Komisioneri hetim zyrave të ndërmjetësit të pasurive të paluajtshme: Shqetësuese situata me ligjshmërinë e përpunimit, sigurinë dhe ruajtjen e konfidencialitetit
Zyrat e ndërmjetësimit të pasurive të paluajtshme janë bërë objekt hetimi i zyrës së Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale. Në një rekomandim të nxjerrë së fundmi kjo zyrë kërkon që të merren parasysh nga Kontrolluesit në sektorin e administrimit dhe ndërmjetësimit të pasurive të paluajtshme.
“Zyra e Komisionerit gjatë veprimtarisë së tij monitoruese mbi zbatimin e detyrimeve të Ligjit nga Kontrolluesit, ka vërejtur një shqetësim në lidhje me ligjshmërinë e përpunimit, sigurinë dhe ruajtjen e konfidencialitetit të të dhënave personale. Ky shqetësim është konstatuar nga burime të ndryshme, por edhe me vetë indicie të institucionit lidhur mbi proceset përpunuese të Kontrolluesve që operojnë në këtë sektor, kjo për shkak të rritjes së veprimtarisë së tyre dhe njëkohësisht të sasisë së të dhënave personale që përpunojnë”, thuhet në dokument.
Sipas Komisionerit monitorimi i proceseve përpunuese të të dhënave personale të Kontrolluesve në sektorin e ndërmjetësimit të pasurive të paluajtshme, nisur nga rëndësia e këtyre të dhënave, por edhe nga fakti se ka një numër shumë të lartë Kontrolluesish që operojnë në këtë fushë, të cilët përpunojnë të dhëna personale në sasi të mëdha, në përmbushje të detyrimeve ligjore sipas përcaktimeve të legjislacionit specifik, ka sjellë dhe nevojën për një vëmendje të shtuar në kuadër të garantimit të përpunimit të ligjshëm, sigurisë, ruajtjes së konfidencialitetit dhe respektimin e parimeve për përpunimin e ligjshëm të të dhënave personale, si dhe garantimin e të drejtave të subjekteve të të dhënave.
Problematikat pas hetimeve administrative
Zyra e komsionerit ka renditur disa problematika të hasura gjatë hetimit administrativ tek ndërmjetësit e pasurive të paluajtshme.
– Në kuadër të veprimtarisë që kryejnë, Kontrolluesit përpunojnë të dhëna personale për kategoritë “klientë”, “punonjës”, “agjentë”, “vizitorë”, “kandidatë për punë”, etj., në mënyrë manuale dhe elektronike. Rezulton se, në shumë raste, Kontrolluesit nuk kanë parashikuar afate për ruajtjen e të dhënave personale që përpunohen (psh., të agjentëve dhe klientëve) në tejkalim të qëllimit të përpunimit, në kundërshtim me një nga parimet tek i cili bazohet mbrojtja e të dhënave personale, të parashikuar në germën “d”, të pikës 1, të nenit 5 të Ligjit.
– Konstatohet se, në faqen zyrtare të Kontrolluesve, si dhe në platformat “Facebook” dhe “Instagram”, të administruar nga ana e tyre, ndër të tjera, gjenden të publikuara të dhënat e agjenteve si: “emër”, “mbiemër”, “nr. telefoni”, “fotografia e agjentit”, etj. Kontrolluesit nuk kanë mundur të dokumentojnë se kanë marrë pëlqimin e subjekteve të të dhënave “agjentë të rrjetit Franchise”, për publikimin e të dhënave të tyre, në kundërshtim me parimet e mbrojtjes së të dhënave personale dhe kriteret ligjore për përpunimin e të dhënave, të parashikuara në nenet 5 dhe 6 të Ligjit
– Rezulton se, Kontrolluesit kanë publikuar në faqen zyrtare “Politikat e Privatësisë”, megjithatë i referohen modelit standard të politikave të privatësisë të “Franchise” dhënësit (kompanisë mëmë), si dhe subjektet e të dhënave (klientë, vizitorë, punonjës, agjentë, etj.) nuk informohen në gjuhën shqipe për fushën dhe qëllimin, për të cilin do të përpunohen të dhënat personale, për mënyrën e përpunimit, të drejtën për akses, të drejtën për fshirje dhe/ose korrigjim të të dhënave të tij, etj., në kundërshtim me parashikimet e nenit 18 të Ligjit
Po kështu Komsioneri vlerëson se Kontrolluesit nuk kanë ndërmarrë masa konkrete në kuadër të trajnimit të punonjësve që kanë akses dhe përpunojnë të dhëna personale lidhur me legjislacionin në fuqi për mbrojtjen e të dhënave personale. Gjithashtu, konstatohet mosplotësim të detyrimeve në lidhje me ngritjen, administrimin dhe mirëmbajtjen e Sistemit të Menaxhimit së Sigurisë së Informacionit (SMSI) lidhur me mbrojtjen e të dhënave personale, të parashikuar në Udhëzimin nr. 47 të Komisionerit.
