Përse ta zbatojmë GDPR-në?

Elvin Mala

Që nga dita e sotme ka hyrë në fuqi rregullorja e shumëpërfolur për mbrojtjen e të dhënave – GDPR (General Data Protection Regulation). Që nga miratimi i saj kanë kaluar dy vite dhe kjo periudhë kohore u është dhënë në dispozicion të gjithëve për të përgatitur sistemet e tyre teknike, proceset operative, por edhe legjislacionin e nevojshëm në mënyrë që të dhënat e qytetarëve të Bashkimit Evropian të trajtohen në pajtueshmëri me këtë rregullore.

Ditëve dhe javëve te fundit, nga shoqata dhe institucione të shumta janë organizuar ngjarje të ndryshme për të rritur vetëdijesimin lidhur me zbatimin dhe fushëveprimin e saj. Ditëve dhe javëve të fundit, shoqata dhe organizata të ndryshme janë duke organizuar ngjarje për të rritur vetëdijesimin lidhur me zbatimin dhe fushëveprimin e saj. Mirëpo, kjo iniciativë mungon tek institucionet përgjegjëse për zbatim.

Me hyrjen në fuqi të kësaj rregulloreje nënkuptohet që të gjithë ata të cilët trajtojnë të dhënat personale të qytetarëve të BE-së, janë të obliguar që të zbatojnë këtë rregullore ne plotësi. Në të kundërtën, gjoba për mos zbatueshmëri mund të arrijë deri në 20 milionë euro apo katër për qind të qarkullimit vjetor. Shembuj të padive – qysh në ditën e parë të hyrjes në fuqi – janë rastet kundër Facebook-ut me padi prej 3.9 miliardë eurove, si dhe ajo prej 3.7 miliardë eurove kundër sistemeve operative Android të Google-it (ref: IrishTimes).

Fatmirësisht, disa organizata kompani në Kosovë veçse kanë filluar me përgatitjet për pajtueshmëri me ketë rregullore, ndërsa shumica prej tyre nuk kanë dëgjuar për GDRP-në. Përgjegjësia për zbatimin e kësaj rregulloreje u takon udhëheqësve të organizatave/kompanive ku në përpikëri duhet t’i zbatojnë te gjitha kërkesat e saj, përfshirë sigurinë e informacionit, privatësinë, pajtueshmërinë me legjislacionin në fuqi, por edhe rrezikun e privatësisë i cili mund të shfaqet dhe si i tillë duhet trajtuar atë.

Për të zbatuar këtë rregullore e cila në vete përmban më shumë se 17,099 kërkesa, nene dhe detyrime specifike, organizata/kompania fillimisht duhet të vlerësojë se a është kjo rregullore e aplikueshme me legjislacionin në fuqi. Duhet të rikujtojmë se kjo rregullore aplikohet për të gjithë ata të cilët mbledhin, përpunojnë, ruajnë, bartin të dhëna personale të qytetareve të BE-së, pavarësisht vendndodhjes territoriale të tyre në kohën e ofrimit të shërbimit apo shitjes së produkteve.

Fillimisht, organizata/kompania duhet të vlerësojë qëllimin dhe kohëzgjatjen e mbledhjes së të dhënave të nevojshme për të arritur qëllimin e mbledhjes së të dhënave, rruajtjen dhe deponimin e tyre, bartjen e tyre tek ndonjë kompani, organizatë apo edhe institucion publik, si dhe shkatërrimin e këtyre të dhënave pas realizimit të qëllimit fillestar për mbledhjen e tyre. Në vazhdimësi, kompania duhet vlerësuar kapacitetet e nevojshme teknike për të realizuar këtë proces, pasi që lirisht mund të themi se do të ndryshojë rrënjësisht operimi i sistemeve të tyre. Do të ndryshojë mënyra e pasqyrimit të tyre në bazat e tyre të shënimeve; do të duhej zbatuar katalogimi i të gjitha të dhënave; duhet përcjell qasjen ne në to dhe autorizimet e duhura; deponimin dhe ruajtjen e kopjeve rezervë etj. e shumë e shumë procese te tjera.

Këto janë disa nga proceset të cilat duhet zbatuar, por edhe dokumentuar në mënyrën e duhur, pasi që do të kërkohet qe të dëshmohen masat e ndërmarra për mbrojtjen dhe trajtimin e duhur të këtyre të dhënave personale.

Risi në GDPR është edhe mënyra e njoftimit të subjektit të të dhënave – i cili në këtë rast është personi të cilit i merren të dhënat – si dhe miratimi (eng. Consent) nga ana e tij për të trajtuar të dhënat e tij/saj.

