Ligji i ri nr. 124/2024 për mbrojtjen e të dhënave personale sjell një ndryshim të rëndësishëm për bizneset shqiptare: detyrimin e caktimit të një Nëpunësi për Mbrojtjen e të Dhënave Personale (DPO) edhe në sektorin privat. Por çfarë nënkupton ky rol në praktikë, dhe si mund të ndikojë në menaxhimin e riskut, përputhshmërinë ligjore dhe reputacionin e një kompanie?
Në këtë intervistë për Business Magazine, Besa Velaj, Drejtore e Kabinetit të Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, shpjegon detyrat kryesore të DPO-së, kriteret për përzgjedhjen e tij, si dhe gabimet më të shpeshta që bëjnë bizneset shqiptare. Diskutohet gjithashtu mundësia e angazhimit të një DPO-je të jashtëm për bizneset e vogla dhe të mesme, si dhe rëndësia strategjike e këtij funksioni në një ekonomi gjithnjë e më digjitale.
Ligji i ri nr. 124/2024 e bën të detyrueshëm caktimin e Nëpunësit për Mbrojtjen e të Dhënave Personale edhe për sektorin privat. Çfarë është nënpunësi i mbrojtjes së të dhënave? Cilat janë detyrat e tij?
Nenet 33 dhe 34 të ligjit nr. 124/2024 “Për mbrojtjen e të dhënave personale” rregullojnë veprimtarinë e nëpunësit të mbrojtjes së të dhënave personale si një figurë e re kyçe në garantimin e përputhshmërisë me ligjin në përgjithësi dhe parimin e përgjegjshmërisë në veçanti. Konkretisht, neni 33 përcakton rastet kur caktimi i një nëpunësi për mbrojtjen e të dhënave personale është i dëtyrueshëm, ndërsa neni 34 liston të kriteret që personi i caktuar në këtë rol duhet të përmbushë si dhe detyrat që ai ka.
Detyrat e nëpunësit të mbrojtjes së të dhënave personale janë të një karakteri këshillimor dhe ndër to përfshihet: (i) këshillimi i kontrolluesit lidhur me çështje që kanë të bëjnë me përpunimin e të dhënave personale, (ii) informimi, këshillimi, trajnimi dhe ndërgjegjësimi i stafit të kontrolluesit lidhur me detyrimet që burojnë nga legjislacioni për mbrojtjen e të dhënave, (iii) monitorimi i përputhshmërisë së veprimtarisë së kontrolluesit me legjislacionin për mbrojtjen e të dhënave personale, (iv) përfshirja në veprimtarinë e vlerësimit të ndikimit në mbrojtjen e të dhënave personale si dhe (v) bashkëpunimi dhe ndërveprimi me Komisionerin për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale në cilësinë e autoritetit mbikëqyrës sipas ligjit nr. 124/2024 “Për mbrojtjen e të dhënave personale”.
Cilët janë bizneset që preken drejtpërdrejt dhe çfarë rrezikojnë ata që e neglizhojnë këtë detyrim? Nga këndvështrimi juaj, cilat janë gabimet më të shpeshta që po bëjnë kompanitë shqiptare në përzgjedhjen ose funksionimin e DPO-ve?
Ligji përcakton fushat të cilat nga natyra dhe sasia e përpunimit e kanë të detyrueshëm caktimin e një personi në rolin e nëpunësi të mbrojtjes së të dhënave.
Në këtë këndvështrim, përveç autoriteteve publike të cilat e kanë në çdo rast të detyrueshëm caktimin e një nëpunësi, ky rol është i detyrueshëm për kontrolluesit ose përpunuesit:
- b) aktivitetet kryesore të kontrolluesit ose të përpunuesit janë veprime përpunimi, të cilat, për shkak të natyrës, fushës së zbatimit ose qëllimeve të tyre, kërkojnë monitorim të rregullt e sistematik të subjekteve të të dhënave në një shkallë të gjerë; ose c) aktivitetet kryesore të kontrolluesit ose të përpunuesit sjellin përpunimin në një shkallë të gjerë të të dhënave sensitive ose të dhënave penale.
Nga sa më sipër del e qartë se kanë detyrimin për të caktuar një person në rolin e nëpunësit strukturat spitalore, klinikat mjekësore private si dhe ato kontrollues që përpunojnë të dhëna penale në shkallë të gjerë.
Po ashtu, përtej këtyre rasteve, subjektet që operojnë në fushën e shërbimeve bankare do të klasifikoheshin gjithashtu për caktimin e një nëpunësi.
