D I G I L E G A L S

Loading

21 Pri

Më 25 maj 2018, Rregullorja e Përgjithshme e Bashkimit Evropian (BE) për Mbrojtjen e të Dhënave (GDPR) hyri në fuqi. Kompanitë që janë nën GDPR duhej të ishin në përputhje me këto të dhëna, megjithatë, ne pamë se shumë kompani nuk arritën ta bëjnë këtë, disa madje u desh të ndalonin ofrimin e shërbimeve të tyre për qytetarët e BE-së. Shumica e këtyre kompanive që nuk arritën të pajtohen me GDPR, tani po përpiqen të bëjnë çmos që të arrijnë shpejt të bëhen të pajtueshëm. Duke parë nevojën e madhe të këtyre kompanive për një përmbledhje të shpejtë dhe të lehtë të hapave kryesorë që duhet të ndërmarrë për të arritur pajtueshmërinë, ne përgatitëm këtë punim të shkurtër duke diskutuar 10 hapat kryesorë që duhet të ndërmerrni për të eleminuar më seriozët e shkeljeve të mundshme të GDPR .

GDPR do të mbulojë të gjitha kompanitë e BE-së dhe kompanitë e huaja që përpunojnë të dhënat personale të qytetarëve të BE-së, kjo do të thotë se shumica e kompanive do të duhet të pajtohen me GDPR. Gjobat për mospërmbushje janë të larta dhe të rrepta, kompanitë mund të gjobiten deri në 4% të xhiros vjetore të tyre vjetore globale për shkeljen e GDPR ose 20 milion €.
Duke parë rrezikun e lartë të mosrespektimit dhe kohën e shkurtër në dispozicion, kompanitë që përpunojnë të dhënat e qytetarëve të BE-së do të duhet të fillojnë menjëherë të punojnë për të arritur pajtueshmërinë.

Analizat paraprake

Gjëja e parë që ju duhet të bëni është të bëni një Vlerësim të Ndikimit të Privatësisë (PIA). ANP nuk është e detyrueshme, është më shumë një analizë e brendshme se ku qëndron ndërmarrja juaj për momentin, megjithatë ajo konsiderohet e dobishme pasi tregon se ku jeni, cilat janë të metat tuaja, cilat mund t’i përmirësoni edhe në planin afatgjatë mund t’ju kursejë shumë para dhe kohë.
Sipas Zyrës së Komisionerit për Informim, ANP duhet të përfshijë hapat e mëposhtëm:
1. Identifikoni nevojën për një ANP;
2. Përshkruani rrjedhën e informacionit;
3. Identifikoni intimitetin dhe rreziqet e ndërlidhura;
4. Identifikoni dhe vlerësoni zgjidhjet e intimitetit;
5. Nënshkruaj dhe regjistro rezultatet e ANP-së;
6. Integroni rezultatet në planin e projektit dhe
7. Konsultohuni me aktorët e brendshëm dhe të jashtëm sipas nevojës gjatë procesit. *

Zyrtari për Mbrojtjen e të Dhënave (DPO)

Hapi i dytë që duhet të ndërmerrni është të punësoni një DPO. DPO do të jetë personi përgjegjës brenda organizatës i cili do të sigurojë që ju të respektoni GDPR dhe do të jetë një person kontakti për klientët dhe kompanitë e tjera që kanë pyetje në lidhje me privatësinë. Sidoqoftë, jo të gjithë duhet të punësojnë një DPO nën GDPR, ato që duhet ta bëjnë këtë janë:
– një autoritet publik (përveç gjykatave që veprojnë në cilësinë e tyre gjyqësore);
– një organizatë që kryen monitorimin e rregullt dhe sistematik të individëve në një shkallë të gjerë; ose
-një organizatë që kryen përpunimin në shkallë të gjerë të kategorive të veçanta të të dhënave, të tilla si të dhënat shëndetësore, ose informacione rreth dënimeve penale.

Sidoqoftë, këshillohet që edhe nëse nuk bëni pjesë në një nga organet e përmendura më lart, megjithatë duhet të punësoni një avokat të specializuar në mbrojtjen e të dhënave i cili mund t’ju ndihmojë në pajtueshmërinë me GDPR dhe të merreni me pyetjet e përdoruesve dhe punonjësve.

