Më 20 nëntor 2025, Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale miratoi dy udhëzime që, marrë së bashku, ndërtojnë për herë të parë një mekanizëm të plotë certifikimi sipas Ligjit nr. 124/2024 "Për mbrojtjen e të dhënave personale": Udhëzimin nr. 08 për kriteret shtesë të akreditimit të organizmave certifikues dhe Udhëzimin nr. 09 për kriteret e përgjithshme të certifikimit dhe dhënies së vulave e shenjave të mbrojtjes së të dhënave personale.
Të dy udhëzimet zëvendësojnë regjimin e vjetër të vitit 2018 (Udhëzimet nr. 47 dhe nr. 48, datë 14.09.2018). Për shumicën e kompanive shqiptare, ky është një zhvillim që ka kaluar pa u vënë re - por është pikërisht lloji i zhvillimit që, brenda një ose dy vitesh, do të ndajë kompanitë që e trajtojnë mbrojtjen e të dhënave si formalitet nga ato që e kthejnë në një avantazh konkurrues.
Ky shkrim shpjegon çfarë është certifikimi, si funksionon mekanizmi i ri dhe - më e rëndësishmja - çfarë do të thotë konkretisht për një kontrollues ose përpunues të dhënash në Shqipëri.
Çfarë janë vulat dhe shenjat e mbrojtjes së të dhënave
Certifikimi i parashikuar nga neni 37 i Ligjit 124/2024 është një vlerësim konformiteti i një veprimi konkret përpunimi - jo i gjithë kompanisë në abstrakt. Një organizëm i pavarur dhe i akredituar vlerëson nëse një veprim i caktuar përpunimi (për shembull, përpunimi i të dhënave të klientëve në një platformë të caktuar, ose përpunimi i të dhënave të punonjësve) kryhet në përputhje me kërkesat ligjore. Nëse po, klienti pajiset me një vulë dhe shenjë që e dëshmon këtë.
Disa pika themelore për ta kuptuar saktë:
- Është vullnetar. Asnjë kompani nuk detyrohet të certifikohet. Por certifikimi është një sinjal besimi: dëshmon publikisht se një veprim përpunimi është vlerësuar nga një palë e tretë e pavarur dhe është gjetur në përputhje me ligjin.
- Është specifik për veprimin. Certifikohet një ose disa veprime përpunimi, jo "kompania" si e tërë. Objekti i certifikimit përcaktohet qartë në certifikatë.
- Ka afat. Certifikimi vlen për një periudhë jo më të gjatë se 3 vjet dhe rinovohet sipas të njëjtave kritere.
- Nuk ju shkarkon nga detyrimet ligjore. Edhe pas certifikimit, kontrolluesi mbetet plotësisht përgjegjës për përputhshmërinë me ligjin. Certifikimi është dëshmi, jo mbrojtje.
Si funksionon mekanizmi: dy nivele
Mekanizmi i ri ndërtohet në dy nivele, dhe është e rëndësishme të mos ngatërrohen.
Niveli i parë - akreditimi i organizmave certifikues (Udhëzimi nr. 08). Para se dikush të certifikojë kompani të tjera, ai vetë duhet të akreditohet si organizëm certifikues nga Drejtoria e Përgjithshme e Akreditimit, sipas Ligjit nr. 116/2014 dhe kritereve shtesë të Udhëzimit 08. Këto organizma duhet të zbatojnë standardin ndërkombëtar ISO 17065 dhe të plotësojnë kërkesa të rrepta për pavarësinë, paanësinë, konfidencialitetin, burimet financiare dhe kompetencën e stafit. Akreditimi jepet për një afat maksimal prej 5 vjetësh.
Një detaj që do të bëhet gjithnjë e më i rëndësishëm: Udhëzimi 08 ndalon që një organizëm certifikues të ofrojë njëkohësisht shërbime konsulence ose të veprojë si nëpunës i mbrojtjes së të dhënave (DPO) për të njëjtin klient që certifikon. Kjo ndarje është thelbi i paanësisë - kush ju këshillon nuk mund t'ju vlerësojë.
Niveli i dytë - certifikimi i kontrolluesve dhe përpunuesve (Udhëzimi nr. 09). Pasi organizmat të jenë akredituar, ata certifikojnë kontrolluesit dhe përpunuesit (klientët) përkundrejt kritereve ligjore të Ligjit 124/2024 dhe standardit ISO 27701 (Sistemi i Menaxhimit të të Dhënave Personale - PIMS), të mbështetur mbi një ISO 27001 (Sistemi i Menaxhimit të Sigurisë së Informacionit - SMSI) funksional.
Çfarë kërkohet nga një kompani që dëshiron të certifikohet
Këtu Udhëzimi 09 bëhet praktik. Për t'u certifikuar, një kompani duhet të dëshmojë se ka ndërtuar - dhe e mban funksional - një infrastrukturë reale të mbrojtjes së të dhënave. Kriteret kryesore përfshijnë:
- Një SMSI funksional (ISO 27001) me kontrolle specifike mbi të dhënat personale, dhe një PIMS (ISO 27701) me tregues kyç të performancës (KPI), vlerësim vjetor nga niveli drejtues dhe audit të brendshëm të paktën një herë në vit.
