Projektligje të miratuara në mbledhjen e Këshillit të Ministrave, datë 16 Tetor 2024:
P R O J E K T L I GJ
PËR
MBROJTJEN E TË DHËNAVE PERSONALE
Në mbështetje të neneve 78 dhe 83, pika 1, të Kushtetutës, me propozimin e Këshillit të Ministrave, Kuvendi i Republikës së Shqipërisë
V E N D O S I:
PJESA I
DISPOZITA TË PËRGJITHSHME
Neni 1
Objekti
Ky ligj përcakton rregullat për mbrojtjen e personave fizikë në lidhje me përpunimin e të dhënave personale të tyre.
Neni 2
Qëllimi
Ky ligj mbron të drejtat dhe liritë themelore të njeriut dhe në veçanti të drejtën për mbrojtjen e të dhënave personale.
Neni 3
Fusha e zbatimit lëndor
1. Ky ligj zbatohet kur të dhënat personale përpunohen tërësisht ose pjesërisht, me mjete automatike, si dhe për përpunimin e të dhënave personale, që janë pjesë e një sistemi arkivimi ose kanë për qëllim të bëhen pjesë e një sistemi arkivimi kur përpunimi nuk kryhet me mjete automatike.
2. Ky ligj nuk zbatohet për përpunimin e të dhënave personale nga personat fizikë, për qëllime personale ose familjare.
Neni 4
Fusha e zbatimit territorial
1. Ky ligj zbatohet për përpunimin e të dhënave personale:
a) në kuadër të veprimtarive të një kontrolluesi ose përpunuesi të vendosur në Republikën e Shqipërisë, pavarësisht nëse përpunimi zhvillohet ose jo në Republikën e Shqipërisë;
b) të subjekteve të të dhënave, që ndodhen në Republikën e Shqipërisë, nga kontrolluesi që nuk është vendosur në Republikën e Shqipërisë, por proceset e përpunimit kanë të bëjnë me:
i. ofrimin e mallrave ose të shërbimeve, me kundërshpërblim ose jo, te subjekte të të dhënave në Republikën e Shqipërisë; ose
ii. monitorimin e sjelljes së subjekteve të të dhënave, për aq kohë sa kjo sjellje shfaqet në Republikën e Shqipërisë.
c) nga kontrolluesi ose përpunuesi, që nuk është vendosur në Republikën e Shqipërisë, por në një territor ku ligji shqiptar zbatohet në bazë të së drejtës ndërkombëtare publike.
2. Kur një kontrollues, për proceset e përpunimit të përcaktuara në shkronjën “b”, të pikës 1, të këtij neni, kontrakton një përpunues, i cili nuk është i vendosur në Republikën e Shqipërisë, zbatohet kapitulli IV, “Transferimi ndërkombëtar i të dhënave”.
Neni 5
Përkufizime
Në këtë ligj, termat e mëposhtëm kanë këto kuptime:
1. “Autoritet kompetent”, gjykata, prokuroria dhe çdo organ publik, që ka në kompetencë parandalimin, hetimin, zbulimin ose ndjekjen e veprave penale ose ekzekutimin e dënimeve penale, përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes ose sigurisë kombëtare ose çdo institucion tjetër, të cilit i është dhënë me ligj e drejta për të ushtruar funksione, detyra ose kompetenca publike, në bazë të legjislacionit në fuqi për një ose disa prej këtyre qëllimeve;
2. “Cenim i të dhënave personale”, çdo cenim i sigurisë, që mund të shkaktojë në mënyrë aksidentale ose të paligjshme shkatërrimin, humbjen, ndryshimin, përhapjen ose aksesin e paautorizuar të të dhënave personale të ruajtura, të transmetuara ose të përpunuara në ndonjë mënyrë tjetër;
3. “E dhënë personale”, çdo informacion në lidhje me një subjekt të dhënash;
4. “Grup shoqërish tregtare”, grupi, ku bën pjesë një shoqëri tregtare mëmë dhe shoqëritë e kontrolluara prej saj;
5. “Klauzola standarde të mbrojtjes së të dhënave”, kontratat tip, të miratuara dhe të publikuara nga Komisioneri, me qëllim garantimin e mbrojtjes së përshtatshme të të dhënave në transferimet ndërkombëtare të tyre me marrëveshje ndërmjet dërguesit të të dhënave në Republikën e Shqipërisë dhe marrësit të të dhënave në një vend të huaj ose organizatë ndërkombëtare;
6. “Kod sjelljeje”, një grup rregullash, të miratuara nga Komisioneri dhe të krijuara nga kategori ose degë kontrolluesish ose përpunuesish, në mënyrë që të trajtojnë me rregullime të detajuara zbatimin e dispozitave të këtij ligji në sektorë të veçantë;
7. “Komisioneri”, Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, i cili është autoriteti i pavarur, që monitoron e mbikëqyr të drejtën për mbrojtjen e të dhënave personale dhe që vepron në përputhje me këtë ligj;
8. “Kontrollues”, personi fizik ose juridik dhe çdo autoritet publik, i cili, vetëm ose së bashku me të tjerët, përcakton qëllimet e mjetet e përpunimit të të dhënave personale. Për përpunimin e të dhënave personale, sipas dispozitave të pjesës së III të këtij ligji, kontrolluesi është autoriteti kompetent, i cili, vetëm ose së bashku me të tjerët, përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale;
9. “Kufizimi i përpunimit”, shënjimi, me qëllim kufizimin e përpunimit në të ardhmen të të dhënave personale të ruajtura;
10. “Marrës”, personi fizik ose juridik dhe çdo autoritet publik, të cilit i janë përhapur ose vënë në dispozicion të dhënat personale, qoftë ky një palë e tretë ose jo;
11. “Mekanizëm certifikimi”, lista e kritereve për përpunim të ligjshëm sipas këtij ligji, miratuar nga Komisioneri dhe zbatuar nga një organ certifikues në procedurat e tij të certifikimit;
12. “Organizatë ndërkombëtare”, një organizatë dhe organet e saj, të cilat rregullohen sipas të drejtës ndërkombëtare publike, ose ndonjë organ tjetër, i cili është krijuar me ose në bazë të një marrëveshjeje ndërmjet dy ose më shumë shtetesh;
13. “Palë e tretë”, çdo person fizik ose juridik dhe çdo autoritet publik, me përjashtim të subjektit të të dhënave, kontrolluesit, përpunuesit apo personave, i cili, nën autoritetin e drejtpërdrejtë të kontrolluesit ose të përpunuesit, është i autorizuar të përpunojë të dhëna personale;
14. “Pëlqim”, çdo element tregues i vullnetit të subjektit të të dhënave, i dhënë lirisht, i informuar dhe i qartë, nëpërmjet të cilit ai, me anë të një deklarate ose me çdo lloj shfaqjeje tjetër të padyshimtë pohuese të vullnetit, shpreh dakordësinë për përpunimin e të dhënave personale, që lidhen me të për një ose më shumë qëllime specifike;
15. “Përfaqësues”, person fizik, që ka vendbanimin apo vendqëndrimin, ose person juridik, që ka qendrën, degë apo zyrën e përfaqësimit në territorin e Republikës së Shqipërisë, i caktuar nga kontrolluesi ose përpunuesi për përfaqësimin e tij në çështje që lidhen me zbatimin e këtij ligji;
16. “Përpunim”, çdo veprim ose një grup veprimesh, që kryhet mbi të dhënat personale ose grupe të dhënash personale, pavarësisht nëse kryhen me mjete të automatizuara ose jo, të tilla, si: mbledhja, regjistrimi, organizimi, strukturimi, ruajtja, përshtatja ose ndryshimi, rikthimi, konsultimi, përdorimi, përhapja me anë të transmetimit, shpërndarjes ose vënies në dispozicion në ndonjë mënyrë tjetër, përafrimi ose kombinimi, kufizimi, fshirja ose shkatërrimi;
17. “Përpunim i mëtejshëm”, përpunimi i të dhënave për një qëllim tjetër, të ndryshëm nga ai fillestar, i përcaktuar në momentin e mbledhjes së të dhënave, duke përfshirë transferimin ose vënien në dispozicion të të dhënave për këtë qëllim të ri;
18. “Përpunues”, personi fizik ose juridik dhe çdo autoritet publik, i cili përpunon të dhëna personale për llogari të kontrolluesit;
19. “Profilizim”, çdo formë e përpunimit të automatizuar të të dhënave personale, që konsiston në përdorimin e të dhënave për të vlerësuar aspekte të caktuara që lidhen me një person fizik, veçanërisht për të analizuar ose për të parashikuar aspekte lidhur me performancën në punë, gjendjen ekonomike, shëndetin, preferencat personale, interesat, besueshmërinë, sjelljen, vendndodhjen ose lëvizjet e tij;
20. “Pseudonimizimi”, përpunimi i të dhënave në mënyrë të tillë që ato të mos i atribuohen më një subjekti specifik të dhënash pa përdorimin e informacioneve shtesë, me kusht që ky informacion shtesë të ruhet veçmas e t’u nënshtrohet masave teknike dhe organizative të marra për të siguruar se të dhënat personale nuk mund t’i atribuohen një personi fizik të identifikuar ose të identifikueshëm, përveçse kur diçka e tillë autorizohet në mënyrë specifike;
21. “Rregullat e detyrueshme të shoqërive tregtare”, politikat e mbrojtjes së të dhënave personale, të cilat zbatohen nga një kontrollues ose përpunues, të vendosur në territorin e Republikës së Shqipërisë, në lidhje me transferimet ose një grup transferimesh të të dhënave personale te një kontrollues ose përpunues të vendosur në një ose më shumë shtete të tjera, pjesë e një grupi shoqërish tregtare ose grupit të tregtarëve dhe shoqërive tregtare që kryejnë aktivitet të përbashkët ekonomik;
22. “Sistem arkivimi”, çdo grup i strukturuar i të dhënave personale, i cili është i aksesueshëm në bazë të kritereve specifike dhe që mund të jetë i centralizuar, i decentralizuar ose i shpërndarë në mënyrë funksionale ose gjeografike;
23. “Subjekt i të dhënave”, çdo person fizik i identifikuar ose i identifikueshëm. Një person është i identifikueshëm, nëse mund të arrihet në identifikimin e tij, duke iu referuar drejtpërdrejt ose tërthorazi një apo disa faktorëve identifikues të veçantë, si: emri, numri i identifikimit, të dhënat për vendndodhjen, një identifikues në internet, ose një apo më shumë faktorëve specifikë lidhur me identitetin e tij fizik, fiziologjik, identitetin gjenetik, mendor, ekonomik, kulturor ose shoqëror;
24. “Të dhëna biometrike”, të dhënat personale, që rezultojnë nga përpunimi teknik specifik i karakteristikave fizike, fiziologjike ose të sjelljes së një personi, të cilat bëjnë të mundur ose konfirmojnë identifikimin unik të atij personi, siç janë imazhet e fytyrës ose gjurmët daktiloskopike;
25. “Të dhëna gjenetike”, të dhënat personale, që kanë të bëjnë me karakteristikat gjenetike të trashëguara ose të fituara të një personi, të cilat japin informacion unik lidhur me fiziologjinë ose shëndetin e tij e që përftohen, veçanërisht, si rezultat i analizës së një kampioni biologjik të marrë nga ai person;
26. “Të dhëna për shëndetin”, të dhënat personale për shëndetin fizik ose mendor të një personi, duke përfshirë dhënien e shërbimeve të kujdesit shëndetësor, që tregon informacionin në lidhje me gjendjen e tij ose të saj shëndetësore;
27. “Të dhëna penale”, të dhënat personale në lidhje me dënimet penale, veprat penale dhe masat e sigurimit të lidhura me to;
28. “Të dhëna sensitive”, kategori të veçanta të të dhënave personale, që zbulojnë origjinën racore ose etnike, mendimet politike, besimin fetar ose pikëpamjet filozofike, anëtarësimin në sindikata, të dhënat gjenetike, të dhënat biometrike, të dhënat për shëndetin, jetën ose orientimin seksual të një personi;
29. “Të dhëna të anonimizuara”, të dhëna, të cilat kanë qenë fillimisht të dhëna personale, por janë përpunuar në mënyrë të tillë që nuk është më e mundur që një person fizik ose juridik t’ia atribuojë këto të dhëna një personi fizik të identifikuar ose të identifikueshëm;
30. “Tregtar dhe shoqëri tregtare”, një person fizik ose juridik të përfshirë në një aktivitet ekonomik, pavarësisht nga forma e tij juridike, përfshirë partneritetet ose format e tjera të organizimit të profesionistëve, të angazhuara rregullisht në një aktivitet ekonomik;
31. “Veprimtari në fushën e gazetareske”, aktivitetet që kanë për qëllim publikimin e informacioneve, të mendimeve ose të ideve, të cilat kontribuojnë në debatin me interes publik, pavarësisht nga forma e ofrimit të tyre.
PJESA II
PËRPUNIMI I TË DHËNAVE PERSONALE
KAPITULLI I
PARIMET PËR PËRPUNIMIN E LIGJSHËM TË TË DHËNAVE PERSONALE
Neni 6
Parimet për përpunimin e ligjshëm të të dhënave personale
Parimet e përpunimit të të dhënave personale janë:
1. parimi i ligjshmërisë, i drejtësisë dhe i transparencës, që nënkupton se përpunimi kryhet në mënyrë të ligjshme, të drejtë e transparente kundrejt subjektit të të dhënave;
2. parimi i përpunimit në përputhje me qëllimin, që nënkupton se të dhënat personale mblidhen për një qëllim specifik e të ligjshëm, të përcaktuar qartë në momentin e mbledhjes, dhe nuk përpunohen më tej për një qëllim tjetër, që nuk është në përputhje me qëllimin fillestar;
3. parimi i minimizimit të të dhënave, që nënkupton se të dhënat personale janë të përshtatshme e të nevojshme për qëllimin e përpunimit dhe të kufizuara në masën që është e nevojshme për realizimin e qëllimit;
4. parimi i saktësisë së të dhënave, që nënkupton se të dhënat personale janë të sakta e të përditësuara kur kjo është e nevojshme, si dhe, në përputhje me qëllimin e përpunimit, ndërmerren të gjithë hapat e nevojshëm për fshirjen e korrigjimin e menjëhershëm të të dhënave të pasakta ose të paplota;
5. parimi i kufizimit të ruajtjes në kohë, që nënkupton se të dhënat personale mbahen në një formë që lejon identifikimin e subjekteve të të dhënave për një periudhë jo më të gjatë sesa është e nevojshme për qëllimin për të cilin ato përpunohen. Të dhënat personale mund të ruhen për periudha më të gjata, me kusht që ato të përpunohen vetëm për qëllime arkivimi në interesin publik, qëllime kërkimore, shkencore apo historike ose qëllime statistikore, duke zbatuar masat e duhura teknike dhe organizative për të mbrojtur të drejtat e liritë e subjektit të të dhënave;
6. parimi i integritetit dhe i konfidencialitetit, që nënkupton se të dhënat personale përpunohen në mënyrë të tillë që të garantohet siguria e nevojshme e të dhënave personale, duke përfshirë mbrojtjen nga përpunimi i paautorizuar ose i paligjshëm dhe humbja, shkatërrimi ose dëmtimi aksidental, nëpërmjet përdorimit të masave të duhura teknike dhe organizative;
7. parimi i përgjegjshmërisë, që nënkupton se kontrolluesi është përgjegjës dhe duhet të jetë në gjendje të provojë përputhshmërinë me parimet e parashikuara në këtë nen.
Neni 7
Kriteret ligjore për përpunimin e të dhënave personale
1. Përpunimi është i ligjshëm vetëm nëse dhe për aq sa përmbushet të paktën njëri prej kritereve, si më poshtë:
a) Subjekti i të dhënave ka dhënë pëlqimin;
b) Përpunimi është i nevojshëm për përmbushjen e një kontrate, ku subjekti i të dhënave është palë, ose për ndërmarrjen, me kërkesë të subjektit të të dhënave, të hapave që i paraprijnë lidhjes së një kontrate;
c) Përpunimi është i nevojshëm për përmbushjen e një detyrimi ligjor të kontrolluesit;
ç) Përpunimi është i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër;
d) Përpunimi është i domosdoshëm për përmbushjen nga kontrolluesi të një detyre ligjore me interes publik ose kur atij i është dhënë e drejta për të ushtruar funksione, detyra ose kompetenca publike, në bazë të legjislacionit në fuqi;
dh) Përpunimi është i domosdoshëm për përmbushjen e interesave të ligjshëm të kontrolluesit ose të një pale të tretë, me përjashtim të rastit kur interesat ose të drejtat dhe liritë themelore të subjektit të të dhënave, që kërkojnë mbrojtje të të dhënave personale, veçanërisht kur subjekti i të dhënave është i mitur, kanë përparësi mbi këto interesa. Kjo shkronjë nuk zbatohet për përpunimin që kryhet nga autoritetet publike në përmbushjen e detyrave të tyre sipas shkronjës “d”, të kësaj pike.
2. Përpunimi sipas shkronjave “c” dhe “d”, të pikës 1, të këtij neni, duhet të bazohet në ligj. Ligji duhet të parashikojë qëllimin e përpunimit ose, për përpunimin sipas shkronjës “d”, të pikës 1, të këtij neni, qëllimi i përpunimit duhet të jetë i domosdoshëm për përmbushjen e një detyre ligjore me interes publik ose për të ushtruar funksione, detyra ose kompetenca publike, kur kontrolluesit i është dhënë kjo e drejtë, në bazë të legjislacionit në fuqi. Ligji duhet të përmbushë një objektiv të interesit publik dhe të jetë proporcional me qëllimin legjitim që rregullon.
3. Ligji, sipas pikës 2, të këtij neni, mund të përmbajë dispozita specifike për të përshtatur zbatimin e dispozitave të këtij ligji, përfshirë:
a) kushtet e përgjithshme që rregullojnë ligjshmërinë e përpunimit nga kontrolluesi;
b) llojet e të dhënave që i nënshtrohen përpunimit;
c) subjektet e të dhënave të interesuara;
ç) subjektet, të cilave mund t’u shpërndahen të dhënat personale ose qëllimet e shpërndarjes së tyre;
d) kufizimin e qëllimit të përpunimit në përputhje me parimin e përpunimit, në përputhje me qëllimin;
dh) afatet e ruajtjes së të dhënave personale;
e) aktivitetet e përpunimit dhe procedurat e përpunimit, duke përfshirë masat për të siguruar një përpunim të ligjshëm dhe të drejtë të tyre për situata të tjera specifike, sipas parashikimit në kapitullin V, të kësaj pjese.
4. Nëse përpunimi për një qëllim tjetër nga ai për të cilin janë mbledhur të dhënat personale nuk bazohet në pëlqimin e subjektit të të dhënave ose në një ligj që përbën një masë të nevojshme dhe proporcionale në një shoqëri demokratike për të garantuar objektivat e përcaktuar në pikën 1, të nenit 21, të këtij ligji, kontrolluesi, me qëllim që të konstatojë nëse përpunimi për një qëllim tjetër është në pajtim me qëllimin për të cilin janë mbledhur fillimisht të dhënat personale, ndër të tjera, merr parasysh:
a) çdo lidhje ndërmjet qëllimeve për të cilat janë mbledhur të dhënat personale dhe qëllimet e përpunimit të mëtejshëm të synuar;
b) kontekstin, në të cilin janë mbledhur të dhënat personale, veçanërisht në lidhje me raportin ndërmjet subjekteve të të dhënave dhe kontrolluesit;
c) natyrën e të dhënave personale, veçanërisht nëse përpunohen të dhëna sensitive ose të dhëna penale;
ç) pasojat e mundshme për subjektet e të dhënave nga përpunimi i mëtejshëm i synuar;
d) ekzistencën e masave të përshtatshme mbrojtëse, që mund të përfshijnë enkriptimin ose pseudonimizimin.
Neni 8
Kriteret për vlefshmërinë e pëlqimit
1. Kur përpunimi kryhet mbi bazën e pëlqimit, kontrolluesi duhet të jetë në gjendje të provojë që subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave personale të tij.
2. Nëse pëlqimi i subjektit të të dhënave jepet në kontekstin e një deklarate me shkrim, e cila përfshin edhe çështje të tjera, kërkesa për pëlqim paraqitet në mënyrë të tillë që të dallohet qartë nga çështjet e tjera, në një formë të kuptueshme dhe lehtësisht të aksesueshme, duke përdorur një gjuhë të qartë e të thjeshtë. Çdo pjesë e deklaratës që përbën shkelje të këtij ligji është e pavlefshme.
3. Subjekti i të dhënave ka të drejtë të tërheqë pëlqimin e tij në çdo kohë dhe në të njëjtën mënyrë me të cilën e jep atë, si dhe të informohet mbi këtë të drejtë përpara dhënies së pëlqimit. Tërheqja e pëlqimit nuk cenon ligjshmërinë e përpunimit bazuar mbi këtë pëlqim, përpara tërheqjes së tij.
4. Pëlqimi nuk konsiderohet i dhënë lirisht, kur ekzistojnë elemente detyrimi, presioni ose pamundësie për të ushtruar vullnetin e lirë, veçanërisht kur vjen si pasojë e kushteve të pabarabarta ndërmjet kontrolluesit dhe subjektit të të dhënave.
5. Gjatë vlerësimit nëse pëlqimi është i dhënë lirisht, merret veçanërisht parasysh nëse, ndër të tjera, përmbushja e një kontrate, duke përfshirë dhënien e një shërbimi, kushtëzohet me pëlqimin për përpunimin e të dhënave personale, të cilat nuk janë të nevojshme për përmbushjen e asaj kontrate.
6. Përpunimi i të dhënave personale të të miturit mbi bazën e dhënies së pëlqimit, në kuadër të ofrimit në internet të mallrave ose të shërbimeve të drejtpërdrejta ndaj tij është i ligjshëm vetëm nëse i mituri është të paktën 16 vjeç. Kur i mituri është nën moshën 16 vjeç, përpunimi është i ligjshëm vetëm kur pëlqimi jepet ose autorizohet nga prindi ose kujdestari i tij ligjor dhe për aq sa jepet ose autorizohet prej tij.
Neni 9
Përpunimi i ligjshëm i të dhënave sensitive
1. Përpunimi i të dhënave sensitive është i ndaluar.
2. Përpunimi i të dhënave sensitive lejohet në rast se zbatohen masa të përshtatshme për mbrojtjen e të drejtave themelore e të interesave të subjekteve të të dhënave dhe vetëm në rastet kur:
a) subjekti i të dhënave ka dhënë shprehimisht pëlqimin për përpunimin e tyre për një ose disa qëllime të përcaktuara, me përjashtim të rastit kur legjislacioni në fuqi parashikon se nuk mund të hiqet dorë nga ndalimi i përpunimit të të dhënave sensitive me anë të pëlqimit nga subjekti i të dhënave;
b) përpunimi i të dhënave është i nevojshëm për përmbushjen e një detyrimi ose të drejte specifike të kontrolluesit ose të subjektit të të dhënave në fushën e punësimit ose të sigurimeve shoqërore dhe të mbrojtjes sociale, duke përfshirë detyrimet dhe të drejtat që rrjedhin nga një marrëveshje kolektive, në përputhje me legjislacionin në fuqi në këto fusha;
c) është i nevojshëm për mbrojtjen e interesave jetikë të subjektit të të dhënave ose të një personi tjetër fizik, kur subjekti i të dhënave e ka të pamundur të japë pëlqimin për shkak të gjendjes së tij shëndetësore ose kur i është hequr apo kufizuar e drejta për të vepruar;
ç) kryhet gjatë veprimtarisë së ligjshme të organizatave jofitimprurëse politike, filozofike, fetare dhe sindikaliste, me kusht që përpunimi të lidhet vetëm me anëtarët ose ish-anëtarët e organizatës ose me persona që kanë kontakte të rregullta me të në kuadër të veprimtarisë së saj, si dhe që të dhënat personale të mos përhapen jashtë organizatës pa pëlqimin e subjekteve të të dhënave;
d) lidhet me të dhëna që janë bërë haptazi publike nga subjekti i të dhënave dhe përpunimi është i nevojshëm për realizimin e një interesi të ligjshëm;
dh) është i nevojshëm për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike;
e) është i nevojshëm për përmbushjen e një interesi publik thelbësor bazuar në legjislacionin në fuqi, i cili është proporcional me qëllimin e ndjekur, respekton thelbin e së drejtës së mbrojtjes së të dhënave;
ë) është i nevojshëm për qëllime të mjekësisë parandaluese ose në kuadër të dëmeve të shëndetit në punë, për vlerësimin e aftësisë për punë të punonjësit, për diagnostikimin mjekësor, për ofrimin, trajtimin ose menaxhimin e shërbimeve shëndetësore ose të kujdesit shëndetësor sipas ligjit ose në zbatim të një kontrate me një profesionist të kujdesit shëndetësor dhe me kusht që përpunimi të kryhet nga punonjës që i nënshtrohet sekretit profesional apo punonjës nën përgjegjësinë e tij ose nga një person tjetër që i nënshtrohet sekretit profesional;
f) është i nevojshëm për arsye të interesit publik në fushën e shëndetit publik, mbrojtjen nga kërcënimet serioze ndërkufitare, për shëndetin ose garantimin e standardeve të larta të cilësisë dhe sigurisë së kujdesit shëndetësor e produkteve ose pajisjeve mjekësore, sipas legjislacionit në fuqi që garanton masa të përshtatshme mbrojtëse, në veçanti, detyrimin për ruajtjen e sekretit profesional të personave që përpunojnë të dhënat personale;
g) është i nevojshëm për qëllime arkivimi për interes publik, për qëllime historike, kërkimore, shkencore ose qëllime statistikore, në përputhje me nenin 45, të këtij ligji.
