Intervistë me Besnik Dervishi, Komisioner për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale
Ligji i ri “Për mbrojtjen e të dhënave personale” ka hyrë në fuqi këtë vit, duke sjellë ndryshime domethënëse në disa aspekte si për sa u takon të drejtave lidhur me individët në funksion të transparencës, ashtu edhe për detyrimet e kontrolluesve privatë dhe publikë.
Në një intervistë për “Monitor”, z.Besnik Dervishi, Komisioner për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale sqaron në detaj disa risitë më të rëndësishme që sjell ky kuadër i ri ligjor, teksa nënvizon se mbetet sfidë ndryshimi i mendësisë së publikut dhe rritja e ndërgjegjësimit për mbrojtjen e të dhënave personale.
Nga fillimi i këtij viti ka një ligj të ri për mbrojtjen e të dhënave personale. Çfarë përfaqëson ky ligj në aspektin e të rejave dhe përmirësimeve që sjell?
Ligji nr. 124/2024 “Për mbrojtjen e të dhënave personale” përmban një sërë rregullash që të gjitha subjektet duhet t’i respektojnë, nëse përpunojnë të dhënat e qytetarëve.
Objektivi kryesor i tij është t’u japë qytetarëve një kontroll më të madh mbi të dhënat e tyre personale, duke siguruar që ato të përpunohen në mënyrë transparente dhe të ligjshme.
Miratimi i tij përbën përmbushjen e një pikete të rëndësishme në kuadër të integrimit të vendit në Bashkimin Europian duke përafruar tërësisht kuadrin rregullator shqiptar të fushës së mbrojtjes së të dhënave personale me atë europian.
Rregullorja 2016/679 e Parlamentit Europian dhe Këshillit (GDPR) u miratua si një përgjigje e kuadrit legjislativ ndaj zhvillimeve të shpejta teknologjike të kohëve të fundit, për rrjedhojë edhe ligji nr. 124/2024 është produkt i këtyre zhvillimeve.
Nëpërmjet risive që sjell, ligji garanton për qytetarët, në cilësinë e subjekteve të të dhënave, standardet më të larta në fushën e mbrojtjes së të dhënave personale, në një kohë kur përpunimi i të dhënave personale në epokën dixhitale është shumëfishuar.
Ligji përmirëson një sërë aspektesh të garantimit në praktikë të mbrojtjes së të dhënave personale si më poshtë:
– Zgjerohet kategoria e të drejtave të individit (subjektit të të dhënave);
– Përmirësohen të drejtat që subjekti gëzon aktualisht, me qëllim garantimin e një niveli kontrolli më të lartë mbi të dhënat e tij personale;
– Forcohet e drejta për akses. Është e drejtë e subjektit të të dhënave të marrë nga kontrolluesi, me kërkesën e tij, konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapën të dhënat personale.
– Rregullohet posaçërisht e drejta për të mos iu nënshtruar vendimeve automatike.
Kjo e drejtë konsiston në të drejtën e subjektit për të mos iu nënshtruar një vendimi që bazohet vetëm në përpunimin automatik, përfshirë profilizimin, i cili shkakton pasoja ligjore ose pasoja të ngjashme të konsiderueshme për të, përveç kur ky vendim është i nevojshëm për lidhjen ose zbatimin e një kontrate midis subjektit të të dhënave dhe kontrolluesit, ose bazohet në pëlqimin e dhënë nga subjekti i të dhënave;
– Rregullohet “e drejta për t’u harruar” e cila shërben si një garanci në mjedisin online për subjektin e të dhënave, duke detyruar motorët e kërkimit të fshijnë me kërkesë të subjektit të të dhënave informacionin në lidhje me të, i cili me kalimin e kohës nuk është më i nevojshëm dhe ka ndikim negativ në reputacionin e tij;
– Parashikohen, për herë të parë, rregulla mbi përpunimin e të dhënave personale nga autoritetet ligjzbatuese në sferën penale, të cilat konsiderohen si lex specialis për këtë fushë;
– Rishikohen në rritje sanksionet administrative, si një tregues i qartë për rëndësinë që mbart mbrojtja e të dhënave personale.
Cilat janë detyrimet që lindin nga ky ligj për kontrolluesit apo përpunuesit e të dhënave personale?