Megjithatë duhet theksuar se ligji (neni 22) përcakton se kontrolluesi merr në konsideratë caktimin e një nëpunësi edhe përtej rasteve të përcaktuara shprehimisht më sipër.
Sa i takon pjesës së dytë të pyetjes suaj, caktimi i një nëpunësi të aftë në kryerjen e rolit të tij është element demonstrues i përputhshmërisë me parimin e përgjegjeshmërisë dhe në këtë këndvështrim shkon në favor të kontrolluesit apo përpunuesit.
Lexo edhe: TikTok nën presionin e BE-së, rrezikon gjobë të majme për sigurinë online
Nga ana tjetër, caktimi i një nepunësi vetëm nga pikëpamja e përmbushjes së detyrimit formal, është një element që nuk i shërben qëllimit primar që është monitorimi i përputhshmërisë së veprimtarisë së kontrolluesit apo përpunuesit me dispozitat e ligjit nr. 124/2024 “Për mbrojtjen e të dhënave personale”.
Për bizneset e vogla dhe të mesme, a mund të jetë DPO-ja një funksion i jashtëm (outsourcing) dhe cilat janë kriteret që duhet të plotësohen në këto raste?
Pika 2 e nenit 34 parashikon në mënyrë të shprehur mundësinë që në rolin e nëpunësit të angazhohet një peron i jashtëm nëpërmjet një kontrate shërbimi. Kriteret e zbatueshme janë të njëjtat në çdo rast, që do të thotë, ato të parashikuara në nenin 34 të ligjit.
A ndikon prania aktive e një DPO-je në uljen e riskut ligjor, financiar dhe reputacional për një kompani?
Nëse i referohemi detyrave që ligji përcakton për nëpunësin e mbrojtjes së të dhënave, kuptojmë qartë se roli i tij për definicion është garantimi i përputhshmërisë ne legjislacionin për mbrojtjen e të dhënave, dhe rrjedhimisht reduktimi i rrezikut për mospërputhshmëri me ligjin.
Po ashtu një theks i veçantë në ligj i vendoset kujdesit që nëpunësi duhet t’i kushtojë rrezikut që veprimtaria përpunuese të mund të shkaktojë cenim të të drejtave dhe lirive themeore. Në këtë kontekst, një cenim i tillë do të kishte një ndikim të drejtpërdrejtë, përveçase financiar dhe/ose ligjor, mbi të gjitha reputacional për kontrolluesin ose përpunuesin (mendojmë për shembull një rrjedhje masive të dhënash).
Megjithatë, lidhur me sa më sipër, dëshiroj gjithmonë të vendos theksin tek domosdoshmëria që ai të përmbushë kriteret profesionale, pa mbetur thjesht në planin formal.
Ligji kërkon pavarësi dhe shmangie të konfliktit të interesit për DPO-të. Në praktikë, cilat role brenda një kompanie janë problematike për t’u kombinuar me këtë funksion?
Ligji jep përkufizimin e termit konrollues duke përcaktuar se i tillë është personi fizik ose juridik dhe çdo autoritet publik, i cili, vetëm ose së bashku me të tjerët, përcakton qëllimet e mjetet e përpunimit të të dhënave personale.
Elementët e mësipërm nuk janë kumulativë, pra edhe me plotësimin e njërit prej tyre, konsiderohet se përmbushen kriteret që një subjekt të konsiderohet kontrollues. Sa më sipër, personat që veshin role vendimmarrëse (pra potencialisht përcaktuese të qëllimeve ose mjeteve) brenda kontrolluesit apo përpunuesit do të duhej të mos preferoheshin për rolin e nëpunësit. Kjo për faktin se roli i nëpunësit është ose duhet të jetë në oponencë me kontrolluesin për ato veprime përpunimi që mund të sjellin rrezik nga pikëpamja e legjislacionit për mbrojtjen e të dhënave personale. Nëse në këtë rol caktohet një person i cili në përshkrimin e punës ka marrjen e vendimeve (që mund të lidhen me qëllimet, mjetet ose të dy elementët e përpunimit të të dhënave), kjo mund të cënojë potencialisht pavarësinë dhe të shkaktojë konflikt interesi.
Çfarë ndryshon realisht për bizneset shqiptare me përafrimin e plotë të ligjit me GDPR-në europiane? A jemi përballë një standardi të ri konkurrence dhe besueshmërie në treg?
