Në shumë kompani shqiptare, "DPO" është bërë një titull që i shtohet dikujt që tashmë ka një punë tjetër - zakonisht drejtuesit e IT-së ose juristit të brendshëm. Por sipas Ligjit nr. 124/2024 "Për mbrojtjen e të dhënave personale", Nëpunësi për Mbrojtjen e të Dhënave nuk është një titull; është një funksion ligjor me detyra, pavarësi dhe përgjegjësi të përcaktuara. Të mos e kuptosh këtë ndryshim është një nga gabimet më të shpeshta - dhe më të kushtueshme - që bëjnë kompanitë në fillim të rrugës së tyre të përputhshmërisë.
Ky udhëzues shpjegon kur është i detyrueshëm caktimi i një DPO-je, çfarë bën realisht roli në praktikën e përditshme, si garantohet pavarësia, dhe kur ka kuptim një DPO i jashtëm.
Kur është i detyrueshëm një DPO
Caktimi i një DPO-je (neni 33 i Ligjit 124/2024) është i detyrueshëm në tri raste kryesore:
- Autoritetet dhe organet publike - me përjashtim të gjykatave kur veprojnë në cilësinë e tyre gjyqësore.
- Kontrolluesit ose përpunuesit veprimtaritë kryesore të të cilëve kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave në shkallë të gjerë - për shembull, kompani që kryejnë profilizim, gjurmim sjelljeje ose vëzhgim të vazhdueshëm.
- Kontrolluesit ose përpunuesit veprimtaritë kryesore të të cilëve përfshijnë përpunimin në shkallë të gjerë të kategorive të veçanta të të dhënave (të dhëna sensitive, si ato shëndetësore, biometrike, etj.) ose të të dhënave që lidhen me dënime penale.
Ka edhe një kriter të katërt që shpesh harrohet. Sipas nenit 22 të Ligjit, caktimi i një DPO-je duhet të merret në konsideratë pavarësisht kritereve të nenit 33, veçanërisht kur proceset e përpunimit përmbajnë elemente të tjera të rëndësishme rreziku. Me fjalë të thjeshta: edhe nëse nuk e detyron shkronja e ligjit, një DPO mund të jetë vendimi i duhur sa herë që përpunoni të dhëna në mënyra që mund të prekin ndjeshëm individët.
Një këshillë praktike: mos u përqendroni vetëm te pyetja "a jam i detyruar?". Edhe kur caktimi nuk është i detyrueshëm, dikush brenda organizatës duhet të jetë qartësisht përgjegjës për mbrojtjen e të dhënave. Boshllëku i përgjegjësisë është pikërisht ajo që Komisioneri konstaton më shpesh gjatë hetimeve.
Çfarë bën realisht një DPO
Sipas Ligjit 124/2024 (nenet 33-34), DPO-ja ka një grup detyrash thelbësore. Të përkthyera nga gjuha ligjore në praktikë, ato janë:
- Informon dhe këshillon kontrolluesin, përpunuesin dhe punonjësit për detyrimet që rrjedhin nga ligji.
- Monitoron përputhshmërinë me Ligjin dhe me politikat e brendshme - duke përfshirë ndarjen e përgjegjësive, ndërgjegjësimin e stafit, trajnimin dhe auditet përkatëse.
- Këshillon mbi vlerësimet e ndikimit në mbrojtjen e të dhënave (DPIA) dhe monitoron kryerjen e tyre, sipas nenit 31 të Ligjit.
- Bashkëpunon me Komisionerin dhe shërben si pikë kontakti për të, përfshirë rastet e konsultimit paraprak.
- Është pikë kontakti për subjektet e të dhënave për çdo çështje që lidhet me përpunimin e të dhënave dhe ushtrimin e të drejtave të tyre.
Vini re se asnjëra prej këtyre detyrave nuk thotë "vendos vetë". DPO-ja këshillon dhe mbikëqyr; përgjegjësia ligjore për përputhshmërinë mbetet te kontrolluesi. Ky dallim ka rëndësi praktike: një DPO i mirë nuk është personi që "bën gjithçka për privatësinë", por personi që siguron që organizata e bën atë siç duhet.
Pavarësia dhe konflikti i interesit
Ligji e mbron pozicionin e DPO-së në mënyra që shpesh anashkalohen, por që janë thelbësore:
- DPO-ja duhet të përfshihet siç duhet dhe në kohën e duhur në të gjitha çështjet që lidhen me mbrojtjen e të dhënave - jo të thirret pasi vendimi është marrë tashmë.
- I duhen dhënë burimet e nevojshme dhe akses në operacionet e përpunimit.
- DPO-ja nuk merr udhëzime se si t'i kryejë detyrat dhe nuk mund të penalizohet ose shkarkohet për shkak të ushtrimit të tyre.
- Raporton te niveli më i lartë drejtues.
- Mund të ketë detyra të tjera, por vetëm nëse ato nuk krijojnë konflikt interesi.
Pika e fundit është më delikate se sa duket. Drejtuesi i IT-së që vendos vetë si përpunohen të dhënat nuk mund të jetë njëkohësisht personi që vlerëson në mënyrë të pavarur nëse ai përpunim është i ligjshëm. E njëjta logjikë vlen për drejtuesin e burimeve njerëzore ose të marketingut. DPO-ja duhet të jetë mjaftueshëm i pavarur nga vendimet që duhet të mbikëqyrë.
