Personal data protection/Beware, high fines have begun, you risk up to 20 million euros!

2025-09-22 07:25:44, Tech CNA

Personal data protection/Beware, high fines have begun, you risk up to 20

Four decisions from July-August of this year, taken by the Commissioner for the Right to Information and Personal Data Protection, provided for fines in the amount of 4.7 million lekë as a result of violations found in several entities.

The legal framework that entered into force in January of this year for the protection of personal data appears to have entered its new phase.

After warning and calling for awareness among subjects to improve the technical aspects and the new obligations imposed by the law regarding the collection and processing of personal data, we have moved on to punishment.

The fines in question, divided between four entities, according to the findings of violations ascertained by the Commissioner's office, have been treated in accordance with the methodology in force for their calculation, based on the ceiling provided by law, which reaches up to 20 million euros, and the annual economic turnover of the entity.

The fines imposed for the violations found, although very low in relation to the maximum limit, are significantly higher than those applied under the old law.

Who was punished, why, and is there a need for warning before "punishment"?

The argument that the new law improves several aspects related to both the protection of citizens' data and the clarification of the links and technical aspects that must be followed is actually accepted by business as well.

The question that the latter raises, in cases where it is a controller or processor, has to do with a more diplomatic phase of adoption with the new legal requirements.

So, initially, a warning, even if it is a letter to all entities, from the Commissioner informing them of the new legal requirements, should work. While in large corporations, this is easier to implement and adapt, in smaller entities more information is required.

The recent fines have created a kind of panic among entities. An economist, speaking on condition of anonymity, told "Monitor" that certain entities are being fined without being informed and advised in advance about what they need to adapt to the new law, unlike what usually happens with taxes.

Participation in informational roundtables with certain interest groups appears to have not fully affected all subjects that are part of this law.

The Commissioner's website has so far published four decisions regarding penalties imposed on entities found in violation. At the top is an entity registered as Dental Turk, which was fined 2.4 million lek, or 24 thousand euros, for several points cited in the decision as not being in compliance with the law.

Kjo shumë përkon me 2.2% të xhiros së kompanisë që në vitin 2024 ishte rreth 107 milionë lekë, sipas të dhënave të publikuara në Qendrën Kombëtare të Biznesit.

Një tjetër vendim i 1 gushtit parashikon një masë administrative me vlerë 1 milion lekë, apo 10 mijë euro, ndaj subjektit politik Partia Mundësia. Një ankesë e mbërritur pranë Komisionerit për përpunimin e të dhënave nga subjekti politik bëri që zyra të niste një hetim administrativ.

Pas një serie procedurash, ballafaqimesh me faktet, Komisioneri vendosi për masë administrative ndaj Kontrolluesit, në këtë rast një parti politike nën argumentin se: “Kontrolluesi ka cenuar drejtpërdrejt parimet themelore të përpunimit të të dhënave personale, përfshirë ligjshmërinë, proporcionalitetin dhe integritetin e përpunimit, të cilat mbrojnë interesin thelbësor të të dhënave personale të individit.

Konkretisht, vendosja në dispozicion e të dhënave personale të përfshira në dosjen e rivlerësimit të një subjekti të dhënash, në mënyrë të paanonimizuar, pa respektuar parimin e ligjshmërisë, proporcionalitetit dhe minimizimit të të dhënave, përbën një përpunim të paligjshëm të të dhënave personale”.

Një tjetër vendim gjobit një tjetër klinikë dentare, Union Dental Clinic, në një total prej 500 mijë lekësh apo 5 mijë euro. Ndërsa subjekti i katërt me një vendim publik është Arkivi Shtetëror i Sistemit Gjyqësor.

Një individ është ankuar se dosja e saj është vendosur në dispozicion nga Arkivi pa miratimin e saj për një palë të tretë. Pas ndjekjes së këtij hetimi dhe fakteve, Komisioneri ka vendosur një masë administrative 800 mijë lekë apo 8 mijë euro për kontrolluesin që në këtë rast, është Arkivi Shtetëror i Sistemit Gjyqësor.

Metodologjia e përllogaritjes së masës së sanksioneve administrative

Pavarësisht tavaneve që vendos ligji lidhur me masat administrative që mund të vendosen për shkelje të caktuara, të cilat mund të arrijnë deri në 20 milionë euro, pjesë e integruar e zbatimit është një metodologji që synon të përllogarisë më saktë këto masa.

