Mbrojtja e të Dhënave Personale, dallimet midis Ligjit Shqiptar dhe GDPR
Nga Av. Shpetim Beqiri
Në këtë artikull, do të shqyrtojmë dallimet kryesore dhe rëndësinë e harmonizimit midis Ligjit Shqiptar për Mbrojtjen e të Dhënave Personale dhe Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (General Data Protection Regulation (GDPR). Të dy këto ligje kanë për qëllim mbrojtjen e të dhënave personale, por në të njëjtën kohë kanë disa dallime të rëndësishme në zbatimin dhe kërkesat e tyre. Si fillim dua të theksoj se Shqipëria akoma nuk e ka përshtatur dhe harmonizuar ligjin mbi të dhënat personale me Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave Personale (GDPR) duke bërë të vështirë operimin e kompanive shqiptare në tregun evropian, të cilët mund te përballen me sfida ligjore deri në gjoba administrative, gjithashtu mungesa e harmonizimit mund të dëmtojë besimin e konsumatorëve dhe partnerëve ndërkombëtarë në aftësinë e Shqipërisë për të mbrojtur të dhënat personale. Dallimi i parë midis ligjit shqiptar dhe GDPR është fusha e zbatimit. Ligji Shqiptar zbatohet për të gjitha entitetet që përpunojnë të dhëna personale brenda territorit të Shqipërisë, ndërsa, GDPR zbatohet për të gjitha entitetet që përpunojnë të dhëna personale të individëve që ndodhen në Bashkimin Evropian, pavarësisht se ku ndodhet entiteti. Kjo nënkupton se Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (GDPR) ka një gamë të gjerë aplikimi dhe nuk është e kufizuar vetëm në organizatat brenda Bashkimit Evropian (BE). GDPR zbatohet për çdo organizatë që ofron mallra ose shërbime për individët në BE. Kjo do të thotë se çdo organizatë, pavarësisht se ku ndodhet fizikisht, nëse ofron mallra ose shërbime për individët që ndodhen në BE, duhet të respektojë rregullat e GDPR-së. Për shembull, një kompani amerikane që shet produkte online për konsumatorët në BE duhet të përmbushë kërkesat e GDPR-së. Gjithashtu ky ligj aplikohet edhe për ato organizata që monitorojnë sjelljen e subjektit të të dhënave personale brenda BE-së, p.sh. nëse një organizatë nuk ofron drejtpërdrejt mallra ose shërbime, por monitoron sjelljen e individëve brenda BE-së (p.sh., përmes analizave të trafikut në internet ose përdorimit të cookies), ajo gjithashtu duhet të respektojë GDPR-në. Në thelb, GDPR ka për qëllim të mbrojë të dhënat personale të individëve në BE dhe të sigurojë që organizatat që ndërveprojnë me këta individë të ndjekin standarde të larta të privatësisë dhe sigurisë së të dhënave. Një dallim tjetër janë Parimet e Përpunimit të të Dhënave, të dy ligjet theksojnë rëndësinë e ligjshmërisë, drejtësisë dhe transparencës, GDPR shkon një hap më tej duke përfshirë parimet e minimizimit të të dhënave dhe saktësisë. Këto parime shtesë ndihmojnë në sigurimin që të dhënat personale të përpunohen në mënyrë më të përgjegjshme dhe të mbrojtura më mirë. Në lidhje me të Drejtat e Subjekteve të të Dhënave Personale ligji shqiptar përfshin informimin, aksesin, korrigjimin dhe fshirjen e të dhënave, ndërsa GDPR i zgjeron këto të drejta duke përfshirë portabilitetin e të dhënave dhe të drejtën për të kundërshtuar përpunimin e të dhënave. Ky parashikim i GDPR synon të zgjerojë e të rrisë kontrollin e individëve mbi të dhënat e tyre personale dhe të sigurojë një mbrojtje më të madhe të privatësisë. Persa i përket Njoftimit për Shkeljet e Sigurisë ligji shqiptar nuk përmban kërkesa specifike për njoftimin e shkeljeve të sigurisë. Megjithatë, ekzistojnë disa udhëzime për entitetet e mëdha të përpunimit të të