LEGJISLACIONI PËR TIK
Mbrojtja e të dhënave personale dhe privacia në
komunikimet elektronike – GDPR
Legjislacioni për TIK – data protection
Freedom of
expression
Confidentiality of
communications
Freedom of
information
Consumer
protection
Privacy
Freedom of
commerce
Due process
of law
Commercial secrets
National sovereignty &
cultural identity
Fair competition
Both conflicting and complementary interests
National security
& public order
Intellectual
property
No significant relationship
Burimi: Prezantim nga Stefaan G. Verhulst,
Markle Foundation 2003
Public morals, human
dignity, minors protection
Security (incl.
encryption
Liability
National economic
interests
Complementary interests
Conflicting interests
Cfarë do trajtojmë?
➢Mbrojtja e të dhënave dhe privacia e drejtë kushtetuese
➢Ligji për mbrotjen e të dhënave personale
➢ Detyrimet ligjore për kontrolluesit dhe përpunuesit
➢ Udhëzimet e lidhura me TIK
➢Mbrojtja e të dhënave në komunikimet elektronike
➢GDPR
Të dhënat personale – zhvillimet
• Përgjatë viteve të fundit roli i të dhënave personale ka
pësuar një transformim të rëndësishëm në përdorimin e
tyre në ekonomi, shoqëri dhe jetët tona të përditshme.
• Ndryshimet e mëdha të teknologjisë kanë ndryshuar
mënyrën e funksionimit të bizneseve private, ofrimin e
shërbimeve të administratës publike dhe jetën private të
personave.
• Në këtë mënyrë edhe volumi i të dhënave të mbledhura
dhe të përdorura është rritur ndjeshëm.
Cili është modeli i biznesit?
Mbrojtja e të dhënave & privacia – e drejtë kushtetuese
Neni 35 i Kushtetutes
1.Askush nuk mund të detyrohet, përveçse kur e kërkon ligji, të bëjë
publike të dhëna që lidhen me personin e tij.
2. Mbledhja, përdorimi dhe bërja publike e të dhënave rreth personit
bëhet me pëlqimin e tij, me përjashtim të rasteve të parashikuara me
ligj.
3. Kushdo ka të drejtë të njihet me të dhënat e mbledhura rreth tij, me
përjashtim të rasteve të parashikuara me ligj.
4. Kushdo ka të drejtë të kërkojë ndreqjen ose fshirjen e të dhënave
të pavërteta ose të paplota ose të mbledhura në kundërshtim me
ligjin.
Konventat Ndërkombetare
• Konventa e të Drejtave të Njeriut (KEDNJ)
• Neni 8 “E drejta për respektimin e jetës private dhe familjare”.
• 1. Çdo njeri ka të drejtën për respekt për jetën e tij private dhe
familjare, vendbanimin e tij dhe korrespondencën e tij.
• 2. Një autoritet publik nuk ndërhyn ndaj ushtrimit të kësaj të drejte,
përveçse kur kjo ndërhyrje është në përputhje me ligjin dhe kur
është e nevojshme për një shoqëri demokratike në interes të
sigurisë kombëtare, sigurisë publike ose mirëqenies ekonomike të
vendit, me qëllim parandalimin e çrregullimeve ose krimit, për
mbrojtjen e shëndetit ose moralit, ose për mbrojtjen e lirive dhe të
drejtave të të tjerëve.
• Konventa 108 “Per mbrotjen e individeve ne lidhje me perpunimin
automatik te te dhenave personale”
Instrumenta ndërkombëtare - për të dhënat personale
• Deklarata Universale e të Drejtave të Njeriut e UN – neni 12;
• OKB-ja në përgjigje të ndryshimeve teknologjike ka miratuar disa akte
si Udhëzues/Rezoluta si:
• “Udhëzuesi për rregullimin e të dhënave të kompjuterizuara”, i
miratuar në 1990;
• Rezolutën 68/167, “The right to privacy in the digital age”.
• etj.
Ligji për mbrojtjen e të dhënave personale
Ligji nr. 9887 date 25.3.2008 “Për mbrojtjen e të dhenave personale” i
ndryshuar – ligji kryesor për mbrojtjen e të dhënave personale;
• Përcaktimi i “të dhënave personale”
• Subjekti i të dhënave personale
• Kontrolluesi & Përpunuesi
• Marrëdhënia kontrollues – përpunues
• Udhëzimet e posaçme për TIK
• Komisioneri për mbrojtjen e të dhënave personale
• Shkelje te konstatuara - disa raste te kontrolluara
• etj.
Ligji për mbrojtjen e të dhënave personale
Kemi:
• Dispozita që rregullojnë kushtet e përpunimit të të dhënave
personale dhe që përcaktojne bazën ligjore të përpunimit të tyre (si
psh pëlqimi i subjektit të të dhënave, përcaktimi i qëllimit, masat e
sigurisë etj).