Neni 10
Përpunimi i ligjshëm i të dhënave penale
Përpunimi i të dhënave penale kryhet vetëm nën kontrollin e autoritetit kompetent ose kur përpunimi autorizohet me ligj, duke siguruar mbrojtje të përshtatshme për të drejtat dhe liritë e subjekteve të të dhënave. Regjistri i gjendjes gjyqësore mbahet nën kontrollin dhe mbikëqyrjen e Ministrisë së Drejtësisë.
Neni 11
Përpunimi që nuk kërkon identifikim
1. Nëse qëllimet, për të cilat një kontrollues përpunon të dhëna personale, nuk kërkojnë identifikimin e një subjekti të dhënash nga kontrolluesi ose ky identifikim nuk është më i nevojshëm, kontrolluesi nuk është i detyruar të mbajë, të marrë ose të përpunojë informacion shtesë për të identifikuar subjektin e të dhënave, me qëllimin e vetëm për respektimin e këtij ligji.
2. Kur në rastet e përmendura në pikën 1, të këtij neni, kontrolluesi vërteton se nuk është në gjendje të identifikojë subjektin e të dhënave, kontrolluesi informon subjektin e të dhënave, sipas rastit. Në këto raste, nenet 13 – 20, të këtij ligji, nuk zbatohen, me përjashtim të rastit kur subjekti i të dhënave jep informacion shtesë për të mundësuar identifikimin e tij, për të ushtruar të drejtat e parashikuara nga këto nene.
KAPITULLI II
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
Seksioni 1
Transparenca me subjektet e të dhënave
Neni 12
Komunikimi me subjektin e të dhënave dhe mënyrat e ushtrimit të të drejtave nga subjekti i të dhënave
1. Kontrolluesi merr të gjitha masat e përshtatshme për t’i dhënë subjektit të të dhënave çdo informacion dhe zhvillon çdo komunikim, sipas neneve 13 – 20, të këtij ligji, për përpunimin e të dhënave të tij në formë koncize, transparente, të kuptueshme dhe lehtësisht të aksesueshme, duke përdorur gjuhë të qartë dhe të thjeshtë, veçanërisht për sa i takon informacionit që i drejtohet në mënyrë specifike një të mituri. Informacionet ofrohen me shkrim ose me çdo mjet tjetër, si dhe kur është e përshtatshme me mjete elektronike. Kur kërkohet nga subjekti i të dhënave, informacioni mund të ofrohet në formë verbale, me kusht që identiteti i subjektit të të dhënave të provohet me mjete të tjera.
2. Kontrolluesi lehtëson ushtrimin e të drejtave të subjektit të të dhënave të përcaktuara sipas neneve 13 – 20, të këtij ligji. Në rastet e përmendura në pikën 2, të nenit 11, të këtij ligji, kontrolluesi nuk mund të refuzojë shqyrtimin e kërkesës së subjektit të të dhënave për ushtrimin e të drejtave të tij, me përjashtim të rastit kur provon se nuk mundet të identifikojë subjektin e të dhënave.
3. Kur kontrolluesi ka dyshime të arsyeshme në lidhje me identitetin e personit, i cili paraqet kërkesë sipas neneve 13 – 20, të këtij ligji, kontrolluesi kërkon informacion shtesë, me qëllim verifikimin e identitetit të subjektit të të dhënave.
4. Kontrolluesi informon subjektin e të dhënave në lidhje me përmbushjen e kërkesës, ose arsyen e refuzimit të saj, sa më shpejt të jetë e mundur dhe, në çdo rast, jo më vonë se 30 (tridhjetë) ditë nga data e marrjes së kërkesës. Kjo periudhë mund të zgjatet deri në 60 (gjashtëdhjetë) ditë, kur është e nevojshme, duke marrë parasysh kompleksitetin dhe numrin e kërkesave të marra. Kontrolluesi informon në mënyrë të arsyetuar subjektin e të dhënave për çdo zgjatje afati, brenda 30 (tridhjetë) ditëve nga marrja e kërkesës. Në rastet kur nuk e trajton kërkesën ose refuzon përmbushjen e saj, kontrolluesi, jo më vonë se 30 (tridhjetë) ditë nga data e marrjes së kërkesës, informon subjektin e të dhënave për arsyet e mostrajtimit ose të refuzimit të përmbushjes së kërkesës, si dhe për mundësinë e paraqitjes së ankesës te Komisioneri dhe padisë pranë gjykatës.
5. Përgjigja ndaj kërkesës së një subjekti të të dhënave, sipas neneve 13 – 20, të këtij ligji, ofrohet falas. Kur kërkesat nga një subjekt i të dhënave janë qartazi të pabazuara ose të tepruara, sidomos për shkak të karakterit të tyre të përsëritur, kontrolluesi mund:
a) të vendosë një tarifë të arsyeshme, duke marrë parasysh kostot administrative për ofrimin e informacionit ose të komunikimit ose për të ndërmarrë veprimin e kërkuar; ose
b) të refuzojë ndërmarrjen e veprimeve për kërkesën.
6. Kontrolluesi ka barrën për të provuar natyrën qartësisht të pabazuar ose të tepruar të kërkesës.
Seksioni 2
Të drejtat e subjektit të të dhënave
Neni 13
E drejta për informim
1. Kur të dhënat personale mblidhen me bashkëpunimin e subjektit të të dhënave dhe subjekti i të dhënave nuk e ka informacionin e përmendur më poshtë, kontrolluesi i jep atij informacionin e mëposhtëm:
a) Identitetin dhe të dhënat e kontaktit të kontrolluesit dhe, sipas rastit, të dhënat e kontaktit të përfaqësuesit, si dhe të nëpunësit të mbrojtjes së të dhënave të kontrolluesit;
b) Qëllimet e përpunimit për të cilat janë të destinuara të dhënat personale, si dhe bazën ligjore për përpunimin;
c) Ekzistencën dhe logjikën e vendimmarrjes automatike dhe profilizimit, sipas pikave 1 e 3, të nenit 20, të këtij ligji, dhe, të paktën, në ato raste, informacionin e duhur lidhur me logjikën përkatëse, si dhe rëndësinë e pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave;
ç) Periudhën e parashikuar të mbajtjes së të dhënave personale ose, nëse kjo nuk është e mundur, kriteret e përdorura për të përcaktuar këtë periudhë;
d) Ekzistencën e së drejtës për të tërhequr pëlqimin në çdo kohë, pa ndikuar në ligjshmërinë e përpunimit bazuar në pëlqimin para tërheqjes së tij, kur përpunimi kryhet mbi bazën e pëlqimit dhe të interesit të ligjshëm të kontrolluesit ose të palës së tretë, kur përpunimi kryhet mbi bazën e një interesi të ligjshëm;
dh) Informacion, nëse subjekti i të dhënave është i detyruar ose jo të japë të dhënat dhe nëse dhënia e të dhënave personale është detyrim që buron nga legjislacioni në fuqi, kushtet e kontratës apo kushtet për të hyrë në një marrëdhënie kontraktore, si dhe pasojat e mundshme nga mosdhënia e këtyre të dhënave;
e) Marrësit ose kategoritë e marrësve, nëse ka;
ë) Nëse të dhënat do të transferohen në vende të huaja dhe, nëse po, si garantohet mbrojtja e duhur, përfshirë informacionin për masat e përshtatshme të mbrojtjes dhe mënyrën me të cilat mund të merret një kopje e tyre ose vendin ku ofrohen ato;
f) Ushtrimin e të drejtave sipas neneve 14 – 20, të këtij ligji, si dhe për të drejtën për të paraqitur ankesë te Komisioneri.
2. Kur të dhënat personale nuk mblidhen me bashkëpunimin e subjektit të të dhënave, krahas informacionit sipas pikës 1, të këtij neni, subjekti i të dhënave informohet edhe mbi kategoritë e të dhënave personale që do të përpunohen, burimin e tyre dhe, sipas rastit, nëse ato janë marrë nga burime të aksesueshme nga publiku. Ky informacion nuk jepet kur:
a) dhënia e informacionit është e pamundur ose përbën një përpjekje jo të arsyeshme dhe kontrolluesi ka marrë masat e duhura për të mbrojtur të drejtat dhe interesat e ligjshëm të subjektit të të dhënave;
b) marrja e të dhënave nga burime të tjera përveç subjektit të të dhënave përcaktohet shprehimisht me ligj; ose
c) dhënia e informacionit nuk lejohet për shkak të detyrimit për ruajtjen e sekretit profesional sipas ligjit.
3. Informacioni i mësipërm jepet:
a) përpara se subjekti i të dhënave të ofrojë të dhënat, sipas pikës 1, të këtij neni;
b) në rast mbledhjeje të informacionit, sipas pikës 2, të këtij neni:
i. brenda një afati të arsyeshëm, por jo më vonë se një muaj pasi të jenë marrë të dhënat; ose
ii. nëse të dhënat personale do të përdoren për komunikim me subjektin e të dhënave, jo më vonë se momenti i komunikimit të parë me subjektin e të dhënave; ose
iii. kur parashikohet përhapja te një marrës tjetër, jo më vonë se momenti kur të dhënat personale janë përhapur për herë të parë.
4. Kur kontrolluesi synon të kryejë përpunim të mëtejshëm dhe subjektit të të dhënave nuk i është dhënë më parë informacioni, përpara se të fillojë këtë përpunim, kontrolluesi i ofron subjektit të të dhënave, informacion mbi qëllimin tjetër, si dhe i jep të gjitha informacionet e parashikuara në pikat 1 dhe 2, të këtij neni, sipas rastit.
5. Detyrimi për të informuar sipas përcaktimeve të këtij neni mund të përmbushet edhe nga përpunuesi për llogari të kontrolluesit, nëse është autorizuar prej tij, me kusht që nga informacioni të rezultojë e qartë se cili është kontrolluesi dhe si mund të kontaktohet ai.
Neni 14
E drejta për akses
1. Subjekti i të dhënave ka drejtë të marrë nga kontrolluesi, jo më vonë se 30 (tridhjetë) ditë nga data e paraqitjes së kërkesës, një konfirmim nëse të dhënat personale në lidhje me të janë duke u përpunuar apo jo, si dhe, kur është rasti, të ketë akses në të dhënat personale dhe informacionin e mëposhtëm:
a) Qëllimin e përpunimit;
b) Ekzistencën dhe logjikën e vendimmarrjes automatike dhe të profilizimit, sipas pikave 1 e 3, të nenit 20, të këtij ligji, dhe, të paktën në ato raste, informacionin e duhur lidhur me logjikën përkatëse, si dhe rëndësinë e pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave;
c) Afatin e parashikuar të ruajtjes së të dhënave personale ose, nëse kjo nuk është e mundur, kriteret që përdoren për të përcaktuar këtë afat;
ç) Bazën ligjore të përpunimit;
d) Kategoritë e të dhënave personale në fjalë, duke përfshirë, në rastet kur të dhënat personale nuk janë mbledhur nga subjekti i të dhënave, çdo informacion të disponueshëm për burimin e këtyre të dhënave;
dh) Marrësit ose kategoritë e marrësve, të cilëve u janë përhapur ose do t’u përhapen të dhënat personale, në veçanti, marrësit në vendet e huaja ose organizatat ndërkombëtare, përfshirë rastin kur të dhënat transferohen në vende të huaja dhe, nëse po, si sigurohet mbrojtja e duhur;
e) Ekzistencën e të drejtave sipas neneve 15 – 20, të këtij ligji, dhe të drejtën për të paraqitur ankesë te Komisioneri.
2. Kontrolluesi i ofron falas subjektit të të dhënave një kopje të listës së kategorive të të dhënave të përpunuara, duke treguar përmbajtjen e secilës kategori, që lidhet me subjektin e të dhënave dhe pa cenuar të drejtat dhe liritë themelore të personave të tjerë. Për çdo kopje të mëvonshme të kërkuar nga subjekti i të dhënave, kontrolluesi mund të aplikojë një tarifë të arsyeshme në bazë të kostove administrative. Kur subjekti i të dhënave e bën kërkesën me mjete elektronike dhe nuk ka përcaktuar formë tjetër, në të cilën kërkohet përgjigjja, informacioni ofrohet në formën elektronike që përdoret zakonisht.
Neni 15
E drejta për korrigjim dhe fshirje
1. Subjekti i të dhënave ka të drejtën e korrigjimit nga kontrolluesi të të dhënave të pasakta personale që lidhen me të, sa më shpejt të jetë e mundur, por jo më vonë se 30 (tridhjetë) ditë nga data e marrjes së kërkesës. Në përputhje me qëllimet e përpunimit, subjekti i të dhënave ka të drejtën e plotësimit të dhënave personale jo të plota edhe me anë të një deklarate plotësuese.
2. Subjekti i të dhënave ka të drejtën e fshirjes nga kontrolluesi të të dhënave personale, që lidhen me të dhe kontrolluesi ka detyrimin të fshijë të dhënat personale sa më shpejt të jetë e mundur, jo më vonë se 30 (tridhjetë) ditë nga data e marrjes së kërkesës, në këto raste:
a) Të dhënat personale nuk janë më të nevojshme për qëllimet për të cilat ato janë mbledhur ose përpunuar;
b) Subjekti i të dhënave e tërheq pëlqimin mbi të cilin bazohet përpunimi dhe nuk ka shkak tjetër ligjor për përpunimin;
c) Subjekti i të dhënave e kundërshton përpunimin, në pajtim me pikën 1, të nenit 19, të këtij ligji, dhe nuk ka arsye legjitime mbizotëruese për përpunimin, ose subjekti i të dhënave e kundërshton përpunimin sipas pikës 2, të nenit 21, të këtij ligji;
ç) Të dhënat personale janë përpunuar në mënyrë të paligjshme;
d) Të dhënat personale duhet të fshihen për të përmbushur një detyrim ligjor të kontrolluesit;
dh) Të dhënat personale janë mbledhur në kuadër të ofrimit në internet të mallrave ose të shërbimeve, sipas pikës 6, të nenit 8, të këtij ligji.
3. Pikat 1 dhe 2, të këtij neni, nuk zbatohen për aq sa përpunimi është i nevojshëm për:
a) ushtrimin e lirisë së shprehjes dhe të të drejtës për informim;
b) përmbushjen e një detyrimi ligjor, që kërkon përpunim në zbatim të legjislacionit në fuqi, të cilit i nënshtrohet kontrolluesi, për përmbushjen e një detyre në interesin publik ose kur atij i është dhënë e drejta e ushtrimit të një funksioni publik;
c) arsye të interesit publik në fushën e shëndetit publik, në përputhje me shkronjat “ë” dhe “f”, të pikës 2, të nenit 9, të këtij ligji;
ç) qëllime arkivimi në interesin publik, për qëllime kërkimore, shkencore ose historike, ose për qëllime statistikore, dhe zbatohet pika 4, e nenit 45, të këtij ligji, për aq sa e drejta për fshirje sipas pikës 1, të këtij neni, mund të bëjë të pamundur ose të dëmtojë seriozisht arritjen e objektivave të këtij përpunimi; ose
d) paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike.
4. Kur të dhënat korrigjohen ose fshihen, kontrolluesi informon të gjithë marrësit, të cilëve ua ka përhapur ato të dhëna. Kur kërkohet nga subjekti i të dhënave, kontrolluesi e informon atë mbi marrësit e të dhënave personale. Këto detyrime nuk zbatohen vetëm në ato raste kur përmbushja e tyre është e pamundur ose përbën barrë të tepërt për kontrolluesin.
Neni 16
E drejta për t’u harruar
1. Kur kontrolluesi ka publikuar të dhëna personale dhe, sipas nenit 15, të këtij ligji, detyrohet t’i fshijë ato, bazuar në teknologjinë e zbatueshme dhe në koston e zbatimit, ndërmerr hapa të arsyeshëm, përfshirë masat teknike, për të informuar kontrolluesit që janë duke përpunuar këto të dhëna personale, që subjekti i të dhënave ka kërkuar fshirjen e çdo lidhjeje, kopjeje ose riprodhimi të këtyre të dhënave personale.
2. Me kërkesën e subjektit të të dhënave, operatorët e motorëve të kërkimit në internet janë të detyruar të fshijnë nga rezultatet që shfaqen pas një kërkimi të kryer në bazë të emrit të subjektit të të dhënave, informacionin, i cili nuk është më aktual me kalimin e kohës, por që, kur gjendet, ka një ndikim negativ të konsiderueshëm në reputacionin e subjektit të të dhënave.
Neni 17
E drejta për kufizimin e përpunimit
1. Subjekti i të dhënave ka të drejtë për kufizimin e përpunimit të të dhënave kur ekziston një nga rastet e mëposhtme:
a) Subjekti i të dhënave kundërshton saktësinë e të dhënave të tij për një afat që i mundëson kontrolluesit të verifikojë saktësinë e të dhënave personale;
b) Përpunimi është i paligjshëm dhe subjekti i të dhënave e kundërshton fshirjen e të dhënave personale dhe, në vend të saj, kërkon kufizimin e përdorimit të tyre;
c) Kontrolluesit nuk i nevojiten më të dhënat personale për qëllimin e përpunimit, por kërkohen nga subjekti i të dhënave për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike, ose
ç) Subjekti i të dhënave ka kundërshtuar përpunimin, sipas përcaktimeve të pikës 1, të nenit 19, të këtij ligji. Kufizimi zgjat përgjatë periudhës së nevojshme për verifikimin nëse arsyet e ligjshme të kontrolluesit kanë përparësi mbi ato të subjektit të të dhënave.
2. Kur përpunimi është kufizuar sipas pikës 1, të këtij neni, me përjashtim të ruajtjes, të dhënat do të përpunohen vetëm:
a) pas marrjes së pëlqimit të subjektit të të dhënave;
b) për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike;
c) për mbrojtjen e të drejtave të një personi tjetër fizik ose juridik, të cilat kanë përparësi mbi të drejtat e subjektit të të dhënave; ose
ç) për një interes të rëndësishëm publik.
3. Kontrolluesi njofton paraprakisht subjektin e të dhënave për heqjen e kufizimit të përpunimit të tyre.
4. Nëse kontrolluesi refuzon kërkesën, subjekti i të dhënave mund të paraqesë ankesë te Komisioneri dhe të kërkojë marrjen e një vendimi paraprak për kufizimin e përpunimit. Nëse është e nevojshme dhe proporcionale, Komisioneri lëshon urdhër paraprak kufizimi, sipas nenit 83, të këtij ligji, jo më vonë se 14 ditë nga paraqitja e kërkesës.
5. Kur përpunimi i të dhënave kufizohet, kontrolluesi informon të gjithë marrësit, të cilëve ua ka përhapur të dhënat në fjalë përpara kufizimit.
Neni 18
E drejta për transferueshmërinë e të dhënave
1. Kur të dhënat personale i jepen një kontrolluesi nga subjekti i të dhënave, me pëlqimin e tij ose për përmbushjen e një kontrate, dhe përpunimi kryhet me mjete automatike, subjekti i të dhënave ka të drejtën t’i marrë ato nga kontrolluesi në një format të strukturuar, të përdorur gjerësisht dhe të lexueshëm nga pajisjet dhe t’i transferojë pa pengesa te një kontrollues tjetër.
2. Gjatë ushtrimit të së drejtës, sipas pikës 1, të këtij neni, dhe kur është teknikisht e mundur, subjekti i të dhënave ka të drejtë që të dhënat e tij personale të transferohen drejtpërdrejt nga një kontrollues te një kontrollues tjetër.
3. Ushtrimi i së drejtës për transferueshmërinë e të dhënave nuk cenon të drejtën për fshirjen e tyre, sipas nenit 15, të këtij ligji. E drejta për transferueshmërinë e të dhënave nuk mund të ushtrohet kur përpunimi i të dhënave është i nevojshëm për kryerjen e një detyre me interes publik ose kur kontrolluesit i është dhënë e drejta për të ushtruar funksione, detyra ose kompetenca publike, në bazë të legjislacionit në fuqi.
4. Ushtrimi i së drejtës për transferueshmërinë e të dhënave nuk duhet të cenojë të drejtat dhe liritë themelore të personave të tjerë.
Neni 19
E drejta për të kundërshtuar
1. Subjekti i të dhënave ka të drejtën të kundërshtojë në çdo kohë, për arsye që lidhen me situatën e tij të veçantë, përpunimin e të dhënave personale në lidhje me të, në bazë të shkronjave “d” e “dh”, të nenit 7, të këtij ligji, përfshirë profilizimin në bazë të tyre. Kontrolluesi nuk do t’i përpunojë më të dhënat personale, me përjashtim të rastit kur provon se ka arsye të forta legjitime për përpunimin, të cilat mbizotërojnë mbi interesat, të drejtat dhe liritë e subjektit të të dhënave, veçanërisht kur kanë të bëjnë me paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike.
2. Kur të dhënat personale përpunohen për qëllime të marketingut të drejtpërdrejtë, subjekti i të dhënave ka të drejtë të kundërshtojë në çdo kohë dhe pa u detyruar të shpjegojë arsyet, përpunimin e të dhënave të tij personale për këtë qëllim, që përfshin profilizimin për aq sa është i lidhur me të.
3. Pas ushtrimit së drejtës sipas pikës 2, të këtij neni, kontrolluesi ndalon përpunimin e të dhënave personale për këtë qëllim.
4. E drejta për të kundërshtuar përpunimin e të dhënave personale për qëllimet e përmendura në nenin 44, të këtij ligji, kufizohet në ato veprime përpunimi, të cilat nuk janë të nevojshme për kryerjen e një detyre me interes publik.
5. Jo më vonë se gjatë komunikimit të parë me subjektin e të dhënave, kontrolluesi informon subjektin e të dhënave mbi të drejtën për të kundërshtuar, sipas pikave 1 dhe 2, këtij neni, në mënyrë të shprehur, të qartë dhe të veçuar nga informacionet e tjera.
6. Nëse të dhënat personale përpunohen për qëllime të kërkimeve shkencore ose historike ose për qëllime statistikore, subjekti i të dhënave, për shkaqe që lidhen me gjendjen e tij të veçantë, ka të drejtë të kundërshtojë përpunimin e të dhënave personale të tij, me përjashtim të rastit kur përpunimi është i nevojshëm për kryerjen e një detyre me interes publik.
Neni 20
E drejta për të mos iu nënshtruar vendimeve automatike
1. Subjekti i të dhënave ka të drejtë të mos jetë subjekt i një vendimi, që bazohet vetëm në përpunimin automatik të të dhënave, përfshirë profilizimin, i cili shkakton pasoja ligjore ose pasoja të ngjashme të rënda mbi të.
2. Pika 1 nuk zbatohet, nëse vendimi:
a) është i nevojshëm për lidhjen ose zbatimin e një kontrate ndërmjet subjektit të të dhënave dhe kontrolluesit; ose
b) autorizohet nga një ligj, të cilit i nënshtrohet kontrolluesi dhe që përcakton edhe masat e përshtatshme për të mbrojtur të drejtat e liritë dhe interesat legjitimë të subjektit të të dhënave; ose
c) bazohet në pëlqimin e dhënë nga subjekti, të cilit i përkasin të dhënat.
3. Përpunimi i të dhënave sensitive për vendimet automatike bëhet me pëlqimin e shprehur qartë nga subjekti i të dhënave ose duhet të bazohet në një dispozitë ligjore, në përputhje me shkronjën “e”, të pikës 2, të nenit 9, të këtij ligji, dhe me kusht që të zbatohen masa të përshtatshme mbrojtëse për të garantuar të drejtat, liritë dhe interesin e ligjshëm të subjektit të të dhënave.
4. Në rastet e përmendura në pikat 2 e 3, të këtij neni, kontrolluesi zbaton masa të përshtatshme për të mbrojtur të drejtat, liritë themelore dhe interesat e ligjshëm të subjektit të të dhënave, si dhe të drejtën e subjektit të të dhënave për ndërhyrje manuale nga ana e kontrolluesit, për të shprehur këndvështrimin e tij dhe për të kundërshtuar vendimin.