Më herët, në një intervistë për “Monitor”, Komisioneri Besnik Dervishi tha se në thelb do të ruhet edhe parimi i proporcionalitetit. Por çfarë parashikon në fakt metodologjia që është dokumenti kyç mbi të cilën llogariten shifrat?

Që në krye të këtij dokumenti pranohet se përllogaritja e masës së sanksionit administrativ është në diskrecionin e Zyrës së Komisionerit si autoriteti mbikëqyrës i ngarkuar me ligj për këtë qëllim.

“Dispozitat dhe fryma e përgjithshme e Ligjit për Mbrojtjen e të Dhënave, kërkojnë që shuma e sanksionit në çdo rast individual të jetë efektive, proporcionale dhe me karakter parandalues (neni 93 (1) i ligjit).

Për më tepër, gjatë përcaktimit të masës së sanksionit, duhet t’i kushtohet vëmendje listës së rrethanave që u referohen veçorive të shkeljes (shkallës së rëndësisë së saj) ose sjelljes së shkelësit (neni 93 (2) i ligjit).

Prandaj, përcaktimi sasior i masës së sanksionit bazohet në një vlerësim specifik të kryer në çdo rast, duke marrë parasysh parametrat e përfshirë në dispozitat e Ligjit për Mbrojtjen e të Dhënave”, – thuhet në metodologji.

Metodologjia sanksionon se nuk ka masë minimale gjobe, por vetëm tavane të saj të përcaktuara. Janë të paktën pesë hapa që ndiqen në metodologji.

Hapi 1: Identifikimi i proceseve / veprimtarisë së përpunimit, sipas rastit konkret dhe vlerësimi i zbatimit të pikës 3 të nenit 93 (ka të bëjë me rastet e pakujdesisë me ose pa dashje sa i takon përpunimit të të dhënave personale), të Ligjit për Mbrojtjen e të Dhënave

Hapi 2: Përcaktimi i modelit për përllogaritjen e mëtejshme të sanksionit, bazuar në një vlerësim të: a) klasifikimit të shkeljes, seriozitetit të shkeljes, xhiros së Ndërmarrjes, si një element i rëndësishëm për t’u marrë në konsideratë, me synim vendosjen e një sanksioni efektiv, proporcional dhe me karakter parandalues.

Hapi 3: Vlerësimi i rrethanave rënduese dhe lehtësuese që lidhen me sjelljen e mëparshme ose të tanishme të kontrolluesit / përpunuesit si dhe zmadhimi ose zvogëlimi i masës së sanksionit, në përputhje me këto rrethana.

Hapi 4: Identifikimi i tavanit ligjor, për masën e sanksionit lidhur me proceset / veprimtaritë e ndryshme të përpunimit. Zmadhimet e aplikuara ose që do të aplikohen nuk mund të tejkalojnë këtë tavan.

Hapi 5: Kryerja e analizës nëse shuma përfundimtare e sanksionit të përllogaritur plotëson kërkesat e efektivitetit, proporcionalitetit dhe karakterit parandalues, siç kërkohet nga dispozitat e pikës 1, të 93, të Ligjit për Mbrojtjen e të Dhënave, dhe duke zmadhuar ose duke zvogëluar masën e sanksionit, në përputhje me rrethanat.

Çfarë solli kuadri i ri ligjor në mbrojtjen e të dhënave personale

Kuadri ligjor që hyri në fuqi në fillim të këtij viti erdhi në përshtatje të plotë me direktivën e Bashkimit Europian. Kjo i referohet rregullores 2016/679 e Parlamentit Europian dhe Këshillit (GDPR) që u miratua thuajse një dekadë më parë dhe nën tendencën e zhvillimeve të shpejta teknologjike të kohëve të fundit, edhe ligji shqiptar 124/2024 është produkt i këtyre zhvillimeve.

