fbpx

Cili është roli i Zyrtarit për Mbrojtjen e të Dhënave Personale

Zyrtari për Mbrojtjen e të Dhënave Personale (në tekstin e mëtejmë ZMDhPP) luan një rol kyç në krijimin dhe mirëmbajtjen e sistemit të mbrojtjes së të dhënave personale për kompanitë, organizatat jofitimprurëse, organet shtetërore ose individët që i përdorin të dhënat personale të personave fizikë për qëllimet e tyre (komerciale), të ashtuquajtur kontrollorë ose i përdorin të dhënat personale të personave fizikë për nevojat dhe qëllimet e kontrollorëve, gjegjësisht përpunuesve.

ZMDhP është pikë kontakti për të gjitha çështjet që kanë të bëjnë me të dhënat personale, pavarësisht se a vijnë ato nga menaxhmenti i kompanisë/institucionit, nga qytetarët, gjegjësisht subjektet e të dhënave personale apo nga Agjencia për Mbrojtjen e të Dhënave Personale.

Për shkak të këtij ekspozimi, të gjithë ata që në çfarëdo mënyre kanë rënë në kontakt me dispozitat për mbrojtjen e të dhënave personale janë takuar me funksionin e ZMDhP-së. Përkundër kësaj, në opinion shpeshherë ka keqkuptime se cilat institucione dhe kompani duhet të emërojnë ZMDhP, kush mund të jetë ZMDhP, cilat janë detyrat e tij, cilat janë përgjegjësitë e tij, etj. Në këtë drejtim, ky artikull jep përgjigje për pyetjet më të shpeshta për ZMDhP-të, me qëllim promovimin dhe avancimin e mbrojtjes së të dhënave personale të qytetarëve.

Cilat kompani dhe institucione janë të obliguara të përcaktojnë ZMDhP?

Obligimi për përcaktimin e ZMDhP-së është vendosur për herë të parë me ndryshimet e vitit 2010 në Ligjin e vjetër për Mbrojtjen e të Dhënave Personale, që do të thotë se ky obligim ekziston në vendin tonë për më shumë se 11 vjet. Me miratimin e Ligjit të ri për Mbrojtjen e të Dhënave Personale, detyrimi për përcaktimin e ZMDhP-së ka mbetur, por ka pësuar ndryshime të rëndësishme, në mënyrë që të jetë në përputhje me Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave, e njohur më mirë si RrPMDh ose GDPR.

Me hyrjen në fuqi të Ligjit të ri në gusht të vitit 2021, për disa kompani ka pushuar të vlejë obligimi për të përcaktuar ZMDhP, ndërsa për disa të tjera ka filluar të vlejë.

Marrë në përgjithësi, me hyrjen në fuqi të Ligjit të ri për Mbrojtjen e të Dhënave Personale u zvogëlua numri i kompanive që janë të obliguara të përcaktojnë ZMDhP. Kjo pasi në Ligjin e ri, detyrimi për përcaktimin e ZMDhP-së varet vetëm nga aktiviteti bazë i kompanisë dhe vëllimi i përpunimit të të dhënave personale. Për shkak të kësaj, mund të ndodhë që një kompani me të ardhura të mëdha dhe një numër të madh punonjësish të mos i nënshtrohet detyrimit për të caktuar një ZMDhP.

Sipas ligjit të ri, numri i të punësuarve nuk është më faktor vendimtar për detyrimin për përcaktimin e ZMDhP-së. Numri i të punësuarve ka qenë kriter për përcaktimin e ZMDhP-së sipas Ligjit të vjetër, përkatësisht çdo kompani që ka pasur më shumë se 10 punëtorë ka qenë e obliguar të përcaktojë një ZMDhP, pavarësisht nga vëllimi i përpunimit të të dhënave personale.

Vlen gjithashtu të theksohet se, me Ligjin e ri, shoqatat e krijuara për qëllime politike, filozofike, fetare apo sindikale nuk lirohen më në mënyrë eksplicite nga detyrimi për të përcaktuar një ZMDhP, siç ishte rasti me Ligjin e vjetër. Për këto shoqata tani zbatohen rregullat e përgjithshme për përcaktimin e ZMDhP-së.