Seksioni 3
Kufizimet
Neni 21
Kufizimet e të drejtave të subjekteve të të dhënave
1. Fusha e zbatimit të të drejtave të parashikuara në nenet 13 – 20, të këtij ligji, dhe të detyrimeve që burojnë për kontrolluesit, si dhe neni 6, i këtij ligji, për aq sa dispozitat e tij lidhen me të drejtat dhe detyrimet e parashikuara në nenet 13 – 20, të këtij ligji, mund të kufizohen me ligj. Kufizimi duhet të respektojë thelbin e të drejtave dhe të lirive themelore e të jetë i nevojshëm e proporcional në një shoqëri demokratike, për të garantuar sigurinë kombëtare, sigurinë publike ose interesat ekonomikë të vendit, për parandalimin e trazirave ose të veprave penale, ose për mbrojtjen e të drejtave e të lirisë së personave të tjerë.
2. Në veçanti, ligji sipas pikës 1, të këtij neni, duhet të përmbajë dispozita specifike të paktën, sipas rastit, lidhur me:
a) qëllimet e përpunimit ose kategoritë e përpunimit;
b) kategoritë e të dhënave personale;
c) fushën e veprimit të kufizimeve;
ç) masat mbrojtëse për të parandaluar abuzimin ose aksesin ose transferimin e paligjshëm;
d) specifikimin e kontrolluesit ose kategoritë e kontrolluesve;
dh) afatet e ruajtjes dhe masat mbrojtëse të zbatueshme, duke marrë parasysh natyrën, fushën e veprimit e qëllimet për përpunimin ose kategoritë e përpunimit;
e) rreziqet për të drejtat dhe liritë e subjekteve të të dhënave; dhe
ë) të drejtën e subjekteve të të dhënave për t’u informuar në lidhje me kufizimin, përveçse kur kjo mund të jetë në dëm të qëllimit të kufizimit.
KAPITULLI III
DETYRIMET E KONTROLLUESIT E TË PËRPUNUESIT
Seksioni 1
Përgjegjësia
Neni 22
Përgjegjësia e përgjithshme e kontrolluesit
1. Duke marrë parasysh natyrën, fushën e zbatimit, kontekstin dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes e të përshkallëzimit të rrezikut për të drejtat dhe liritë e personave fizikë, kontrolluesi zbaton masat e duhura teknike dhe organizative për të garantuar dhe për të qenë i aftë të provojë që përpunimi është kryer në përputhje me këtë ligj. Këto masa rishikohen e përditësohen sipas nevojës.
2. Bazuar në pikën 1, të këtij neni, kontrolluesi merr masa për vënien në zbatim të mbrojtjes së të dhënave në projektim në proceset e tij përpunuese dhe mbrojtjen e të dhënave në mënyrë të paracaktuar, në përputhje me këtë nen dhe nenin 23, të këtij ligji. Përcaktimi i një nëpunësi të mbrojtjes së të dhënave merret në konsideratë pavarësisht kritereve të përcaktuara në nenin 33, të këtij ligji, veçanërisht kur proceset e përpunimit të kontrolluesit përmbajnë elemente të tjera të rëndësishme rreziku, përveç atyre të përmendura në pikën 1, të nenit 33, të këtij ligji.
3. Zbatimi i kodit të sjelljes, sipas nenit 35, të këtij ligji, ose i mekanizmit të certifikimit, sipas nenit 37, të këtij ligji, mund të përdoret si një element nëpërmjet të cilit demonstrohet përputhshmëria me detyrimet e kontrolluesit.
4. Kontrolluesit dhe përpunuesit janë të detyruar të bashkëpunojnë, kur kërkohet nga Komisioneri, në funksion të kryerjes së detyrave të tij.
Neni 23
Mbrojtja e të dhënave në projektim dhe në mënyrë të paracaktuar
1. Kontrolluesi, si në momentin e përcaktimit të mjeteve të përpunimit, ashtu edhe gjatë përpunimit, zbaton masat e duhura teknike dhe organizative për zbatimin e masave mbrojtëse të nevojshme në veprimet e tij të përpunimit, të tilla si: pseudonimizimi i të dhënave të projektuara për të zbatuar parimet e mbrojtjes së të dhënave personale, siç është minimizimi i të dhënave, në mënyrë efektive dhe për të integruar masat mbrojtëse të nevojshme në përpunim, në mënyrë që të plotësohen kërkesat e këtij ligji, si dhe për të mbrojtur të drejtat e subjekteve të të dhënave. Për këtë qëllim, kontrolluesi merr parasysh zhvillimet teknologjike, kostot e zbatimit, natyrën, objektin, rrethanat dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes dhe të përshkallëzimit të rrezikut për cenimin e të drejtave dhe lirive themelore, që paraqesin veprimet e përpunimit.
2. Kontrolluesi zbaton masat e duhura teknike dhe organizative për të siguruar që, në mënyrë të paracaktuar, do të përpunohen vetëm të dhënat personale të cilat janë të nevojshme për secilin qëllim specifik të përpunimit. Ky detyrim zbatohet për sasinë e të dhënave personale të mbledhura, për masën e përpunimit, për periudhën e ruajtjes dhe aksesueshmërinë e tyre. Në veçanti, këto masa garantojnë që të dhënat personale nuk bëhen të aksesueshme në mënyrë rastësore pa ndërhyrjen e individit në një numër të pacaktuar personash fizikë.
3. Për të provuar zbatimin e detyrimeve të përcaktuara në pikat 1 e 2, të këtij neni, kontrolluesi mund të bazohet në një mekanizëm të miratuar certifikimi, sipas nenit 37, të këtij ligji.
Neni 24
Kontrolluesit e përbashkët
1. Kontrolluesit e përbashkët janë dy ose më shumë kontrollues, që përcaktojnë së bashku qëllimet dhe mjetet e përpunimit. Kontrolluesit e përbashkët përcaktojnë në mënyrë transparente, nëpërmjet një marrëveshjeje me shkrim, marrëdhënien e krijuar ndërmjet tyre dhe përgjegjësitë e secilit kontrollues për përmbushjen e detyrimeve që rrjedhin nga ky ligj dhe veçanërisht për sa i takon ushtrimit të të drejtave të subjektit të të dhënave dhe detyrave përkatëse të kontrolluesve, në përputhje me kapitullin II, të këtij ligji.
2. Pjesa kryesore e marrëveshjes u vihet në dispozicion subjekteve të të dhënave.
3. Marrëveshja mund të përcaktojë një pikë kontakti për subjektet e të dhënave. Pavarësisht nga kushtet e marrëveshjes, subjekti i të dhënave mund të ushtrojë të drejtat e tij sipas këtij ligji kundrejt secilit kontrollues.
Neni 25
Përfaqësuesi i kontrolluesit ose përpunuesit
1. Për proceset e përpunimit të përcaktuara në shkronjën “b”, të pikës 1, të nenit 4, të këtij ligji, kontrolluesi ose përpunuesi cakton një përfaqësues të vendosur në Republikën e Shqipërisë dhe njofton me shkrim Komisionerin për identitetin e përfaqësuesit.
2. Detyrimi, sipas pikës 1, të këtij neni, nuk zbatohet:
a) për përpunimin që është rastësor, nuk përfshin në masë të madhe përpunimin e të dhënave sensitive ose të dhënave penale e nuk ka të ngjarë të rezultojë në një rrezik për të drejtat dhe liritë themelore të personave fizikë, duke marrë parasysh natyrën, kontekstin, objektin dhe qëllimet e përpunimit; ose
b) ndaj një autoriteti publik.
3. Përfaqësuesi autorizohet nga kontrolluesi ose përpunuesi për t’iu drejtuar, krahas ose në vend të kontrolluesit ose përpunuesit, veçanërisht, nga Komisioneri dhe subjektet e të dhënave, për të gjitha çështjet që lidhen me përpunimin, për qëllimet e sigurimit të përputhshmërisë me këtë ligj.
4. Caktimi i një përfaqësuesi nga kontrolluesi ose përpunuesi nuk pengon ankimin, që mund të paraqitet ndaj vetë kontrolluesit ose përpunuesit.
Neni 26
Përpunuesi
1. Kur përpunimi kryhet për llogari të një kontrolluesi, kontrolluesi përdor vetëm përpunues që ofrojnë garanci të mjaftueshme për zbatimin e masave të duhura teknike dhe organizative, në mënyrë që përpunimi të kryhet në përputhje me këtë ligj e të sigurojë mbrojtjen e të drejtave të subjektit të të dhënave.
2. Përpunuesi nuk angazhon përpunues tjetër pa autorizimin paraprak, specifik ose të përgjithshëm, me shkrim të kontrolluesit. Në rastin e një autorizimi të përgjithshëm me shkrim, përpunuesi informon kontrolluesin për çdo ndryshim që synon të kryejë lidhur me shtimin ose zëvendësimin e përpunuesve të tjerë, duke i dhënë kontrolluesit mundësinë e kundërshtimit të këtyre ndryshimeve.
3. Përpunimi kryhet nga përpunuesi në bazë të një kontrate me shkrim, të një ligji ose akti nënligjor, i cili është i detyrueshëm për t’u zbatuar nga përpunuesi në raport me kontrolluesin e që përcakton objektin dhe kohëzgjatjen e përpunimit, natyrën e qëllimin e përpunimit, llojin e të dhënave personale dhe kategoritë e subjekteve të të dhënave, si dhe të drejtat e detyrimet e kontrolluesit. Kontrata, ligji ose akti nënligjor duhet të përcaktojë se përpunuesi:
a) përpunon dhe, në veçanti, transferon të dhëna personale vetëm sipas udhëzimeve me shkrim të kontrolluesit, me përjashtim të rastit kur detyrohet ta kryejë atë bazuar në legjislacionin në fuqi, të cilit i nënshtrohet përpunuesi. Në këtë rast, përpunuesi informon kontrolluesin për këtë detyrim ligjor përpara përpunimit, me përjashtim të rastit kur ligji ndalon dhënien e këtij informacioni për shkaqe të rëndësishme të interesit publik;
b) siguron që personat e autorizuar për të përpunuar të dhënat personale i nënshtrohen detyrimit të ruajtjes së konfidencialitetit, sipas nenit 30, të këtij ligji, dhe akteve të tjera që rregullojnë veprimtarinë profesionale;
c) merr të gjitha masat e përcaktuara sipas nenit 28, të këtij ligji;
ç) respekton kushtet sipas pikave 2 dhe 4, të këtij neni, për angazhimin e një përpunuesi tjetër;
d) bazuar në natyrën e përpunimit, ndihmon kontrolluesin me masa të përshtatshme teknike dhe organizative, për aq sa kjo është e mundur, për përmbushjen e detyrimeve të kontrolluesit për t’iu përgjigjur kërkesave në ushtrimin e të drejtave të subjektit të të dhënave të përcaktuara në kapitullin II, të këtij ligji;
e) ndihmon kontrolluesin për të garantuar përmbushjen e detyrimeve, që rrjedhin nga kapitulli III, të këtij ligji, në veçanti nga nenet 28 e 29, të këtij ligji, duke marrë parasysh natyrën e përpunimit dhe informacionin në dispozicion të përpunuesit;
ë) në varësi të udhëzimit të kontrolluesit, fshin ose kthen të gjitha të dhënat personale te kontrolluesi pas përfundimit të ofrimit të shërbimeve të lidhura me përpunimin dhe fshin kopjet ekzistuese, nëse ruajtja e të dhënave personale nuk kërkohet me ligj;
f) vendos në dispozicion të kontrolluesit të gjitha informacionet që provojnë përmbushjen e detyrimeve të përcaktuara në këtë nen, lejon dhe kontribuon në kryerjen e auditimeve dhe të inspektimeve nga kontrolluesi ose një auditues tjetër i autorizuar nga kontrolluesi, si dhe njofton menjëherë kontrolluesin kur, sipas mendimit të tij, udhëzimi i dhënë nga kontrolluesi shkel këtë ligj.
4. Kur përpunuesi angazhon një përpunues tjetër për kryerjen e veprimeve specifike të përpunimit për llogari të kontrolluesit, atij i ngarkohen detyrimet për mbrojtjen e të dhënave të përcaktuara në pikën 3, të këtij neni, nëpërmjet një kontrate, ligji ose akti nënligjor, që ofron garanci të mjaftueshme që përpunimi përmbush kërkesat e këtij ligji. Përpunuesi fillestar mban përgjegjësi të plotë para kontrolluesit kur përpunuesi tjetër nuk përmbush detyrimet e tij për mbrojtjen e të dhënave.
5. Zbatimi i kodit të sjelljes, sipas nenit 35, të këtij ligji, ose i mekanizmit të certifikimit, sipas nenit 37, të këtij ligji, mund të përdoret si një element nëpërmjet të cilit demonstrohen garancitë e mjaftueshme të referuara në pikat 1 e 4, të këtij neni.
6. Pa cenuar të drejtën e lirisë kontraktore ndërmjet kontrolluesit dhe përpunuesit, kontrata, ligji ose akti nënligjor mund të bazohet, tërësisht ose pjesërisht, në klauzola standarde kontraktuale të përmendura në pikën 7, të këtij neni, përfshirë edhe rastin kur ato janë pjesë e një certifikimi të dhënë kontrolluesit ose përpunuesit, në përputhje me nenet 37 e 38, të këtij ligji.
7. Komisioneri mund të përcaktojë dhe të publikojë klauzola standarde kontraktuale për çështjet e përmendura në pikat 3 dhe 4, të këtij neni.
8. Nëse përpunuesi shkel dispozitat e këtij neni, duke përcaktuar qëllimet dhe mjetet e përpunimit, përpunuesi konsiderohet si kontrollues në lidhje me këtë përpunim.
Neni 27
Detyrimi për të dokumentuar
1. Çdo kontrollues dhe, kur është rasti, përfaqësuesi i tij, mban dokumentacion për veprimtaritë e tij përpunuese në mënyrë që të jetë në gjendje të japë të dhëna lidhur me përputhshmërinë me këtë ligj. Këto të dhëna mbahen në formë të shkruar dhe në format elektronik. Të dhënat që mbahen nga kontrolluesit përmbajnë:
a) emrin dhe të dhënat e kontaktit të kontrolluesit dhe, sipas rastit, të kontrolluesit të përbashkët, përfaqësuesit të kontrolluesit, si dhe të nëpunësit të mbrojtjes së të dhënave;
b) qëllimet e përpunimit të të dhënave personale;
c) një përshkrim të kategorive të subjekteve të të dhënave dhe kategorive të të dhënave personale;
ç) kategoritë e marrësve, të cilëve u janë ose do t’u përhapen të dhënat personale, përfshirë marrësit në vende të treta ose organizata ndërkombëtare;
d) kur është e zbatueshme, transferimet e të dhënave personale te një shtet i huaj ose organizatë ndërkombëtare, përfshirë identifikimin e atij shteti të huaj ose organizate ndërkombëtare dhe, në rastin e transferimeve, sipas shkronjës “b”, të pikës 1, të nenit 41, të këtij ligji, dokumentimin e masave të përshtatshme mbrojtëse;
dh) nëse është e mundur, afatet kohore të parashikuara për fshirjen e kategorive të ndryshme të të dhënave;
e) nëse është e mundur, një përshkrim të përgjithshëm të masave teknike dhe organizative të sigurisë të zbatuara në ambientet e përpunuesit.
2. Përpunuesi dhe, kur është rasti, përfaqësuesi i tij, mban, në format manual dhe elektronik, të dhëna të kategorive të veprimtarive të përpunimit që kryen për llogari të një kontrolluesi, që përmbajnë:
a) emrin dhe të dhënat e kontaktit të përpunuesit dhe, sipas rastit, të nëpunësit të mbrojtjes së të dhënave;
b) emrin dhe të dhënat e kontaktit të çdo kontrolluesi për llogari të të cilit vepron përpunuesi;
c) emrat dhe të dhënat e kontaktit të nënpërpunuesve të angazhuar për detyra të caktuara;
ç) një përshkrim të kategorive të veprimtarive të përpunimit, të kryera për llogari të çdo kontrolluesi;
d) kur është e zbatueshme, transferimet e të dhënave personale në një vend të tretë ose në një organizatë ndërkombëtare, duke përfshirë identifikimin e atij vendi të tretë ose të asaj organizate ndërkombëtare, si dhe bazën ligjore, në përputhje me nenet 40 – 42, të këtij ligji, për këtë transferim;
dh) nëse është e mundur, një përshkrim të përgjithshëm të masave teknike dhe organizative të sigurisë të zbatuara në ambientet e përpunuesit.
3. Kontrolluesi ose përpunuesi vendos të dhënat në dispozicion të Komisionerit sipas kërkesës.
4. Detyrimet e përcaktuara në pikat 1 dhe 2, të këtij neni, nuk zbatohen për shoqëritë tregtare ose organizatat që kanë më pak se 250 (dyqind e pesëdhjetë) persona të punësuar, me përjashtim të rastit kur përpunimi që ato kryejnë mund të rezultojë në një rrezik për të drejtat dhe liritë e subjekteve të të dhënave, përpunimi nuk është rastësor ose përpunimi përfshin të dhëna sensitive ose të dhëna penale.
Seksioni 2
Siguria e përpunimit
Neni 28
Masat për të garantuar sigurinë e përpunimit
1. Duke marrë parasysh zhvillimet teknologjike, kostot e zbatimit dhe natyrën, fushën e zbatimit, kontekstin dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes e përshkallëzimit të rrezikut për të drejtat dhe liritë e personave fizikë, kontrolluesi dhe përpunuesi zbatojnë masat e duhura teknike dhe organizative për të siguruar një nivel sigurie të përshtatshëm ndaj rrezikut, duke përfshirë, ndër të tjera, kur është e zbatueshme:
a) pseudonimizimin dhe enkriptimin e të dhënave personale;
b) aftësinë për të garantuar konfidencialitetin, integritetin, disponueshmërinë dhe qëndrueshmërinë e sistemeve dhe të shërbimeve të përpunimit;
c) aftësinë për të rivendosur disponueshmërinë dhe aksesin në të dhënat personale brenda një kohe të arsyeshme në rast incidenti fizik ose teknik;
ç) një proces për testimin, shqyrtimin dhe vlerësimin e rregullt të efikasitetit të masave teknike dhe organizative për të garantuar sigurinë e përpunimit.
2. Në vlerësimin e nivelit të përshtatshëm të sigurisë merren parasysh veçanërisht rreziqet që shkaktohen nga përpunimi, specifikisht, nga shkatërrimi aksidental ose i paligjshëm, humbja, ndryshimi, përhapja e paautorizuar ose aksesi në të dhënat personale të transmetuara, të ruajtura ose të përpunuara në çfarëdolloj mënyre.
3. Zbatimi i kodit të sjelljes, sipas nenit 35, të këtij ligji, ose i mekanizmit të certifikimit, sipas nenit 37, të këtij ligji, mund të përdoret si një element, nëpërmjet të cilit demonstrohet zbatimi i pikës 1, të këtij neni.
4. Kontrolluesi dhe përpunuesi marrin masa për të siguruar se çdo person, që vepron nën autoritetin e kontrolluesit ose të përpunuesit dhe ka akses në të dhënat personale, të mos i përpunojë ato në kundërshtim me udhëzimet e kontrolluesit, me përjashtim të rastit kur kërkohet nga legjislacioni në fuqi.
Neni 29
Njoftimi për cenimin e të dhënave personale
1. Në rast të një cenimi të të dhënave personale, kontrolluesi njofton Komisionerin sa më shpejt të jetë e mundur, por jo më vonë se 72 (shtatëdhjetë e dy) orë pas marrjes dijeni për cenimin. Njoftimi nuk kryhet kur nuk ka gjasa që cenimi i të dhënave të rrezikojë të drejtat dhe liritë e subjekteve të të dhënave. Në rast se njoftimi nuk kryhet brenda këtyre afateve, kontrolluesi i parashtron Komisionerit arsyet që kanë shkaktuar vonesën e njoftimit.
2. Përpunuesi njofton kontrolluesin menjëherë pasi merr dijeni për çdo cenim të të dhënave personale.
3. Kontrolluesi informon subjektet e të dhënave, kur rreziqet e shkaktuara nga cenimi i të dhënave ndaj të drejtave dhe lirive të tyre ka të ngjarë të jenë të larta, duke i vendosur në dispozicion informacionin sipas pikës 4, të këtij neni. Kryerja e njoftimit të subjekteve të të dhënave nuk është e nevojshme kur:
a) kontrolluesi ka zbatuar masa të përshtatshme teknike dhe organizative mbrojtëse dhe këto masa janë zbatuar për të dhënat personale të prekura nga cenimi i sigurisë, ku përfshihet enkriptimi;
b) kontrolluesi ka marrë masa shtesë, që sigurojnë se rreziku i cenimit të të drejtave dhe i lirive themelore të subjekteve të të dhënave është i ulët;
c) kontrolluesi publikon njoftimin ose merr masa të tjera të ngjashme nëpërmjet të cilave subjektet e të dhënave njoftohen në mënyrë të njëjtë dhe efektive për cenimin e sigurisë së të dhënave personale, kur njoftimi i çdo subjekti të të dhënave personale përbën një barrë të tepërt për kontrolluesin.
4. Njoftimi për Komisionerin, sipas pikës 1, të këtij neni, duhet që të paktën:
a) të përshkruajë natyrën e cenimit të të dhënave personale, duke përfshirë, kur është e mundur, kategoritë dhe numrin e përafërt të subjekteve të të dhënave, si dhe kategoritë dhe numrin e përafërt të llogarive të të dhënave personale të prekura;
b) të komunikojë emrin dhe të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave ose të pikës tjetër të kontaktit;
c) të përshkruajë pasojat e mundshme të cenimit të të dhënave personale;
ç) të përshkruajë masat e marra ose të propozuara për t’u marrë nga kontrolluesi për të trajtuar cenimin e të dhënave personale, duke përfshirë, sipas rastit, masat për të zbutur efektet e mundshme negative të tij.
5. Kur i gjithë informacioni i përcaktuar në pikën 3, të këtij neni, nuk mund të vendoset në dispozicion në të njëjtën kohë, ai mund të vendoset në dispozicion në faza të mëvonshme dhe sa më shpejt të jetë e mundur.
6. Kontrolluesi dokumenton çdo cenim të të dhënave personale, duke përfshirë faktet, efektet e saj dhe masat korrigjuese të ndërmarra në mënyrë që Komisioneri të verifikojë përputhshmërinë me këtë nen.
7. Komisioneri i përgjigjet njoftimit në përputhje me kompetencat e tij, sipas pjesës IV, të këtij ligji. Ai mund të detyrojë kontrolluesin që t’u komunikojë gjithashtu subjekteve të të dhënave në fjalë cenimin e të dhënave personale, kur ka të ngjarë që cenimi të përbëjë një rrezik të lartë për të drejtat dhe liritë e tyre dhe kur kontrolluesi nuk e ka kryer këtë komunikim.
Neni 30
Konfidencialiteti i të dhënave
1. Çdo person, si kontrollues, përpunues ose punonjës i një kontrolluesi ose përpunuesi, ruan konfidencialitetin e të dhënave personale, tek të cilat ka pasur akses për arsye profesionale, dhe ua zbulon ato të tretëve vetëm sipas ligjit dhe, në veçanti, sipas pikës 2, të këtij neni. Ky detyrim parashikohet në çdo kontratë me një përpunues, sipas nenit 26, të këtij ligji, dhe në të gjitha kontratat e punës së një kontrolluesi ose përpunuesi.
2. Përpunuesit e angazhuar nga kontrolluesi dhe çdo person që vepron nën autoritetin e kontrolluesit ose të përpunuesit, i cili ka akses në të dhënat personale, i përpunon ato të dhëna vetëm sipas udhëzimeve të kontrolluesit apo të përpunuesit të angazhuar prej kontrolluesit, me përjashtim të rasteve kur përpunimi kërkohet me ligj specifik. Kontrolluesit dhe përpunuesit përcaktojnë rregulla me shkrim në lidhje me kompetencën për të dhënë udhëzime për përpunim dhe ato u bëhen të ditura të gjithë personave të interesuar.
3. Detyrimi për të mbajtur të dhënat konfidenciale, në përputhje me pikat 1 e 2, të këtij neni, vijon përtej përfundimit të afatit të kontratës ndërmjet kontrolluesit dhe përpunuesit, si dhe përtej ndërprerjes së marrëdhënieve të punës me kontrolluesin ose përpunuesin.
Seksioni 3
Vlerësimi i ndikimit dhe konsultimi paraprak
Neni 31
Vlerësimi i ndikimit në mbrojtjen e të dhënave
1. Kur një lloj përpunimi, veçanërisht përpunimi duke përdorur teknologji të re, bazuar në natyrën, objektin, kontekstin dhe qëllimet e përpunimit, mund të shkaktojë një rrezik të lartë të cenimit të të drejtave dhe lirive themelore të shtetasve, kontrolluesi, përpara se të fillojë përpunimin, kryen vlerësimin e ndikimit të veprimeve të parashikuara të përpunimit mbi mbrojtjen e të dhënave personale. Për kategori të ngjashme veprimesh që paraqesin rrezik të ngjashëm është e mjaftueshme kryerja e vetëm një vlerësimi të përbashkët.