Ndërgjegjësimi dhe trainimi

Edhe pas 25 majit, kompania juaj do të duhet të sigurohet në mënyrë të vazhdueshme që të mos cenojë të drejtat e privatësisë së përdoruesit dhe është në përputhje të vazhdueshëm me GDPR. Për këtë arsye është e rëndësishme që stafi juaj, posaçërisht ata që merren me të dhëna personale të klientëve, të jenë të informuar mirë për GDPR dhe parimet e mbrojtjes së të dhënave. Për shkak të kësaj, kompania juaj duhet të investojë në ndërgjegjësimin dhe trajnimin e stafit tuaj. Kompania juaj duhet të organizojë seminare të rregullta trajnimi mbi ndërgjegjësimin e GDPR për të gjithë punonjësit e saj në baza vjetore, ku ata të paktën të mësojnë bazat. Ndërsa për ata që merren me të dhëna personale drejtpërdrejt, siç është departamenti i TI ose departamenti i burimeve njerëzore, ata duhet të ndjekin kurse më të avancuara ku mësojnë për metodat se si të kriptojnë të dhënat etj. Kompania juaj gjithashtu duhet të sigurojë që klientët e saj të kuptojnë të drejtat e tyre, kështu që azhurnimi i politikës suaj të intimitetit dhe kushteve dhe kushteve është një domosdoshmëri, përveç kësaj do të ishte mirë t’i dërgoni atyre një e-mail për t’i informuar ata rreth ndryshimeve të reja.

Baza e pëlqimit dhe e ligjshme
Në mënyrë që kompania juaj të përpunojë të dhënat, duhet të keni një bazë ligjore për ta bërë këtë. Neni 6 i GDPR rendit gjashtë raste kur të dhënat e përpunimit janë të ligjshme, ato janë:

a) subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave personale të tij ose të saj për një ose më shumë qëllime specifike;
b) (përpunimi është i nevojshëm për kryerjen e një kontrate në të cilën është subjekt i të dhënave ose për të ndërmarrë hapa me kërkesë të subjektit të të dhënave përpara se të lidhë një kontratë;
c) përpunimi është i nevojshëm për respektimin e një detyrimi ligjor të cilit i nënshtrohet kontrolluesi;
d) përpunimi është i nevojshëm për të mbrojtur interesat jetike të subjektit të të dhënave ose të një personi tjetër fizik;
e) përpunimi është i nevojshëm për kryerjen e një detyre të kryer në interes të publikut ose në ushtrimin e autoritetit zyrtar të ngarkuar me kontrolluesin;
f) përpunimi është i domosdoshëm për qëllime të interesave legjitime të ndjekura nga kontrolluesi ose nga një palë e tretë, përveç kur interesat e tilla janë tejkaluar nga interesat ose të drejtat themelore dhe liritë e subjektit të të dhënave që kërkojnë mbrojtje të të dhënave personale, veçanërisht kur subjekti i të dhënave është një fëmijë.

Nëse ju jeni një kompani private, opsioni që ju ka të ngjarë të bie është (a). Pra, është e domosdoshme që kompania juaj të sigurojë që klientët e tyre të pajtohen me mbledhjen dhe përpunimin e të dhënave të tyre. Ju mund të merrni pëlqimin duke e bërë një përdorues “Pajtohem” për politikën tuaj të intimitetit, ose duke kërkuar posaçërisht pëlqim përmes një e-mail ose një formulari të pëlqimit.

Të drejtat e përdoruesit dhe kërkesat e hyrjes në temë

Përveç pëlqimit, ju gjithashtu duhet të siguroheni që i kuptoni dhe respektoni të drejtat e privatësisë së përdoruesit tuaj. GDPR rendit një numër të drejtash për përdoruesit që një kompani duhet t’u sigurojë atyre, ato janë:
a) e drejta për t’u informuar;
b) e drejta e hyrjes;
c) e drejta e ndreqjes;
d) e drejta e fshirjes;
e) e drejta për të kufizuar përpunimin;
f) e drejta për transportim të të dhënave;
g) e drejta e kundërshtimit; dhe
h) e drejta për të mos iu nënshtruar vendimmarrjes së automatizuar përfshirë profilizimin.

Ju duhet të siguroheni që të keni masat e nevojshme për të përmbushur të drejtat e tyre. Të tilla si të jenë në gjendje të fshijnë të gjitha të dhënat e tyre nëse e kërkojnë atë etj. Kjo do të kërkojë që të sigurohesh që të kesh aftësitë teknologjike dhe të burimeve njerëzore për të përmbushur këto të drejta.
Një e drejtë që është shumë e rëndësishme dhe me të cilën shumica e kompanive do të duhet të merren menjëherë, tani që GDPR ka hyrë në fuqi është Të drejtat e hyrjes në subjektet e të dhënave. Ky numër lejon subjektet e të dhënave të kërkojnë informacion mbi të dhënat e tyre, kjo do të thotë se ata mund të kërkojnë nga kontrolluesi të dijë sa vijon:
-Cilat të dhëna personale janë duke u përpunuar.
-Qëllimet për të cilat po përpunohen të dhënat personale.
-Kush, nëse ndokush, të dhënat personale i zbulohen.
-Shkalla në të cilën po përdor të dhënat personale me qëllim të marrjes së vendimeve të automatizuara në lidhje me subjektin e të dhënave dhe, nëse po, çfarë logjike përdoret për atë qëllim. *