Kur flasim për rregullat e përgjithshme, sipas ligjit aktual janë tre raste kur vlen detyrimi për përcaktimin e ZMDhP-së, edhe atë:

  • përpunimi i të dhënave personale kryhet nga organet shtetërore;
  • aktivitetet bazë të përpunimit, për shkak të natyrës, fushëveprimit dhe/ose qëllimeve të tij, kërkojnë në një masë të madhe monitorim të rregullt dhe sistematik të subjekteve të të dhënave personale; ose
  • aktivitetet bazë konsistojnë në përpunimin e gjerë të kategorive të veçanta të të dhënave personale ose të të dhënave personale që lidhen me dënimet penale dhe veprat penale.
  • Sipas asaj që u tha më sipër, zyrtar janë të detyruar të përcaktojnë të gjitha organet shtetërore dhe organet e tjera shtetërore të themeluara në përputhje me Kushtetutën dhe ligjin, institucionet që kryejnë veprimtari në fushën e arsimit, shkencës, shëndetësisë, kulturës, punës, mbrojtjes sociale dhe mbrojtjes së fëmijës, sportit, si dhe në veprimtari të tjera me interes publik të përcaktuara me ligj, e që janë të organizuara si agjenci, fonde, institucione publike dhe ndërmarrje publike të themeluara nga shteti ose komunat.

Kur bëhet fjalë për kompanitë, shumica bien në rastin e dytë, d.m.th. aktivitetet e tyre themelore kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave personale. Veprimtari parësore e shoqërisë konsiderohet veprimtaria e saj kryesore afariste. Kjo do të thotë se nëse kompania i përpunon rregullisht të dhënat personale për realizimin e aktivitetit të saj parësor afarist, atëherë ajo kompani është e obliguar të përcaktojë ZMDhP.

Shembuj të aktiviteteve afariste ku, si rregull, është i pranishëm përpunimi i rregullt i të dhënave personale janë: shitja me pakicë (fizike dhe elektronike), aktivitetet e marketingut (marketingu direkt, kartat e bonusit, lojëra shpërblyese…), ndërmjetësimi, dërgesa dhe shërbimet postare, shërbimet turistike, shërbimet e akomodimit, financiare, juridike, të kontabilitetit, të energjisë, shërbimet shëndetësore, etj.

Për shkak të zhvillimit të teknologjisë, madje edhe gjatë kryerjes së aktiviteteve afariste, ku si rregull nuk ka përpunim të gjerë të të dhënave personale, siç është prodhimi dhe shitja me shumicë, gjithnjë e më shumë përpunohen koleksione të mëdha të të dhënave personale, përmes mjeteve të ndryshme, siç janë mjetet për menaxhim të klientëve (Customer Management Relationship).

Në anën tjetër, përpunimi i të dhënave personale për qëllime të tjera dytësore, i cili mund të jetë edhe i vazhdueshëm, nuk është faktor kyç në obligimin për përcaktimin e ZMDhP-së. Në këtë drejtim, përpunimi i të dhënave personale për burimet njerëzore është një funksion dytësor dhe nëse një kompani përpunon të dhëna personale ekskluzivisht për nevojat e burimeve të veta njerëzore, e jo për biznesin e saj kryesor, për këtë kompani mund të mos vlejë detyrimi për të përcaktuar ZMDhP. Sërish duhet të theksohet se, sipas ligjit të ri, numri i të punësuarve nuk është më faktor vendimtar për detyrimin për përcaktimin e ZMDhP-së, për dallim nga ligji i vjetër.

Megjithatë, nëse përpunimi i të dhënave personale kryhet për qëllime të tjera dytësore, dhe ky përpunim është i rregulluar në mënyrë specifike me ligj, siç është për shembull mbikëqyrja me video, monitorimi me GPS, transferimi i të dhënave personale jashtë vendit etj. është e këshillueshme që të përcaktohet ZMDhP – jo për shkak të detyrimit ligjor, por për shkak të harmonizimit më të lehtë me detyrimet e tjera specifike, siç është menaxhimi i grupeve të të dhënave, vlerësimi periodik, masat teknike dhe organizative, etj.