dhënave. Udhëzimi Nr. 47, sipas këtij udhëzimi, entitetet e mëdha të përpunimit të të dhënave duhet të njoftojnë oficerin e mbrojtjes së të dhënave për çdo rrezik të shkeljes së të drejtave të subjekteve të të dhënave. Nëse problemi nuk adresohet, oficeri duhet të njoftojë Komisionerin. Ndërsa, GDPR kërkon që shkeljet e sigurisë të njoftohen brenda 72 orëve nga zbulimi i tyre. Kjo kërkesë është e detyrueshme dhe synon të sigurojë që autoritetet dhe individët të jenë të informuar sa më shpejt të jetë e mundur për të marrë masat e nevojshme. Njoftimi rrit transparencën dhe përgjegjësinë e organizatave. Kjo ndihmon në mbrojtjen e të dhënave personale të individëve dhe në minimizimin e dëmeve të mundshme nga shkeljet e sigurisë. Dallime të mëdhe midis GDPR dhe ligjit shqiptar i gjejmë në sanksionet dhe gjobat. Në Shqipëri gjoba më e lartë për shkeljet e ligjit mbi të dhënat personale është 10,000 deri në 50,000, nësë shkeljet kryhen nga persona juridikë gjoba dyfishohet dhe mund të arrijë deri në 100,000 lekë. Rregullorja GDPR parashikon gjoba shumë më të larta, deri në 20 milionë euro ose 4% të qarkullimit vjetor global. Mendoj se gjobat e larta të GDPR-së janë një hap i domosdoshëm dhe pozitiv drejt mbrojtjes së të dhënave personale. Në një epokë ku të dhënat personale janë bërë një nga asetet më të vlefshme, është e rëndësishme që kompanitë të kenë një përgjegjësi të madhe për mbrojtjen e tyre. Gjoba të larta jo vetëm që parandalojnë shkeljet, por gjithashtu nxisin një kulturë të përgjegjësisë dhe transparencës. Gjithashtu, proporcionaliteti i gjobave siguron që kompanitë më të mëdha, të cilat kanë më shumë burime dhe potencialisht më shumë të dhëna për të mbrojtur, të mos mund të shpëtojnë me gjoba të vogla. Kjo krijon një ndjenjë drejtësie dhe barazie në treg. Në lidhje me përpunimin e të dhënave personale të ndjeshme dhe mbledhjen e tyre, ligji shqiptar parashikon që pëlqimi i dhënë nga subjekti duhet të jetë i qartë dhe qe duhet të informohet në lidhje me përpunimin e të dhënave personale. Ndërsa, GDPR kërkon që pëlqimi për përpunimin e të dhënave të ndjeshme të jetë i qartë, i veçantë, i informuar dhe i dhënë me vullnet të lirë. Pëlqimi duhet të jetë i ndarë nga pëlqimet e tjera dhe të jetë i shprehur në mënyrë të qartë, duke përjashtuar çdo formë të pëlqimit të heshtur ose të nënkuptuar. Mendoj, se kërkesat për pëlqim të qartë dhe të veçantë për përpunimin e të dhënave të ndjeshme janë thelbësore për mbrojtjen e privatësisë së individëve. Të dhënat e ndjeshme kanë potencialin të shkaktojnë dëme të mëdha nëse bien në duar të gabuara, prandaj është e rëndësishme që mbledhje dhe përpunimi i tyre të bëhet me kujdes të madh dhe me pëlqimin e plotë të individëve të prekur. Një temë tjetër e rëndësishme është transferimin e të dhënave personale jashtë vendit, ligji shqiptar nuk përmban rregulla të detajuara për transferimin e të dhënave personale jashtë vendit. Kjo do të thotë që nuk ka udhëzime specifike për mënyrën se si duhet të trajtohen të dhënat personale kur ato transferohen jashtë kufijve të Shqipërisë. Kjo mungesë e rregullave të detajuara mund të krijojë pasiguri për kompanitë dhe individët që përpunojnë dhe transferojnë të dhëna personale ndërkombëtarisht. Nga ana e tjetër GDPR ka rregulla shumë strikte për transferimin e të dhënave personale jashtë Bashkimit Evropian (BE) dhe Zonës Ekonomike Evropiane (ZEE). Sipas GDPR-së, transferimi i të dhënave personale jashtë BE-së lejohet vetëm nëse vendi marrës siguron një nivel të përshtatshëm mbrojtjeje. Kjo