Patjetër që e parë në këtë këndvështrim, një prej avantazheve absolute që përafrimi i plotë me kuadrin rregullator të BE-së, sjell për biznesin, është ndërtimi i besimit tek konsumatori dhe partnerët në biznes për shkak të standardit që ky kuadër përcakton në lidhje me masat që duhen marrë për të garantuar sigurinë e proceseve përpunuese.
Regjistri Elektronik i Nëpunësve për Mbrojtjen e të Dhënave Personale pritet të krijohet së shpejti. Si do ta ndihmojë ky instrument transparencën dhe monitorimin e zbatimit të ligjit nga bizneset?
Ky regjistër që pritet të miratohet së shpejti, është komplementar i dispozitave ligjore lidhur me rolin e nëpunësit dhe është menduar si një instrument që do të ndihmojë institucionin e Komisionerit në monitorimin e përputhshmërisë nga kontrolluesit dhe përpunuesit me detyrimin ligjor për caktimin e kësaj figure, si dhe si një mundësi për krijimin e një rrjeti ku të mund të shkëmbehen eksperienca dhe praktika në funksion të përmirësimit të vazhdueshëm të ushtrimit të këtij roli.
Lexo edhe: Europa mbetet pas në garën e inteligjencës artificiale në sektorin publik
Në një ekonomi gjithnjë e më të digjitale, sa e rëndësishme është që DPO-ja të kuptohet nga drejtuesit e kompanive jo thjesht si detyrim ligjor, por si pjesë e strategjisë së menaxhimit të riskut?
Siç e kam përmendur edhe në pyetjen 2, caktimi i një nëpunësi që përmbush kriteret profesionale dhe që nuk caktohet vetëm nga pikëpamja formale, është një element i cili demonstron përputhshmëri me detyrimet ligjore në përgjithësi dhe me parimin e përgjegjshmërisë në veçanti. Në këtë këndvështrim, nevoja që roli i tij të kuptohet nga drejtuesit nuk është mbetet vetëm një opsion, por është një element që shoqërive (sidomos atyre që operojnë në rrafsh digjital) mund t’i kursejë kohë dhe para.
Çfarë këshille konkrete do t’u jepnit CEO-ve dhe pronarëve të bizneseve që po përballen për herë të parë me këtë rol dhe kërkesat e ligjit të ri?
Sot ky rol është në fillimet e tij, dhe nuk mund të pretendohet për një portofol të pasur nëpunësish me eksperiencë të disponueshëm në treg. Megjithatë nga diku duhet nisur dhe personi i caktuar në këtë rol duhet mbështetur në mënyrë të vazhdueshme me trajnime të vazhdueshme, burime teknike, njerëzore, financiare si dhe nga pikëpamja organizative me qëllim përparimin në këtë fushë dhe kryerjen me efektivitet të këtij roli.
A parashikon Zyra e Komisionerit fushata të dedikuara trajnimi apo udhëzime praktike specifike për sektorë të caktuar biznesi (financë, teknologji, shëndetësi, tregti online)?
Zyra e Komisionerit mbetet vazhdimisht e angazhuar në aktivitete ndërgjegjësuese sa i takon detyrimeve ligjore në përgjithësi dhe këtij roli në veçanti, për nga vetë rëndësia që mbart në garantimin e zbatimin të ligjit.
Në këtë këndvshtrim, Zyra e Komisionerit, në përputhje me pikën 6 të nenit 34, ka nisur bashkëpunimin më institucione të arsimit të lartë për trajnimin dhe certifikimin e nëpunësve të mbrojtjes së të dhënave, me qëllim krijimin e një portofoli fillestar të kësaj figure.
Gjithashtu, jane publikuar udhëzime për fusha të ndryshme përpunimi si arsimi, shëndetësia, videosurvejimi, media etj. Po ashtu Zyra e Komisionerit do të vijojë me udhëzues praktikë për fusha të tjera ku konsiderohet që përpunimi paraqet veçori apo rreziqe të shtuara për të drejtat dhe liritë themelore të individëve.
Artikull ekskluziv i Business Magazine Albania.
Ky artikull gëzon të drejtën e autorësisë sipas Ligjit Nr. 35/2016, “Për të drejtat e autorit dhe të drejtat e lidhura me to”.
Artikulli mund të ripublikohet nga mediat e tjera vetëm duke cituar “Business Magazine Albania” shoqëruar me linkun e artikullit origjinal
Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Mbështetja juaj na ndihmon ta vazhdojmë këtë mision.