Përveç nëse është e specifikuar me ndonjë ligj tjetër, i cili u mundëson trajtimin e të dhënave institucioneve publike në mënyrë që ato të realizojnë mandatin e tyre, i cili ka të beje bëjë me sigurinë e përgjithshme, shëndetin publik apo të ngjashme, nuk duhet kushtëzuar në asnjë mënyrë ofrimin e shërbimit apo shitjen e produkteve në rast se subjekti i të dhënave – personi – refuzon që të pranojë trajtimin e të dhënave të tij/saj.

Po ashtu, njoftimi për miratim, i cili duhet t’i kumtohet në formë të shkruar apo edhe verbale subjektit të të dhënave, duhet të jetë i thjeshtë, i lexueshëm dhe i kuptueshëm për subjektin e të dhënave. Përmbajtja e këtij njoftimi duhet të jetë e kuptueshme nga të gjithë dhe mundësisht të përmbajë sa më pak terminologji juridike apo teknike. Ky miratim do të jetë i vlefshëm vetëm në rastet e pajtueshmërisë së theksuar të një akti konfirmues.

Në të kaluarën, miratimet janë marrë të parakonfirmuara apo janë pranuar në mënyrë pasive pa pasur nevojë për ndonjë veprim shtesë, si për shembull “tick the box” apo të ngjashme. Kjo formë e marrjes së miratimit nga subjekti i të dhënave, me fuqizimin e rregullores, më nuk do të jetë e pranueshme dhe konsiderohet shkelje e rregullores. Pasiviteti – miratimi duke vendosur paraprakisht përzgjedhjen apo ‘tick’ – nuk do të konsiderohet si miratim i vlefshëm. Subjekti i të dhënave do të ketë përgjithmonë të drejtën e përditësimit të dhënave të tij/saj, ofrimin e informatave se ku, si dhe nga kush janë trajtuar të dhënat e tij/saj, si dhe të kërkojë fshirjen e tyre.

Ditëve të fundit, qytetarët kanë kemi filluar të pranojnë njoftime edhe nga kompanitë vendore ku më herët ishin regjistruar si shfrytëzues të produkteve apo shërbimeve të tyre. Këto njoftime përmbajnë informata për përditësimet e politikave dhe procedurave të tyre, mirëpo rastisa në disa nga to, me anë të të cilave kërkohet pëlqimi i shfrytëzuesve për trajtimin e të dhënave të tyre personale. Shembuj të cilët – sipas GDPR-së – janë në kundërshtim me parimet e dhënies së miratimit, janë paraqitur në vijim, duke theksuar edhe shkeljen e cila bëhet. Ato janë:

• “…duke vazhduar të përdorni shërbimet tona, ju pajtoheni me…”;

• Ofrimi i shërbimit kushtëzohet me dhënien e miratimit;

• “…aplikohet për çdo produkt, aplikacion, instrument, ueb-faqe apo shërbim tjetër…”;

• Të gjitha shërbimet trajtohen pavarësisht qëllimit të trajtimit të të dhënave dhe grupohen si shërbime të përgjithshme;

• “…duke u regjistruar për të krijuar një llogari të re, ju pranoni dhe pajtoheni me kushtet dhe termet e kësaj politike të privatësisë, njëherësh autorizoni kompaninë që të bëjë mbledhjen, përpunimin, përdorimin, transferimin, shpalosjen, ruajtjen dhe mbrojtjen e të dhënave tuaja personale…”;

• Qëllimi dhe kohëzgjatja e trajtimit të të dhënave nuk është e qartë dhe specifike;

• “…nëse ju nuk na jepni apo siguroni informacionin që kërkojmë, ne mund të mos jemi në gjendje të ofrojmë të gjitha shërbimet tona për ju…”;

• Ofrimi i shërbimit kushtëzohet me dhënien e miratimit.

Këto janë në kundërshtim me parimet e dhënies se pëlqimit sipas GDPR-së, pasi që ofrimi i shërbimit kushtëzohet me dhënien e pëlqimit; të gjitha shërbimet trajtohen pavarësisht qëllimit të trajtimit të të dhënave; grupohen si shërbim dhe qëllimi dhe kohëzgjatja e trajtimit të të dhënave nuk është i specifikuar apo qartësuar.

Këto janë vetëm disa nga veprimet fillestare të cilat duhet zbatuar nga kompanitë, por edhe nga institucionet publike të cilat trajtojnë të dhënat personale të të qytetareve qytetarëve te BE-së.

Te shpresojmë se kompanitë tona nuk do ta kenë fatin e keq të të paditen qysh në ditët e para të hyrjes në fuqi të kësaj rregulloreje.