirë profilizimin, i cili shkakton pasoja ligjore ose pasoja të ngjashme të konsiderueshme për të, përveçse kur ky vendim është i nevojshëm për lidhjen ose zbatimin e një kontrate midis subjektit të të dhënave dhe kontrolluesit, ose bazohet në pëlqimin e dhënë nga subjekti i të dhënave;
– Rregullohet “e drejta për t’u harruar”, e cila shërben si një garanci në mjedisin online për subjektin e të dhënave, duke detyruar motorët e kërkimit të fshijnë me kërkesë të subjektit të të dhënave informacionin në lidhje me të, i cili me kalimin e kohës nuk është më i nevojshëm dhe ka ndikim negativ në reputacionin e tij;
– Parashikohen, për herë të parë, rregulla mbi përpunimin e të dhënave personale nga autoritetet ligjzbatuese në sferën penale, të cilat konsiderohen si lex specialis për këtë fushë;
– Rishikohen në rritje sanksionet administrative, si një tregues i qartë për rëndësinë që mbart mbrojtja e të dhënave personale.
Detyrimet që lindin për kontrolluesit apo përpunuesit e të dhënave personale
Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale ka nënvizuar më herët detyrimet e reja që lindin për kontrolluesit dhe përpunuesit, të cilat prezantohen për herë të parë në legjislacionin për mbrojtjen e të dhënave personale, me qëllim garantimin më efektiv të sigurisë së informacionit në procesin e përpunimit të të dhënave personale.
“Konkretisht:
– Kryerja e vlerësimit të ndikimit në mbrojtjen e të dhënave personale përpara fillimit të një procesi përpunimi, me qëllim identifikimin e rreziqeve të mundshme për të drejtat dhe liritë e subjektit të të dhënave dhe minimizimin e tyre sa më shpejt të jetë e mundur, nëse rezulton se ky përpunim përbën rrezik të lartë;
– Detyrimi për t’u konsultuar paraprakisht me Komisionerin përpara fillimit të përpunimit të të dhënave, në rast se ky përpunim rezulton me rrezik të lartë për subjektin e të dhënave;
– Detyrimi për njoftimin e Komisionerit në rast cenimi të të dhënave personale, si dhe subjekteve të të dhënave kur rreziqet e shkaktuara nga cenimi i të dhënave mund të jenë të larta;
– Prezantimi i konceptit të mbrojtjes së të dhënave në projektim (by design) dhe mbrojtjes në mënyrë të paracaktuar, si dhe inkurajimi i kontrolluesve dhe përpunuesve për përdorimin e këtyre teknologjive;
– Detyrimi i organeve të sektorit publik dhe privat për emërimin e një nëpunësi të mbrojtjes së të dhënave, me qëllim garantimin e përputhshmërisë së organizatës ku bën pjesë me kërkesat e ligjit për mbrojtjen e të dhënave personale gjatë proceseve përpunuese të të dhënave që kryejnë, në kuadër të ushtrimit të veprimtarisë së tyre;
– Hartimi i kodeve të sjelljes për kategori të caktuara kontrolluesish dhe përpunuesish, të cilat kanë për qëllim të kontribuojnë në zbatimin sa më të mirë të ligjit për mbrojtjen e të dhënave personale nga këta të fundit;
– Organe Monitoruese të akredituara nga Komisioneri, të cilët kanë si mision monitorimin e përputhshmërisë ose jo të kontrolluesve dhe përpunuesve me kodin e sjelljes, në rast se këta të fundit kanë marrë përsipër t’i përmbahen atij;
– Ngritja e mekanizmit të certifikimit, si një instrument, i cili tregon se një proces përpunimi është në përputhje me kuadrin ligjor për mbrojtjen e të dhënave personale dhe se gjatë procesit të përpunimit të të dhënave ekzistojnë garanci të mjaftueshme për sigurinë e tyre.
Nëse në ligjin e shfuqizuar, detyrimet e kontrolluesit përcaktoheshin në një nen të vetëm, në ligjin që sapo ka hyrë në fuqi, këtij elementi i kushtohet një kapitull i tërë (nenet 22 – 38), ku trajtohen gjerësisht detyrimet dhe masat që një kontrollues duhet të ndërmarrë, me qëllim garantimin e përputhshmërisë me detyrimet e ligjit dhe sigurinë e të dhënave”./ Monitor
© BalkanWeb
and then