2. Kur kontrolluesi kryen disa veprime të caktuara përpunimi që kërkohen me ligj, i cili përcakton gjithashtu të dhëna për veprimet e përpunimit në fjalë dhe kur është kryer një vlerësim i ndikimit në kuadër të miratimit të ligjit, nuk është i nevojshëm një vlerësim i mëtejshëm i ndikimit.
3. Vlerësimi i ndikimit përmban të paktën:
a) një përshkrim sistematik të veprimeve të parashikuara të përpunimit dhe të qëllimeve të përpunimit, duke përfshirë, sipas rastit, llojin e interesit të ligjshëm të kontrolluesit;
b) një vlerësim të nevojës dhe të proporcionalitetit të veprimeve të përpunimit në lidhje me qëllimet;
c) një vlerësim të rreziqeve për të drejtat dhe liritë e subjekteve të të dhënave të përmendura në pikën 1, të këtij neni; dhe
ç) masat e parashikuara për të trajtuar rreziqet, duke përfshirë masat mbrojtëse, masat dhe mekanizmat e sigurisë, për të garantuar mbrojtjen e të dhënave personale dhe për të provuar zbatimin e këtij ligji, duke marrë parasysh të drejtat dhe interesat e ligjshëm të subjekteve të të dhënave dhe personave të tjerë të interesuar.
4. Kur është caktuar një nëpunës i mbrojtjes së të dhënave, kontrolluesi këshillohet me nëpunësin kur kryen vlerësimin e ndikimit në mbrojtjen e të dhënave.
5. Kur është e përshtatshme, kontrolluesi kërkon mendimin e subjekteve të të dhënave ose të përfaqësuesve të tyre për përpunimin e synuar, pa cenuar mbrojtjen e interesave tregtarë ose publikë apo sigurinë e veprimeve të përpunimit.
6. Kryerja e vlerësimit të ndikimit në mbrojtjen e të dhënave personale kryhet veçanërisht në rastin e:
a) një vlerësimi sistematik dhe të thelluar të aspekteve personale në lidhje me personat, i cili bazohet në përpunimin automatik, duke përfshirë profilizimin dhe mbi të cilin bazohen vendime që shkaktojnë pasoja ligjore ose pasoja të ngjashme të rëndësishme në lidhje me personin;
b) përpunimit në një shkallë të gjerë të të dhënave sensitive ose të të dhënave penale; ose
c) një monitorimi sistematik të një zone të aksesueshme nga publiku në një shkallë të gjerë.
7. Komisioneri harton listat me llojet e veprimeve të përpunimit për të cilat duhet të kryhet vlerësimi i ndikimit në mbrojtjen e të dhënave e për të cilat nuk duhet të kryhet ky vlerësim dhe e publikon atë në faqen zyrtare të internetit.
8. Në vlerësimin e ndikimit të veprimeve të përpunimit të kryera nga kontrolluesi ose përpunuesi merret parasysh zbatimi i kodeve të sjelljes sipas nenit 45, të këtij ligji, veçanërisht për qëllimet e vlerësimit të ndikimit të mbrojtjes së të dhënave.
9. Nëse është e nevojshme, kontrolluesi kryen një rishikim për të vlerësuar nëse përpunimi kryhet në përputhje me vlerësimin e ndikimit mbi mbrojtjen e të dhënave, kur ndryshon rreziku që vjen nga veprimet e përpunimit.
Neni 32
Konsultimi paraprak
1. Nëse pas vlerësimit të ndikimit në mbrojtjen e të dhënave arrihet në përfundimin se, në mungesë të masave që zvogëlojnë ose eliminojnë rrezikun, përpunimi përbën rrezik të lartë për cenimin e të drejtave dhe të lirive themelore, përpara se të fillojë përpunimin, kontrolluesi kërkon mendimin e Komisionerit.
2. Kur vlerëson se përpunimi i synuar do të shkelte këtë ligj dhe veçanërisht kur kontrolluesi nuk ka identifikuar dhe nuk ka marrë masat e duhura për të zvogëluar ose eliminuar rreziqet, Komisioneri i jep me shkrim kontrolluesit mendimin e tij dhe mund të ushtrojë kompetencat, sipas nenit 83, të këtij ligji.
3. Komisioneri jep mendimin e tij sa më shpejt të jetë e mundur, por jo më vonë se 60 (gjashtëdhjetë) ditë nga marrja e kërkesës për mendim. Në varësi të kompleksitetit të përpunimit të synuar, Komisioneri mund të vendosë zgjatjen e këtij afati me jo më shumë se 45 (dyzet e pesë) ditë. Vendimi i arsyetuar për zgjatjen e afatit i njoftohet kontrolluesit brenda 30 (tridhjetë) ditëve nga data e marrjes së kërkesës për mendim. Kur gjatë procesit të këshillimit Komisioneri ka kërkuar informacion nga kontrolluesi, afatet pezullohen deri në marrjen e informacionit.
4. Në kërkesën për mendim, kontrolluesi i vendos në dispozicion Komisionerit informacione, në veçanti për:
a) sipas rastit, përgjegjësitë përkatëse të kontrolluesit, të kontrolluesve të përbashkët dhe të përpunuesve të përfshirë në përpunim, veçanërisht për përpunimin brenda një grupi shoqërish tregtare;
b) qëllimet dhe mjetet e përpunimit të synuar;
c) natyrën dhe efektet e rreziqeve të dyshuara;
ç) masat dhe garancitë e parashikuara për të mbrojtur të drejtat dhe liritë e subjekteve të të dhënave në përputhje me këtë ligj;
d) të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave;
dh) çdo informacion tjetër të kërkuar nga Komisioneri.
5. Pavarësisht pikës 1, të këtij neni, kontrolluesit duhet të konsultohen dhe të marrin autorizim paraprak nga Komisioneri për përpunimin që duhet të kryhet nga kontrolluesi për kryerjen e një detyre, që përmbushet nga kontrolluesi në interesin publik, duke përfshirë përpunimin në lidhje me mbrojtjen sociale dhe shëndetin publik.
Seksioni 4
Nëpunësi i mbrojtjes së të dhënave
Neni 33
Detyrimi për të caktuar një nëpunës të mbrojtjes së të dhënave
1. Kontrolluesi dhe përpunuesi caktojnë një nëpunës të mbrojtjes së të dhënave kur:
a) përpunimi kryhet nga një autoritet ose organ publik, me përjashtim të gjykatave, në kuadër të veprimtarisë gjyqësore;
b) aktivitetet kryesore të kontrolluesit ose të përpunuesit janë veprime përpunimi, të cilat, për shkak të natyrës, fushës së zbatimit ose qëllimeve të tyre, kërkojnë monitorim të rregullt e sistematik të subjekteve të të dhënave në një shkallë të gjerë; ose
c) aktivitetet kryesore të kontrolluesit ose të përpunuesit sjellin përpunimin në një shkallë të gjerë të të dhënave sensitive ose të dhënave penale.
2. Një grup shoqërish tregtare mund të caktojë një nëpunës të vetëm të mbrojtjes së të dhënave, i cili është lehtësisht i arritshëm nga secili anëtar i grupit. Kur kontrolluesi ose përpunuesi është një autoritet publik, mund të caktohet një nëpunës i vetëm për disa autoritete publike, bazuar në strukturën dhe përmasat e tij organizative.
3. Në raste të ndryshme nga ato të parashikuara në pikën 1, të këtij neni, kontrolluesi, përpunuesi, shoqatat apo organet e tjera përfaqësuese të një kategorie kontrolluesish ose përpunuesish mund ose, kur parashikohet nga ligji, duhet të caktojnë një nëpunës për mbrojtjen e të dhënave.
Neni 34
Detyrat dhe pozicioni i nëpunësit të mbrojtjes së të dhënave personale
1. Nëpunësi i mbrojtjes së të dhënave personale ka detyrat e mëposhtme:
a) Jep këshilla, kur kërkohet, për organet drejtuese të kontrolluesit ose përpunuesit në të gjitha çështjet, që lidhen me mbrojtjen e të dhënave;
b) Merr pjesë në aktivitetet e vlerësimit të ndikimit sipas nenit 31, të këtij ligji;
c) Informon dhe këshillon stafin e kontrolluesit ose të përpunuesit në lidhje me mbrojtjen e të dhënave, duke përfshirë rritjen e ndërgjegjësimit dhe trajnimin e stafit të përfshirë në veprimet e përpunimit;
ç) Monitoron përputhshmërinë me këtë ligj dhe raporton te stafi drejtues;
d) Bashkëpunon dhe shërben si pikë kontakti për Komisionerin;
dh) Gjatë ushtrimit të detyrave të tij dhe bazuar në natyrën, objektin, rrethanat dhe qëllimet e përpunimit, i kushton kujdesin e duhur rrezikut për cenimin e të drejtave dhe lirive themelore, që mund të shkaktohet nga përpunimi i të dhënave personale.
2. Nëpunësi i mbrojtjes së të dhënave caktohet në bazë të aftësive profesionale të certifikuara dhe, në veçanti, në bazë të njohurive të mira të ligjit dhe praktikave të mbrojtjes së të dhënave, si dhe të aftësisë për të përmbushur detyrat e përmendura në pikën 1, të këtij neni. Nëpunësi i mbrojtjes së të dhënave mund të jetë një person i punësuar pranë kontrolluesit ose përpunuesit ose një person me të cilin është lidhur një kontratë shërbimi. Nëpunësi i mbrojtjes së të dhënave personale mund të mbajë përgjegjësi dhe detyra të tjera, por kontrolluesi ose përpunuesi merr masat që këto përgjegjësi dhe detyra të mos shkaktojnë konflikt interesi me detyrën si nëpunës i mbrojtjes së të dhënave.
3. Kontrolluesi ose përpunuesi publikon të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave, si dhe ia njofton ato Komisionerit. Subjektet e të dhënave mund të kontaktojnë nëpunësin e mbrojtjes së të dhënave për të gjitha çështjet që lidhen me përpunimin e të dhënave të tyre personale dhe ushtrimin e të drejtave të tyre sipas këtij ligji.
4. Kontrolluesi dhe përpunuesi marrin masat që nëpunësi i mbrojtjes së të dhënave të përfshihet, në mënyrën dhe në kohën e duhur, në të gjitha çështjet që lidhen me mbrojtjen e të dhënave personale dhe të ketë burimet e nevojshme për të përmbushur detyrat e tij. Nëpunësi i mbrojtjes së të dhënave i nënshtrohet detyrimit të ruajtjes së sekretit dhe të konfidencialitetit në lidhje me kryerjen e detyrave të tij.
5. Kontrolluesi dhe përpunuesi marrin masat që nëpunësi i mbrojtjes së të dhënave të mos marrë udhëzime në lidhje me ushtrimin e detyrave të tij dhe që të mos shkarkohet ose të ndëshkohet nga kontrolluesi ose përpunuesi për shkak të kryerjes së detyrave sipas këtij ligji. Nëpunësi i mbrojtjes së të dhënave raporton drejtpërdrejt para nivelit më të lartë drejtues të kontrolluesit ose të përpunuesit.
Seksioni 5
Kodet e sjelljes dhe certifikimi
Neni 35
Kodet e sjelljes
1. Shoqatat dhe organet e tjera, që përfaqësojnë kategori ose degë të kontrolluesve ose të përpunuesve, mund të hartojnë kode sjelljeje me qëllim specifikimin e zbatimit të këtij ligji për:
a) përpunimin e drejtë dhe transparent;
b) interesat legjitimë të kontrolluesit në kontekste specifike;
c) mbledhjen e të dhënave personale;
ç) pseudonimizimin e të dhënave personale;
d) informacionin e dhënë për publikun dhe subjektet e të dhënave;
dh) ushtrimin e të drejtave të subjekteve të të dhënave;
e) informacionin e dhënë, mbrojtjen e të miturit dhe mënyrën në të cilën duhet të merret pëlqimi nga kujdestari ligjor i të miturit;
ë) masat dhe procedurat sipas neneve 22 e 23, si dhe masat për të garantuar sigurinë e përpunimit, sipas nenit 28, të këtij ligji;
f) njoftimin e Komisionerit dhe të subjekteve të të dhënave për cenimin e të dhënave personale;
g) transferimin e të dhënave personale në vendet e huaja ose në organizatat ndërkombëtare; ose
gj) zgjidhjen në rrugë jashtëgjyqësore të mosmarrëveshjeve ndërmjet kontrolluesve dhe subjekteve të të dhënave lidhur me përpunimin pa cenuar të drejtat e subjekteve të të dhënave për të paraqitur ankesë te Komisioneri, në përputhje me pjesën V, të këtij ligji.
2. Kodi i sjelljes përmban mekanizma që lejojnë organin monitorues që të kryejë, pa cenuar detyrat dhe kompetencat e Komisionerit, mbikëqyrjen e përpunimit, monitorimin e detyrueshëm të përputhshmërisë me dispozitat e kodit, nga kontrolluesit ose përpunuesit, të cilët kanë marrë përsipër ta zbatojnë atë.
3. Shoqatat apo organet e tjera përfaqësuese i paraqesin projektkodin dhe çdo propozim për ndryshimin e tij Komisionerit, i cili e miraton atë kur konstaton se kodi ofron masa të përshtatshme mbrojtëse të mjaftueshme.
4. Pasi kodi miratohet nga Komisioneri, hartuesi propozon njërin nga organet monitoruese, të akredituara nga Komisioneri, sipas nenit 36, të këtij ligji, për monitorimin e zbatimit të tij. Kodi zbatohet pasi Komisioneri emëron organin monitorues.
5. Komisioneri regjistron e publikon në faqen zyrtare të internetit kodet e miratuara së bashku me organet e përcaktuara të monitorimit.
Neni 36
Organet monitoruese
1. Një subjekt i së drejtës private mund të akreditohet nga Komisioneri për monitorimin e përputhshmërisë me kodin e sjelljes kur:
a) provon pavarësinë dhe ekspertizën e tij në lidhje me çështjen, objekt rregullimi nga kodi, në mënyrë të kënaqshme për Komisionerin;
b) përcakton procedurat për vlerësimin e aftësisë së kontrolluesve dhe të përpunuesve për të zbatuar kodin e sjelljes, monitorimin e përputhshmërisë së veprimtarisë së tyre me dispozitat e kodit dhe për të rishikuar në mënyrë të vazhdueshme funksionimin e tij;
c) përcakton procedura dhe struktura përgjegjëse për të shqyrtuar ankesat mbi shkelje të kodit ose të mënyrës se si është zbatuar ose po zbatohet kodi nga një kontrollues apo përpunues, si dhe për të bërë transparente për subjektet e të dhënave dhe publikun këto procedura dhe struktura; dhe
ç) provon që përgjegjësitë dhe detyrat e tij nuk shkaktojnë konflikt interesash.
2. Komisioneri përcakton me udhëzim kriteret për akreditim si organ monitorues.
3. Pa cenuar detyrat dhe kompetencat e Komisionerit, organi monitorues, në përputhje me masat e duhura mbrojtëse, merr masa të përshtatshme në rastet e shkeljes së kodit nga një kontrollues ose përpunues, i cili ka marrë përsipër t’i përmbahet kodit, përfshirë pezullimin ose përjashtimin e kontrolluesit ose të përpunuesit nga kodi. Organi monitorues informon Komisionerin për këto masa dhe për arsyet që çuan në ndërmarrjen e tyre. Komisioneri mund t’i anulojë këto masa në çdo kohë.
4. Komisioneri shfuqizon akreditimin, kur organi monitorues nuk ka përmbushur ose nuk përmbush më kushtet për akreditim ose nëse masat e marra prej tij përbëjnë shkelje të këtij ligji.
5. Ky nen nuk zbatohet nëse përpunimi kryhet nga një autoritet publik.
Neni 37
Certifikimi
1. Komisioneri përcakton, me udhëzim, kriteret e përgjithshme të kërkuara për certifikimin dhe për dhënien e vulave dhe të shenjave të mbrojtjes së të dhënave. Këto instrumente provojnë se veprimi i përpunimit ose të gjitha veprimet e përpunimit të një kontrolluesi ose përpunuesi kanë kaluar procesin e certifikimit. Vulat dhe shenjat e mbrojtjes së të dhënave shërbejnë që kontrolluesit dhe përpunuesit të jenë në gjendje të demonstrojnë përputhshmërinë me këtë ligj.
2. Kërkesa për certifikim bëhet nga vetë subjekti dhe certifikimi jepet përmes një procesi transparent. Kontrolluesi ose përpunuesi, i cili paraqet veprimet e përpunimit për certifikim, i ofron organit të certifikimit, të përmendur në nenin 38, të këtij ligji, të gjithë informacionin dhe aksesin në veprimtaritë e përpunimit, të cilat janë të nevojshme për kryerjen e procedurës së certifikimit.
3. Pa cenuar kompetencat e Komisionerit dhe pasi ai të jetë informuar nga organi certifikues me qëllim që të ushtrojë kompetencat e veta, procesi i përpunimit që do të certifikohet, kontrollohet nga organizmi certifikues, nëse përmbush të gjitha kërkesat e mekanizmit të certifikimit të miratuar nga Komisioneri në kuadër të akreditimit të organizmit certifikues në përputhje me nenin 38, të këtij ligji. Marrja e certifikimit në përputhje me këtë nen konfirmon që procesi i përpunimit i certifikuar kryhet në përputhje me një mekanizëm certifikimi të miratuar nga Komisioneri.
4. Vulat dhe shenjat e mbrojtjes së të dhënave mund të përdoren vetëm nga ata kontrollues ose përpunues që kanë marrë certifikimin e duhur për proceset e përpunimit.
5. Certifikimi nuk përjashton ose kufizon përgjegjësinë e kontrolluesit ose të përpunuesit për zbatimin e këtij ligji dhe as detyrat e kompetencat e Komisonerit.
6. Certifikimi që i lëshohet kontrolluesit ose përpunuesit është i vlefshëm për jo më shumë se tre vjet dhe mund të rinovohet sipas të njëjtave kushteve, nëse plotësohen kriteret e përcaktuara. Certifikimi shfuqizohet nga organizmi përgjegjës i certifikimit, kur nuk janë plotësuar ose nuk plotësohen më kriteret për certifikim.
7. Organizmat e certifikimit i japin Komisionerit arsyet për dhënien ose shfuqizimin e një certifikimi.
Neni 38
Organizmat e certifikimit
1. Certifikimi mund të jepet vetëm nga organizmat e certifikimit, të cilët janë akredituar nga Drejtoria e Përgjithshme e Akreditimit, në përputhje me këtë ligj, si dhe me ligjin nr.116/2014, “Për akreditimin e organeve të vlerësimit të konformitetit në Republikën e Shqipërisë”. Akreditimi jepet, nëse organizmi që paraqet kërkesën plotëson kriteret e përcaktuara në pikën 2, të këtij neni, si dhe kriteret shtesë, të cilat përcaktohen me udhëzim të Komisionerit. Akreditimi lëshohet për një afat maksimal prej 5 (pesë) vjetësh dhe mund të rinovohet me të njëjtat kushte si akreditimi fillestar.
2. Një organizëm certifikues duhet:
a) të ketë nivelin e duhur të njohurive në lidhje me trajtimin e certifikimit, të vulave ose shenjave, si dhe në lidhje me zbatimin e mbrojtjes së të dhënave për lëndën, objekt certifikimi;
b) të provojë pavarësi dhe të angazhohet në ushtrimin e përgjegjësive dhe detyrave të tij në një mënyrë që nuk shkakton konflikt interesi;
c) të paraqesë një mekanizëm certifikimi, që konsiston në dokumentimin e kritereve dhe të procedurave, që do të zbatohen për vlerësimin e proceseve të përpunimit dhe lëshimin, rishikimin periodik e shfuqizimin e certifikimit të mbrojtjes së të dhënave, vulave dhe shenjave;
ç) të angazhohet për të respektuar kriteret e certifikimit, të përcaktuara me udhëzim të Komisionerit, në përputhje me pikën 1, të nenit 37, të këtij ligji, dhe mekanizmin e certifikimit, të miratuar nga Komisioneri në kuadër të akreditimit të organizmit certifikues;
d) të përcaktojë procedura dhe strukturat përgjegjëse për të shqyrtuar ankesat mbi shkeljen e procedurës së certifikimit ose mënyrën se si është zbatuar ose po zbatohet certifikimi nga kontrolluesi ose përpunuesi, si dhe për të bërë transparente për subjektet e të dhënave dhe publikun këto procedura dhe struktura.
3. Organizmat e certifikimit janë përgjegjës për vlerësimin e duhur të kritereve për dhënien e certifikimit ose të shfuqizimit të tij, pavarësisht përgjegjësisë së kontrolluesit ose të përpunuesit për zbatimin e këtij ligji.
4. Drejtoria e Përgjithshme e Akreditimit, bazuar në propozimin e Komisionerit, shfuqizon akreditimin e një organizmi certifikues, kur nuk janë plotësuar ose nuk plotësohen më kushtet dhe kriteret për akreditim ose nëse masat e marra nga organi certifikues shkelin këtë ligj.
KAPITULLI IV
TRANSFERIMI NDËRKOMBËTAR I TË DHËNAVE
Neni 39
Parime të përgjithshme
1. Transferimi i të dhënave personale, të cilat janë në proces përpunimi ose që do të përpunohen pas transferimit, në një vend të huaj ose në një organizatë ndërkombëtare, si dhe transferimi i mëtejshëm i të dhënave personale nga një shteti i huaj ose organizatë ndërkombëtare te një shtet i huaj ose organizatë ndërkombëtare tjetër, kryhet vetëm nëse garantohet mbrojtja e mjaftueshme e të dhënave në destinacion, ose ajo sigurohet posaçërisht për atë transferim, në përputhje me këtë kapitull. Të gjitha dispozitat e këtij kapitulli zbatohen në mënyrë që të sigurohet se niveli i mbrojtjes së të dhënave personale, i garantuar nga ky ligj, nuk cenohet nga transferimi ndërkombëtar i të dhënave.
2. Vendimet e gjykatave, si dhe vendimet e organeve administrative të një shteti të huaj, që përcaktojnë detyrimin për një kontrollues ose përpunues që të transferojë ose të përhapë të dhëna personale, mund të njihen ose të zbatohen vetëm nëse bazohen në një marrëveshje ndërkombëtare, siç mund të jetë një traktat për ndihmë të ndërsjellë juridike në fuqi ndërmjet shtetit të huaj kërkues dhe Republikës së Shqipërisë, pa cenuar kriteret e tjera për transferim të parashikuara në këtë kapitull.
Neni 40
Transferimi i të dhënave në bazë të vendimit të përshtatshmërisë
1. Transferimi i të dhënave personale drejt vendeve të huaja ose organizatave ndërkombëtare lejohet kur marrësi ndodhet në një shtet, territor ose bën pjesë në një ose më shumë sektorë të caktuar brenda shtetit të huaj ose në një organizatë ndërkombëtare, që siguron nivel të mjaftueshëm të mbrojtjes së të dhënave sipas pikës 2, të këtij neni.
2. Niveli i mbrojtjes së të dhënave personale për një shtet, territor apo sektor të caktuar apo për një organizatë ndërkombëtare përcaktohet me vendim të Komisionerit, që publikohet në përputhje me pikën 1, të nenit 85, të këtij ligji.
3. Niveli i mbrojtjes së të dhënave personale në një shtet të huaj ose organizatë ndërkombëtare përcaktohet duke marrë parasysh:
a) ekzistencën dhe zbatimin e legjislacionit në fushën e mbrojtjes së të dhënave;
b) të gjitha rrethanat që lidhen me sundimin e ligjit dhe respektimin e të drejtave të njeriut dhe të lirive themelore;
c) legjislacionin ekzistues dhe zbatimin e tij në fushat e sigurisë kombëtare dhe të rendit publik, duke përfshirë të drejtën penale;
ç) fushën e mbrojtjes së të dhënave, veçanërisht ekzistencën e një sistemi efektiv për parashikimin dhe zbatimin e të drejtave të subjekteve të të dhënave, duke përfshirë ekzistencën dhe funksionimin efektiv të një ose më shumë autoriteteve mbikëqyrëse të pavarura në një vend të tretë ose të cilit i nënshtrohet një organizatë ndërkombëtare, i pajisur me përgjegjësi për të siguruar e zbatuar rregullat e mbrojtjes së të dhënave, duke përfshirë kompetenca të përshtatshme për zbatimin e tyre, për të asistuar dhe ndihmuar subjektet e të dhënave në ushtrimin e të drejtave të tyre dhe për bashkëpunimin me autoritetet mbikëqyrëse të shteteve të tjera, si dhe mjeteve efektive administrative dhe ligjore; dhe
d) angazhimet ndërkombëtare të shtetit ose të organizatës ndërkombëtare, anëtarësimin në instrumente të së drejtës ndërkombëtare dhe detyrimet që rrjedhin prej tyre, si dhe pjesëmarrjen në sisteme shumëpalëshe ose rajonale, veçanërisht në lidhje me mbrojtjen e të dhënave personale.
