DETYRIMET E KONTROLLUESVE DHE PËRPUNUESVE TË TË DHËNAVE

7 Gusht, 2025
Ligji për Mbrojtjen e të Dhënave Personale (LMDHP) synon të sigurojë mbrojtje efektive të të dhënave personale, jo vetëm përmes garantimit të të drejtave të individëve, por edhe përmes vendosjes së përgjegjësive të qarta për kontrolluesit dhe përpunuesit.
Kush janë kontrolluesit dhe përpunuesit?
Kontrollues është subjekti që përcakton qëllimet dhe mënyrën e përpunimit të të dhënave personale. Përpunues është çdo palë që përpunon të dhëna në emër të kontrolluesit, bazuar në udhëzimet dhe marrëveshjet që kanë me të. Kur dy apo më shumë subjekte vendosin së bashku për qëllimet dhe mjetet e përpunimit, ato konsiderohen kontrollues të përbashkët dhe ndajnë përgjegjësitë ligjore.
Çdo institucion publik ose subjekt privat që mbledh, ruan apo përpunon të dhëna personale ka detyrime ligjore që duhet t’i përmbushë në çdo fazë të procesit të përpunimit. Këto detyrime janë thelbësore për ndërtimin e besimit, parandalimin e abuzimeve dhe shmangien e ndëshkimeve nga autoritetet mbikëqyrëse.
Mbajtja e regjistrave për aktivitetet e përpunimit
Nën nenin 39 të LMDHP-së, si kontrolluesit ashtu edhe përpunuesit e të dhënave janë të detyruar të mbajnë evidenca të shkruara për aktivitetet e përpunimit të të dhënave. Këto evidenca duhet të përmbajnë informacion thelbësor si:
- emrin dhe informatat e kontaktit të kontrolluesit dhe ku është e aplikueshme edhe të përfaqësuesit të kontrolluesit, zyrtarit për mbrojtjen e të dhënave, apo kontrolluesit të përbashkët;
- qëllimet e përpunimit;
- përshkrimin e kategorive të subjekteve të dhënave dhe të dhënave personale;
- kategoritë e pranuesve të cilët u janë apo do tu zbulohen të dhënat;
- informatat lidhur me transferimin e të dhënave personale në një vend të tretë apo organizatë ndërkombëtare;
- afatet kohore të parashikuara për fshirjen e të dhënave;
- Përshkrimin për masat teknike dhe të sigurisë.
Dokumentacioni duhet të vihet në dispozicion të autoriteteve për mbrojtjen e të dhënave me kërkesën e tyre dhe përbën një element kyç për të dëshmuar përputhshmërinë me LMDHP-në.
Edhe pse organizatat me më pak se 250 punonjës mund të përjashtohen nga ky detyrim në rrethana të kufizuara, si kur përpunimi është i rastësishëm, nuk përfshin të dhëna të ndjeshme dhe nuk paraqet rrezik të madh për subjektet e të dhënave, ky përjashtim rrallë zbatohet në praktikë. Shumica e bizneseve kryejnë përpunime të rregullta të të dhënave (p.sh. paga, faqe interneti ose baza të të dhënave të klientëve), gjë që e bën mbajtjen e evidencës të domosdoshme. Autoritetet pritet ta vendosin këtë dokumentacion në qendër të inspektimeve të tyre.
Mosmbajtja ose mosdorëzimi i plotë i evidencave mund të çojë në gjoba deri në 40,000,00 Euro, siç parashikohet në nenin 92 të LMDHP-së.
Njoftimi i Agjencisë për një shkelje të të dhënave personale
Në rast të një shkeljeje të të dhënave personale, kontrolluesi i të dhënave është i detyruar të njoftojë Agjencinë për Informim dhe Privatësi pa vonesë të panevojshme dhe, nëse është e mundur, jo më vonë se 72 orë pas marrjes së dijenisë për shkeljen. Kjo detyrë mund të përjashtohet vetëm nëse shkelja nuk ka gjasa të paraqesë rrezik për të drejtat dhe liritë e individëve.
Nëse njoftimi bëhet pas 72 orëve, kontrolluesi duhet të japë arsyet e vonesës. Përpunuesit, nga ana tjetër, janë të detyruar ta njoftojnë kontrolluesin menjëherë pas zbulimit të shkeljes.
Njoftimi ndaj Agjencisë duhet të përmbajë një përshkrim të shkeljes (duke përfshirë, nëse është e mundur, kategoritë dhe numrin e përafërt të subjekteve dhe të dhënave të prekura), të dhënat e kontaktit të oficerit për mbrojtjen e të dhënave ose një personi tjetër relevant për më shumë informacion, pasojat e mundshme të shkeljes, si dhe masat e ndërmarra ose të planifikuara për të adresuar shkeljen dhe për të zbutur pasojat e saj. Nëse nuk është e mundur të sigurohet i gjithë ky informacion menjëherë, ai mund të dorëzohet me faza, pa vonesa të mëtejshme të panevojshme.
