Ligji i ri mbi mbrojtjen e të dhënave personale – Avokatja Denisa Dedej na shpjegon gjithçka që duhet të mbajmë parasysh!

Nga Eni Muça

link https://businessmag.al/ligji-i-ri-per-mbrojtjen-e-te-dhenave-personale-avokatja-denisa-dedej-na-tregon-gjithcka-qe-duhet-te-kemi-parasysh/

Në muajin shkurt 2025, ka hyrë në fuqi në Shqipëri Ligji nr. 124/2024 për Mbrojtjen e të Dhënave Personale. Ky ligj, i harmonizuar me Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave (GDPR – BE 679/2016), vendos kërkesa të reja për të gjithë subjektet që përpunojnë të dhëna personale, duke përfshirë bizneset private dhe institucionet publike. Për të thelluar këto aspekte, kemi zhvilluar një intervistë me avokaten Denisa Dedej.

Çfarë është GDPR dhe cilat janë detyrimet që rrjedhin prej tij?

GDPR (Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave – BE 2016/679) është rregullorja kryesore e BE-së për mbrojtjen e të dhënave personale dhe zbatohet për të gjitha organizatat që përpunojnë të dhënat e individëve brenda BE-së, ose që ofrojnë shërbime për individë brenda BE-së, pavarësisht nga vendndodhja e tyre.

Detyrimet kryesore të GDPR

• Përpunimi i përgjegjshëm i të dhënave: të dhënat duhet të përpunohen në mënyrë të ligjshme, transparente dhe vetëm për qëllime të qarta. Duhet të mblidhet vetëm informacioni i nevojshëm, i cili duhet të jetë i saktë dhe të ruhet në mënyrë të sigurt.

• Bazat ligjore për përpunimin: të dhënat mund të përpunohen vetëm nëse ekziston një motivacion i vlefshëm, si: pëlqimi i subjektit (të dhënave); një detyrim ligjor; një kontratë (p.sh., të dhënat e klientëve për një shërbim); interesi publik ose legjitim (p.sh., masat e sigurisë në një biznes).

• Të drejtat e subjekteve të të dhënave: çdo person ka të drejtë: të kërkojë informacion mbi të dhënat e veta; të korrigjojë të dhënat e pasakta; të kërkojë fshirjen e të dhënave të veta; të transferojë të dhënat tek një palë tjetër; të kundërshtojë përpunimin e të dhënave për qëllime specifike.

• Transparenca: individët duhet të informohen në mënyrë të qartë dhe të kuptueshme se si përdoren të dhënat e tyre.

• Siguria: bizneset dhe organizatat duhet të marrin masa për të mbrojtur të dhënat nga humbja, vjedhja ose përdorimi i papërshtatshëm dhe të njoftojnë autoritetet brenda 72 orëve në rast të shkeljes së sigurisë.

• Emërimi i një DPO (Oficer për Mbrojtjen e të Dhënave): disa organizata, veçanërisht ato që përpunojnë sasi të mëdha të dhënash personale, duhet të emërojnë një ekspert për të mbikëqyrur përputhshmërinë me GDPR.

• Transferimi i të dhënave jashtë BE-së: është i ndaluar, përveç rasteve kur vendi pritës disponon masa adekuate mbrojtëse.

• Gjobat dhe sanksionet: shkeljet e GDPR mund të dënohen me gjoba deri në 20 milionë euro ose 4% të xhiros vjetore globale të kompanisë.

2. Ekonomia shqiptare, në shumë aspekte, po punon për t’u harmonizuar me rregulloret e BE-së në kuadër të procesit të integrimit të vendit në Bashkimin Evropian. A do të thotë kjo se duhet të ketë ndryshime edhe në përshtatjen e ligjit për Mbrojtjen e të Dhënave?

Ligji nr. 124/2024 për mbrojtjen e të dhënave personale ka hyrë në fuqi në shkurt të vitit 2025 dhe përfaqëson një hap të rëndësishëm për harmonizimin e legjislacionit shqiptar me rregullat e GDPR-së së Bashkimit Evropian.

Ky ligj sjell një rritje të mbrojtjes së të dhënave personale, duke forcuar të drejtat e individëve dhe duke shtuar përgjegjësitë e organizatave që përpunojnë të dhëna. Ai përfshin detyrime më strikte për sigurinë e të dhënave dhe për përputhshmërinë me standardet ndërkombëtare, duke i ofruar Shqipërisë mundësinë për të përmbushur kërkesat e BE-së dhe për të mundësuar transferimin e të dhënave në një mjedis ndërkombëtar të sigurt.

