Date: 21-Aug-2025

SHKELJET E TË DHËNAVE DHE NJOFTIMI I TYRE

21 Gusht, 2025

Në një kohë ku përpunimi i të dhënave personale është i përhapur dhe i shpejtë, shkeljet e sigurisë së të dhënave janë një rrezik real dhe i pranishëm për çdo kontrollues apo përpunues. Një shkelje e të dhënave mund të ndikojë rëndë në privatësinë dhe të drejtat e individëve, duke shkaktuar pasoja serioze ligjore dhe reputacioni për subjektet që i përpunojnë ato. Për këtë arsye, Ligji për Mbrojtjen e të Dhënave Personale në Kosovë kërkon masa të qarta për menaxhimin e këtyre incidenteve.

Ky shkrim ka për qëllim të shpjegojë se çfarë konsiderohet si shkelje e të dhënave, si duhet të vlerësohet rreziku, çfarë afatesh dhe procedurash duhet ndjekur për njoftimin, si dhe rolin kyç që luan Agjencia për Informim dhe Privatësi (AIP) në këtë proces.

Çfarë konsiderohet shkelje e të dhënave?

Shkelje e të dhënave konsiderohet çdo incident sigurie që rezulton në shkatërrim, humbje, ndryshim, zbulim ose qasje të paautorizuar ndaj të dhënave personale të përpunuara nga një kontrollues ose përpunues. Kjo përfshin, për shembull:

  • Sulm dhe akses i paautorizuar në bazat e të dhënave;
  • Humbje ose vjedhje e pajisjeve që përmbajnë të dhëna personale;
  • Dërgimi i të dhënave te persona të gabuar;
  • Çdo lloj përdorimi ose ndarja e të dhënave pa pëlqimin ose bazën ligjore të nevojshme.

Vlerësimi i rrezikut

Pas identifikimit të një shkeljeje, kontrolluesi i të dhënave duhet të kryejë menjëherë një vlerësim të rrezikut për të përcaktuar nëse shkelja mund të paraqesë një rrezik të lartë për të drejtat dhe liritë e individëve. Kjo vlerësim merr parasysh natyrën, rëndësinë dhe pasojat e mundshme të shkeljes.

Nëse rreziku konsiderohet i ulët ose i parëndësishëm, mund të mos jetë e nevojshme të njoftohen subjektet e të dhënave.

Afatet për njoftim

Sipas Ligjit për Mbrojtjen e të Dhënave Personale në Kosovë, kontrolluesi duhet të njoftojë Agjencinë për Informim dhe Privatësi (AIP) për çdo shkelje të të dhënave personale:

  • Pa vonesë të panevojshme;
  • Dhe në çdo rast, jo më vonë se 72 orë pas marrjes së dijenisë për shkeljen.

Nëse njoftimi bëhet pas afatit, kontrolluesi duhet të shpjegojë arsyet e vonesës.

Njoftimi i Agjencisë për një shkelje

Njoftimi për shkelje të të dhënave personale duhet të përmbajë:

  • Përshkrimin e natyrës së shkeljes, përfshirë kategoritë dhe numrin e përafërt të subjekteve të të dhënave dhe regjistrave të prekura.
  • Emrin dhe kontaktet e Zyrtarit për Mbrojtjen e të Dhënave ose personit të kontaktit.
  • Përshkrimin e pasojave të mundshme të shkeljes.
  • Masat që janë marrë ose propozuar për të trajtuar shkeljen dhe për të zbutur efektet negative.

Nëse nuk është e mundur dhënia e gjithë informacionit menjëherë, njoftimi mund të bëhet në faza pa vonesa të panevojshme.

Njoftimi i subjekteve të të dhënave

Në rast se një shkelje e të dhënave personale mund të shkaktojë një rrezik të lartë për të drejtat dhe liritë e personave fizikë, kontrolluesi ka detyrimin të informojë subjektin e të dhënave pa vonesë të panevojshme.

Ky komunikim duhet të jetë në një gjuhë të qartë dhe të kuptueshme dhe të përmbajë:

  • Përshkrimin e natyrës së shkeljes së të dhënave personale;
  • Kontaktet e Zyrtarit për Mbrojtjen e të Dhënave ose personit tjetër përgjegjës për më shumë informacion;
  • Pasojat e mundshme të shkeljes;
  • Masat që janë marrë ose propozuar për të zbutur efektet negative.

Megjithatë, komunikimi mund të moj jetë i nevojshëm në rastet kur:

  • Janë zbatuar masa teknike dhe organizative mbrojtëse që e bëjnë të dhënat të pakuptueshme për persona të paautorizuar (p.sh. enkriptimi);
  • Masat e marra garantojnë që rreziku i lartë nuk ekziston më;
  • Njoftimi do të ishte jo proporcional, në këtë rast duhet të bëhet një komunikim publik efektiv që arrin të informojë subjektet e të dhënave në mënyrë të përshtatshme.

Nëse kontrolluesi nuk i komunikon shkeljen subjektit të të dhënave, Agjencia për Informim dhe Privatësi (AIP) mund të kërkojë që kjo të bëhet ose të vlerësojë nëse plotësohen kushtet për përjashtim..

Roli i Agjencisë për Informim dhe Privatësi (AIP)

Agjencia për Informim dhe Privatësi ka rol mbikëqyrës dhe mbështetës në rastet e shkeljeve të të dhënave, ajo:

  • Merr dhe shqyrton njoftimet e bëra nga kontrolluesit;
  • Jep rekomandime dhe kërkon masa shtesë nëse është e nevojshme;
  • Bashkëpunon me kontrolluesit dhe subjektet për të siguruar zbatimin e masave të duhura për mbrojtjen e të dhënave;
  • Mund të ndërmarrë hetime dhe sanksione në rastet e shkeljeve serioze ose përsëritëse.

Përfundim

Menaxhimi i duhur i shkeljeve të të dhënave personale është thelbësor për mbrojtjen e privatësisë dhe të drejtave të individëve. Njohja dhe respektimi i afateve për njoftim, si dhe vlerësimi i saktë i rrezikut, ndihmojnë në minimizimin e dëmeve dhe në ruajtjen e besimit të publikut ndaj organizatave që përpunojnë të dhëna personale. Bashkëpunimi i ngushtë me Agjencinë për Informim dhe Privatësi (AIP) garanton një përgjigje të shpejtë dhe efektive ndaj incidenteve, duke siguruar përputhshmërinë me ligjin dhe parandalimin e pasojave të mundshme ligjore.

Veprimi i shpejtë dhe i përgjegjshëm në rast shkeljesh është një element kyç për të forcuar kulturën e mbrojtjes së të dhënave dhe për të mbajtur një standard të lartë sigurie brenda çdo organizate.

Shkruan: Valmir Haziraj