mund të arrihet kur Komisioni Evropian vendosë që një vend i tretë ofron një nivel të përshtatshëm mbrojtjeje ose kur transferimi bëhet në bazë të garancive të përshtatshme, sic janë Klauzolat Kontratuale Standarde (Standard Contractual Clauses (SCC) të mbrojtjes së të dhënave të detyrueshme për korporatat. Midis kompanive të së njëtit Grup transferimi jashtë BE kryehet në bazë të rregullave detyruese të korporatës (Binding Corporate Rules (BCRs). Këto janë rregulla të brendshme të miratuara nga një grup kompanish për të lejuar transferimet ndërkombëtare të të dhënave personale brenda të njëjtit Grup, duke siguruar një nivel adekuat të mbrojtjes së të dhënave. Për transferimin jashtë BE ekzistojnë edhe mekanizmat e certifikimit, që do të thotë, Organizatat mund të marrin certifikata specifike që demonstrojnë përputhjen me standardet e BE-së për mbrojtjen e të dhënave. Mendoj se rregullat strikte të GDPR-së për transferimin e të dhënave personale jashtë BE-së sigurojnë një nivel të lartë mbrojtjeje për të dhënat personale të individëve. Nga ana tjetër, mungesa e rregullave të detajuara në ligjin shqiptar për transferimin e të dhënave personale jashtë vendit mund të krijojë pasiguri dhe rreziqe për mbrojtjen e të dhënave personale. Në Shqiperi Autoriteti Mbikëqyrës për Mbrojtjen e të Dhënave Personale (Komisioneri) është përgjegjës për mbikëqyrjen dhe zbatimin e ligjit. Çdo shtet anëtar i BE-së ka një autoritet mbikëqyrës të pavarur që bashkëpunon me autoritetet e tjera në BE për të siguruar zbatimin e rregullores. Në rreguloren e BE cdo shtet anëtar i Bashkimit Evropian ka një autoritet mbikëqyrës të pavarur për mbrojtjen e të dhënave personale. Këto autoritete janë përgjegjëse për zbatimin e GDPR-së në vendet e tyre përkatëse dhe për të siguruar që të dhënat personale të përpunohen në përputhje me rregulloren. Autoritetet mbikëqyrëse në BE bashkëpunojnë me njëra-tjetrën për të siguruar një zbatim të njëtrajtshëm të GDPR-së në të gjithë BE-në. Kjo bashkëpunim përfshin shkëmbimin e informacionit, koordinimin e hetimeve dhe marrjen e masave të përbashkëta kur është e nevojshme. Në përmbledhje, mund të themi se dallimet midis Ligjit Shqiptar për Mbrojtjen e të Dhënave Personale dhe Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) janë të dukshme dhe të rëndësishme. Ndërsa të dy ligjet synojnë mbrojtjen e të dhënave personale, GDPR vendos standarde më të larta dhe më të detajuara për përpunimin dhe mbrojtjen e këtyre të dhënave. Harmonizimi sa më i shpejt i ligjit shqiptar me GDPR është thelbësor për të lehtësuar operimin e kompanive shqiptare në tregun evropian dhe për të rritur besimin e konsumatorëve dhe partnerëve ndërkombëtarë në aftësinë e Shqipërisë për të mbrojtur të dhënat personale. Kjo do të ndihmojë në krijimin e një mjedisi më të sigurt dhe më të besueshëm për të gjithë. Në një epokë ku të dhënat personale janë bërë një nga asetet më të vlefshme, është e rëndësishme që të gjitha vendet të ndjekin standarde të larta për mbrojtjen e tyre. Gjoba të larta dhe kërkesa të rrepta për pëlqimin dhe transferimin e të dhënave janë hapa të domosdoshëm për të siguruar që të dhënat personale të trajtohen me kujdesin dhe respektin e duhur. Në fund, një sistem i fortë dhe i pavarur mbikëqyrjeje, si dhe bashkëpunimi ndërkombëtar, janë çelësi për një mbrojtje efektive dhe të qëndrueshme të të dhënave personale. Harmonizimi i ligjeve kombëtare me GDPR do të ndihmojë në arritjen e këtij qëllimi dhe në sigurimin e një mbrojtjeje më të madhe për të gjithë individët.