Kontrolluesit, të kenë në vëmendje përpunimin e të dhënave personale, në përputhje me dispozitat e parashikuara në Kreun II të Ligjit;
Kontrolluesit, në zbatim të neneve 5 dhe 6 të Ligjit të marrin masa për shkatërrimin e të dhënave të ruajtura/mbledhura në tejkalim të qëllimit të përpunimit për të cilat janë mbledhur, si dhe të garantojnë pëlqimin e subjekteve të të dhënave “Agjentë” për publikimin e të dhënave të tyre në faqet e internetit;
Kontrolluesit, të marrin masa për përcaktimin e afateve kohore për ruajtjen e të dhënave, për të gjitha proceset e përpunimit, në përputhje me germën “d”, të pikës 1, të nenit 5 të Ligjit;
Kontrolluesit, të marrin masa për informimin e plotë të subjekteve të të dhënave, në lidhje me qëllimin dhe mënyrën e përpunimit të të dhënave, sipas parashikimeve të nenit 18 të Ligjit;
Kontrolluesit, të marrin masa për të rishikuar marrëveshjet e bashkëpunimit me përpunuesit, duke specifikuar detyrimet midis palëve, dhe të monitorojë në vijimësi zbatimin e tyre, sipas dispozitave të parashikuara në nenin 20 të Ligjit dhe Udhëzimin nr. 19 të Komisionerit;
Në zbatim të neneve 21 dhe 22 të Ligjit, të plotësohet detyrimi për njoftim nga Kontrolluesit, të cilët nuk e kanë zbatuar këtë detyrim për herë të parë, si dhe të tregohet kujdes në vijimësi, në përditësimin e njoftimit për ndryshimin e gjendjes së njoftimit të përpunimit të njoftuar më parë;
Kontrolluesit, në zbatim të nenit 27 të Ligjit, të hartojnë Rregullore “Për mbrojtjen, përpunimin, ruajtjen dhe sigurinë e të dhënave personale”, duke parashikuar masa konkrete teknike dhe organizative për mbrojtjen e të dhënave personale, mënyrat e përpunimit të të dhënave, të drejtat e subjekteve të të dhënave, etj.;
Kontrolluesit, me qëllim garantimin e sigurisë së të dhënave personale, duhet të zbatojnë detyrimet e përcaktuara në Udhëzimin nr. 47 të Komisionerit, lidhur me trajnimin e punonjësve që kanë akses në të dhëna personale dhe krijimin, mirëmbajtjen dhe administrimin e Sistemit të Menaxhimit të Sigurisë së Informacionit (SMSI) për mbrojtjen e të dhënave personale;
Ministria e Drejtësisë, në cilësinë e autoritetit përgjegjës për mbikëqyrjen e veprimtarisë së përgjithshme të ndërmjetësve të pasurive të paluajtshme, duhet të marrë masa për të adresuar drejt të gjithë Kontrolluesve dhe Përpunuesve të këtij sektori, detyrimet rekomanduese të dala nga ky akt i Komisionerit, brenda afatit kohor 90 (nëntëdhjetë) ditor, duke filluar nga data e marrjes në dijeni të këtij akti;
Në rast mospërmbushje të këtyre detyrimeve, Komisioneri vepron sipas nenit 30, pika 2 e ligjit nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale”, i ndryshuar. Komisioneri në rast shkeljesh serioze, të përsëritura ose të qëllimshme të Ligjit nga një kontrollues ose përpunues, veçanërisht në rastet e përsëritura të moszbatimit të rekomandimeve të tij, vendos sanksion me gjobë për kundërvajtjet administrative dhe e denoncon publikisht ose e raporton çështjen në Kuvend dhe në Këshillin e Ministrave./ Monitor