• Dispozita që rregullojnë pasojat e shkeljes së parimeve të
përpunimit të të dhënave personale (si masat për shkatërrimin e të
dhënave, ndërprerjen e përpunimit të paligjshëm, sanksionet/masat
administrative, kompensimin për dëmin e shkaktuar);
• Dispozita proceduriale për venien në vend të të drejtave në rastet
e shkeljeve;
C’jane te
dhenat
personale?
Kush jane
subjektet e te
dhenave?
Perpunimi i te
dhenave
personale
Kontrolluesit
Kontrolluesit
C’detyrime
& perpunuesit
kane?
lidhja mes tyre
Përcaktimi i të dhënave personale
• Të dhëna personale është çdo informacion në lidhje me një person fizik, të
identifikuar ose të identifikueshëm, direkt ose indirekt, në veçanti duke ju referuar
një numri identifikimit ose një a më shumë faktorëve të veçantë për identitetin e tij
fizik, fiziologjik, mendor, ekonomik, kulturor apo social :
• emri, foto, profesioni, e-mail, numri i sigurimeve shoqërore, informacionet
mjekësore, adresa në rrjetet sociale, deri tek ADN-ja e personave, etj.
• IP address e lidhur me pajisjen qe perdoret nga nje person dhe qe e ben ate te
identifikueshem – trajtohet si e dhene personale;
• Kuptimin i të dhënave personale ka katër elementë kryesore:
• cdo informacion, në lidhje me, të identifikuar ose të identifikueshëm dhe
person fizik.
• Cdo informacion - mund të jetë i natyrës “objektive” (që i përkasin personit
si p.sh. karakteristikat e tij fizike) ose “subjektive” sic mund te jenë
informacionet që lidhen me qëndrime apo vlerësime mbi të (vlerësimi në
punë).
Përcaktimi i të dhënave personale (2)
• Të dhënat janë “në lidhje me” një person, nëse ato i
referohen:
• identitetit, karakteristikave, sjelljes së personit, ose nëse ky
informacion është përdorur për të përcaktuar apo mund të ndikojë
në mënyrën sesi ai person trajtohet apo vlerësohet.
• Ligji nuk perfshin nje katalog te te gjithe te dhenave
personale per shkak te kompleksitetit te te dhenave, por
ajo që lidh informacionin me një person eshte:
• “përmbajtja” e këtij informacioni.
• “qëllimi” për të cilin informacioni perdoret lidhur me personin
• “rezultati” jep informacion qe mund të lidhet me personin
Subjekti i të dhënave
• Subjekt i të dhënave personale është çdo person fizik që i
përpunohen të dhënat personale
• nuk përfshihen personat e vdekur (me perjashtim te rasteve kur
informacioni lidhet me nje person fizik);
• Subjektet juridike;
Përpunimi i të dhënave
• Përpunimi i të dhënave personale është çdo veprim ose grup
veprimesh të cilat janë kryer mbi të dhënat personale me mjete
automatike ose jo, të tilla si mbledhja, regjistrimi, organizimi, ruajtja,
përshtatja, ose ndryshimi rikthimi, konsultimi, shfrytëzimi, transmetimi,
shpërndarja ose ndryshe duke vënë në dispozicion, shtrirja ose
kombinimi, fotografimi, pasqyrimi, hedhja, plotësimi, seleksionimi,
bllokimi, asgjësimi, ose shkatërrimi edhe nëse nuk jane të regjisruara
në një bankë të dhënash
• Perpunimi i te dhenave – me pelqimin/miratimin e subjektit te te
dhenave.
Parimet e perpunimit te te dhenave
• Parimi i kufizimit të qëllimit – neni 5
• Të dhënat mblidhen për qëllime specifike
•
• Parimi i saktësisë së të dhënave
• Të dhënat duhet të jenë të sakta të përditësuara
• Parimi i proporcionalitetit
• të mos e tejkalojnë qëllimin për të cilën mblidhen/përpunohen
• Parimi i kufizimit të kohës
• Të dhënat ruhen /mbahen për aq kohë sa janë të nevojshme të
realizohet qëllimi për të cilën mblidhen/përpunohen; më pas bëhen
anonime, fshihen/shkatërrohen
•
Kontrolluesit dhe përpunuesit
• Kontrollues është çdo person fizik ose juridik, autoritet publik,
agjenci apo ndonjë organ tjetër që, vetëm apo së bashku me të tjerë,
përcakton qëllimet dhe mënyrat e përpunimit të të dhënave personale
në përputhje me ligjet dhe aktet nënligjore të fushës dhe përgjigjet për
përmbushjen e detyrimeve të përcaktuara në ligj.
• Përpunues është çdo person fizik ose juridik, autoritet publik, agjenci
apo ndonjë organ tjetër që përpunon të dhëna personale në emër të
kontrolluesit.