3. Nëse po, cilët janë hapat e mëtejshëm që duhet të ndërmerren?

Pas hyrjes në fuqi të Ligjit nr. 124/2024 për mbrojtjen e të dhënave personale, është e nevojshme të ndërmerren disa hapa të rëndësishëm për të garantuar përputhshmërinë dhe zbatimin e tij efektiv. Ja disa nga hapat kryesorë:

• Përditësimi i politikave dhe procedurave të brendshme: Organizatat duhet të rivlerësojnë dhe përditësojnë politikat dhe procedurat e tyre për mbrojtjen e të dhënave, për t'i harmonizuar ato me kërkesat e ligjit të ri. Kjo mund të përfshijë krijimin e procedurave për mbledhjen, përpunimin, ruajtjen dhe fshirjen e të dhënave personale.

• Trajnimi i personelit: Është e rëndësishme që të gjithë punonjësit, përfshirë menaxherët dhe drejtuesit, të trajnohen për të kuptuar dhe zbatuar detyrimet ligjore. Kjo mund të përfshijë trajnimin lidhur me të drejtat e individëve, proceset e kërkesës së të dhënave dhe mënyrat e menaxhimit të shkeljeve të mundshme.

• Emërimi i një DPO (Oficer për Mbrojtjen e të Dhënave): Organizatat që përpunojnë të dhëna në shkallë të gjerë, ose që kryejnë aktivitete që kërkojnë mbrojtjen e të dhënave sensitive, duhet të emërojnë një Oficer për Mbrojtjen e të Dhënave (DPO), i cili do të ketë përgjegjësinë për të monitoruar zbatimin e ligjit dhe për të këshilluar organizatën në lidhje me praktikat e mbrojtjes së të dhënave. (Kjo vlen për ndërmarrjet që ofrojnë shërbime financiare, bankat, kompanitë e sigurimeve, spitalet, kompanitë që përpunojnë informacione shëndetësore, kompanitë që përpunojnë të dhënat personale të shumë individëve si platformat e marketingut dixhital, kompanitë që menaxhojnë të dhënat e punonjësve, etj.)

• Rishikimi i marrëveshjeve me palë të treta: Çdo kontratë që parashikon ndarjen e të dhënave me palë të treta duhet të rishikohet dhe të përditësohet, për të garantuar se edhe këto subjekte respektojnë standardet e mbrojtjes së të dhënave, duke përfshirë marrëveshjet për përpunimin e të dhënave.

• Krijimi i një procedure për raportimin e shkeljeve: Ligji kërkon që shkeljet e të dhënave të raportohen brenda 72 orëve. Kjo do të kërkojë krijimin e një procedure të qartë dhe efikase për të identifikuar, regjistruar dhe raportuar çdo incident të mundshëm sigurie që ndikon te të dhënat personale.

• Monitorimi dhe mbikëqyrja e vazhdueshme: Pas zbatimit të ligjit, është e rëndësishme që praktikat e përpunimit të të dhënave të monitorohen vazhdimisht dhe të merren masa parandaluese në rast se identifikohen risqe potenciale për mbrojtjen e të dhënave personale.

4. Çfarë duhet të mbajë parasysh sot një kompani që ruan të dhënat e klientëve dhe përdoruesve në një bazë të dhënash, nga adresa e emailit deri te gjurmët e pagesave online? Çfarë masash duhet të adoptojë për të qenë "e mbrojtur" ligjërisht?

Një kompani që ruan të dhënat e klientëve duhet të adoptojë masat e mëposhtme për të qenë në përputhje me Ligjin për Mbrojtjen e të Dhënave dhe GDPR-në:

• Siguria teknike: Enkriptimi i të dhënave, përdorimi i firewall-eve dhe menaxhimi i aksesit të sigurt për të parandaluar akseset e paautorizuara.

• Pëlqimi dhe transparenca: Garantimi i pëlqimit të qartë të përdoruesve për mbledhjen dhe përdorimin e të dhënave, si dhe informimi i tyre mbi mënyrat e përpunimit.