Si duket roli javë pas jave
Në praktikë, puna e një DPO-je organizohet rreth disa flukseve të vazhdueshme. Kjo është "shtylla operacionale" e rolit:
- Mban të përditësuar regjistrin e veprimtarive të përpunimit (ROPA) sipas nenit 27 - pika nga e cila niset çdo kontroll i Komisionerit.
- Trajton kërkesat e subjekteve të të dhënave (akses, korrigjim, fshirje, kundërshtim, etj.) brenda afateve ligjore, me verifikim identiteti dhe gjurmë auditimi.
- Mbikëqyr vlerësimet e ndikimit (DPIA) për veprimet me rrezik të lartë, përpara se ato të nisin.
- Drejton reagimin ndaj cenimeve të të dhënave - zbulimi, vlerësimi, njoftimi i Komisionerit dhe, sipas rastit, i subjekteve të prekur, brenda afateve.
- Vlerëson përpunuesit dhe nënpërpunuesit përpara kontraktimit dhe gjatë marrëdhënies (kontroll i hollësishëm, klauzola përpunimi, transferime ndërkombëtare).
- Kryen trajnime dhe ndërgjegjësim të stafit, me tregues të matshëm.
- Mban marrëdhënien me Komisionerin dhe ndjek vendimet e tij e zhvillimet rregullatore.
Pjesa më e madhe e kohës së një DPO-je nuk shkon te "strategjia e privatësisë", por te këto procese të përditshme. Pa një sistem që i mban të organizuara - regjistrin, kërkesat, afatet, gjurmët e auditimit - roli kthehet shpejt në një tabelë Excel të pamenaxhueshme dhe në email të humbur. Pikërisht këtu shumica e ekipeve të vogla dështojnë: jo nga mungesa e njohurive, por nga mungesa e infrastrukturës operacionale.
DPO i brendshëm apo i jashtëm?
Ligji 124/2024 lejon shprehimisht që roli i DPO-së të mbulohet nga një person i jashtëm, në bazë kontrate shërbimi. Për shumë kompani shqiptare - sidomos ato të mesme që nuk kanë ekspertizë të brendshme në mbrojtjen e të dhënave - kjo është zgjidhja më realiste.
DPO i brendshëm ka kuptim kur organizata është e madhe, kur përpunimi është thelbësor për veprimtarinë (banka, telekom, shëndetësi) dhe kur ka tashmë staf të kualifikuar që mund të ushtrojë rolin pa konflikt interesi.
DPO i jashtëm (DPO-as-a-service) ka kuptim kur kompania nuk ka ekspertizë të brendshme, kur caktimi i një personi me kohë të plotë do të ishte i panevojshëm, ose kur dëshiron pavarësi më të madhe nga strukturat e brendshme. Avantazhi është ekspertiza e menjëhershme dhe pavarësia; kushti është që ofruesi i jashtëm të ketë akses real, përfshirje në kohë dhe njohuri të vërtetë të veprimtarisë suaj - jo thjesht një emër në një kontratë.
Pavarësisht zgjedhjes, çështja vendimtare mbetet e njëjta: a ka roli një sistem përmes të cilit drejtohet programi - regjistri, kërkesat, vlerësimet, afatet dhe gjurmët e auditimit - apo varet nga kujtesa dhe vullneti i mirë i një personi?
Listë e shkurtër gatishmërie
Përpara se të vendosni se kush do të jetë DPO-ja juaj - ose nëse ju duhet fare një - kontrolloni:
- A e kemi vlerësuar nëse caktimi i DPO-së është i detyrueshëm sipas nenit 33 (ose i këshillueshëm sipas nenit 22)?
- A e kemi përcaktuar qartë kush mban përgjegjësinë për mbrojtjen e të dhënave, me akt të brendshëm?
- A është ky person mjaftueshëm i pavarur nga vendimet që duhet të mbikëqyrë (pa konflikt interesi)?
- A ka burimet, aksesin dhe përfshirjen në kohë për ta kryer rolin realisht?
- A kemi një ROPA të përditësuar, procese për kërkesat e subjekteve dhe procedura cenimi që DPO-ja t'i mbikëqyrë?
- A i kemi njoftuar të dhënat e kontaktit të DPO-së te subjektet dhe, sipas rastit, te Komisioneri?
Nëse përgjigja për ndonjë prej tyre është "jo" ose "nuk jam i sigurt", aty fillon puna.
Ky udhëzues ka karakter të përgjithshëm informues dhe nuk përbën këshillim ligjor. Referencat ndaj neneve i përkasin Ligjit nr. 124/2024; përpara çdo vendimmarrjeje, ato duhet të verifikohen me tekstin zyrtar të konsoliduar (Fletorja Zyrtare / QBZ) dhe, sipas rastit, me një jurist të licencuar.
Po vlerësoni nëse ju duhet një DPO dhe çfarë do të thotë kjo në praktikë? Shkarkoni listën e kontrollit të përputhshmërisë me LMDP ose rezervoni një bisedë 30-minutëshe.