Çfarë duhet të ketë parasysh kontrolluesi?
Ref. https://www.idp.al/wp-content/uploads/2016/11/udhezues_praktik_per_kontrolluesit_e_te_dhenave.pdf
Detyrimet ligjore per kontrolluesit
• Detyrimi per njoftim para fillimit te perpunimit te te dhenave
(https://www.idp.al/wp-content/uploads/2016/11/udhezuesi_formularit_njoftimit.pdf)
• Cdo kontrollues duhet të njoftojë Komisionerin për përpunimin e të dhënave
personale, për të cilat është përgjegjës.
• Njoftimi duhet të bëhet para se kontrolluesi të përpunojë të dhënat për herë të
parë ose
• kur kërkohet ndryshimi i qëllimit të përpunimit, të njoftuar më parë.
• Formulari per njoftim permban disa rubrika si:
• llojin e te dhenave, qellimin e perpunimit, subjektet e te dhenave, transferimin
ose jo, piken e kontaktit, pale te treta, nje pershkrim te masave te sigurise etj.
• Hartimin e rregullores se sigurise (modeli i publikuar nga Komisioneri)
• Ne rast delegimi/outsource te perpunimit te te dhenave tek perpunuesit
nenshkrimi i nje kontrate me perpunuesin me dispozita te qarta per mbrojtjen e
te dhenave personale;
• Marrja e masave organizative teknike, per sigurine e te dhenave personale etj.
Ref. https://www.idp.al/wp-content/uploads/2016/11/udhezues_praktik_per_kontrolluesit_e_te_dhenave.pdf
Deyrimet e kontrolluesit
• Te lidhe kontrate perpunimi me perpunuesin me dispozita
te qarta per delegimin;
• Te caktoje /autorizoje me shkrim te pakten nje person
kontakti per mbikqyrjen e brendshme te mbrojtjes se te
dhenave personale. Personi kontaktit i njoftohet
komisionerit.
Transferimi nderkombetar i te dhenave
• Si rregull behet me miratim te Komisionerit te mbrojtjes se
dhenave personale;
Masat e sigurise se te dhenave
• Konfidencialiteti – siguron qe informacioni te mos perhapet ne
persona te paautorizuar;
• Integriteti – siguron qe te dhenat te mos ndryshohen apo
shkaterroohen ne menyre te paautorizur pra ruan saktesine dhe
plotesie e te dhenave dhe metodat e peruimit
• Disponueshmeria – siguron qe te dhenat te jene ne dispozicion dhe
gati per t’u perdorur me kerkese brenda nje kohe dhe ne vendin e
caktuar, ne dispozicion te personave te autorizuar
• Besueshmeria e sistemeve TIK – te aplikuar per perpunimin e te
dhenave si dhe e stafit qe i ve ne pune, duke garantuar qe cdo
aktivitet i kryer eshte i gjurmueshem dhe i kontrollueshem.
Personat pergjegjes per sigurine
• Administratoret e sistemeve TIK dhe sigurise se tyre.
• Operatoret e te dhenave personale
• te punesuarit apo te kontraktuarit
• qe perpunojne te dhena personale
• Te gjithe personat e caktuar nga subjekti perpunues per te
perpunuar te dhena personale
Cfare duhet te kene parasysh perpunuesit
•
Udhezimet e Komisionerit
Akte nenligjore te nxjerra nga Komisioneri
• https://www.idp.al/udhezime/
• Rregullimi i marredhenies midis kontrolluesit dhe perpunuesit:
• https://www.idp.al/wp-content/uploads/2016/11/udhezim_nr_30-2.pdf
• https://www.idp.al/wp-content/uploads/2017/03/udhezim_nr_19_i_integruar.pdf
• Udhezimet e KMDP per perpunuesit e vegjel per perpunuesit e medhenj e
lidhur me sistemet e informacionit, percakton detyra te administratorit te
sistemit TIK:
• https://www.idp.al/wp-content/uploads/2018/09/Udhezim_nr_47.pdf
• Udhezimet e KMDP per perpunuesit e vegjel per perpunuesit e vegjel
• https://www.idp.al/wp-content/uploads/2016/11/udhezim_nr_34-1.pdf
• Perpunimi i te dhenave ne sektorin privat
• https://www.idp.al/wp-content/uploads/2016/11/udhezim_nr_28.pdf
Udhezimi per perpunuesit e medhenj
Kerkesat per SMSI
Kerkesat per personelin
Kerkesat per personin e kontaktit
•
Subjekte kontrolluese te te dhenave personale
• Burimi: Raporti vjetor 2019, i KDIMP
Inspektime te kryera gjate 2019