Ligji parashikon detyrime të reja për kontrolluesit dhe përpunuesit, të cilat prezantohen për herë të parë në legjislacionin për mbrojtjen e të dhënave personale, me qëllim garantimin më efektiv të sigurisë së informacionit në procesin e përpunimit të të dhënave personale. Konkretisht:
– Kryerja e vlerësimit të ndikimit në mbrojtjen e të dhënave personale përpara fillimit të një procesi përpunimi me qëllim identifikimin e rreziqeve të mundshme për të drejtat dhe liritë e subjektit të të dhënave dhe minimizimin e tyre sa më shpejt të jetë e mundur, nëse rezulton se ky përpunim përbën rrezik të lartë;
– Detyrimi për t’u konsultuar paraprakisht me Komisionerin përpara fillimit të përpunimit të të dhënave, në rast se ky përpunim rezulton me rrezik të lartë për subjektin e të dhënave;
– Detyrimi për njoftimin e Komisionerit në rast cenimi të të dhënave personale, si dhe subjekteve të të dhënave kur rreziqet e shkaktuara nga cenimi i të dhënave mund të jenë të larta;
– Prezantimi i konceptit të mbrojtjes së të dhënave në projektim (by design) dhe mbrojtjes në mënyrë të paracaktuar, si dhe inkurajimi i kontrolluesve dhe përpunuesve për përdorimin e këtyre teknologjive;
– Detyrimi i organeve të sektorit publik dhe privat për emërimin e një nëpunësi të mbrojtjes së të dhënave me qëllim garantimin e përputhshmërisë së organizatës ku bën pjesë me kërkesat e ligjit për mbrojtjen e të dhënave personale gjatë proceseve përpunuese të të dhënave që kryejnë, në kuadër të ushtrimit të veprimtarisë së tyre;
– Hartimi i kodeve të sjelljes për kategori të caktuara kontrolluesish dhe përpunuesish, të cilat kanë për qëllim të kontribuojnë në zbatimin sa më të mirë të ligjit për mbrojtjen e të dhënave personale nga këta të fundit;
– Organe Monitoruese të akredituara nga Komisioneri, të cilët kanë si mision monitorimin e përputhshmërisë ose jo të kontrolluesve dhe përpunuesve me kodin e sjelljes, në rast se këta të fundit kanë marrë përsipër t’i përmbahen atij;
– Ngritja e mekanizmit të certifikimit, si një instrument, i cili tregon se një proces përpunimi është në përputhje me kuadrin ligjor për mbrojtjen e të dhënave personale dhe se gjatë procesit të përpunimit të të dhënave ekzistojnë garanci të mjaftueshme për sigurinë e tyre.
Nëse në ligjin e shfuqizuar, detyrimet e kontrolluesit përcaktoheshin në një nen të vetëm, në ligjin që sapo ka hyrë në fuqi, këtij elementi i kushtohet një kapitull i tërë (nenet 22 – 38), ku trajtohen gjerësisht detyrimet dhe masat që një kontrollues duhet të ndërmarrë, me qëllim garantimin e përputhshmërisë me detyrimet e ligjit dhe sigurinë e të dhënave.
Çfarë përmirësimesh ofron kuadri i ri ligjor tek individët dhe sigurinë e të dhënave të tyre?
Ligji i kushton një vëmendje dhe rëndësi të veçantë garantimit në praktikë të të drejtave të individëve nga njëra anë dhe prezantimit të koncepteve të reja, si detyrim për kontrolluesit dhe përpunuesit e të dhënave, në anën tjetër, të cilat kanë për qëllim vënien në qendër të çdo procesi përpunues, sigurinë e të dhënave të individëve.
Për këtë qëllim, ligji përmban një dispozitë të posaçme (neni 28), i cili prezanton në mënyrë të shtjelluar kontrolluesit dhe përpunuesit me masat që duhet të marrin për të garantuar sigurinë e të dhënave.
Më pas çdo element i përmendur në këtë nen zbërthehet në vijim si koncepte të ndara, për të garantuar sigurinë e të dhënave dhe përputhshmërinë me këtë ligj.
Ligji prezanton edhe disa mekanizma vetërregulluese për kontrolluesit dhe përpunuesit, të cilat shërbejnë si elemente që demonstrojnë përputhshmërinë me ligjin dhe garantimin e sigurisë së të dhënave.
Të tillë janë sipas dispozitës në fjalë kodet e sjelljes apo mekanizmi i certifikimit.
Sa të ndërgjegjësuar dhe informuar janë qytetaret nga ajo që ju si institucion konstatoni në lidhje me përpunimin e të dhënave të tyre personale dhe kufizimeve që ekzistojnë me ligj në mbrojtje të tyre? Si ka ndryshuar kjo qasje e tyre ndër vite?