• Ruajtja dhe fshirja e të dhënave: Të dhënat duhet të ruhen vetëm për kohën e nevojshme dhe të fshihen pas kësaj periudhe.

• Trajnimi i personelit: Edukimi i punonjësve mbi praktikat e mbrojtjes së të dhënave dhe GDPR-në.

• Menaxhimi i shkeljeve të të dhënave: Krijimi i një procedure për raportimin e shkeljeve dhe për veprimet e mëtejshme që duhet të ndërmerren brenda 72 orëve.

• Transferimi i të dhënave: Garantimi që çdo transferim i të dhënave jashtë vendit të bëhet në përputhje me kërkesat ligjore.

• DPO (Oficeri për Mbrojtjen e të Dhënave): Nëse është e nevojshme, emërimi i një DPO-je për të mbikëqyrur përputhshmërinë me ligjin dhe për të ofruar këshillim mbi praktikat e mbrojtjes së të dhënave.

A janë kompanitë shqiptare mjaftueshëm të informuara?

Kohët e fundit, kompanitë shqiptare kanë filluar ta kuptojnë rëndësinë e GDPR-së, por ato ende nuk janë mjaftueshëm të informuara dhe të përgatitura për ta zbatuar plotësisht ligjin. Në veçanti, kompanitë e huaja janë më të familjarizuara me kërkesat rregullatore, pasi shpesh ato janë tashmë të detyruara të aplikojnë GDPR-në në vendet e tyre të origjinës.

Nga ana tjetër, shumë banka dhe institucione financiare janë tashmë në përputhje me ligjin, duke u siguruar që praktikat e tyre të jenë të harmonizuara me standardet ndërkombëtare të mbrojtjes së të dhënave. Megjithatë, mbetet ende shumë punë për t'u bërë për të garantuar që çdo sipërmarrje, pavarësisht përmasave dhe origjinës, t'i kuptojë dhe t'i zbatojë plotësisht këto rregulla.

Sfidat kryesore që hasen përditë në lidhje me GDPR-në janë:

• Mungesa e njohurive: Shumë kompani ende nuk janë mjaftueshëm të informuara për kërkesat ligjore.

• Kompleksiteti i ligjit: GDPR-ja është një rregullore e artikuluar (komplekse), gjë që krijon pasiguri lidhur me zbatimin e saj.

• Kostot dhe burimet: Miratimi i masave të sigurisë kërkon burime që shpesh janë të vështira për t'u siguruar, veçanërisht për bizneset e vogla.

• Shkeljet e mundshme të të dhënave: Kompanitë hasin vështirësi në mbrojtjen e të dhënave nga sulmet kibernetike dhe shkeljet.

• Përshtatja me legjislacionin ndërkombëtar: Përshtatja e legjislacionit shqiptar me GDPR-në paraqet një sfidë për ndërmarrjet që operojnë në nivel ndërkombëtar.

Për ta përmbyllur këtë intervistë, është evidente se harmonizimi i ligjit shqiptar me standardet e GDPR-së përbën një hap të rëndësishëm drejt integrimit evropian dhe krijimit të një mjedisi më të sigurt për të dhënat personale në vend. Sipas avokates Denisa Dedej, ndërgjegjësimi i sipërmarrjeve shqiptare mbi rëndësinë e mbrojtjes së të dhënave është në rritje, por ende nevojitet më shumë informacion, trajnim dhe përgatitje për zbatimin efektiv të ligjit të ri.

Përmirësimi i politikave të privatësisë, trajnimi i personelit dhe krijimi i procedurave të qarta për raportimin e shkeljeve mbeten sfidat kryesore për të arritur përputhshmërinë e plotë me GDPR-në. Kompanitë shqiptare duhet të kuptojnë se mbrojtja e të dhënave personale nuk është vetëm një detyrim ligjor, por edhe një mundësi për të fituar besimin e klientëve dhe për të përmirësuar reputacionin e tyre në tregun vendas dhe atë ndërkombëtar.

Artikull ekskluziv i Business Magazine Albania. Ky artikull është i mbrojtur nga e drejta e autorit në bazë të Ligjit nr. 35/2016, "Për të drejtën e autorit dhe të drejtat e tjera të lidhura me të". Ky artikull mund të ribotohet nga media të tjera vetëm duke cituar “Business Magazine Albania” dhe duke vendosur linkun e artikullit origjinal.