Burimi: Raporti vjetor 2019, i KDIMP
Shkelje të konstatuara
Burimi: Raporti vjetor 2019, i KDIMP
Mbrojtja e te dhenave ne ligjin per
komunikimet elektronike
Parashikimet ligjore per privacine - Ligji per
komunikimet elektronike
 Ligji baze nr. 9918 dt.19.5.2008 “Per komunikimet elektronike ne Republiken e
Shqiperise” i ndryshuar
 Kuadri rregullator per komunikimet elektronike, perfshin dispozita ne lidhje me
sigurine e rrjeteve
 Ne vecanti, Direktiva mbi Privacine ne komunikimet elektronike (2002/58/EC)
permban detyrime per ofruesit e sherbimeve te komunikimeve elektronike te
vlefshme per publikun te garantojne sigurine e ketyre sherbimeve
 Dispozita kunder “spam”-eve dhe “spyware” ne:
 Directive 2002/58/EC
 Ose komunikimet tregtare pa kerkese
Dispozitat e lidhura me privacine dhe ruajtjen e te dhenave
• KREU XV: MBROJTJA E TË DHËNAVE DHE E PRIVATËSISË
• Neni 121: Ruajtja e fshehtësisë (se komunikimeve)
• Neni 122: Masat mbrojtëse
• Neni 123: Konfidencialiteti i komunikimit ( pika 4 ka detyrime dhe per pajtimtaret jo vetem per
•
•
•
•
•
•
operatoret
Neni 124: Të dhëna për trafikun e komunikimit
Neni 125: Identifikimi i linjës thirrëse dhe të thirrur
Neni 126: Të dhëna për vendndodhjen
Neni 127: Ridrejtimi automatik i thirrjeve
Neni 128: Komunikimet pa kërkesë (spam-et)
1. Përdorimi i sistemeve të thirrjeve automatike për dërgimin e thirrjeve drejt pajtimtarëve
telefonikë pa ndërhyrjen njerëzore (p.sh. faks ose postë elektronike), me qëllime
marketingu mund të lejohet vetëm pas miratimit paraprak të pajtimtarëve i cili mund të
revokohet në çdo kohë.
• Data retention:
• Neni 101: Ruajtja dhe administrimi i të dhënave për qëllime të ndjekjes penale
Neni 122 – disa nga kerkesat
• Masat duhet që, të paktën:
• a) të sigurojnë që të dhënat personale të jenë të aksesueshme vetëm
nga personeli i autorizuar për qëllime ligjore të autorizuara;
• b) të mbrojnë të dhënat personale të ruajtura ose të transmetuara nga
aksidentet apo nga shkatërrimi i kundërligjshëm, humbja ose
ndryshimi aksidental dhe ruajtja, përpunimi, aksesi apo zbulimi i
paautorizuar ose i jashtëligjshëm;
• c) të sigurojnë implementimin e politikave të sigurisë, lidhur me
përpunimin e të dhënave personale.
9. Sipërmarrësit mbajnë një inventar të shkeljeve të të dhënave
personale, që përmban fakte lidhur me këto shkelje, ndikimin e tyre
dhe masat e ndërmarra rregullatore, të mjaftueshme për t’u
mundësuar autoriteteve kompetente ..
4. Në rast të cenimit të të dhënave personale, sipërmarrësi që ofron
shërbime të komunikimeve elektronike të vlefshme për publikun
njofton pa vonesë AKEP-in për këtë shkelje.
Mbikqyrja per privacine e komunikimeve
• Ne Shqiperi aktualisht e ndare midis dy institucioneve:
• KDIMP (Komisioneri per Mbrojtjen e te Dhenave Personale) dhe
• AKEP (Autoriteti Komunikimeve Elektronike dhe Postare)
• Rregullorja e re e GDPR pritet te plotesohet me e-privacy
Regulation:
• Nje autoritet per data protection dhe e-privacy
41
ÇFARË ËSHTË GDPR?
• GDPR (Rregullorja e Pergjithshme per
•
•
•
•
•
•
Mbrojtjen e te Dhenave Personale) është
ligji i ri i privatësisë së të dhënave miratuar
nga Bashkimi Europian.
Hyri në fuqi në 25 Maj 2018.
U jep njerëzve më shumë kontroll mbi të
dhënat e tyre personale.
Detyron kompanitë të sigurojnë mënyrën se
si i mbledhin, përpunojnë dhe ruajnë të
dhënat
Detyrim te njoftojne brenda 72 oresh ne rast
shkelje te mbrojtjes se te dhenave
Jo detyrim per njoftim para fillimi te
perpunimit
Detyrim per personin e kontaktit i
pergjithshem
Parimet kryesore te GDPR
•
•
•
•
•
•
Ligjshmëria, transparenca, drejtësia
Kufizimi i qëllimeve
Minimizimi i të dhënave
Saktësia e te dhenave
Kufizimi i kohës së ruajtjes
Integriteti dhe konfidencialiteti
Pyetje?