4. Komisioneri monitoron zhvillimet në ato vende ose organizata ndërkombëtare, të cilat janë vlerësuar me nivel të mjaftueshëm mbrojtjeje të të dhënave personale dhe rishikon vendimet e tij në përputhje me rrethanat përkatëse.
Neni 41
Transferimi i të dhënave në mungesë të një vendimi të përshtatshmërisë
1. Në mungesë të një vendimi për përshtatshmërinë, një kontrollues ose përpunues mund t’i transferojë të dhënat personale drejt një vendi të tretë ose një organizate ndërkombëtare vetëm nëse ai siguron masa të përshtatshme mbrojtëse dhe me kusht që të drejtat e zbatueshme të subjektit të të dhënave dhe mjetet juridike efektive për subjektet e të dhënave janë të disponueshme. Masat e përshtatshme mbrojtëse mund të parashikohen pa kërkuar ndonjë autorizim specifik nga një autoritet mbikëqyrës nga:
a) një instrument ligjërisht i detyrueshëm dhe i zbatueshëm ndërmjet autoriteteve ose organeve publike;
b) rregulla të detyrueshme të grupit të shoqërive tregtare të miratuara nga Komisioneri;
c) klauzola standarde për mbrojtjen e të dhënave, të publikuara nga Komisioneri;
ç) një kod sjelljeje, të miratuar nga Komisioneri, së bashku me angazhimet detyruese dhe të zbatueshme të marrësit në një vend pa mbrojtje të përshtatshme të të dhënave ose pranë organizatës ndërkombëtare, për të zbatuar masat mbrojtëse të përshtatshme, duke përfshirë të drejtat e subjekteve të të dhënave; ose
d) një mekanizëm certifikimi, i miratuar nga Komisioneri, së bashku me angazhimet detyruese dhe të zbatueshme të marrësit në një vend pa mbrojtje të përshtatshme të të dhënave ose pranë organizatës ndërkombëtare për të zbatuar masat mbrojtëse të përshtatshme, duke përfshirë të drejtat e subjekteve të të dhënave.
2. Në varësi të autorizimit nga Komisioneri, masat e përshtatshme mbrojtëse mund të parashikohen gjithashtu, në veçanti, nga:
a) klauzola kontraktuale ndërmjet kontrolluesit ose përpunuesit dhe kontrolluesit, përpunuesit ose marrësit të të dhënave personale në vendin e tretë ose në organizatën ndërkombëtare; ose
b) dispozitat që do të futen në marrëveshjet administrative ndërmjet autoriteteve ose organeve publike, të cilat përfshijnë të drejta të zbatueshme dhe efektive të subjektit të të dhënave.
3. Në mungesë të një vendimi të përshtatshmërisë ose të masave të përshtatshme mbrojtëse në përputhje me pikën 1, të këtij neni, duke përfshirë rregullat detyruese të grupit të shoqërive tregtare, një transferim ose një grup transferimesh i të dhënave personale në një vend të tretë ose një organizatë ndërkombëtare do të bëhet vetëm nëse zbatohet njëri nga kushtet e mëposhtme:
a) Subjekti i të dhënave ka dhënë pëlqimin e informuar dhe të qartë për transferimin ndërkombëtar të të dhënave të propozuar, pasi është informuar qartësisht për rreziqet e transferimit;
b) Transferimi është i nevojshëm për zbatimin e një kontrate ndërmjet subjektit të të dhënave dhe kontrolluesit, për zbatimin e masave parakontraktore, të ndërmarra me kërkesë të subjektit të të dhënave ose transferimi është i nevojshëm për lidhjen ose zbatimin e një kontrate ndërmjet kontrolluesit dhe një pale të tretë, në interes të subjektit të të dhënave;
c) Përpunimi është i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër fizik kur subjekti i të dhënave është fizikisht i pamundur për të dhënë pëlqimin ose kur e drejta për të vepruar është hequr ose kufizuar;
ç) Transferimi është i nevojshëm për shkak të një interesi të rëndësishëm publik;
d) Përpunimi është i nevojshëm për paraqitjen e një kërkese ose ushtrimin, ose mbrojtjen e një të drejte, të një detyrimi ose të një interesi të ligjshëm përpara një gjykate ose autoriteti publik;
dh) transferimi bëhet nga një regjistër që, sipas ligjit, është i hapur për konsultim dhe i jep informacion publikut të gjerë, me kusht që transferimi të përfshijë vetëm informacione të caktuara dhe jo ndarje të tëra të regjistrit.
4. Kur një transferim nuk mund të bazohet në një dispozitë në nenin 40, të këtij ligji, ose në pikën 1, të këtij neni, duke përfshirë dispozitat për rregullat e detyrueshme të grupit të shoqërive tregtare dhe asnjë nga përjashtimet për një situatë specifike të përmendur në shkronjën “a”, të pikës 2, të këtij neni, nuk është i zbatueshëm, një transferim në një vend të tretë ose një organizatë ndërkombëtare mund të bëhet vetëm nëse transferimi nuk është i përsëritur, ka të bëjë vetëm me një numër të kufizuar subjektesh të të dhënave, është i nevojshëm për qëllimet e interesave legjitimë të ndjekur nga kontrolluesi, që nuk mbizotërojnë mbi interesat ose të drejtat dhe liritë e subjektit të të dhënave dhe kontrolluesi ka vlerësuar të gjitha rrethanat, që lidhen me transferimin e të dhënave dhe mbi bazën e këtij vlerësimi ka ofruar garanci të përshtatshme në lidhje me mbrojtjen e të dhënave personale. Kontrolluesi informon Komisionerin për transferimin. Kontrolluesi, përveç dhënies së informacionit të përmendur në nenet 13 e 14, të këtij ligji, informon subjektin e të dhënave për transferimin dhe për interesat e ligjshëm bindës të ndjekur.
5. Shkronjat “a” dhe “b”, të pikës 3, dhe pika 4, të këtij neni, nuk zbatohen për aktivitetet e kryera nga autoritetet publike në ushtrimin e funksioneve, të detyrave ose të kompetencave të tyre publike.
Neni 42
Rregullat e detyrueshme të grupit të shoqërive tregtare
1. Komisioneri mund të miratojë rregulla të detyrueshme të shoqërive tregtare, të cilat përcaktojnë rregulla për përpunimin e të dhënave personale brenda grupit të shoqërive tregtare ose grupit të tregtarëve dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik, nëse këto rregulla përmbushin kërkesat e mëposhtme:
a) Janë të detyrueshme dhe zbatohen nga çdo anëtar i grupit të shoqërive tregtare ose grupit të tregtarëve dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik, përfshirë punonjësit e tyre;
b) Parashikojnë shprehimisht të drejta për subjektet e të dhënave në lidhje me përpunimin e të dhënave të tyre personale; dhe
c) Përmbajnë përcaktimet, sipas pikës 2, të këtij neni.
2. Rregullat e detyrueshme të grupit të shoqërive tregtare duhet të përcaktojnë të paktën:
a) strukturën dhe të dhënat e kontaktit të grupit të shoqërive tregtare ose të grupit të tregtarëve dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik dhe të secilit prej anëtarëve të tij;
b) transferimet e të dhënave ose grupin e transferimeve, përfshirë kategoritë e të dhënave personale, llojin e përpunimit dhe qëllimet e tij, llojin e subjekteve të të dhënave të përfshira dhe vendin, vendet e huaja ose organizatat ndërkombëtare në fjalë;
c) natyrën detyruese të rregullave të grupit të shoqërive tregtare, si të atyre të brendshme dhe të jashtme;
ç) zbatimin e parimeve të përgjithshme të mbrojtjes së të dhënave, siç përcaktohet në nenin 6, të këtij ligji;
d) të drejtat e subjekteve të të dhënave lidhur me përpunimin dhe mjetet për t’i ushtruar ato, duke përfshirë të drejtën për të mos iu nënshtruar vendimeve, bazuar vetëm në përpunim automatik, duke përfshirë profilizimin, të drejtën për të paraqitur një ankim tek autoriteti kompetent mbikëqyrës dhe para gjykatave kompetente në përputhje me nenin 88, të këtij ligji, të drejtën për korrigjim dhe, sipas rastit, kompensimin për një shkelje të rregullave detyruese të brendshme;
dh) pranimin nga kontrolluesit ose përpunuesit e vendosur në Republikën e Shqipërisë, pjesë e grupit të shoqërive tregtare, të përgjegjësisë ndaj subjekteve të të dhënave në Republikën e Shqipërisë, për çdo shkelje të rregullave të detyrueshme të grupit të shoqërive tregtare nga ndonjë anëtar i grupit, i cili nuk është i vendosur në Republikën e Shqipërisë, përveç nëse kontrolluesi ose përpunuesi shqiptar vërteton që anëtari në fjalë nuk është përgjegjës për ngjarjen që ka shkaktuar dëmin;
e) mekanizmat e ngritur brenda grupit të shoqërive tregtare ose grupit të tregtarëve dhe shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik për të siguruar përputhshmërinë me rregullat, siç janë caktimi i nëpunësve të mbrojtjes së të dhënave, trajnimi i punonjësve, kryerja e auditeve, mekanizmat për raportimin dhe regjistrimin e shkeljeve ose masat korrigjuese;
ë) mekanizmat për raportimin dhe regjistrimin e ndryshimeve të rregullave dhe raportimin e këtyre ndryshimeve te Komisioneri si autoriteti mbikëqyrës;
f) mekanizmat e bashkëpunimit me autoritetin mbikëqyrës, duke përfshirë mekanizmat për raportimin e çdo kriteri ligjor të zbatueshëm në lidhje me një anëtar të grupit në një shtet të huaj dhe që mund të ketë një efekt negativ serioz në garancitë e parashikuara nga rregullat e detyrueshme të grupit të shoqërive tregtare.
KAPITULLI V
PËRPUNIMI I TË DHËNAVE PËR QËLLIME TË POSAÇME
Neni 43
Përpunimi i të dhënave personale dhe liria e shprehjes
1. Me qëllim harmonizimin e së drejtës për mbrojtjen e të dhënave personale me lirinë e shprehjes dhe të informimit, përfshirë përpunimin e të dhënave personale për qëllime gazetarie dhe për qëllime akademike, artistike e letrare, mund të zbatohen, në masë të nevojshme dhe proporcionale, përjashtime nga dispozitat e këtij ligji, me kusht që:
a) kontrolluesi të ketë si qëllim të botojë materiale gazetarie, akademike, letrare ose artistike, për përgatitjen e të cilave janë të nevojshme të dhënat personale;
b) kontrolluesi nuk i përpunon të dhënat personale për asnjë qëllim tjetër përveç atyre të parashikuara në shkronjën “a”, të kësaj pike;
c) publikimi i materialit në një rast specifik të jetë në interes të publikut;
ç) zbatimi i dispozitave të këtij ligji mund ta bëjë të pamundur ose të rrezikojë seriozisht arritjen e qëllimit të kontrolluesit;
d) të mos cenohet thelbi i të drejtave dhe i lirive themelore të subjekteve të të dhënave.
2. Kur kontrolluesi zbaton përjashtime në përputhje me pikën 1, të këtij neni, ai i ruan të dhënat personale vetëm për kohën që i duhet që të botojë materiale gazetarie, akademike, letrare ose artistike dhe i përhap ato vetëm:
a) në formën e materialit të gazetarisë, akademik, letrar ose artistik të botuar;
b) drejt marrësve, të cilët e ndihmojnë atë në përgatitjen e materialit të gazetarisë, akademik, letrar ose artistik, material, të cilin ai synon ta publikojë;
c) drejt marrësve, që janë botuesit e mundshëm të atij materiali; ose
ç) kur është i nevojshëm për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike.
3. Kur boton një material gazetarie, akademik, letrar ose artistik, i cili është përgatitur duke u mbështetur në përjashtimet sipas pikës 1, të këtij neni, kontrolluesi nuk duhet të publikojë informacione mbi bazën e të cilave, në mënyrë të drejtpërdrejtë ose tërthorazi, mund të identifikohet:
a) një i mitur, me përjashtim të rasteve kur është marrë:
i. pëlqimi i prindit ose i kujdestarit ligjor të të miturit; ose
ii. leje nga gjykata.
b) viktima ose personi, i cili pretendon se është dëmtuar nga kryerja e një vepre penale, me përjashtim të rasteve kur:
i. është marrë pëlqimi i viktimës ose i personit, i cili pretendon se është dëmtuar nga kryerja e një vepre penale;
ii. është marrë leje nga gjykata; ose
iii. viktima është figurë publike dhe veprimi që e bën atë viktimë ka lidhje me funksionin e tij publik.
4. Nuk lejohen përjashtime nga dispozitat, që kanë të bëjnë me kërkesat për përpunimin e të dhënave të të miturve, nga dispozitat e neneve 6 e 21, të këtij ligji, dhe nga dispozitat e pjesës V, të këtij ligji.
Neni 44
Përpunimi i të dhënave personale dhe aksesi i informacionit në sektorin publik
1. E drejta për mbrojtjen e të dhënave personale ushtrohet në harmoni me të drejtën e aksesit në dokumentet zyrtare dhe të drejtën e informimit, siç parashikohet në ligjin nr.45/2022, “Për ratifikimin e Konventës së Këshillit të Evropës për aksesin në dokumentet zyrtare”, ligjin nr.119/2014, “Për të drejtën e informimit”, të ndryshuar, si dhe ligjin nr.33/2022, “Për të dhënat e hapura dhe ripërdorimin e informacionit të sektorit publik”.
2. Aksesi i publikut në informacionin publik, siç përcaktohet në ligjin nr.119/2014 ,”Për të drejtën e informimit”, të ndryshuar, dhe aksesi i publikut në informacionin, që lidhet me kryerjen e funksioneve dhe të detyrave zyrtare, nuk pengohet nga e drejta për mbrojtjen e të dhënave personale të personave fizikë, të cilët konsiderohen si autoritete publike ose ushtrojnë funksione shtetërore, përveç rasteve kur të drejta të tjera themelore, si e drejta e tyre për jetën ose e drejta e tyre për integritet fizik e mendor, kërkojnë mbrojtjen e të dhënave të tyre në një rast ose kategori të caktuar rastesh.
Neni 45
Përpunimi i të dhënave personale për qëllime arkivimi për interes publik,
për qëllime historike ose kërkimore, shkencore apo për qëllime statistikore
1. Përpunimi i të dhënave personale, përfshirë të dhënat sensitive dhe penale, për qëllime arkivimi për interes publik, qëllime historike ose kërkimore, shkencore ose qëllime statistikore, përbën interes të ligjshëm të kontrolluesit, me përjashtim të rastit kur mbizotërojnë interesat ose të drejtat dhe liritë themelore të subjektit të të dhënave, të cilët kërkojnë mbrojtje të të dhënave të tyre personale. Për këtë qëllim, zbatohet pika 3, e këtij neni.
2. Të dhënat personale, përfshirë të dhënat sensitive dhe penale, të mbledhura për cilindo qëllim, mund të përpunohen më tej për qëllime arkivimi për interes publik, për qëllime historike, kërkimore, shkencore ose qëllime statistikore, sipas kritereve të posaçme të përcaktuara në pikën 3, të këtij neni.
3. Përpunimi sipas pikës 1, të këtij neni, si dhe përpunimi i mëtejshëm, sipas pikës 2, të këtij neni, kryhen kur zbatohen masa të përshtatshme mbrojtëse për të drejtat dhe liritë e subjektit të të dhënave. Këto masa mbrojtëse përfshijnë, por nuk kufizohen në, sa më poshtë:
a) masa teknike dhe organizative të ndërmarra nga kontrolluesi në përputhje me këtë ligj dhe, veçanërisht, respektimin e parimit të minimizimit të të dhënave ose pseudonimizimin e tyre në mënyrë të tillë që të përmbushet qëllimi i përpunimit. Kur qëllimet sipas këtij neni mund të përmbushen duke përpunuar të dhëna të anonimizuara, ose të paktën të pseudonimizuara, qëllimi do të përmbushet në këtë mënyrë;
b) pseudonimizimin e të dhënave dhe, nëse nuk cenohet përmbushja e qëllimit të përpunimit të mëtejshëm, anonimizimin tyre, përpara transferimit të të dhënave për qëllime përpunimi të mëtejshëm;
c) masa mbrojtjeje të veçanta, në mënyrë që të dhënat e mbledhura për përpunim ose përpunim të mëtejshëm, sipas pikave 1 ose 2, të këtij neni, të mos përpunohen për marrjen e masave ose të vendimeve ndaj subjektit të të dhënave, me përjashtim të rastit kur subjekti i të dhënave ka dhënë shprehimisht pëlqimin.
4. Përjashtimet nga ushtrimi i një ose disa prej të drejtave të subjekteve të të dhënave në lidhje me veprimet e përpunimit për qëllimet e përmendura në pikat 1 dhe 2, të këtij neni, zbatohen në ato raste kur ushtrimi i tyre mund të shkaktojë një dëm serioz ose të bëjë të pamundur përmbushjen e qëllimeve specifike dhe janë të nevojshme për përmbushjen tyre. Barra e provës për të provuar shkallën e vështirësisë së pengesave në arritjen e qëllimit të procesit të përpunimit, që do të shkaktohej nga ushtrimi i të drejtave të një subjekti të të dhënave i përket kontrolluesit.
Neni 46
Përpunimi i të dhënave për qëllime të marketingut të drejtpërdrejtë
1. Përpunimi i të dhënave personale mund të kryhet në kuadër të marketingut të drejtpërdrejtë si formë komunikimi me persona drejtpërdrejtë të identifikueshëm, me qëllim promovimin e mallrave ose të shërbimeve, duke përfshirë reklamimin e anëtarësimit në organizata, kërkimin e donacioneve, si dhe aktiviteteve të marketingut të drejtpërdrejtë, që përfshijnë çdo akt përgatitor nga reklamuesi ose nga një palë e tretë për të mundësuar këtë komunikim.
2. Përpunimi për qëllime të marketingut të drejtpërdrejtë, që ndiqet nga kontrolluesi ose nga palë të treta, mund të bazohet në interesin legjitim, në kuptim të shkronjës “dh”, të nenit 7, të këtij ligji, për aq sa nuk cenohen interesat për mbrojtjen e subjekteve të të dhënave. Kjo pikë zbatohet edhe për përdorimin e të dhënave të marra nga burime të aksesueshme nga publiku për qëllime të marketingut të drejtpërdrejtë.
3. Përpunimi i të dhënave sensitive për qëllime të marketingut të drejtpërdrejtë kryhet me pëlqimin e shprehur të subjektit të të dhënave.
4. Kur të dhënat personale përpunohen për qëllime të marketingut të drejtpërdrejtë, subjekti i të dhënave gëzon të drejtën ta kundërshtojë këtë përpunim në çdo moment, në përputhje me dispozitat e veçanta të pikës 2, të nenit 19, të këtij ligji.
PJESA III
PËRPUNIMI I TË DHËNAVE PERSONALE NGA AUTORITETET KOMPETENTE PËR SIGURINË PUBLIKE OSE KOMBËTARE DHE PËR PARANDALIMIN E NDJEKJEN E VEPRAVE PENALE
KAPITULLI I
DISPOZITA TË PËRGJITHSHME
Neni 47
Fusha e zbatimit
Dispozitat e kësaj pjese zbatohen për përpunimin e të dhënave personale të përmendura në pikën 1, të nenit 3, të këtij ligji, nga autoritetet kompetente për qëllime të parandalimit, hetimit, zbulimit ose ndjekjes së veprave penale ose ekzekutimit të dënimeve penale, duke përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes dhe sigurisë kombëtare.
KAPITULLI II
PËRPUNIMI I TË DHËNAVE PERSONALE
Neni 48
Parimet në lidhje me përpunimin e të dhënave personale
1. Përpunimi i të dhënave personale sipas kësaj pjese do të kryhet nga autoritetet kompetente në përputhje me parimet e përcaktuara në nenet 6 e 51, të këtij ligji, lidhur me përpunimin e mëtejshëm për qëllime të tjera.
2. Çdo ligj për parandalimin, hetimin, zbulimin ose ndjekjen e veprave penale ose ekzekutimin e dënimeve penale, duke përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes dhe sigurisë kombëtare, duhet të parashikojë afate të përshtatshme kohore për fshirjen e të dhënave personale ose për një rishikim periodik të nevojës për ruajtjen e të dhënave personale, duke përfshirë masat procedurale që sigurojnë respektimin e kufizimeve kohore.
Neni 49
Dallimi dhe cilësia e të dhënave
1. Për aq sa është e mundur, kontrolluesi bën një dallim të qartë midis të dhënave personale të kategorive të ndryshme të subjekteve të të dhënave në çështjet penale, si më poshtë:
a) Personi, të cilit i atribuohet vepra penale, personi nën hetim, i arrestuar, i ndaluar, i pandehuri dhe personi për të cilin ekziston një dyshim i arsyeshëm dhe i bazuar në prova se do të kryejë një vepër penale;
b) I dënuari me vendim gjyqësor penal të formës së prerë të gjykatave shqiptare ose i dënuar me vendim gjyqësor të dhënë nga gjykatat e huaja, vendim, i cili është njohur sipas legjislacionit në fuqi dhe i është konvertuar dënimi me vendim të formës së prerë të gjykatave shqiptare;
c) Viktima e një vepre penale, viktima akuzuese, paditësi civil në procesin penal ose personi për të cilin ekziston një dyshim i arsyeshëm dhe i bazuar në prova se mund të jetë viktimë e një vepre penale; dhe
ç) Kallëzuesi, viktima që paraqet ankimin, personi që mund të tregojë rrethana të dobishme për qëllimet e hetimit, personi që dyshohet se merr ose transmeton komunikime nga i dyshuari për kryerjen e veprës penale apo që merr pjesë në transanksione me të, personi, vëzhgimi i të cilit mund të çojë në zbulimin e vendndodhjes së personave të përmendur në shkronjat “a” dhe “b”, të kësaj pike, personi i marrë si i pandehur në një procedim të lidhur, dëshmitari, personat e lidhur dhe bashkëpunëtorët e personave të përmendur në shkronjat “a” dhe “b”, të kësaj pike.
2. Të dhënat personale të bazuara në fakte duhet të dallohen, për aq sa është e mundur, nga të dhënat personale të bazuara në vlerësime personale. Për të dhënat personale të bazuara në vlerësime personale mbahet një regjistër i veçantë, në të cilin shënohen arsyet dhe rrethanat që kanë diktuar këtë vlerësim.
3. Autoritetet kompetente ndërmarrin hapat dhe masat e duhura teknike e organizative për të siguruar që të dhënat personale të pasakta ose të paplota, ose të dhënat që nuk janë të përditësuara ose që duhen fshirë, nuk transferohen dhe as nuk vihen në dispozicion, veçanërisht për efekt të ruajtjes automatike nga sistemet e arkivimit. Përpara transmetimit ose të vënies në dispozicion të tyre, autoriteti kompetent verifikon, për aq sa është e mundur, cilësinë e të dhënave. Të dhënat personale të mbajtura gati për rikthim automatik mbahen të plota e të përditësuara në çdo kohë.
4. Për aq sa është e mundur, së bashku me çdo transmetim të të dhënave personale, jepen informacione shtesë që i japin mundësi marrësit që të vlerësojë përditësimin, korrektësinë, plotësinë dhe besueshmërinë e të dhënave personale të transmetuara.
5. Nëse rezulton se janë transmetuar të dhëna personale, të cilat nuk janë në përputhje me kërkesat e pikës 3, të këtij neni, autoriteti kompetent për transmetimin ose autoriteti kompetent që mban sistemin e arkivimit njofton pa vonesa marrësin. Marrësi fshin menjëherë të dhënat që janë transmetuar në mënyrë të paligjshme, korrigjon të dhënat e pasakta, plotëson të dhënat jo të plota ose kufizon menjëherë përpunimin.
6. Nëse autoriteti kompetent pritës ka arsye të besojë se të dhënat personale të transmetuara janë të pasakta ose të papërditësuara ose duhet të fshihen, ose që përpunimi i tyre do të duhej të kufizohej, ai njofton menjëherë autoritetin kompetent transmetues. Ky i fundit merr menjëherë masat e nevojshme.
Neni 50
Përpunimi i ligjshëm i të dhënave personale
Përpunimi i të dhënave personale sipas kësaj pjese është i ligjshëm vetëm nëse dhe deri në masën që:
a) parashikohet me ligj; si dhe
b) është i domosdoshëm e proporcional për përmbushjen e një detyre nga autoriteti kompetent për qëllimet sipas nenit 47, të këtij ligji.
Neni 51
Përpunimi për qëllime të tjera
1. Përpunimi i mëtejshëm i të dhënave personale nga i njëjti autoritet kompetent ose nga një autoritet kompetent tjetër për qëllimet sipas nenit 47, të këtij ligji, lejohet kur autoriteti kompetent është i autorizuar nga ligji për të realizuar qëllimin tjetër, si dhe për aq sa është e nevojshme e në proporcion me qëllimin e ri.