Sido që të jetë, si vendimi për përcaktimin ashtu edhe vendimi për moscaktimin e ZMDhP-së kanë pasoja të caktuara, ndaj këto vendime duhet të jenë rezultat i një analize të hollësishme të të gjitha rrethanave. Gjithashtu, nëse pas vendimit të marrë janë bërë ndryshime në funksionimin e kompanisë, një vendim i tillë duhet të rishqyrtohet.

Vendimi për moscaktimin e ZMDhP-së, në përputhje me parimin e llogaridhënies, duhet të jetë i dokumentuar, përkatësisht i mbështetur me dokumente, nga të cilat në çdo kohë do të mund të tregohet pajtueshmëria me ligjin.

Në anën tjetër, Vendimi për përcaktimin e ZMDhP-së duhet të ruhet në arkivin e kompanisë/institucionit dhe mund t’i dorëzohet Agjencisë për Mbrojtjen e të Dhënave Personale, e cila mban evidencën e ZMDhP-ve. Gjithashtu, të dhënat e kontaktit për ZMDHP-në duhet të bëhen publike nga kompania/institucioni, e cila duhet ta njoftojë edhe Agjencinë për Mbrojtjen e të Dhënave Personale me një shkresë përkatëse, e cila duhet ta përmbajë emrin dhe selinë e kompanisë/institucionit, emrin dhe mbiemrin e ZMDhP-së dhe e-mailin dhe numrin e telefonit të ZMDhP-së.

Kush mund të caktohet për ZMDhP?

Përgjigja për këtë pyetje është dhënë në Ligjin për Mbrojtjen e të Dhënave Personale, i cili përcakton se ZMDhP-ja mund të jetë personi i cili:

  • i plotëson kushtet për punësim,
  • e përdor në mënyrë aktive gjuhën maqedonase,
  • në momentin e përcaktimit me aktgjykim të formës së prerë të gjykatës nuk i është shqiptuar dënimi ose sanksioni kundërvajtës ndalim për të kryer profesionin, veprimtarinë ose detyrën;
  • ka të kryer arsim të lartë;
  • ka fituar njohuri dhe aftësi në lidhje me praktikat dhe dispozitat për mbrojtjen e të dhënave personale, në përputhje me dispozitat ligjore.

Ndodh shpesh që në mesin e punonjësve të kontrollorit/përpunuesit të mos ketë person me arsim të lartë apo person me njohuri në lidhje me dispozitat për mbrojtjen e të dhënave personale, prandaj ligji lë mundësinë që edhe një person i jashtëm të emërohet për ZMDhP, edhe atë në bazë të një kontrate për shërbime.

Pavarësisht nëse një person i brendshëm apo i jashtëm është caktuar për ZMDhP, ai person mund të kryejë edhe detyra dhe obligime të tjera, përderisa ato detyra nuk çojnë në konflikt interesi me detyrat e tij/saj si ZMDhP. Personat të cilët sipas definicionit nuk mund të emërohen për ZMDhP për shkak të konfliktit të interesit janë menaxhmenti i kompanisë/institucionit (menaxheri, drejtori, këshilli drejtues, etj.), administratori i sistemit të informacionit, si dhe persona të jashtëm që janë përpunues, si kontabilistë, furnitorë, etj.

Është e rëndësishme që ZMDhP-ja të jetë i pavarur në kryerjen e detyrave të tij/saj si ZMDhP, dhe për këtë të përgjigjet drejtpërdrejt para nivelit më të lartë të menaxhmentit të kompanisë/institucionit. Për këtë arsye, nëse bëhet fjalë për ZMDhP të brendshëm, rekomandohet që personi të mos jetë i punësuar në pozitat hierarkikisht më të ulëta, e as të ketë kontakt të përditshëm me të dhënat personale.

Në praktikë shpesh shtrohet pyetja nëse kërkohet pëlqimi i punonjësit që ai të emërohet për ZMDhP, si dhe nëse kjo marrëdhënie duhet të rregullohet me një marrëveshje të veçantë ndërmjet kompanisë/institucionit dhe ZMDhP-së. Këto çështje nuk janë të rregulluara në Ligjin për Mbrojtjen e të Dhënave Personale, kështu që mbetet të rregullohen rast pas rasti sipas rrethanave.