Duke parë që kjo do të bëhet praktikë e zakonshme është e rëndësishme që kompanitë të përgatisin procedurat se si do të trajtojnë të gjithë ngarkesën e punës, pasi ekzistojnë edhe rregulla të caktuara në të cilat do të duhet t’i përmbaheni, siç nuk mund t’i ngarkoni përdoruesit për këtë, ju duhet të respektoni brenda 40 ditëve, nëse refuzoni kërkesën subjektet e të dhënave mund të ankohen tek autoriteti mbikëqyrës etj.

Marrëveshjet për mbrojtjen e të dhënave

Si një kompani private ju ka shumë të ngjarë të transferoni të dhëna në kompani të tjera, në mënyrë që të ofroni shërbimet tuaja, qoftë një kompani për ruajtjen e cloud, paketën e biznesit të Google, etj. Nëse dëshironi të vazhdoni ta bëni këtë, është e rëndësishme që të bëni të sigurt që kompanitë partnere tuaj plotësojnë standardin e kërkuar për mbrojtjen e të dhënave, për të siguruar që ato do të mbrojnë të dhënat e klientit tuaj. Nëse partnerët tuaj nuk dëshirojnë t’u binden standardeve të tilla, nuk keni zgjidhje tjetër përveçse të përfundoni marrëdhëniet tuaja kontraktuale me ta dhe të gjeni një zëvendësues për to. Një mënyrë për të siguruar që këto kompani do të jenë në përputhje me standardet tuaja është duke i bërë ata të nënshkruajnë një Marrëveshje për Mbrojtjen e të Dhënave me të gjitha kompanitë partnere, kjo marrëveshje siguron që kompania partnere do të pajtohet me GDPR dhe kështu të mbrojë të dhënat e klientit tuaj.

Shkeljet e të dhënave

Kompania juaj duhet të ketë masa mbrojtëse për të mbrojtur të dhënat e klientit të saj nga sulmet e mundshme në internet. Përveç që keni një plan të fortë të sigurisë në internet, ju gjithashtu duhet të keni një plan në rast të shkeljes së të dhënave. Shkeljet e të dhënave janë pothuajse të pashmangshme në epokën e sotme, kështu që është e rëndësishme që të përgatiteni për një të tillë. Në rast se ndodh ndonjë shkelje e të dhënave, ju jeni të detyruar të informoni Agjencinë tuaj për Mbrojtjen e të Dhënave, Zyrtarin tuaj për Mbrojtjen e të Dhënave, Kontrollorin (nëse jeni procesori) dhe gjithashtu të dhënat e klientit të klientit janë sulmuar. Ju duhet vetëm 48 orë për ta bërë këtë, përveç nëse keni një justifikim dhe bëni një kërkesë në autoritetin e mbrojtjes së të dhënave. Pasi të ketë ndodhur incidenti, ju duhet të bëni gjithçka në fuqinë tuaj për të minimizuar dëmet dhe për të përmirësuar mbrojtjen tuaj të sigurisë në internet.

Vërejtjet përfundimtare
Nëse ju kompani ka dështuar të respektoni plotësisht GDPR-në deri në 25, ju duhet të vazhdoni të punoni në pajtueshmëri deri sa të keni arritur një nivel të rehatshëm, por edhe atëherë duhet të jeni vazhdimisht të vetëdijshëm për mbrojtjen e të dhënave dhe privatësinë në mënyrë që në projektet e ardhshme kur dëshironi për të zbatuar diçka që përfshin edhe të dhëna personale të klientëve tuaj ju vetëdijeni për mbrojtjen e të dhënave për të shmangur shkeljet e panevojshme. Mënyra më e mirë për ta bërë këtë është të stërvitni vazhdimisht personelin tuaj, të bëni vlerësime të ndikimit në mbrojtjen e të dhënave dhe të përdorni parimet e sigurisë sipas modelit dhe parazgjedhjes.

Citation:

* Kryerja e kodit të praktikës së vlerësimeve të ndikimit në privatësi.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

*GDPR Report, “GDPR Subject Access Requests” (2017).
https://gdpr.report/news/2017/11/20/gdpr-subject-access-requests/

No Comments
TAGS :