2. Përpunimi i mëtejshëm për qëllime të tjera, përveç atyre të përcaktuara në nenin 49, të këtij ligji, mund të kryhet vetëm kur kjo autorizohet shprehimisht nga ligji. Për përpunimin sipas këtyre qëllimeve zbatohen dispozitat e pjesës II, të këtij ligji.
3. Përpunimi i mëtejshëm për qëllime arkivimi për interes publik, për qëllim kërkimor, historik ose shkencor, ose qëllime statistikore, lejohet duke iu nënshtruar masave mbrojtëse të përshtatshme për të drejtat dhe liritë e subjektit të të dhënave, në përputhje me pikën 3, të nenit 45, të këtij ligji.
Neni 52
Përpunimi i ligjshëm i të dhënave sensitive
1. Përpunimi i të dhënave sensitive nga autoritetet kompetente lejohet vetëm kur ky përpunim është absolutisht i nevojshëm, kur zbatohen masa të përshtatshme mbrojtëse për të drejtat dhe liritë themelore të subjekteve të të dhënave, si dhe nëse:
a) autorizohet në mënyrë specifike me ligj, me përjashtim të rastit kur është absolutisht i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër; ose
b) ka të bëjë me të dhëna, të cilat janë bërë haptazi publike nga subjekti i të dhënave dhe i shërben një qëllimi për të cilin kontrolluesi është kompetent sipas ligjit.
2. Kufizimet e veçanta të parashikuara nga pika 2, e nenit 53, të këtij ligji, duhet të mbahen në konsideratë.
Neni 53
Vendimmarrja individuale automatike
1. Ndalohet marrja e vendimeve të bazuara vetëm te përpunimi automatik, përfshirë profilizimin, të cilat sjellin pasoja ligjore negative për subjektin e të dhënave ose mund të ndikojnë ndjeshëm te subjekti i të dhënave, me përjashtim të rastit kur parashikohen shprehimisht me ligj, i cili parashikon masa të përshtatshme mbrojtëse për të drejtat e liritë themelore të subjektit të të dhënave dhe të drejtën që t’i sigurohet ndërhyrje manuale nga ana e kontrolluesit.
2. Vendimet sipas pikës 1, të këtij neni, nuk mund të bazohen në të dhëna sensitive, nëse nuk zbatohen masa të përshtatshme për të mbrojtur të drejtat, liritë themelore dhe interesat legjitimë të subjektit të të dhënave. Ndalohen vendimet, sipas pikës 1, të këtij neni, që rezultojnë në diskriminim ndaj personave fizikë në bazë të të dhënave sensitive.
3. Profilizimi që sjell si pasojë diskriminimin e personave për shkak të të dhënave sensitive është i ndaluar.
KAPITULLI III
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
Neni 54
Komunikimi dhe mënyrat e ushtrimit të të drejtave të subjektit të të dhënave
1. Kontrolluesi merr masat e duhura për të ofruar çdo informacion dhe çdo komunikim, sipas neneve 55 – 57, në lidhje me përpunimin për subjektin e të dhënave në një formë koncize, transparente, të kuptueshme dhe lehtësisht të aksesueshme, duke përdorur një gjuhë të qartë dhe të thjeshtë. Informacioni duhet të sigurohet me çdo mjet të përshtatshëm, duke përfshirë edhe mjetet elektronike. Si rregull i përgjithshëm, kontrolluesi duhet të japë informacionin në të njëjtën formë si kërkesa.
2. Kontrolluesi lehtëson ushtrimin e të drejtave të subjektit të të dhënave sipas neneve 53 dhe 55-57.
3. Kontrolluesi duhet t’i japë informacion subjektit të të dhënave me shkrim për vazhdimin e kërkesës së tij ose të saj pa vonesa të panevojshme.
4. Informacioni i dhënë dhe çdo komunikim i bërë ose veprim i ndërmarrë sipas neneve 55 – 57 dhe 67 bëhet pa pagesë. Kur kërkesat nga një subjekt i të dhënave janë haptazi të pabazuara ose të tepruara, veçanërisht për shkak të karakterit të tyre të përsëritur, kontrolluesi mund:
a) të vendosë një tarifë të arsyeshme, duke marrë parasysh kostot administrative për ofrimin e informacionit ose të komunikimit ose për të ndërmarrë veprimin e kërkuar; ose
b) të refuzojë ndërmarrjen e veprimeve për kërkesën.
5. Kontrolluesi ka barrën e provës për të vërtetuar karakterin haptazi të pabazuar ose të tepruar të kërkesës.
6. Kur kontrolluesi ka dyshime të arsyeshme për identitetin e personit fizik, që bën një kërkesë sipas neneve 57 ose 58, mund të kërkojë dhënien e informacionit shtesë të nevojshëm për të konfirmuar identitetin e subjektit të të dhënave.
7. Kur zbatohen kufizime për përgjigjet ndaj kërkesave sipas neneve 57 dhe 58, subjekti i të dhënave mund t’i kërkojë Komisionerit një verifikim të legjitimitetit të të gjitha përgjigjeve. Kontrolluesi informon subjektin e të dhënave për këtë të drejtë.
8. Kur ushtrohet e drejta e parashikuar në pikën 2, të këtij neni, Komisioneri informon subjektin e të dhënave për kryerjen e të gjitha verifikimeve ose të rishikimeve të nevojshme nga Komisioneri, si dhe për të drejtën e tij për të bërë ankesë pranë gjykatës administrative kompetente.
9 Në rastet e përmendura në nenet 54, pika 1, 56, pika 3, e 57, pika 6, të këtij ligji, të drejtat e subjektit të të dhënave mund të ushtrohen edhe nëpërmjet Komisionerit.
10. Kontrolluesi informon subjektin e të dhënave për mundësinë e ushtrimit të të drejtave të tij nëpërmjet Komisionerit, sipas pikës 9, të këtij neni.
11. Kur ushtrohet e drejta e përmendur në pikën 9, të këtij neni, Komisioneri informon subjektin e të dhënave të paktën se janë kryer të gjitha verifikimet e nevojshme ose një rishikim nga Komisioneri. Komisioneri do të informojë gjithashtu subjektin e të dhënave për të drejtën e tij ose të saj për të kërkuar një mjet juridik.
Neni 55
E drejta për informim
1. Kontrolluesi vë në dispozicion të subjektit të të dhënave të paktën informacionin e mëposhtëm:
a) Identitetin dhe të dhënat e kontaktit të kontrolluesit dhe, kur është e zbatueshme, të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave;
b) Qëllimet e përpunimit për të cilat merren të dhënat personale;
c) Bazën ligjore për përpunimin; dhe
ç) Ekzistencën e të drejtave për akses, korrigjim, fshirje dhe kufizimin e përpunimit të të dhënave, si dhe të drejtën për të paraqitur ankesë te Komisioneri, duke përfshirë të dhënat e kontaktit të Komisionerit.
2. Krahas informacionit të parashikuar në pikën 1, të këtij neni, me qëllim për të mundësuar ushtrimin e të drejtave të tij apo të saj, kontrolluesi i jep subjektit të të dhënave, në raste të veçanta, informacionin shtesë, si vijon:
a) Afatin e ruajtjes së të dhënave personale, ose, nëse është e mundur, kriteret e përdorura për caktimin e këtij afati;
b) Sipas rastit, kategoritë e marrësve të të dhënave personale, duke përfshirë ata në vende të huaja apo në organizata ndërkombëtare;
c) Informacione të tjera shtesë, kur është e nevojshme, dhe, në veçanti, kur të dhënat personale janë mbledhur pa dijeninë e subjektit të të dhënave. Për dhënien e informacionit për burimin e mbledhjes së të dhënave, vëmendje e veçantë u kushtohet të drejtave themelore dhe interesave të ligjshëm të personave, që kanë dhënë këto të dhëna.
3. Në raste të veçanta, dhënia e informacionit për subjektin e të dhënave në përputhje me pikën 2, të këtij neni, mund të vonohet, të kufizohet ose të refuzohet në atë masë dhe për aq kohë sa është e nevojshme e proporcionale, duke marrë parasysh të drejtat themelore dhe interesat e ligjshëm të subjektit të të dhënave, me qëllim:
a) shmangien e pengesave ose të paragjykimit për parandalimin, zbulimin, hetimin ose ndjekjen e veprave penale ose ekzekutimin e dënimeve penale, në veçanti duke penguar kërkimet, hetimet, procedurat e zhvilluara nga autoritetet kompetente ose procesin gjyqësor;
b) mbrojtjen e sigurisë publike, të sigurisë kombëtare ose mbrojtjen e të drejtave dhe të lirive të të tjerëve.
Neni 56
E drejta për akses
1. Subjekti i të dhënave ka të drejtë të kërkojë dhe të marrë nga kontrolluesi konfirmimin nëse të dhënat personale në lidhje me të janë duke u përpunuar ose jo, dhe, sipas rastit, të ketë akses te të dhënat personale, sipas nenit 14, të këtij ligji. Për dhënien e informacionit mbi burimin e mbledhjes së të dhënave, në rastet kur të dhënat personale nuk janë mbledhur nga subjekti i të dhënave, vëmendje e veçantë u kushtohet të drejtave themelore dhe interesave të ligjshëm të personave që kanë dhënë këto të dhëna.
2. Kufizimi plotësisht ose pjesërisht i së drejtës për akses lejohet, në atë masë dhe për aq kohë sa ky kufizim i plotë apo i pjesshëm përbën një masë të nevojshme dhe proporcionale në një shoqëri demokratike, duke marrë në konsideratë siç duhet të drejtat themelore dhe interesat legjitimë të personit fizik në fjalë, vetëm kur dhe në masën që zbatimi i saj do të cenonte njërin nga qëllimet e parashikuara në pikën 3, të nenit 55, të këtij ligji.
3. Kontrolluesi njofton subjektin e të dhënave me shkrim dhe pa vonesa të panevojshme për çdo refuzim apo kufizim të aksesit dhe për arsyet mbi të cilat bazohet ky refuzim apo kufizim. Ky informacion mund të mos jepet në rastet kur dhënia e tij do të cenonte njërin prej qëllimeve të parashikuara në pikën 3, të nenit 55, të këtij ligji. Në çdo përgjigje ndaj një kërkese për akses, kontrolluesi informon subjektin e të dhënave për mundësinë e paraqitjes së ankesës te Komisioneri ose në gjykatën kompetente për rishikimin e përgjigjes.
4. Kontrolluesi dokumenton faktet dhe arsyet ligjore të refuzimit të aksesit sipas pikës 2, të këtij neni, dhe e vë këtë informacion në dispozicion të Komisionerit.
Neni 57
E drejta për korrigjimin ose fshirjen e të dhënave personale dhe për kufizimin e përpunimit
1. Subjekti i të dhënave ka të drejtë që kontrolluesi, sa më shpejt të jetë e mundur, të korrigjojë të dhënat e tij personale të pasakta. Bazuar në qëllimet e përpunimit, subjekti i të dhënave ka të drejtën që të plotësohen të dhënat e tij personale të paplota, qoftë edhe duke paraqitur një deklaratë plotësuese.
2. Subjekti i të dhënave ka të drejtën që, sa më shpejt të jetë e mundur, të fshihen të dhënat e tij personale në çdo rast që merr dijeni se të dhënat personale po përpunohen në mënyrë të paligjshme, veçanërisht për shkak të shkeljes së neneve 6 ose 49 – 52, të këtij ligji, ose kur të dhënat personale duhet të fshihen me qëllim përmbushjen e një detyrimi ligjor të kontrolluesit. Kontrolluesi i fshin menjëherë të dhënat, sipas përcaktimeve të kësaj pike.
3. Kontrolluesi nuk i fshin, por vetëm kufizon përpunimin e të dhënave, kur:
a) saktësia e të dhënave personale kundërshtohet nga subjekti i të dhënave dhe saktësia ose pasaktësia e tyre nuk mund të vërtetohet; ose
b) të dhënat personale duhet të mbahen si prova për kryerjen e një detyre, që i është caktuar kontrolluesit me ligj.
4. Në rastin e një kufizimi sipas shkronjës “a”, të pikës 3, të këtij neni, kontrolluesi informon subjektin e të dhënave përpara se të hiqet kufizimi.
5. Kontrolluesi informon me shkrim dhe në mënyrë të arsyetuar subjektin e të dhënave për refuzimin e korrigjimit ose të fshirjes së të dhënave personale apo kufizimin e përpunimit. Kufizimi plotësisht ose pjesërisht i të drejtave të parashikuara në këtë nen lejohet në atë masë dhe për aq kohë sa ky kufizim i plotë apo i pjesshëm përbën një masë të nevojshme e proporcionale në një shoqëri demokratike, duke marrë në konsideratë siç duhet të drejtat themelore dhe interesat legjitimë të personit fizik në fjalë, vetëm kur dhe në masën që zbatimi i tyre do të cenonte njërin nga qëllimet e parashikuara në pikën 3, të nenit 55, të këtij ligji. Kontrolluesi informon subjektin e të dhënave për mundësinë e paraqitjes së ankesës te Komisioneri për rishikimin e përgjigjes së kontrolluesit.
6. Kontrolluesi i komunikon korrigjimin e të dhënave personale të pasakta autoritetit kompetent nga i cili janë marrë të dhënat personale të pasakta.
7. Kur të dhënat personale janë korrigjuar apo fshirë ose kur përpunimi i tyre është kufizuar sipas këtij neni, kontrolluesi njofton të gjithë marrësit e të dhënave personale, të cilët, menjëherë, korrigjojnë apo fshijnë të dhënat personale ose kufizojnë përpunimin e të dhënave personale për të cilat janë përgjegjës.
KAPITULLI IV
DETYRIMET E KONTROLLUESIT DHE TË PËRPUNUESIT
Seksioni 1
Përgjegjësia
Neni 58
Detyrimet e kontrolluesit
Për zbatimin e dispozitave të kësaj pjese, kontrolluesi zbaton pikat 1, 2 e 4, të nenit 22, dhe pikat 1 e 2, të nenit 23, të këtij ligji.
Neni 59
Kontrolluesit e përbashkët
Kur dy ose më shumë kontrollues përcaktojnë bashkërisht qëllimet dhe mjetet e përpunimit, zbatohen pikat 1 dhe 3, të nenit 24, të këtij ligji, me kusht që referencat për të drejtat e subjektit të të dhënave dhe detyrat përkatëse të kontrolluesit të jenë në përputhje me të drejtat e detyrat e përcaktuara në këtë pjesë të ligjit.
Neni 60
Përpunuesi
1. Kur përpunimi kryhet në emër të një kontrolluesi, zbatohen pikat 1-4, si dhe pika 8, e nenit 25, të këtij ligji, duke iu referuar dispozitave të zbatueshme të parashikuara në këtë pjesë.
2. Përpunuesi dhe çdo person që vepron nën autoritetin e kontrolluesit ose të përpunuesit, që ka akses te të dhënat personale, i përpunon ato të dhëna vetëm sipas udhëzimeve të kontrolluesit, me përjashtim të rastit kur sipas ligjit parashikohet të veprojë ndryshe.
Neni 61
Detyrimi për të dokumentuar
Çdo kontrollues dhe përpunues mban dokumentacionin e veprimtarive të përpunimit, duke zbatuar nenin 27, të këtij ligji, në përputhje me rrethanat përkatëse, me kusht që referencat në dispozitat e pjesës II të këtij ligji të jenë në përputhje me dispozitat e kësaj pjese. Dokumentacioni i mbajtur nga kontrolluesi përmban edhe informacione për përdorimin e profilizimit, kur është e zbatueshme.
Neni 62
Regjistrimi
1. Veprimet e përpunimit, në veçanti konsultimet dhe përhapjet, përfshirë transmetimet, ndryshimet, korrigjimet dhe fshirjet, regjistrohen në një mënyrë të përshtatshme duke garantuar se ligjshmëria e përpunimit mund të monitorohet dhe verifikohet. Në sistemet e përpunimit automatik, regjistrimi përfshin çdo veprim mbledhjeje ose kombinimi. Të dhënat e regjistrimit, në veçanti në lidhje me konsultimin dhe përhapjen, bëjnë të mundur përcaktimin e arsyes, të datës e të kohës së këtyre veprimeve dhe, për aq sa është e mundur, identifikimin e personit që ka konsultuar ose përhapur të dhënat personale, si dhe identitetin e çdo marrësi të këtyre të dhënave personale.
2. Regjistrimet përdoren vetëm për të verifikuar ligjshmërinë e përpunimit të të dhënave, përfshirë vetëmonitorimin, për të siguruar integritetin dhe sigurinë e përpunimit të të dhënave personale, si dhe për procedimin penal ose për të garantuar sigurinë kombëtare. Regjistrimet mbahen për aq kohë sa është e nevojshme për qëllimet për të cilat janë mbledhur.
3. Kontrolluesi dhe përpunuesi vendosin në dispozicion të Komisionerit regjistrimet, sipas kërkesës së këtij të fundit.
Neni 63
Bashkëpunimi me Komisionerin
Në bazë të kërkesës së Komisionerit, kontrolluesi dhe përpunuesi bashkëpunojnë me të dhe i japin çdo informacion të nevojshëm për kryerjen e këtyre detyrave, në përputhje me legjislacionin në fuqi. Në rast se kanë marrë një rekomandim ose urdhër nga Komisioneri, kontrolluesi ose përpunuesi duhet të informojnë Komisionerin për shkallën e përmbushjes, menjëherë pas afatit të caktuar në të.
Neni 64
Vlerësimi i ndikimit në mbrojtjen e të dhënave
Përpara fillimit të një aktiviteti të ri përpunimi, kontrolluesi bën një vlerësim të ndikimit në mbrojtjen e të dhënave, në përputhje me pikat 1 – 5, 8 dhe 9, të nenit 31, të këtij ligji.
Neni 65
Konsultimi paraprak
1. Në përputhje me nenin 32, të këtij ligji, kontrolluesi konsultohet me Komisionerin përpara përpunimit të të dhënave personale që do të përfshihen në një sistem të ri arkivimi që do të krijohet, kur nga vlerësimi i ndikimit arrihet në përfundimin se përpunimi paraqet rrezik të lartë, për faktin se masat për të zbutur rrezikun nuk janë marrë ose nuk janë lehtësisht të zbatueshme, ose lloji i përpunimit dhe, në veçanti, përpunimi që përdor teknologji, mekanizma ose procedura të reja, paraqet rrezik të lartë ndaj të drejtave dhe lirive themelore të subjekteve të të dhënave. Kontrolluesi i vendos në dispozicion Komisionerit raportin e vlerësimit të ndikimit, si dhe, bazuar në kërkesën e këtij të fundit, informacionet sipas pikës 4, të nenit 32, të këtij ligji, si dhe çdo informacion tjetër që i lejon autoritetit mbikëqyrës të bëjë një vlerësim të përputhshmërisë së përpunimit dhe në veçanti të rreziqeve për mbrojtjen e të dhënave personale të subjektit të të dhënave dhe të masave mbrojtëse lidhur me to. Kontrolluesi mund të autorizojë përpunuesin të kryejë konsultimin me Komisionerin.
2. Komisioneri vepron sipas pikave 2 dhe 3, të nenit 32, të këtij ligji.
3. Kur veprimet e përpunimit të të dhënave personale për qëllimet e përcaktuara në nenin 49, të këtij ligji, rregullohen me ligj ose akt nënligjor, merret mendimi i Komisionerit për rreziqet që mund të paraqesë përpunimi.
4. Komisioneri mund të publikojë me vendim veprimet e përpunimit për qëllimet e nenit 47, të këtij ligji, për të cilat nevojitet konsultim paraprak.
Seksioni 2
Siguria e të dhënave personale
Neni 66
Siguria e përpunimit
1. Duke marrë parasysh zhvillimet teknologjike, kostot e zbatimit dhe natyrën, fushën e zbatimit, kontekstin dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes dhe të përshkallëzimit të rrezikut për të drejtat e liritë e personave, kontrolluesi dhe përpunuesi zbatojnë masat e duhura teknike dhe organizative për të siguruar një nivel të përshtatshëm sigurie ndaj rrezikut, veçanërisht në lidhje me përpunimin e të dhënave sensitive të përmendura në nenin 52, të këtij ligji.
2. Lidhur me përpunimin automatik dhe, kur është e zbatueshme, në lidhje me përpunimin joautomatik në sistemet e arkivimit, kontrolluesit dhe përpunuesit, pas vlerësimit të rreziqeve, zbatojnë masa që kanë për qëllim:
a) kontrollin e aksesit në pajisje, për të mos lejuar persona të paautorizuar të kenë akses në pajisjet e përdorura për përpunim;
b) kontrollin e mjeteve me të dhëna, për të parandaluar leximin, kopjimin, ndryshimin ose fshirjen e paautorizuar të mjeteve me të dhëna;
c) kontrollin e ruajtjes, për të ndaluar hedhjen e paautorizuar të të dhënave personale dhe inspektimin, ndryshimin ose fshirjen e paautorizuar të të dhënave personale të ruajtura;
ç) kontrollin e përdoruesit, për të parandaluar përdorimin e sistemeve automatike të përpunimit nga persona të paautorizuar duke përdorur pajisjet e komunikimit të të dhënave;
d) kontrollin e aksesit në të dhëna, për të garantuar se personat e autorizuar për të përdorur një sistem automatik përpunimi kanë akses vetëm te të dhënat personale, që përfshihen në autorizimin e tyre për akses;
dh) kontrollin e komunikimit, për të garantuar se është e mundur të verifikohen e të përcaktohen autoritetet, ku të dhënat personale janë transmetuar apo mund të transmetohen, ose të vihen në dispozicion, duke përdorur pajisjet e komunikimit të të dhënave;
e) kontrollin e hedhjes së të dhënave, për të garantuar në mënyrë të vazhdueshme verifikimin dhe përcaktimin se cilat të dhëna personale janë hedhur në sistemet e përpunimit automatik, kur dhe nga kush janë hedhur të dhënat personale;
ë) kontrollin e transportit, për të parandaluar leximin, kopjimin, ndryshimin ose fshirjen e paautorizuar të të dhënave personale gjatë transferimit të të dhënave personale ose gjatë transportimit të mjeteve të të dhënave;
f) rikthimin për të garantuar se sistemet e instaluara, në rast ndërprerjeje, mund të rikthehen në gjendje pune;
g) besueshmërinë dhe integritetin, për të garantuar se funksionet e sistemit kryhen, shfaqja e defekteve në funksionim raportohet dhe se të dhënat personale të ruajtura nuk korruptohen nga mosfunksionimi i sistemit.
3. Kontrolluesi dokumenton masat teknike dhe organizative të përshtatura dhe të zbatuara për të garantuar mbrojtjen e të dhënave personale, në përputhje me ligjin dhe aktet nënligjore të dala në zbatim të tij.
4. Komisioneri, me udhëzim, përcakton rregullat e hollësishme për sigurinë e të dhënave dhe rregullon procedurat për administrimin e regjistrimit të të dhënave, hedhjen e të dhënave, përpunimin dhe zbulimin e tyre.
Neni 67
Njoftimi për cenimin e të dhënave personale
1. Kontrolluesi njofton Komisionerin për cenimin e të dhënave personale në përputhje me nenin 29, të këtij ligji.
2. Kur cenimi i të dhënave personale mund të përbëjë një rrezik të madh për të drejtat dhe liritë e personave, kontrolluesi ia komunikon menjëherë cenimin e të dhënave personale subjektit të të dhënave. Ky komunikim përshkruan me gjuhë të qartë dhe të thjeshtë natyrën e cenimit të të dhënave personale dhe përmban të paktën informacionin dhe masat e përmendura në shkronjat “b” deri në “ç”, të pikës 4, të nenit 29, të këtij ligji.
3. Komunikimi me subjektin e të dhënave i përmendur në pikën 2, të këtij neni, nuk është i nevojshëm nëse përmbushet një nga kushtet e mëposhtme:
a) Kontrolluesi ka zbatuar masa të përshtatshme teknike dhe organizative mbrojtëse dhe këto masa janë zbatuar për të dhënat personale të prekura nga cenimi i të dhënave personale, në veçanti ato masa të cilat i bëjnë të dhënat personale të pakuptueshme për çdo person, i cili është i paautorizuar për t’i aksesuar ato, përfshirë enkriptimin;
b) Kontrolluesi ka marrë masa shtesë, që sigurojnë se cenimi i të drejtave dhe i lirive themelore të subjekteve të të dhënave nuk ka më mundësi të ndodhë; ose;
c) Kontrolluesi publikon njoftimin ose merr masa të tjera të ngjashme, përmes të cilave subjektet e të dhënave njoftohen në mënyrë të njëjtë dhe efektive për cenimin e të dhënave personale, kur njoftimi i çdo subjekti të të dhënave personale përbën një përpjekje jo të arsyeshme për kontrolluesin.
4. Në rast se kontrolluesi nuk e kryen njoftimin, Komisioneri i kërkon kontrolluesit ta kryejë atë kur vlerëson se rreziku për cenimin e të drejtave dhe lirive themelore është i lartë ose vendos mbi plotësimin e njërit prej kushteve të përcaktuara në pikën 3, të këtij neni.