Cilat janë detyrat e ZMDhP-së?

Detyra kryesore e ZMDhP-së është ta monitorojë pajtueshmërinë e brendshme të kompanisë/institucionit me dispozitat për mbrojtjen e të dhënave personale, ta informojë dhe ta këshillojë kompaninë/institucionin lidhur me përmbushjen e detyrimeve për mbrojtjen e të dhënave personale, ta këshillojë kompaninë/institucionin për kërkesat e pranuara nga qytetarët, të japë këshilla për vlerësimin e ndikimit mbi mbrojtjen e të dhënave personale dhe të veprojë si pikë kontakti për qytetarët dhe Agjencinë për Mbrojtjen e të Dhënave Personale.

Si rregull, ZMDhP-ja duhet të jetë ekspert i pavarur me të cilin mund të konsultohet menaxhmenti i kontrollorit, punonjësit, subjektet dhe Agjencia. Roli i ZMDhP-së është jashtëzakonisht i rëndësishëm tek kontrollorët e avancuar teknologjikisht, të cilët i përdorin teknologjitë më të fundit për përpunimin e të dhënave personale, si për shembull marrja e automatizuar e vendimeve individuale, profilizimi, inteligjenca artificiale, sistemet e matjes së performancës së punonjësve, programet për të dalluar njeriun nga makina (CAPTCHA), etj.

Duke pasur parasysh seriozitetin e shkeljeve në fushën e mbrojtjes së të dhënave personale, është në interes të vetë kompanisë/institucionit që të ketë një ZMDhP që është një ekspert i pavarur, i cili e monitoron vazhdimisht zhvillimin e teknologjisë, si dhe ndryshimet në dispozitat në këtë fushë. Në këtë drejtim, meqenëse teknologjia po ndryshon me shpejtësi, dhe rrjedhimisht edhe praktikat më të mira për mbrojtjen e të dhënave personale, kompania/institucioni duhet t’i mundësojë ZMDhP-së t’i ndjekë rregullisht trajnimet e organizuara nga Agjencia për Mbrojtjen e të Dhënave Personale ose nga ekspertë të tjerë të fushës.

Përkundër seriozitetit të detyrave që i kryen ZMDhP-ja, përgjegjësia përfundimtare për harmonizimin me Ligjin për Mbrojtjen e të Dhënave Personale i takon kompanisë/institucionit. Sipas Ligjit, ZMDhP-ja nuk është personalisht përgjegjës për pajtueshmërinë e kompanisë/institucionit me dispozitat për mbrojtjen e të dhënave personale. Në këtë drejtim, roli i ZMDhP-së është konsultativ, ndërsa vendimin përfundimtar e merr kompania/institucioni.

Kur flitet për rolin dhe detyrat e ZMDhP-së, duhet bërë dallim ndërmjet ZMDhP-së dhe administratorit të sistemit të informacionit. Marrë në përgjithësi, administratori i sistemit të informacionit ka një fushë veprimi më të ngushtë dhe më teknike, përkatësisht është person i autorizuar për sigurinë e sistemit të informacionit. Roli i administratorit nuk është i rregulluar drejtpërdrejt në Ligjin për Mbrojtjen e të Dhënave Personale, pasi shfaqet si nevojë praktike vetëm për disa kontrollues të caktuar që kanë sistem kompleks të informacionit.

Për këtë, të drejtat, detyrimet dhe përgjegjësitë e administratorit rregullohen në mënyrë plotësuese me aktet nënligjore të kontrollorit/përpunuesit. Megjithatë, më së shpeshti administratori nuk ka rol këshillues, por një rol të ekzekutimit të vendimeve, edhe atë nga pikëpamja teknike, që zakonisht përfshin dhënien dhe tërheqjen e privilegjeve për të hyrë në sistemin e informacionit, menaxhimin e fjalëkalimeve, çelësat e enkriptimit/dekriptimit, çelësat e dhomës së serverit, fshirja e të dhënave nga sistemi elektronik, bllokimi i qasjes në ueb-faqet jo thelbësore, etj.

Autor: Damjan Grozdanovski, avokat i Zyrës së Avokatisë Çakarovska

Lajme të ngjashme

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button