Zyra e Komisionerit është tepër e angazhuar në organizimin e aktiviteteve ndërgjegjësuese për garantimin e njohjes së qytetarëve me të drejtat që iu takojnë, sipas legjislacionit për mbrojtjen e të dhënave, së bashku me kufizimet përkatëse dhe vënien e këtyre njohurive në praktikë.
Për këtë qëllim, aktivitetet ndërgjegjësuese shtrihen tek institucionet arsimore, duke përfshirë që nga arsimi 9-vjeçar, deri tek ai i lartë.
Nga ana tjetër, edhe aktivitetet ndërgjegjësuese të organizuara me kontrollues publikë ose privatë, sipas fushave të veprimtarisë, shërbejnë edhe për qëllimin e ndërgjegjësimit të qytetarëve, të cilët marrin pjesë në to si përfaqësues të këtyre kontrolluesve.
Lidhur me ndërgjegjësimin e qytetarëve vërehet një ndryshim pozitiv nga viti në vit. Kjo pasqyrohet edhe në rritjen e numrit të ankesave. Mund të sillet si shembull fakti që në vitin 2015, numri i ankesave të trajtuara ishte 140 dhe në vitin 2024, ky numër ka arritur në 455.
Ligji i ri ka ndryshuar edhe penalitetet e rasteve kur ka shkelje lidhur me mbrojtjen e të dhënave personale, ku parashikohen gjoba deri në 20 milionë euro. Në fakt, kjo është në përshtatje me rregulloren e BE (GDRP) për mbrojtjen e të dhënave dhe vjen në funksion të përafrimit me direktivën. A mendoni se një nivel i tillë penaliteti shkon në harmoni me realitetin ekonomik shqiptar dhe si mendoni se ndikojnë këto penalitete të reja në përgjegjshmërinë e subjekteve?
Sikurse përmendet edhe në dispozitën përkatëse (neni 93), penalitetet e përcaktuara në ligj kanë jo vetëm efekt sanksionues për kontrolluesit apo përpunuesit, por edhe efekt dekurajues.
Pra, niveli i sanksionit shërben si një element frenues për raste të përpunimit të paligjshëm të të dhënave apo shkelje të mundshme të ligjit nga kontrolluesit apo përpunuesit.
Në lidhje me sanksionet administrative për shkeljen e ligjit, duhet theksuar se gjatë gjithë fazës së hartimit të këtij projektligji dhe bashkërendimit të tij me institucionet shtetërore, Komisionin Europian, si dhe në vijim të komenteve të përcjella nga grupet e interesit, dispozita përkatëse ka ndryshuar.
Fillimisht gjatë procesit të hartimit të ligjit janë përcaktuar sanksione të njëjta me ato të parashikuara në Rregulloren e Bashkimit Europian GDPR.
Në vijim të komenteve të përcjella nga grupet e interesit, sanksionet administrative u rishikuan, duke u bazuar në të dhënat e disponueshme nga INSTAT dhe EUROSTAT, mbi pagën mesatare, si një komponent i rëndësishëm i aftësisë paguese të subjekteve në caktimin e masës së sanksionit administrativ.
Masa e sanksioneve ndryshoi sërish pas shqyrtimit të projektligjit nga Komisioni Europian, i cili theksoi se GDPR nuk vendos masa fikse të sanksioneve, por vetëm kufij maksimalë.
Brenda këtij kufiri, gjoba përkatëse përcaktohet nëpërmjet një vlerësimi global duke parë një sërë faktorësh, si rëndësia e shkeljes, faji, kohëzgjatja e shkeljes, shkeljet e mëparshme, masat e marra për të zbutur çdo dëm, etj.
Në përgjithësi, GDPR kërkon që gjobat të jenë parandaluese, por edhe proporcionale. Kjo do të thotë se në praktikë gjobat – nëse vendosen – janë zakonisht shumë më të ulëta se tavanet.
Bordi Europian për Mbrojtjen e të Dhënave ka përgatitur udhëzime për këtë çështje. Ndërkohë edhe Zyra e Komisionerit, bazuar në këtë akt, ka hartuar draftin e metodologjisë për përllogaritjen e sanksioneve administrative, e cila do të miratohet së shpejti.