5. Komunikimi me subjektin e të dhënave i përmendur në pikën 2, të këtij neni, mund të vonohet, të kufizohet ose të refuzohet, në varësi të kushteve dhe arsyeve, sipas pikës 3, të nenit 55, të këtij ligji.
Seksioni 3
Instrumente të veçanta që ndihmojnë përputhshmërinë
Neni 68
Nëpunësi i mbrojtjes së të dhënave
Autoritetet kompetente, me përjashtim të gjykatave kur veprojnë në kuadër të veprimtarisë së tyre gjyqësore, caktojnë një nëpunës për mbrojtjen e të dhënave, në përputhje me nenet 33 e 34, të këtij ligji.
Neni 69
Mekanizmat konfidencialë të raportimit
Autoritetet kompetente krijojnë mekanizma efektivë për të promovuar raportimin konfidencial të shkeljeve të dispozitave të kësaj pjese.
KAPITULLI V
TRANSFERIMI NDËRKOMBËTAR I TË DHËNAVE
Neni 70
Parimet e përgjithshme për transferimin ndërkombëtar të të dhënave ndërmjet autoriteteve kompetente
1. Në përputhje me dispozitat e tjera të kësaj pjese, që rregullojnë përpunimin e ligjshëm të të dhënave personale, transferimi nga një autoritet kompetent i të dhënave personale, të cilat janë në proces përpunimi ose do të përpunohen pas transferimit të tyre në një shtet tjetër ose organizatë ndërkombëtare, përfshirë edhe transferimet e mëtejshme të të dhënave personale nga ky shtet ose kjo organizatë ndërkombëtare në një shtet tjetër ose një organizatë tjetër ndërkombëtare, mund të bëhet vetëm nëse:
a) marrësi është një autoritet tjetër kompetent;
b) transferimi është i nevojshëm për një ose disa nga qëllimet e përcaktuara në nenin 47, të këtij ligji; dhe
c) plotësohen kushtet e parashikuara në pikat 2 – 4, të këtij neni, dhe në nenet 71, 72 e 73, të këtij ligji.
2. Të gjitha dispozitat e këtij kapitulli zbatohen në mënyrë të tillë që të mos cenohet niveli i mbrojtjes së personave sipas kësaj pjese.
3. Në të gjitha rastet e transferimeve sipas pikës 1, të këtij neni, çdo transferim i mëtejshëm në një vend ose organizatë tjetër ndërkombëtare lejohet vetëm me autorizimin paraprak nga autoriteti kompetent që ka kryer transferimin fillestar. Autorizimet për transferime të mëtejshme marrin parasysh të gjithë faktorët përkatës, duke përfshirë rrezikshmërinë e veprës penale, qëllimin për të cilin të dhënat personale u transferuan fillimisht dhe nivelin e mbrojtjes së të dhënave personale në vendin ose në organizatën tjetër ndërkombëtare, ku transferohen më tej të dhënat personale.
4. Transferimet sipas neneve 72 ose 73, të këtij ligji, dokumentohen në mënyrë të posaçme dhe dokumentacioni vihet në dispozicion të Komisionerit me kërkesë, duke përfshirë datën dhe kohën e transferimit, informacionin në lidhje me autoritetin kompetent pritës, arsyetimin e transferimit dhe të dhënat personale të transferuara.
Neni 71
Transferimi ndërkombëtar i të dhënave ndërmjet autoriteteve kompetente
në bazë të një vendimi përshtatshmërie
1. Transferimet ndërkombëtare të të dhënave, në përputhje me shkronjat “a” dhe “b”, të pikës 1, të nenit 70, të këtij ligji, mund të bëhen nëse vendi, territori ose një ose më shumë sektorë të specifikuar në të, ose organizata ndërkombëtare, në të cilat do të transferohen të dhënat personale, siguron një nivel përshtatshëm të mbrojtjes së të dhënave. Transferime të tilla nuk do të kërkojnë ndonjë autorizim të veçantë.
2. Niveli i mbrojtjes së një vendi, territori ose sektori të caktuar, ose i një organizate ndërkombëtare përcaktohet me vendim të Komisionerit, që do të publikohet, sipas pikës 1, të nenit 85, të këtij ligji.
3. Gjatë vlerësimit të përshtatshmërisë së nivelit të mbrojtjes, Komisioneri do të marrë veçanërisht parasysh elementet e mëposhtme:
a) Sundimi i ligjit, respektimi i të drejtave dhe i lirive themelore të njeriut, legjislacioni përkatës, i përgjithshëm dhe sektorial, duke përfshirë sigurinë publike, mbrojtjen, sigurinë kombëtare dhe ligjin penal dhe aksesin e autoriteteve publike në të dhënat personale, si dhe zbatimin e këtij legjislacioni, rregullat e mbrojtjes së të dhënave, rregullat profesionale dhe masat e sigurisë, duke përfshirë rregullat për transferimin e mëtejshëm të të dhënave personale në një vend tjetër të tretë ose organizatë ndërkombëtare, të cilat respektohen në atë vend ose organizatë ndërkombëtare, praktikën gjyqësore, dhe të drejtat efektive dhe të zbatueshme të subjektit të të dhënave dhe dëmshpërblim efektiv administrativ dhe gjyqësor për subjektet e të dhënave, të dhënat personale të të cilëve janë transferuar;
b) Ekzistencën dhe funksionimin efektiv të një ose më shumë autoriteteve mbikëqyrëse të pavarura në vendin e tretë ose të cilit i nënshtrohet një organizatë ndërkombëtare, me përgjegjësi për sigurimin dhe zbatimin e respektimit të rregullave të mbrojtjes së të dhënave, duke përfshirë kompetencat e duhura të zbatimit, për të ndihmuar e këshilluar subjektet e të dhënave në ushtrimin e të drejtave të tyre dhe për bashkëpunim me autoritetet mbikëqyrëse; dhe
c) Angazhimet ndërkombëtare që ka marrë vendi i tretë ose organizata ndërkombëtare në fjalë, ose detyrime të tjera, që rrjedhin nga konventat ose instrumentet ligjërisht të detyrueshme, si dhe nga pjesëmarrja e tij në sisteme shumëpalëshe ose rajonale, veçanërisht në lidhje me mbrojtjen e të dhënave personale.
4. Komisioneri do të monitorojë zhvillimet në ato vende ose organizata ndërkombëtare, të cilat janë vlerësuar se kanë një nivel të përshtatshëm të mbrojtjes në lidhje me mbrojtjen e të dhënave personale dhe do të rishikojë vendimet e tij në përputhje me rrethanat.
Neni 72
Transferimet ndërkombëtare të të dhënave në mungesë të një vendimi përshtatshmërie
1. Transferimet ndërkombëtare të të dhënave te një autoritet kompetent në një shtet ose një organizatë ndërkombëtare në mungesë të një vendimi përshtatshmërie mund të bëhen, nëse:
a) masat e përshtatshme mbrojtëse në lidhje me mbrojtjen e të dhënave personale parashikohen në një ligj ose akt nënligjor të detyrueshëm për zbatim; ose
b) kontrolluesi ka vlerësuar të gjitha rrethanat që lidhen me transferimin e të dhënave personale dhe arrin në përfundimin se ekzistojnë masa të përshtatshme në lidhje me mbrojtjen e të dhënave personale.
2. Kontrolluesi informon Komisionerin për kategoritë e transferimeve, sipas shkronjës “b”, të pikës 1, të këtij neni. Komisionerit i jepen të dhëna shtesë me kërkesë të tij.
Neni 73
Përjashtimet për situata e veçanta
1. Transferimi ndërkombëtar i të dhënave te një autoritet kompetent në një shtet ose një organizatë ndërkombëtare, që ka nivel të pamjaftueshëm të mbrojtjes së të dhënave ose në mungesë të masave të përshtatshme mbrojtëse, sipas shkronjës “a”, të pikës 1, të nenit 72, lejohet vetëm kur transferimi është i nevojshëm:
a) për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër;
b) për të mbrojtur interesat e ligjshëm të subjektit të të dhënave, kur e parashikon ligji;
c) për të parandaluar një kërcënim të drejtpërdrejtë dhe serioz ndaj sigurisë publike të Republikës së Shqipërisë ose të një shteti tjetër;
ç) në raste individuale për qëllimet e përcaktuara në nenin 49, të këtij ligji, dhe masat e përshtatshme mbrojtëse nuk mund të zbatohen në kohën e duhur; ose
d) në një rast individual për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike në lidhje me qëllimet e përcaktuara në nenin 49, të këtij ligji.
2. Të dhënat personale nuk transferohen nëse autoriteti kompetent për transferimin vendos se të drejtat dhe liritë themelore të subjektit të të dhënave në fjalë kanë përparësi mbi interesin publik në lidhje me transferimin e përcaktuar në shkronjat “ç” dhe “d”, të pikës 1, të këtij neni.
Neni 74
Transferimet ndërkombëtare të të dhënave te marrës që nuk janë autoritete kompetente
1. Me përjashtim të rastit të parashikuar në shkronjën “a”, të pikës 1, të nenit 74, të këtij ligji, dhe pa cenuar marrëveshjet ndërkombëtare në fuqi ndërmjet Republikës së Shqipërisë dhe shteteve të tjera në fushën e bashkëpunimit gjyqësor për çështjet penale dhe bashkëpunimit policor, autoritetet kompetente, të cilat janë autoritete publike, në raste individuale dhe të veçanta, mund të transferojnë të dhëna personale drejtpërdrejt te marrës të huaj, që nuk janë autoritete kompetente, nëse veprohet në përputhje me dispozitat e kësaj pjese dhe nëse plotësohen të gjitha kushtet e mëposhtme:
a) Transferimi është i domosdoshëm për kryerjen e një detyre, që i caktohet me ligj autoritetit kompetent për transferimin, brenda qëllimeve të përcaktuara në nenin 47, të këtij ligji;
b) Autoriteti kompetent transferues arrin në përfundimin se asnjë e drejtë dhe liri themelore e subjektit të të dhënave nuk ka përparësi mbi interesin publik për mbrojtjen e të cilit kërkohet transferimi;
c) Autoriteti kompetent transferues arrin në përfundimin se transferimi te një autoritet kompetent i shtetit tjetër për qëllimet sipas pikës 1, të nenit 48, të këtij ligji, është joefektiv ose i papërshtatshëm, veçanërisht për shkak se transferimi nuk mund të realizohet në kohën e duhur;
ç) Autoriteti që është kompetent në shtetin tjetër për qëllimet e përmendura në nenin 47, të këtij ligji vihet në dijeni menjëherë, me përjashtim të rastit kur njoftimi i menjëhershëm nuk është efektiv ose i përshtatshëm; dhe
d) Autoriteti kompetent transferues informon marrësin për qëllimin ose qëllimet e specifikuara, për të cilët të dhënat personale do të përpunohen vetëm nga ky i fundit, me kusht që ky përpunim të jetë i domosdoshëm, dhe veçanërisht që çdo transferim i mëtejshëm të marrë autorizim paraprak nga autoriteti kompetent transferues.
2. Autoriteti kompetent transferues informon Komisionerin për transferimet sipas pikës 1, të këtij neni. Këto transferime dokumentohen në mënyrë të posaçme dhe dokumentacioni vihet në dispozicion të Komisionerit me kërkesë, duke përfshirë datën dhe kohën e transferimit, informacionin në lidhje me autoritetin kompetent pritës, arsyetimin e transferimit dhe të dhënat personale të transferuara.
PJESA IV
KOMISIONERI PËR TË DREJTËN E INFORMIMIT DHE MBROJTJEN E TË DHËNAVE PERSONALE
Seksioni 1
Statusi i pavarur
Neni 75
Komisioneri
1. Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale është person juridik publik dhe autoriteti mbikëqyrës i pavarur dhe përgjegjës për monitorimin e mbikëqyrjen e zbatimit të këtij ligji, me qëllim mbrojtjen e të drejtave dhe të lirive themelore të personave fizikë në lidhje me përpunimin e të dhënave personale.
2. Paga e Komisionerit përbëhet nga:
a) vlera për pozicionin e punës e përcaktuar nga raporti me pagën e residentit të Republikës, sipas legjislacionit në fuqi për pagat, shpërblimet dhe strukturat e institucioneve të pavarura kushtetuese dhe të institucioneve të tjera të pavarura, të krijuara me ligj;
b) shtesa për kushte pune (natyrë të veçantë pune), e cila përcaktohet me vendim të Këshillit të Ministrave.
Neni 76
Pavarësia dhe papajtueshmëria e funksioneve
1. Komisioneri vepron në pavarësi të plotë gjatë kryerjes së detyrave dhe ushtrimit të kompetencave të tij në përputhje me këtë ligj, si dhe nuk ndikohet qoftë në mënyrë të drejtpërdrejtë apo të tërthortë e nuk kërkon apo merr udhëzime.
2. Gjatë mandatit të tij, Komisioneri nuk kryen asnjë veprimtari të papajtueshme me detyrën e tij, si dhe nuk ushtron asnjë profesion të papajtueshëm me detyrën e tij, pavarësisht përfitimit ose jo.
3. Komisioneri ka buxhetin e tij, i cili është pjesë e buxhetit të shtetit të miratuar nga Kuvendi dhe e administron atë në mënyrë të pavarur. Ai propozon buxhetin në përputhje me legjislacionin në fuqi.
4. Komisioneri gëzon trajtim protokollar të njëjtë me atë të kryetarit të komisionit të përhershëm në Kuvend.
Neni 77
Zyra e Komisionerit, burimet njerëzore dhe financiare
1. Komisioneri ndihmohet nga Zyra e Komisionerit, e cila pajiset me burimet njerëzore, teknike, financiare, mjediset dhe me infrastrukturën e nevojshme për kryerjen të detyrave dhe ushtrimin e kompetencave të tij në mënyrë efektive.
2. Personeli i nënshtrohet drejtimit ekskluziv të Komisionerit dhe raporton rregullisht tek ai.
3. Komisioneri miraton strukturën dhe organikën e Zyrës së Komisionerit, pas konsultimit me ministrinë përgjegjëse për financat, për efektet e mundshme financiare, dhe Departamentin e Administratës Publike, për standardet e strukturës e organikës dhe me klasifikimin e pozicioneve të punës për efekt page. Punonjësit e Zyrës së Komisionerit përfitojnë shtesë për kushte pune (natyrë të veçantë pune), e cila përcaktohet me vendim të Këshillit të Ministrave.
4. Informacioni konfidencial për të cilin Komisioneri dhe personeli i tij merr dijeni për shkak të ushtrimit të detyrave dhe kompetencave dhe, në veçanti, informacioni i marrë nga paraqitja e ankesave prej personave fizikë për shkelje të këtij ligji, përbën sekret profesional. Komisioneri dhe personeli i Zyrës së tij përjashtohen nga detyrimi për ruajtjen e sekretit profesional kur informacioni lidhet me një vepër penale, sipas Kodit Penal të Republikës së Shqipërisë, dhe Komisioneri vë në dijeni autoritetin kompetent të ndjekjes penale.
5. Marrëdhëniet e punës së nëpunësve të Zyrës së Komisionerit rregullohen nga ligji për nëpunësin civil. Marrëdhëniet e punës së punonjësve administrativë dhe funksionarëve të kabinetit rregullohen nga Kodi i Punës.
Seksioni 2
Zgjedhja dhe mbarimi i mandatit
Neni 78
Zgjedhja dhe mandati
1. Komisioneri zgjidhet me shumicën e të gjithë anëtarëve të Kuvendit, me propozim të Këshillit të Ministrave, për një mandat 7-vjeçar, me të drejtë rizgjedhjeje.
2. Procedura për përzgjedhjen e kandidatit fillon me publikimin e thirrjes për shprehje interesi për t’u zgjedhur si Komisioner, 90 (nëntëdhjetë) ditë përpara përfundimit të mandatit ose jo më vonë se 7 (shtatë) ditë, në rast shkarkimi apo dorëheqjeje.
3. Para marrjes së detyrës, Komisioneri bën betimin para Kuvendit me këtë formulë: “Betohem se gjatë kryerjes së detyrës do të mbroj kurdoherë të drejtat kushtetuese për informim dhe mbrojtjen e të dhënave personale, si të drejta dhe liri themelore të njeriut.”.
Neni 79
Kriteret e zgjedhjes
Kandidati për Komisioner duhet të plotësojë këto kritere:
1. Është shtetas shqiptar;
2. Ka përfunduar studimet e integruara në drejtësi ose në një program të ciklit të dytë të studimeve universitare në drejtësi, të barasvlershëm me to, ose ka kryer studimet universitare në drejtësi jashtë Shqipërisë dhe ka marrë një diplomë të barasvlershme, të njësuar sipas rregullave për njësimin e diplomave të parashikuara nga legjislacioni në fuqi;
3. Ka jo më pak se 15 (pesëmbëdhjetë) vjet përvojë profesionale aktive me kohë të plotë pas përfundimit të studimeve në drejtësi sipas shkronjës “b”, të këtij neni;
4. Ka njohuri, si dhe ka kryer veprimtari të spikatur në fushën e të drejtave të njeriut, sfera të tjera të së drejtës e, në veçanti, në fushën e mbrojtjes së të dhënave personale dhe të së drejtës për informim;
5. Nuk është dënuar me vendim të formës së prerë për kryerjen e një vepre penale gjatë 10 (dhjetë) viteve të fundit;
6. Nuk ka mbajtur detyrën e anëtarit të Këshillit të Ministrave ose të deputetit gjatë katër viteve të fundit.
Neni 80
Përfundimi i mandatit
1. Mandati i Komisionerit përfundon kur:
a) përfundon mandatin 7-vjeçar;
b) jep dorëheqjen;
c) shkarkohet.
2. Komisioneri shkarkohet vetëm me kërkesë të motivuar nga Këshilli i Ministrave, e cila mbështetet nga jo më pak se një e treta e të gjithë anëtarëve të Kuvendit. Kuvendi vendos për shkarkimin e Komisionerit me tre të pestat e të gjithë anëtarëve të tij, për shkak të:
a) shkeljeve të rënda, që dëmtojnë rëndë reputacionin në publik ose funksionimin e zyrës, në veçanti, kur ka kryer një krim të rëndë; ose
b) pamundësisë së tij për të përmbushur më tej funksionin e Komisionerit.
3. Në rast shkarkimi ose dorëheqjeje, Këshilli i Ministrave i propozon Kuvendit kandidaturën e re brenda 1 (një) muaji. Kur mandati përfundon sipas shkronjave “a” dhe “b”, të pikës 1, të këtij neni, Komisioneri qëndron në detyrë deri në zgjedhjen e Komisionerit të ri.
4. Në përfundim të mandatit, Komisioneri, i cili përpara emërimit punonte me kohë të plotë në sektorin publik, rikthehet në vendet e mëparshme të punës ose, në pamundësi, në një pozicion të barasvlefshëm me të.
Seksioni 3
Kompetencat dhe detyrat
Neni 81
Kompetencat në fushën e mbrojtjes së të dhënave personale
1. Komisioneri është përgjegjës për kryerjen e detyrave që i janë caktuar dhe ushtrimin e kompetencave që i janë dhënë atij në fushën e mbrojtjes së të dhënave në përputhje me këtë ligj.
2. Komisioneri nuk ka autoritet për të mbikëqyrur veprimtaritë e përpunimit të kryera nga gjykatat në kuadër të veprimtarisë së tyre gjyqësore. Autoriteti mbikëqyrës për mbrojtjen e të dhënave personale për veprimtarinë përpunuese të kryer nga pushteti gjyqësor në kuadër të veprimtarisë gjyqësore është Këshilli i Lartë Gjyqësor.
Neni 82
Detyrat dhe kompetencat përkatëse për zbatimin e tyre
1. Pavarësisht detyrave të tjera të përcaktuara sipas këtij ligji, Komisioneri është përgjegjës për:
a) monitorimin dhe mbikëqyrjen e zbatimit të këtij ligji dhe të akteve nënligjore të dala në zbatim të tij, si dhe hartimin e publikimin e një raporti vjetor për këtë çështje;
b) nxitjen e ndërgjegjësimit të publikut, të kontrolluesve dhe të përpunuesit, si dhe të të kuptuarit të rreziqeve, rregullave, masave mbrojtëse dhe të drejtave në lidhje me përpunimin e të dhënave personale edhe nëpërmjet botimeve periodike dhe me vëmendje të veçantë për aktivitetet që kanë në fokus të miturit;
c) dhënien e mendimit Kuvendit, Këshillit të Ministrave dhe institucioneve të tjera qendrore për masat legjislative e administrative mbi mbrojtjen e të drejtave dhe të lirive themelore të personave fizikë lidhur me përpunimin e të dhënave personale;
ç) monitorimin e zhvillimeve përkatëse, në masën që ato kanë ndikim mbi mbrojtjen e të dhënave personale, si dhe dhënien e rekomandimeve për zbatimin e kërkesave të ligjit për mbrojtjen e të dhënave personale dhe publikimin e tyre;
d) publikimin e udhëzuesve me shpjegime për zbatimin e detyrimeve, që burojnë nga ky ligj, të cilat, ndër të tjera, përfshijnë kohëzgjatjen e ligjshme të ruajtjes së të dhënave personale ose masat e sigurisë në sektorë të ndryshëm të aktiviteteve të përpunimit;
dh) autorizimin sipas pikës 3, të nenit 41, të këtij ligji, miratimin dhe publikimin e klauzolave standarde kontraktuale për kontratat ndërmjet kontrolluesve dhe përpunuesve, sipas pikës 7, të nenit 26, të këtij ligji, dhe rregulla të detyrueshme të shoqërive tregtare sipas nenit 42, të këtij ligji;
e) këshillimin e kontrolluesve në kuadër të konsultimit paraprak, sipas nenit 32, të këtij ligji, dhe autorizimin e përpunimit, në përputhje me pikën 5, të nenit 32, të këtij ligji, si dhe të publikimit të listave në lidhje me kriteret për vlerësimin e ndikimit në mbrojtjen e të dhënave, sipas pikës 7, të nenit 31, dhe të pikës 4, të nenit 65, të këtij ligji;
ë) nxitjen e hartimit të kodeve të sjelljes sipas nenit 35, të këtij ligji, dhe publikimin e kritereve për akreditimin e një organi për monitorimin e kodeve të sjelljes sipas nenit 36, të këtij ligji, miratimin e kodeve të sjelljes dhe akreditimin e një organi monitorues, kur kërkesat përmbushen dhe për sa kohë që përmbushen;
f) nxitjen e vënies në zbatim të certifikimit, të vulave e të markave të mbrojtjes së të dhënave, me qëllim lehtësimin e përputhshmërisë me këtë ligj, hartimin dhe publikimin e kritereve për certifikimin, në përputhje me nenin 37, të këtij ligji, dhe për akreditimin e organizmave të certifikimit në përputhje me nenin 38, të këtij ligji, si dhe akreditimin e organizmave të certifikimit, përfshirë miratimin e mekanizmave të tyre të certifikimit, kur kërkesat përmbushen dhe për sa kohë që ato përmbushen;
g) mbikëqyrjen, rregullimin dhe autorizimin e transferimit ndërkombëtar të të dhënave personale në përputhje me kapitullin IV, të pjesës II, dhe kapitullin V, të pjesës III, të këtij ligji, duke përfshirë, në veçanti, vendimet për përshtatshmërinë dhe klauzolat standarde të mbrojtjes së të dhënave;
gj) kryerjen e hetimeve në lidhje me përputhshmërinë e veprimeve të përpunimit të të dhënave personale me këtë ligj, kryesisht apo mbi bazë ankese;
h) garantimin e ushtrimit të të drejtave të subjekteve të të dhënave, siç parashikohet në kapitullin II, të pjesës II, dhe në kapitullin III, të pjesës III, të këtij ligji, përfshirë informimin dhe këshillimin e subjekteve të të dhënave në këtë drejtim;
i) shqyrtimin e ankesave të paraqitura te Komisioneri nga persona fizikë ose subjekte, organizata ose shoqata jofitimprurëse, të cilat përfaqësojnë personin fizik, në përputhje me nenin 89, të këtij ligji, në rast shkeljeje të këtij ligji;
j) rishikimin e përgjigjeve të dhëna nga autoritetet kompetente ndaj kërkesave të subjekteve të të dhënave në lidhje me ushtrimin e të drejtave të tyre për akses ose për korrigjim ose fshirje, sipas nenit 90, të këtij ligji;
k) vendosjen e sanksioneve administrative dhe penaliteteve të tjera, sipas kapitullit II, të pjesës V, të këtij ligji, dhe mbikëqyrjen e ekzekutimit të tyre;
l) të marrë hapat e duhur në lidhje me shtetet e huaja dhe organizatat ndërkombëtare për:
i. të zhvilluar mekanizma të bashkëpunimit ndërkombëtar për të lehtësuar ekzekutimin e efektshëm të legjislacionit për mbrojtjen e të dhënave personale;
ii. të dhënë ndihmë të ndërsjellë ndërkombëtare në zbatimin e legjislacionin për mbrojtjen e të dhënave personale, përfshirë nëpërmjet njoftimit, referimit të ankesës, asistencës në hetim dhe shkëmbimin e informacionit, duke iu nënshtruar garancive të përshtatshme për mbrojtjen e të dhënave personale dhe të drejtave e lirive të tjera themelore;
iii. të angazhuar aktorët përkatës në diskutime dhe aktivitete, që synojnë bashkëpunim të mëtejshëm ndërkombëtar në zbatimin e legjislacionit për mbrojtjen e të dhënave personale;
iv. të nxitur shkëmbimin e dokumentimin e legjislacionit e të praktikës për mbrojtjen e të dhënave personale, duke përfshirë konfliktet juridiksionale me shtete të huaja.
ll) përfaqësimin e Zyrës së Komisionerit në aktivitetet e zhvilluara në nivel kombëtar e ndërkombëtar;
m) mbajtjen e një regjistri të brendshëm për shkeljet e këtij ligji dhe të masave të marra sipas pikës 2, të nenit 83, të këtij ligji.