Më herët, në një komunikim për “Monitor”, Zyra e Komisionerit tha se nëpërmjet risive që sjell, ligji garanton për qytetarët, në cilësinë e subjekteve të të dhënave, standardet më të larta në fushën e mbrojtjes së të dhënave personale, në një kohë kur përpunimi i të dhënave personale në epokën dixhitale është shumëfishuar. Për më tepër, aspektet që përmirësohen sipas Komisionerit janë:

– Zgjerimi i kategorisë së të drejtave të individit (subjektit të të dhënave);

– Përmirësimi i të drejtave që subjekti gëzon aktualisht, me qëllim garantimin e një niveli kontrolli më të lartë mbi të dhënat e tij personale;

– Forcimi i së drejtës për akses. Është e drejtë e subjektit të të dhënave të marrë nga kontrolluesi, me kërkesën e tij, konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapën të dhënat personale.

– Rregullohet posaçërisht e drejta për të mos iu nënshtruar vendimeve automatike. Kjo e drejtë konsiston në të drejtën e subjektit për të mos iu nënshtruar një vendimi që bazohet vetëm në përpunimin automatik, përfshirë profilizimin, i cili shkakton pasoja ligjore ose pasoja të ngjashme të konsiderueshme për të, përveçse kur ky vendim është i nevojshëm për lidhjen ose zbatimin e një kontrate midis subjektit të të dhënave dhe kontrolluesit, ose bazohet në pëlqimin e dhënë nga subjekti i të dhënave;

– Rregullohet “e drejta për t’u harruar”, e cila shërben si një garanci në mjedisin online për subjektin e të dhënave, duke detyruar motorët e kërkimit të fshijnë me kërkesë të subjektit të të dhënave informacionin në lidhje me të, i cili me kalimin e kohës nuk është më i nevojshëm dhe ka ndikim negativ në reputacionin e tij;

– Parashikohen, për herë të parë, rregulla mbi përpunimin e të dhënave personale nga autoritetet ligjzbatuese në sferën penale, të cilat konsiderohen si lex specialis për këtë fushë;

– Rishikohen në rritje sanksionet administrative, si një tregues i qartë për rëndësinë që mbart mbrojtja e të dhënave personale.

Detyrimet që lindin për kontrolluesit apo përpunuesit e të dhënave personale

Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale ka nënvizuar më herët detyrimet e reja që lindin për kontrolluesit dhe përpunuesit, të cilat prezantohen për herë të parë në legjislacionin për mbrojtjen e të dhënave personale, me qëllim garantimin më efektiv të sigurisë së informacionit në procesin e përpunimit të të dhënave personale.

– Kryerja e vlerësimit të ndikimit në mbrojtjen e të dhënave personale përpara fillimit të një procesi përpunimi, me qëllim identifikimin e rreziqeve të mundshme për të drejtat dhe liritë e subjektit të të dhënave dhe minimizimin e tyre sa më shpejt të jetë e mundur, nëse rezulton se ky përpunim përbën rrezik të lartë;

– Detyrimi për t’u konsultuar paraprakisht me Komisionerin përpara fillimit të përpunimit të të dhënave, në rast se ky përpunim rezulton me rrezik të lartë për subjektin e të dhënave;

– Detyrimi për njoftimin e Komisionerit në rast cenimi të të dhënave personale, si dhe subjekteve të të dhënave kur rreziqet e shkaktuara nga cenimi i të dhënave mund të jenë të larta;

– Prezantimi i konceptit të mbrojtjes së të dhënave në projektim (by design) dhe mbrojtjes në mënyrë të paracaktuar, si dhe inkurajimi i kontrolluesve dhe përpunuesve për përdorimin e këtyre teknologjive;

– Obligation of public and private sector bodies to appoint a data protection officer, in order to guarantee the compliance of the organization to which it belongs with the requirements of the law on the protection of personal data during the data processing processes they carry out, within the framework of the exercise of their activity;

– Drafting codes of conduct for certain categories of controllers and processors, which aim to contribute to the best possible implementation of the law on the protection of personal data by the latter;

– Monitoring Bodies accredited by the Commissioner, whose mission is to monitor the compliance or non-compliance of controllers and processors with the code of conduct, in case the latter have undertaken to adhere to it;

– Establishing a certification mechanism, as an instrument, which demonstrates that a processing process is in compliance with the legal framework for the protection of personal data and that sufficient guarantees exist for the security of the data during the processing process.

If in the repealed law, the controller's obligations were defined in a single article, in the law that has just entered into force, an entire chapter is dedicated to this element (articles 22 - 38), which extensively addresses the obligations and measures that a controller must undertake, in order to guarantee compliance with legal obligations and data security./ Monitor.al