Skandalet e njëpasnjëshme të përhapjes së të dhënave në vend gjatë dy viteve të fundit provuan se sistemet e ruajtjes së tyre por edhe përpunimi i paautorizuar janë një kambanë alarmi që duan vëmendje.
Në këtë kontekst Komsioneri për Mbrojtjen e të Dhënave Personale përpos hetimit mbi këta precedentë më herët, gjatë vitit 2022 ka marrë hetime administrative në institucione të ndryshme publike dhe private për të parë sesi është reflektuar për t’u përmirësuar.
Në fakt situata vijon të shfaqet problematike. Pas hetimeve administrative pranë Drejtorisë së Përgjithshme e Tatimeve, Drejtorisë së Përgjithshme e Shërbimeve të Transportit Rrugor dhe Agjencisë Kombëtare e Shoqërisë së Informacionit si dhe kontrolluesve privatë që ofrojnë shërbime inxhinierike të pajisjeve dhe sistemeve për llogari të këtyre institucioneve përfundimet e nxjerra nuk janë aq inkurajuese.
Në një listë të gjatë Komsioneri nënvizon se kontrolluesit nuk respektojnë parimet e mjaftueshmërisë dhe kohëzgjatjes së ruajtjes së të dhënave personale, nuk përcaktojnë në mënyrë të qartë databazat në të cilat legjitimohet të kenë akses dhe kategoritë e të dhënave që duhet të aksesojnë në secilën databazë, pasi janë konstatuar raste në tejkalim të parimit të mjaftueshmërisë së të dhënave.
Po kështu subjektet e të dhënave nuk informohen qartësisht mbi qëllimin dhe mënyrën e përpunimit të të dhënave personale, personin/at që do t’u përpunojë të dhënat, të drejtat ligjore që gëzojnë, afatin e mbajtjes së të dhënave dhe masat e sigurisë.
Në kontratat me palët e treta është konstatuar se kontrolluesit nuk parashikojnë detyrimet në përputhje me normat përkatëse ligjore.
Një tjetër problem është që kontrolluesit nuk respektojnë detyrimin për njoftim dhe përditësimin e tij, sa herë që përpunohen kategori apo sasi të reja të dhënash personale si dhe nuk kanë marrë masa të përshtatshme për formalizimin dhe dokumentimin e politikave dhe procedurave të mënyrës së dhënies së të drejtës së aksesit.
Komisioneri konstaton se mungojnë masat tekniko-organizative për të garantuar sigurinë dhe konfidencialitetin e të dhënave personale si dhe mungojnë masat konkrete të sigurisë në sistemet elektronike të përdorura nga kontrolluesit, me qëllim për të garantuar sigurinë dhe pacenueshmërinë e sistemeve të infrastrukturave kritike të përdorura nga këto institucione shtetërore.
Vihet re mungesë e gjurmueshmërisë së veprimeve përpunuese dhe verifikimi i vazhdueshëm i tyre në sistemet elektronike, si një nga masat kryesore për garantimin e sigurisë së të dhënave personale dhe konfidencialitetit të tyre.
Po kështu mungojnë elementë të infrastrukturës së nevojshme për ngritjen, administrimin dhe mirëmbajtjen e SMSI, sipas legjislacionit në fuqi dhe ka mungesë të angazhimit të kontrolluesve për sa i përket domosdoshmërisë së trajnimit të vazhdueshëm të punonjësve që kanë akses në të dhënat personale dhe mbikëqyrin proceset përpunuese.
“ Zyra e Komisonerit vlerëson se duhet të konsolidohen praktikat e punës të personit të kontaktit për mbrojtjen e të dhënave personale në raport me legjislacionin specifik që rregullon veprimtarinë e kontrolluesve si dhe ka mungesë angazhimi për të marrë masa për zbatimin e rekomandimeve dhe detyrave të lëna në inspektimet e mëparshme nga institucioni.
Në përfundim të hetimeve administrative, Komisioneri ka dalë me Vendimet nr. 51 dhe 52, datë 24.11.2022, respektivisht për kontrolluesit DPSHTRR dhe DPT. Për kontrolluesit dhe/ose përpunuesit e tjerë, procesi i hetimit administrativ vijon ende, për shkak të kompleksitetit të këtyre inspektimeve. Njëkohësisht, zgjatja e procedurës administrative ka ardhur edhe si pasojë e gjëndjes së krijuar pas sulmeve kibernetike, investigimeve paralele të nisura nga organet ligjzbatuese, apo hetimeve të tjera të kryera nga autoritete kombëtare/ndërkombëtare të zhvilluara në këtë kuadër” thuhet në raport.
Dy vite më parë vendi u përfshi nga një rrjedhje e njëpasnjëshme e të dhënave që nisi nga një bazë të dhënash që identifikonte preferencat partiake të qytetarëve, më pas tek pagat, numrat e telefonit dhe targat e makinave. Kjo u pasua me një tjetër rrjedhje të dhënash që erdhi pas sulmit kibernetik të verës së kaluar ku hackerat nisën të publikojnë në një faqe të dedikuar dokumente dhe lista të aksesuara gjatë sulmit./Monitor