2. Komisioneri harton një raport vjetor, të cilin ia dërgon Kuvendit dhe raporton përpara tij sa herë i kërkohet, si dhe i kërkon atij të dëgjohet për çështje, që i çmon të rëndësishme.
Neni 83
Kompetencat ndihmëse
1. Për përmbushjen e detyrave të tij, sipas nenit 82, të këtij ligji, Komisioneri ka kompetencat e mëposhtme hetimore:
a) Njofton kontrolluesit ose përpunuesit për shkelje të pretenduara të këtij ligji dhe kërkon qëndrimin e tyre lidhur me këto pretendime;
b) Urdhëron kontrolluesit dhe përpunuesit të japin çdo informacion që kërkon Komisioneri për kryerjen e detyrave të tij, përfshirë aksesin në dokumentacion;
c) Ka akses në çdo mjedis të kontrolluesit dhe të përpunuesit, përfshirë pajisjet dhe mjetet e përpunimit të të dhënave;
ç) Kryen hetim administrativ në formën e auditimit të mbrojtjes së të dhënave;
d) Rishikon certifikimet e lëshuara nga organizmat certifikues, në përputhje me nenet 37 e 38, të këtij ligji;
dh) Rishikon ligjshmërinë e përpunimit në kuadër të kufizimeve të të drejtave të subjekteve të të dhënave sipas kapitullit III, të pjesës III, të këtij ligji.
2. Për përmbushjen e detyrave sipas nenit 82, të këtij ligji, Komisioneri ka kompetencat e mëposhtme korrigjuese:
a) Paralajmëron kontrolluesit ose përpunuesit se veprimet e synuara të përpunimit mund të rezultojnë në shkelje të dispozitave të këtij ligji dhe u jep atyre rekomandime lidhur me përputhshmërinë me ligjin;
b) U jep vërejtje kontrolluesit ose përpunuesit kur veprimet e përpunimit kanë shkelur dispozitat e këtij ligji;
c) Urdhëron kontrolluesit ose përpunuesit të zbatojnë kërkesat e subjektit të të dhënave për ushtrimin e të drejtave të tij ose të saj, në përputhje me këtë ligj;
ç) Urdhëron kontrolluesit ose përpunuesit t’i kryejnë veprimet e përpunimit, në përputhje me dispozitat e këtij ligji dhe, kur është e mundur, në një mënyrë specifike dhe brenda një afati të caktuar;
d) Urdhëron kontrolluesit t’u komunikojnë cenimin e të dhënave personale subjekteve të të dhënave;
dh) Vendos një kufizim të përkohshëm ose përfundimtar të përpunimit, përfshirë ndalimin e përpunimit;
e) Urdhëron korrigjimin, fshirjen ose çregjistrimin e të dhënave personale, si dhe kufizimin e përpunimit, në përputhje me nenet 15, 16 e 17, të këtij ligji, dhe njoftimin e marrësve për këto veprime, siç parashikohet në nenet 15 e 17, të këtij ligji;
ë) Shfuqizon certifikimin ose urdhëron organizmin certifikues të shfuqizojë një certifikim të lëshuar, në përputhje me nenet 37 e 38, të këtij ligji, ose urdhëron organizmin certifikues të mos lëshojë certifikime, nëse nuk janë përmbushur ose nuk përmbushen më kriteret për certifikim;
f) Urdhëron pezullimin e kalimit të të dhënave te një marrës në një vend të tretë ose te një organizatë ndërkombëtare;
g) Vendos sanksione administrative, në përputhje me nenet 93 e 94, të këtij ligji, të cilat mund t’i shtohen ose të zëvendësojnë masat e përmendura në shkronjat “a” – “i”, të kësaj pike, në varësi të rrethanave të çdo rasti individual.
3. Kur një shkelje mund të përbëjë vepër penale, sipas Kodit Penal të Republikës së Shqipërisë, Komisioneri vepron sipas pikës 4, të nenit 77, të këtij ligji.
Neni 84
Detyrimi për bashkëpunim
Institucionet publike dhe subjektet private bashkëpunojnë me Komisionerin, duke i siguruar të gjithë informacionin që ai kërkon për përmbushjen e detyrave të tij, si dhe e njoftojnë atë për zbatimin e rekomandimeve të dhëna menjëherë pas përfundimit të afateve të caktuara për to.
Neni 85
Publikimi
1. Udhëzimet, vendimet dhe aktet e tjera nënligjore të Komisionerit, me karakter të përgjithshëm, botohen në “Fletoren zyrtare”.
2. Raporti vjetor dhe raportet e posaçme publikohen në faqen zyrtare elektronike të Komisionerit.
3. Vendimet, autorizimet, rekomandimet ose aktet e tjera administrative, që lidhen me raste individuale publikohen pas pseudonimizimit në faqen zyrtare elektronike të Komisionerit.
PJESA V
MJETET LIGJORE, PËRGJEGJËSIA DHE PENALITETET
KAPITULLI I
MJETET LIGJORE DHE PËRGJEGJËSIA
Neni 86
E drejta për t’u ankuar
1. Pavarësisht mjeteve të tjera ligjore në dispozicion, administrative ose gjyqësore, çdo subjekt i të dhënave që pretendon se përpunimi i të dhënave të tij personale kryhet në shkelje të këtij ligji, ka të drejtë të paraqesë ankim pranë Komisionerit, i cili e shqyrton atë në përputhje me dispozitat e Kodit të Procedurës Administrative dhe të këtij ligji.
2. Pasi vihet në dijeni nga Komisioneri për ankesën e depozituar, kontrolluesi ose përpunuesi, kur i kërkohet nga Komisioneri, nuk bën ndryshime thelbësore në përpunimin e të dhënave personale në fjalë pa miratimin e Komisionerit, deri në përfundim të shqyrtimit të ankesës.
3. Komisioneri vë në dijeni ankuesin për ecurinë e shqyrtimit të ankesës, vendimin e marrë, si dhe të drejtën e ankimit në gjykatë, përfshirë gjykatën, ku mund të paraqitet ankimi, mjetet e ankimit, afatin dhe mënyrën e përllogaritjes së tij për paraqitjen e ankimit.
4. Komisioneri lehtëson dorëzimin e ankesave nëpërmjet formularëve të paraqitjes së tyre, që mund të plotësohen gjithashtu në mënyrë elektronike, pa përjashtuar mjetet e tjera të komunikimit.
5. Kryerja e detyrave të Komisionerit sipas këtij neni bëhet pa kundërshpërblim.
6. Kur ankesat janë qartazi të pabazuara ose të tepruara, veçanërisht për shkak të karakterit të tyre përsëritës, Komisioneri mund të refuzojë ndërmarrjen e veprimeve në lidhje me ankesën. Komisioneri mban barrën e provës lidhur me pabazueshmërinë dhe natyrën e tepruar të ankesës.
Neni 87
Ankimi ndaj vendimmarrjes së Komisionerit
1. Pa cenuar mjetet e tjera administrative ose të zgjidhjes jashtëgjyqësore të mosmarrëveshjeve, çdo person fizik ose juridik, që pretendon se i është cenuar një e drejtë apo një interes i ligjshëm nga një veprim apo mosveprim, akt administrativ ose nënligjor normativ i nxjerrë nga Komisioneri, ka të drejtë të paraqesë ankim në gjykatën administrative kompetente, sipas legjislacionit në fuqi për gjykimin e mosmarrëveshjeve administrative.
2. Pa cenuar mjetet e tjera administrative ose të zgjidhjes jashtëgjyqësore të mosmarrëveshjeve, çdo subjekt i të dhënave, që paraqet ankim, sipas nenit 86, të këtij ligji, ose kërkesë sipas nenit 90, të këtij ligji, ka të drejtë të paraqesë kërkesëpadi në gjykatën administrative kompetente, kur Komisioneri nuk e shqyrton ankimin ose kërkesën e tij brenda ose nuk e informon subjektin e të dhënave brenda 90 (nëntëdhjetë) ditëve për ecurinë e shqyrtimit të ankesës ose të kërkesës.
Neni 88
E drejta për dëmshpërblim dhe përgjegjësia
1. Pa paragjykuar çdo mjet të disponueshëm administrativ ose jogjyqësor, duke përfshirë të drejtën për të paraqitur një ankesë te Komisioneri, çdo subjekt i të dhënave ka të drejtën për një mjet juridik efektiv kur ai ose ajo konsideron se të drejtat e tij ose të saj, sipas këtij ligji, janë cenuar si rezultat i përpunimit të të dhënave të tij personale në kundërshtim me këtë ligj. Kushdo, që ka pësuar dëm financiar ose jo financiar për shkak të shkeljes së këtij ligji, ka të drejtë të përfitojë dëmshpërblim nga kontrolluesi, përpunuesi ose çdo autoritet kompetent për dëmin e pësuar, sipas Kodit Civil.
2. Çdo kontrollues i përfshirë në përpunim është përgjegjës për dëmin e shkaktuar nga përpunimi i kryer në shkelje të këtij ligj. Përpunuesi mban përgjegjësi për dëmin e shkaktuar nga përpunimi, vetëm kur nuk ka vepruar në përputhje me detyrimet që, sipas këtij ligji, i ngarkohen në mënyrë të posaçme përpunuesve ose kur ka vepruar në tejkalim ose në kundërshtim me udhëzimet e ligjshme të kontrolluesit.
3. Kontrolluesi ose përpunuesi përjashtohet nga përgjegjësia sipas pikës 2, të këtij neni, nëse provon se nuk është përgjegjës për veprimin që ka shkaktuar dëmin.
4. Kur më shumë se një kontrollues ose një përpunues, ose kur së bashku kontrolluesi dhe përpunuesi janë të përfshirë në të njëjtin përpunim dhe mbajnë përgjegjësi, sipas pikave 2 dhe 3, të këtij neni, për dëmin e shkaktuar nga përpunimi, secili prej tyre mban përgjegjësi për shumën e plotë të dëmit, me qëllim që të garantohet dëmshpërblim efektiv i subjektit të të dhënave.
5. Kontrolluesi ose përpunuesi që, në përputhje me pikën 4, të këtij neni, ka shpërblyer plotësisht dëmin e shkaktuar, ka të drejtë të kërkojë nga kontrolluesit ose përpunuesit e tjerë të përfshirë në atë përpunim, kthimin e shumës që ka paguar për atë pjesë të shpërblimit, që korrespondon me pjesën e tyre të përgjegjësisë për dëmin, në përputhje me kushtet e përcaktuara në pikën 2, të këtij neni, dhe legjislacionin në fuqi.
Neni 89
Përfaqësimi i subjekteve të të dhënave
Subjekti i të dhënave ka të drejtë që të autorizojë një subjekt, organizatë ose shoqatë jofitimprurëse, të themeluar sipas ligjit, që, sipas statutit, ka pjesë të objektit të aktivitetit veprimtari me interes publik dhe është aktiv në fushën e mbrojtjes së të drejtave e të lirive të subjekteve të të dhënave në lidhje me mbrojtjen e të dhënave të tyre personale, të paraqesë ankesë për llogari të tij, si dhe të ushtrojë të drejtat e përmendura nga nenet 86 – 88, 90 e 91, të këtij ligji, për llogari të tij.
Neni 90
E drejta për rishikimin e përgjigjes së një autoriteti kompetent
1. Marrësi i një përgjigjeje nga një autoritet kompetent në vijim të një kërkese nga ana e tij për ushtrimin e të drejtave, sipas neneve 55 – 57, të këtij ligji, mund t’i kërkojë Komisionerit rishikimin e ligjshmërisë së përgjigjes, si dhe, nëse është e mundur, ligjshmërisë së veprimeve të përpunimit, që qëndrojnë në themel të përgjigjes.
2. Komisioneri shqyrton kërkesën e marrësit, duke ndjekur procedurën e parashikuar në nenin 86, të këtij ligji, dhe, në përfundim, i kthen përgjigje marrësit sipas pikës 3, të nenit 55, të këtij ligji.
Neni 91
Kërkesa për urdhër paraprak kufizimi
Gjatë procedurës së ankimit, sipas nenit 86, të këtij ligji, ankuesi mund t’i kërkojë Komisionerit, në përputhje me nenin 17, të këtij ligji, të lëshojë një urdhër paraprak kufizimi lidhur me veprime specifike përpunimi nga pala tjetër, për shkak të rrezikut serioz e të pariparueshëm që u kanoset të drejtave të ankuesit sipas këtij ligji. Komisioneri merr vendim sa më shpejt të jetë e mundur, por, në çdo rast, jo më vonë se 14 (katërmbëdhjetë) ditë nga data e paraqitjes së kërkesës, nëse bllokimi i menjëhershëm është i nevojshëm e proporcional. Urdhri mund të shfuqizohet në çdo kohë nga Komisioneri, sipas gjetjeve të hetimit administrativ, në rast të kundërt, është i detyrueshëm për palën tjetër deri në përfundim të shqyrtimit të çështjes.
KAPITULLI II
SANKSIONET
Neni 92
Sanksionet administrative
Shkeljet e këtij ligji nga kontrolluesit ose përpunuesit e të dhënave personale dënohen me sanksion administrativ në përputhje me nenet vijuese të këtij kapitulli.
Neni 93
Kushtet e përgjithshme për vendosjen e sanksioneve administrative
1. Komisioneri vendos sanksione administrative në përputhje me këtë nen për shkeljet e këtij ligji, sipas pikave 1, 2 dhe 3, të nenit 94, të këtij ligji, si dhe në përputhje me legjislacionin në fuqi për kundërvajtjet administrative, në mënyrë të tillë që të jenë efektive, proporcionale dhe me karakter parandalues.
2. Në varësi të rrethanave për çdo rast individual, sanksionet administrative shoqërohen ose zëvendësohen me masat korrigjuese, sipas shkronjave “a” – “f”, të pikës 2, të nenit 83, të këtij ligji. Për të vendosur nëse sanksioni administrativ do të vendoset ose jo, si dhe masën e tij në secilin rast, mbahen në konsideratë:
a) natyra, rëndësia dhe kohëzgjatja e shkeljes, duke marrë parasysh natyrën, objektin ose qëllimin e përpunimit në fjalë, si dhe numrin e subjekteve të të dhënave të përfshirë dhe nivelin e dëmit të shkaktuar ndaj tyre;
b) kryerja e shkeljes me dashje ose nga pakujdesia;
c) çdo veprim që kontrolluesi ose përpunuesi ka ndërmarrë për të zbutur dëmin e pësuar nga subjektet e të dhënave;
ç) shkalla e përgjegjësisë së kontrolluesit ose përpunuesit, duke marrë parasysh masat teknike dhe organizative të zbatuara prej tyre, në përputhje me nenet 23 e 28, të këtij ligji;
d) çdo shkelje të ngjashme të mëparshme të kryer nga kontrolluesi ose përpunuesi;
dh) shkalla e bashkëpunimit me Komisionerin për korrigjimin e shkeljes dhe zbutjen e efekteve të mundshme negative të saj;
e) kategoritë e të dhënave personale të prekura nga shkelja;
ë) mënyra me të cilën Komisioneri është vendosur në dijeni të shkeljes, veçanërisht nëse kontrolluesi ose përpunuesi kanë njoftuar për shkeljen, dhe, nëse po, deri në çfarë mase e kanë bërë këtë;
f) zbatimi i masave korrigjuese, kur përpara shkeljes këto masa janë dhënë ndaj kontrolluesit ose përpunuesit në lidhje me të njëjtën çështje;
g) respektimi i kodeve të miratuara të sjelljes, në përputhje me nenin 35, të këtij ligji, ose mekanizmat e miratuar të certifikimit, në përputhje me nenin 38, të këtij ligji; dhe
gj) çdo rrethanë tjetër rënduese ose lehtësuese, që lidhet me rrethanat e çështjes, si përfitimet financiare ose humbjet e shmangura, në mënyrë të drejtpërdrejtë ose tërthorazi nga shkelja.
3. Nëse një kontrollues ose përpunues, me dashje ose si pasojë e pakujdesisë në formën e neglizhencës, për të njëjtat veprime përpunimi ose për veprime të lidhura me të, shkel disa dispozita të këtij ligji, shuma totale e sanksionit administrativ nuk tejkalon shumën e parashikuar për shkeljen më të rëndë.
Neni 94
Masa e sanksionit
1. Bazuar edhe në rrethanat e përcaktuara në pikën 2, të nenit 93, të këtij ligji, përbëjnë kundërvajtje administrative dhe dënohen me gjobë deri në 1 000 000 000 (një miliard) lekë, ose në rastin e një shoqërie tregtare, deri në 2 (dy) % të xhiros totale vjetore globale për vitin financiar paraardhës, cilado është më e lartë, shkeljet e detyrimeve:
a) të kontrolluesit dhe përpunuesit, sipas neneve 8, pika 6, e 11, të kapitullit III, të pjesës II, të këtij ligji, me përjashtim të nenit 22, të këtij ligji;
b) të organizmit certifikues, në përputhje me nenet 37 e 38, të këtij ligji;
c) të organit monitorues, sipas pikës 3, të nenit 36, të këtij ligji.
2. Bazuar edhe në rrethanat e përcaktuara në pikën 2, të nenit 93, përbëjnë kundërvajtje administrative dhe dënohen me gjobë deri në 2 000 000 000 (dy miliardë) lekë, ose në rastin e një shoqërie tregtare, deri në 4 (katër) % të xhiros totale vjetore globale për vitin financiar paraardhës, cilado që është më e lartë, shkeljet e mëposhtme:
a) Moszbatimi i parimeve themelore të përpunimit, përfshirë kushtet për dhënien e pëlqimit, sipas neneve 6, 7, 8 e 9, të këtij ligji;
b) Shkeljet e të drejtave të subjekteve të të dhënave, sipas neneve 12 – 20, të këtij ligji;
c) Transferimet e të dhënave personale te një marrës në një vend të tretë ose një organizatë ndërkombëtare, në kundërshtim me nenet 39 – 42, të këtij ligji;
ç) Shkelja e detyrimeve, sipas neneve 43 – 46, të këtij ligji.
3. Shkelja e detyrimit për bashkëpunim apo e çdo akti të Komisionerit, sipas pikës 1, të nenit 83, të këtij ligji, moszbatimi i një urdhri apo kufizimi të përkohshëm ose përfundimtar të përpunimit ose për pezullimin e shkëmbimit të të dhënave, i nxjerrë nga Komisioneri, sipas shkronjës “b”, të pikës 2, të nenit 83, të këtij ligji, bazuar edhe në rrethanat e përcaktuara në pikën 2, të nenit 93, të këtij ligji, përbën kundërvajtje administrative dhe dënohet me gjobë deri në 2 000 000 000 (dy miliardë) lekë, ose në rastin e një shoqërie tregtare, deri në 4 (katër) % të xhiros totale vjetore globale për vitin financiar paraardhës, cilado që është më e lartë.
Neni 95
Ankimi ndaj vendimit dhe ekzekutimi i gjobës
1. Kundër vendimit për vendosjen e gjobës, kontrolluesi ose përpunuesi ka të drejtë të paraqesë ankim në gjykatën kompetente, sipas legjislacionit në fuqi.
2. Ekzekutimi i gjobave në zbatim të këtij ligji bëhet sipas legjislacionit në fuqi për kundërvajtjet administrative.
3. Gjobat arkëtohen në buxhetin e shtetit.
PJESA VI
DISPOZITA KALIMTARE DHE TË FUNDIT
Neni 96
Dispozita kalimtare
1. Kërkesat, ankesat dhe kundërvajtjet që, në datën e hyrjes në fuqi të këtij ligji, janë në proces shqyrtimi, nga Komisioneri ose nga gjykata, trajtohen sipas dispozitave në fuqi të ligjit, në kohën e paraqitjes së tyre dhe në kohën e kryerjes së shkeljes.
2. Mandati i Komisionerit në detyrë përfundon në përputhje me parashikimet e pikës 1, të nenit 80, të këtij ligji.
3. Çdo autoritet publik, brenda një periudhe 3-vjeçare nga data e miratimit të këtij ligji, vlerëson përputhshmërinë e ligjeve, të rregulloreve dhe të akteve nënligjore ekzistuese me këtë ligj.
4. Kur ka mospërputhje ose vakuum me këtë ligj, veçanërisht me nenet 7, pikat 2 e 3, 20, pika 2, shkronja “b”, 21, pika 2, e 48, pika 2, të këtij ligji, të identifikuara gjatë vlerësimit, autoriteti publik përkatës duhet të ndryshojë ose të propozojë menjëherë ndryshime në legjislacionin dhe në aktet nënligjore përkatëse për t’i sjellë ato në përputhje me këtë ligj.
Neni 97
Aktet nënligjore
1. Ngarkohet Këshilli i Ministrave për nxjerrjen, brenda 6 muajve nga hyrja në fuqi e këtij ligji, të akteve nënligjore në zbatim të shkronjës “b”, të pikës 2, të nenit 75, si dhe të pikës 3, të nenit 77, të këtij ligji.
2. Ngarkohet Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale që, brenda 6 (gjashtë) muajve nga hyrja në fuqi e këtij ligji, të miratojë aktet nënligjore në zbatim të neneve 31, pika 7, 36, pika 2, 37, pika 1, 38, pika 1, 40, pika 2, 43, pika 2, 65, pika 4, e 66, pika 4, të këtij ligji.
Neni 98
Referencat në legjislacionin në fuqi
Me hyrjen në fuqi të këtij ligji, çdo referim që dispozitat ligjore dhe nënligjore bëjnë në ligjin nr.9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, të ndryshuar, apo dispozita të veçanta të tij, vlerësohet si i bërë në këtë ligj, për aq sa është e mundur.
Neni 99
Shfuqizime
1. Ligji nr.9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, i ndryshuar, shfuqizohet me hyrjen në fuqi të këtij ligji.
2. Aktet nënligjore të miratuara në zbatim të ligjit nr.9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, të ndryshuar, mbeten në fuqi deri në miratimin e akteve të reja nënligjore, për sa nuk bien në kundërshtim me parashikimet e këtij ligji.
3. Vendimet dhe autorizimet e lëshuara para datës së hyrjes në fuqi të këtij ligji mbeten në fuqi për sa kohë nuk bien në kundërshtim me parashikimet e këtij ligji.
4. Marrëveshjet ndërkombëtare, që përfshijnë transferimin e të dhënave personale te vende të treta apo organizata ndërkombëtare, të lidhura përpara hyrjes në fuqi të këtij ligji dhe të cilat janë në përputhje me ligjin nr.9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, të ndryshuar, mbeten në fuqi deri në momentin e ndryshimit, të zëvendësimit apo të denoncimit të tyre.
Neni 100
Hyrja në fuqi
1. Ky ligj hyn në fuqi 15 ditë pas botimit në “Fletoren zyrtare”.
2. Përjashtimisht, nenet 29, pika 3, 31, 32, 35, 36, 64, 65 e 67, pikat 2, 3 dhe 5, të këtij ligji, hyjnë në fuqi 2 (dy) vjet pas botimit të tij në “Fletoren zyrtare”.
K R Y E T A R I
ELISA SPIROPALI
###
V E N D I M
PËR
PROPOZIMIN E PROJEKTLIGJIT “PËR MBROJTJEN E TË DHËNAVE PERSONALE”
Në mbështetje të neneve 81, pika 1, dhe 100, të Kushtetutës, me propozimin e ministrit të Drejtësisë, Këshilli i Ministrave
V E N D O S I:
Propozimin e projektligjit “Për mbrojtjen e të dhënave personale”, për shqyrtim e miratim në Kuvendin e Republikës së Shqipërisë, sipas tekstit dhe relacionit që i bashkëlidhen këtij vendimi.
Ky vendim hyn në fuqi menjëherë.
K R Y E M I N I S T R I
EDI RAMA
Në mungesë dhe me porosi
ZËVENDËSKRYEMINISTRI
BELINDA BALLUKU