Gjithashtu, në këto komunikime dhe takime u theksua edhe rëndësia e unifikimit të masave administrative për shkelje të njëjta në vende të ndryshme, duke theksuar se operatorë që veprojnë në vende të ndryshme duhet të marrin të njëjtin sanksion për të njëjtën shkelje.
Për më tepër, e drejta për mbrojtjen e të dhënave personale është një e drejtë universale, e cila duhet t’u garantohet njësoj qytetarëve shqiptarë si qytetarëve europianë.
Parashikimi i kufijve të ndryshëm nga ato të GDPR në Republikën e Shqipërisë, relativizon rëndësinë e kësaj të drejte për shtetasit shqiptarë.
Në këto kushte, dispozitat në lidhje me masat administrative janë ripunuar me qëllim reflektimin e komenteve dhe sugjerimeve të Komisionit Europian.
Rrjedhja e disa të dhënave sensitive pak vite më parë duket sikur e vendosi Shqipërinë në vitin zero. Nga ai moment, cilat kanë qenë disa nga masat që janë marrë, që në gjykimin tuaj kanë përmirësuar mbrojtjen e të dhënave personale në vend, qoftë nga institucionet ashtu edhe nga subjektet private që kanë pjesë të tyre baza të dhënash?
Me gjithë efektet negative që episode të tilla si rrjedhjet masive të të dhënave mund të kenë në sferën personale të gjithsecilit dhe jo vetëm, këto episode shërbejnë edhe si momente reflektimi te qytetarët, apo te kontrolluesit.
Zyra e Komisionerit ndërmori një hetim administrativ te të gjithë kontrolluesit e përfshirë në rastet e rrjedhjeve të të dhënave disa vite më parë, në përfundim të të cilit u nxorën edhe aktet përkatëse administrative, të cilat në disa raste u shoqëruan me sanksione.
Përveç sanksionit, në të gjitha rastet u lanë detyra dhe rekomandime për kontrolluesit, kryesisht në marrjen e masave tekniko-organizative për mbrojtjen e të dhënave, ngritjes së sistemeve të menaxhimit të sigurisë së informacionit, si dhe trajnimeve të stafit apo aksesit të kufizuar në bazat e të dhënave.
Detyrat e lëna verifikohen në mënyrë periodike dhe çdo akt administrativ lidhur me verifikimin publikohet në faqen zyrtare të Komisionerit, me mundësinë për t’u konsultuar në çdo moment.
Cilat janë sfidat që shihni në horizont në lidhje me zbatimin e kuadrit të ri ligjor në njërën anë, por edhe dinamikave të lidhura me edukimin e qytetarëve dhe subjekteve për një qasje të kujdesshme ndaj të dhënave personale, investimeve të vazhdueshme në teknologji dhe inovacion dhe a keni ju një strategji komunikimi për të rritur vëmendjen e këtyre grupeve?
Sfida kryesore mbetet ndryshimi i mendësisë dhe kulturës qytetare në orientimin e saj drejt mbrojtjes së të dhënave personale, si diçka e çmuar, siç i konsideron edhe vetë Kushtetuta e Republikës së Shqipërisë, duke i klasifikuar si të drejta vetjake.
Për këtë arsye, Zyra e Komisionerit ka planifikuar një fushatë kombëtare ndërgjegjësimi lidhur me legjislacionin e ri dhe të drejtat dhe detyrimet që ai sjell për qytetarët dhe kontrolluesit publikë e privatë.
Mbetet gjithnjë problematike, sigurimi i burimeve njerëzore e financiare për realizimin e projekteve të tillë, që kërkojnë mbështetje.
Për këtë arsye, Zyra e Komisionerit ka aplikuar për një projekt binjakëzimi me fondet e Bashkimit Europian, i cili ndër të tjera do të asistojë pikërisht në hartimin dhe realizimin e kësaj fushate ndërgjegjësuese, me qëllim që edhe kultura e privatësisë dhe mbrojtjes së të dhënave të fitojë vëmendjen e duhur dhe të bëhet pjesë e kulturës dhe përditshmërisë tonë.
Lexoni edhe:
Mbrojtja e të dhënave, penalitete deri në 20 milionë euro
Ky është artikull ekskluziv i Revistës Monitor, që gezon të drejtën e autorësisë sipas Ligjit Nr. 35/2016, “Për të drejtat e autorit dhe të drejtat e lidhura me to”.
Artikulli mund të ripublikohet nga mediat e tjera vetm duke cituar “Revista Monitor” shogëruar me linkun e artikullit origjinal.
