Date: 17-Jul-2025

PARIMET BAZË TË MBROJTJES SË TË DHËNAVE

Ilustrim i mbrojtjes së të dhënave personale

17 Korrik 2025

Parimet bazë të mbrojtjes së të dhënave personale përbëjnë themelin e gjithë procesit të mbledhjes, përpunimit dhe kontrollimit të këtyre të dhënave. Neni 4 i Ligjit për Mbrojtjen e të Dhënave Personale (LMDHP) ka përcaktuar disa parime bazë, të cilat ndikojnë drejtpërdrejt dhe tërthorazi në rregullat dhe detyrimet e tjera që përmban ligji.

Për çdo kontrollues dhe përpunues të së dhënave, përputhshmëria me këto parime, paraqet hapin e parë dhe më të rëndësishëm për të siguruar se përmbushen obligimet që dalin nga LMDHP.

LMDHP ka përcaktuar si parime bazë:

Parimin e ligjshmërisë, drejtësisë dhe transparencës – që përcakton se të dhënat personale duhet të përpunohen në mënyrë të ligjshme, të drejtë dhe transparente, pa cenuar dinjitetin e subjektit të së dhënave.

Përpunimi konsiderohet të jetë i ligjshëm vetëm në qoftë se: subjekti ka dhënë pëlqimin; përpunimi është i domosdoshëm për përmbushjen e një kontrate; përpunimi është i domosdoshëm për respektimin e obligimit ligjor; bëhet për mbrojtjen e interesave jetike të subjektit të së dhënave apo subjekteve tjerë fizikë; bëhet për të kryer një detyre me interes publik apo ushtrimin e autoritetit zyrtar; apo është i domosdoshëm për qëllime të interesave legjitime të ushtruara nga kontrolluesi ose pala e tretë.  

Shembull: kur një kompani përpunon të dhënat e klientëve të saj me qëllim të faturimit.

Parimi i kufizimit të qëllimit – përcakton se të dhënat personale mblidhen vetëm për qëllime të caktuara, të qarta dhe legjitime dhe nuk mund të përpunohen në kundërshtim me këto qëllime. Pra, qëllimi për të cilin përpunohen të dhënat personale duhet të jetë i shprehur qartë dhe të përcaktohen në kohën e mbledhjes së të dhënave.

Shembull: Në qoftë se kompania përpunon të dhënat për qëllime të faturimit atëherë ajo nuk ka të drejtë që t’i përdor ato të dhëna për qëllime të marketingut më vonë, pa siguruar pëlqim të ri.

Parimi i minimizimit të të dhënave – përcakton se të dhënat personale që përpunohen duhet të jenë adekuate, relevante dhe nuk duhet t’i tejkalojnë qëllimet për të cilat ato janë mbledhur.

Në esencë ky parim nënkupton se të dhënat personale duhet të përpunohen vetëm në qoftë se qëllimi për të cilin po përpunohen ato të dhëna, nuk mund të arrihet në një mënyrë tjetër.

Shembull: Për një konfirmim të pjesëmarrjes në një event të caktuar mund të jetë e arsyeshme marrja e emrit mirëpo e tejkalon qëllimin në qoftë se kërkohet edhe numri personal apo adresa e banimit.

Parimi i saktësisë – përcakton se çdo e dhënë personale e përpunuar duhet të jetë e saktë dhe e përditësuar.

Kontrolluesi dhe Përpunuesi i të dhënave duhet të angazhohet në vazhdimësi që të ndërmerr çdo hap të arsyeshëm për të garantuar saktësinë e të dhënave dhe të gjitha të dhënat e pasakta, përkitazi me qëllimin e përpunimit, duhet t’i korrigjojë apo fshijë pa vonesë.

Shembull: Përditësimi i email-it të klientit dhe fshirja e email-it të vjetër.

Parimi i kufizimi të ruajtjes – përcakton se të dhënat personale duhet të ruhen vetëm për aq kohë sa është e nevojshme për tu arritur qëllimi për të cilin janë mbledhur dhe përpunuar. Kur të arrihet qëllimi për të cilin, të dhënat personale janë mbledhur, atëherë ato duhet të asgjësohen, fshihen, shkatërrohen, bllokohen ose bëhen anonime. Përjashtimisht në qoftë se është paraparë ndryshe me ndonjë ligj me specifik.

Për të siguruar që të dhënat nuk mbahen më gjatë sesa është e nevojshme, kontrolluesi duhet të vendosë afate për fshirjen e tyre ose për rishikim periodik.

Shembull: Pas përfundimit të një marrëveshje, të dhënat e klientit nuk duhet të ruhen pa ndonjë bazë ligjore.

Parimi i paprekshmërisë dhe konfidencialitetit – përcakton se të dhënat personale duhet të përpunohen në atë mënyrë që garantojnë sigurinë e duhur të tyre, duke përfshirë mbrojtjen ndaj përpunimit të paligjshëm dhe ndaj humbjes, asgjësimit apo dëmtimit, duke përdorur masat e përshtatshme teknike dhe organizative.

Shembull: Përpunimi i të dhënave nga një kompani duke përdorur pseudonizimin. Një kompani që organizon anketa për punëtorët vendos të analizojë rezultatet pa zbuluar identitetin e secilit punëtor. Për këtë arsye, në vend të emrit dhe mbiemrit, secilit punëtor i caktohet një numër/kod. Vetëm një person i caktuar ka listën që lidh kodin me emrin e vërtetë dhe kjo listë ruhet në një vend të ndarë dhe të sigurt.

Parimi i llogaridhënies – përcakton se kontrolluesi duhet të jetë përgjegjës dhe të jetë në gjendje që të zbatojë secilin parim të lartpërmendur gjatë gjithë procesit të mbledhjes, ruajtjes e edhe shkatërrimit apo asgjësimit të së dhënave personale.

Parimi i llogaridhënies së kontrolluesit sipas LMDHP nuk nënkupton vetëm përpjekjen e kontrolluesit për të zbatuar secilin përcaktim ligjor por nënkupton që kontrolluesi duhet të jetë në gjendje edhe të dëshmojë (përmes regjistrimeve dhe masave të duhura) se i ka ndërmarrë të gjithë hapat e duhur, veçanërisht ndaj Agjencisë.

Shembull: Agjencia për Informim dhe Privatësi ka shqiptuar gjoba të ndryshme ndaj kompanive të ndryshme dhe atë deri në 50,000.00 Euro për shkak se nuk ka marrë masat e duhura teknike dhe organizative për të siguruar një nivel sigurie dhe e ka shkelur parimin e paprekshmërisë dhe konfidencialitetit.

Si përfundim, parimet e shpjeguara si më lartë, nuk janë vetëm udhëzime të përgjithshme teorike por standarde ligjore të detyrueshme.

Zbatimi i këtyre parimeve nuk shërben vetëm për të shmangur ndëshkimet mirëpo shërben për të ndërtuar besim te subjektet e të drejtave dhe për të garantuar dhe siguruar një ambient të përgjegjshëm të privatësisë.

Shkruan: Valmir Haziraj