Nga publikimi i të dhënave pa pëlqim te mungesa e sigurisë, gjoba deri në 360 mijë euro për kompani

Zyra e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale ka vendosur sanksione administrative me vlerë totale rreth 1 milion euro ndaj tre kompanive private, në një nga veprimet më të mëdha ndëshkuese që prej hyrjes në fuqi të ligjit nr. 124/2024 “Për mbrojtjen e të dhënave personale”.

Masat janë marrë pas hetimeve administrative të zhvilluara gjatë muajve të fundit mbi zbatimin e detyrimeve që rrjedhin nga ligji i ri, i cili përafron legjislacionin shqiptar me standardet evropiane të mbrojtjes së të dhënave.

Dy prej vendimeve të publikuara më 12 qershor lidhen me kompanitë e ndërtimit Agi Kons dhe Progeen.

Për Agi Kons, Komisioneri vendosi një gjobë prej 24 milionë lekësh për shkelje të neneve 6, 7 dhe 8 të ligjit, që lidhen me parimet bazë të përpunimit të të dhënave personale dhe kushtet për marrjen e pëlqimit të subjekteve të të dhënave.

Një gjobë shtesë prej 11.11 milionë lekësh u vendos për shkelje të neneve 26, 27, 28 dhe 34 të ligjit. Në total, masa administrative ndaj kompanisë arrin në 35.11 milionë lekë (rreth 360 mijë euro).

Sipas vendimit, hetimi konstatoi se kompania publikonte fotografi dhe video të punonjësve, pjesëmarrësve dhe subjekteve të tjera në rrjetin social Instagram pa provuar marrjen e pëlqimit të tyre në përputhje me kërkesat e ligjit.

Komisioneri konstatoi gjithashtu se marrëdhënia me një kompani të kontraktuar për mirëmbajtjen e faqes së internetit nuk ishte e formalizuar sipas kërkesave ligjore për delegimin e përpunimit të të dhënave personale dhe nuk përmbante detyrimet teknike e organizative të kërkuara për sigurinë e të dhënave.

Në të njëjtin hetim u evidentuan mungesa të dokumentimit të proceseve të përpunimit, mangësi në masat e sigurisë së informacionit, mungesë e planeve të menaxhimit të riskut, procedurave të rikuperimit të të dhënave dhe mosnjoftimi i Komisionerit për të dhënat e kontaktit të nëpunësit për mbrojtjen e të dhënave personale.

Për Progeen, Komisioneri vendosi një gjobë prej 3 milionë lekësh për shkelje të nenit 13 të ligjit, që lidhet me detyrimin për informimin e subjekteve të të dhënave, si dhe një gjobë prej 18 milionë lekësh për shkelje të neneve 27, 28 dhe 33 të ligjit. Masa totale ndaj kompanisë arrin në 21 milionë lekë (rreth 220 mijë euro).

Sipas vendimit, kompania kishte publikuar në faqen e saj politika privatësie që Komisioneri i konsideroi të paplota dhe të pamjaftueshme për të informuar në mënyrë të qartë klientët, punonjësit dhe vizitorët mbi mënyrën e përpunimit të të dhënave personale, afatet e ruajtjes, të drejtat e tyre dhe kontaktet e nëpunësit për mbrojtjen e të dhënave.

Hetimi konstatoi gjithashtu mungesë dokumentacioni për aktivitetet e përpunimit të të dhënave, mungesë të masave të përshtatshme teknike dhe organizative të sigurisë, mangësi në menaxhimin e riskut dhe moscaktimin në kohë të nëpunësit për mbrojtjen e të dhënave personale.

E treta është shoqëria “Ditë e Natë” e cila u gjobit nga Komisioneri për Mbrojtjen e të Dhënave Personale për shkelje të ligjit nr. 124/2024.

Arsyet kryesore përfshijnë: ruajtje të pakufizuar të të dhënave të klientëve, përdorim jo në përputhje të sistemit CCTV (përfshirë filmimin e hapësirave publike), publikim fotosh/video në Instagram pa prova për pëlqimin e subjekteve dhe politika privatësie jo të plota.

Hetimi konstatoi gjithashtu mungesë procedurash për fshirjen dhe asgjësimin e të dhënave, masa të pamjaftueshme teknike e organizative të sigurisë dhe mosemërim të Nëpunësit për Mbrojtjen e të Dhënave (DPO), siç kërkohet nga ligji 124/2024.

Komisioneri vendosi një gjobë prej 22 milionë lekësh për shkelje të neneve 6, 7, 8 dhe 13 (parimet e përpunimit, baza ligjore, pëlqimi dhe transparenca).

Një gjobë shtesë prej 9.09 milionë lekësh u vendos për shkelje të neneve 27, 28 dhe 33 (dokumentimi, siguria e të dhënave dhe mungesa e DPO-së), duke e çuar totalin në 31.09 milionë lekë.

Në të tre rastet, Komisioneri thekson se kompanitë përpunojnë në mënyrë të vazhdueshme të dhëna të punonjësve, klientëve dhe vizitorëve, çka i nënshtrojnë ato detyrimeve të plota të ligjit të ri për mbrojtjen e të dhënave personale.

Vendimet urdhërojnë kompanitë të marrin masa korrigjuese brenda afateve të përcaktuara, duke përfshirë përmirësimin e politikave të privatësisë, dokumentimin e proceseve të përpunimit, forcimin e masave të sigurisë dhe përmbushjen e detyrimeve lidhur me nëpunësit për mbrojtjen e të dhënave personale.

Sipas Komisionerit, shkeljet e konstatuara konsiderohen serioze pasi lidhen me përpunimin e ligjshëm të të dhënave personale, garantimin e të drejtave të subjekteve të të dhënave dhe zbatimin e masave teknike e organizative të sigurisë të kërkuara nga ligji nr. 124/2024.

Vendimet e 12 qershorit përfaqësojnë ndër sanksionet më të larta të vendosura deri më tani nga autoriteti mbikëqyrës pas hyrjes në fuqi të kuadrit të ri ligjor për mbrojtjen e të dhënave personale dhe sinjalizojnë kalimin nga faza e informimit dhe ndërgjegjësimit drejt zbatimit aktiv të mekanizmave ndëshkues të ligjit./ Monitor/