Gjithashtu, kontrolluesi është i detyruar të dokumentojë çdo shkelje të të dhënave personale, duke përfshirë faktet që lidhen me incidentin, ndikimin e tij dhe masat korrigjuese të ndërmarra. Kjo dokumentacion është thelbësore për të dëshmuar përputhshmërinë me ligjin dhe i mundëson autoritetit mbikëqyrës të verifikojë zbatimin e detyrimeve ligjore nga ana e kontrolluesit.
Bashkëpunimi me Agjencinë për Informim dhe Privatësi
Kontrolluesi dhe përpunuesi dhe, sipas rastit, përfaqësuesit e tyre, bashkëpunojnë, sipas kërkesës me Agjencinë në përmbushjen e detyrave të tyre.
Vlerësimi i ndikimit në privatësi
Kur përpunimi i të dhënave mund të paraqesë një rrezik të lartë për të drejtat dhe liritë e individëve, kontrolluesi duhet të realizojë dhe dokumentojë një Vlerësim të Ndikimit në Mbrojtjen e të Dhënave, përpara fillimit të përpunimit.
Ky vlerësim është i detyrueshëm në situata të tilla si: profilizimi, vendime automatike me pasoja ligjore, përpunim i gjerë i të dhënave të ndjeshme, përdorimi i teknologjive të reja, ose transferimi ndërkombëtar i të dhënave.
Nëse disa nga këto kushte përmbushen njëkohësisht, vlerësimi është i domosdoshëm. Në rast pasigurie, rekomandohet gjithmonë të kryhet ky vlerësim.
Siguria e përpunimit
Duke marrë parasysh gjendjen aktuale të teknologjisë, koston e zbatimit, natyrën, shtrirjen, kontekstin dhe qëllimet e përpunimit, si dhe rrezikun që mund të ndryshojë në gjasë dhe ashpërsi për të drejtat dhe liritë e individëve, kontrolluesi dhe përpunuesi duhet të zbatojnë masa të përshtatshme teknike dhe organizative për të siguruar një nivel sigurie që i përshtatet rrezikut.
Këto masa mund të përfshijnë, ndër të tjera:
- pseudonimizimin dhe enkriptimin e të dhënave personale;
- aftësinë për të garantuar konfidencialitetin, integritetin, disponueshmërinë dhe qëndrueshmërinë e vazhdueshme të sistemeve dhe shërbimeve të përpunimit;
- aftësinë për të rikthyer të dhënat personale dhe qasjen në to në kohë, në rast të një incidenti fizik ose teknik;
- një proces për testimin, vlerësimin dhe shqyrtimin e rregullt të efektivitetit të masave teknike dhe organizative që sigurojnë sigurinë e përpunimit.
Në këtë proces, duhet marrë parasysh rreziku i mundshëm i shkatërrimit, humbjes, ndryshimit, qasjes ose zbulimit të paautorizuar të të dhënave personale.
Përdorimi i kodeve të sjelljes të miratuara apo mekanizmave certifikimi mund të ndihmojë në dëshmimin e përputhshmërisë me këto kërkesa.
Gjithashtu, çdo person që vepron nën autoritetin e kontrolluesit apo përpunuesit dhe ka qasje në të dhënat personale duhet të veprojë vetëm sipas udhëzimeve dhe për qëllime të përcaktuara, përveç në rastet e kërkuara nga ligji.
Marrëveshja ndërmjet kontrolluesit dhe përpunuesit
Përpunuesi mund të përpunojë të dhënat vetëm në bazë të udhëzimeve të shkruara dhe të qarta të kontrolluesit, të përcaktuara në një marrëveshje kontraktuale. Kjo marrëveshje përcakton detyrimet, qëllimet dhe masat e sigurisë që përpunuesi duhet të zbatojë gjatë përpunimit të të dhënave.
Përfundim
Detyrimet e kontrolluesve dhe përpunuesve të të dhënave janë baza e një sistemi funksional dhe të besueshëm të mbrojtjes së të dhënave personale. Zbatimi i këtyre përgjegjësive jo vetëm që garanton respektimin e ligjit, por edhe forcon besimin e individëve dhe partnerëve të biznesit.
Në shkrimin e radhës do të fokusohemi në rolin dhe përgjegjësitë e Zyrtarit për Mbrojtjen e të Dhënave Personale, si një figurë kyçe për sigurimin e përputhshmërisë me Ligjin për Mbrojtjen e të Dhënave Personale dhe ndihmën praktike që ai ofron në zbatimin e kërkesave ligjore.
Shkruan: Valmir Haziraj