- Zbatim të parimeve të përpunimit: ligjshmëria, drejtësia dhe transparenca; përpunimi sipas qëllimit; minimizimi i të dhënave; saktësia; kufizimi i ruajtjes në kohë; integriteti dhe konfidencialiteti; dhe përgjegjshmëria. Baza ligjore për çdo veprim duhet të jetë e identifikuar, e dokumentuar dhe objekt rishikimi periodik.
- Ndarje të qartë të roleve mes kontrolluesit, përpunuesit dhe nënpërpunuesve, me marrëveshje përpunimi që përcaktojnë përgjegjësitë dhe me kontroll të hollësishëm (due diligence) për nënpërpunuesit.
- Procese që mundësojnë ushtrimin e të drejtave të subjekteve - informim, akses, korrigjim e fshirje, e drejta për t'u harruar, kufizim, transferueshmëri, kundërshtim dhe mosnënshtrim ndaj vendimeve automatike - me verifikim identiteti, regjistrim e gjurmim të kërkesave dhe respektim të afateve ligjore.
- Procedura për cenimet e të dhënave, të testuara periodikisht me simulime, dhe kryerje të njoftimeve përkatëse pranë Komisionerit dhe subjekteve të prekura.
- Mbrojtje të të dhënave në projektim dhe në mënyrë të paracaktuar (privacy by design and by default).
- Vlerësim ndikimi në mbrojtjen e të dhënave (VNMD/DPIA) për veprimet me rrezik të lartë, sipas nenit 31 të Ligjit 124/2024.
- Masa teknike dhe organizative të përshtatshme për rrezikun: pseudonimizim e enkriptim, kontroll aksesi dhe menaxhim identiteti, qëndrueshmëri dhe rikuperim, testime depërtimi dhe vlerësime vulnerabiliteti.
- Masa mbrojtëse për transferimet ndërkombëtare, kur ka të tilla, me dokumentim të mekanizmit (vendim përshtatshmërie, klauzola standarde, ose rregulla detyruese korporative).
- Regjistër të veprimtarive të përpunimit (ROPA) sipas nenit 27 të Ligjit, me kategoritë e të dhënave, qëllimin, bazën ligjore, periudhën e ruajtjes dhe mekanizmat e transferimit.
Lexuar me kujdes, kjo listë nuk është një grup kërkesash të reja: është pikërisht infrastruktura që Ligji 124/2024 tashmë e kërkon nga çdo kontrollues. Certifikimi thjesht e bën të verifikueshme dhe të dukshme atë që duhet të ekzistojë sido që të jetë.
Pse ka rëndësi për kompaninë tuaj
Tri arsye e bëjnë këtë zhvillim më shumë se një hollësi rregullatore:
1. Certifikimi bëhet sinjal besimi në një treg ku askush nuk e ka ende. Albania është në fillim të kurbës. Kompania e parë në sektorin tuaj që vendos një vulë mbrojtjeje të të dhënave përkrah një veprimi përpunimi fiton një avantazh që konkurrentët do ta ndjekin me vonesë.
2. Puna përgatitore është e njëjtë me detyrimin ligjor. Edhe nëse vendosni të mos certifikoheni sot, ndërtimi i ROPA-s, i proceseve të të drejtave të subjekteve, i procedurave të cenimit dhe i vlerësimeve të ndikimit nuk është "punë për certifikim" - është thjesht përmbushja e ligjit. Certifikimi vetëm e vendos shiritin më lart dhe e dokumenton.
3. Ekosistemi po ndërtohet pikërisht tani. Gjatë vitit 2026 pritet që organizmat e parë të akreditohen dhe skemat e certifikimit të marrin formë. Kompanitë që e fillojnë përgatitjen tani do të jenë gati kur certifikimi të bëhet realisht i disponueshëm - dhe, ndoshta më e rëndësishmja, do të jenë në rregull me ligjin shumë përpara se Komisioneri të trokasë.
Çfarë të bëni tani
Edhe pa pasur ende organizma të akredituar në treg, ka hapa konkretë që e zvogëlojnë rrezikun dhe ju vendosin përpara:
- Hartoni regjistrin tuaj të veprimtarive të përpunimit (ROPA). Pa të, asgjë tjetër nuk qëndron. Është gjithashtu pika ku Komisioneri fillon çdo kontroll.
- Vendosni procese të qarta për kërkesat e subjekteve të të dhënave, me afate dhe gjurmë auditimi.
- Identifikoni veprimet me rrezik të lartë dhe kryeni vlerësimet e ndikimit (DPIA) për to.
- Konsolidoni bazat e SMSI-së dhe të PIMS-it - politika sigurie, kontroll aksesi, procedura cenimi të testuara.
- Mbani parasysh ndarjen e roleve kur zgjidhni partnerë: organizmi që ju certifikon nuk mund të jetë i njëjti që ju këshillon ose ju ofron DPO-në.
Ky shkrim ka karakter të përgjithshëm informues dhe nuk përbën këshillim ligjor. Referencat ndaj neneve i përkasin Ligjit nr. 124/2024 dhe Udhëzimeve nr. 08 e nr. 09, datë 20.11.2025; përpara çdo vendimmarrjeje, ato duhet të verifikohen me tekstin zyrtar të botuar në Fletoren Zyrtare dhe, sipas rastit, me një jurist të licencuar.
Dëshironi të kuptoni se ku ndodhet kompania juaj përballë këtyre kërkesave? Rezervoni një bisedë 30-minutëshe ose abonohuni në Privacy Brief Shqipëri për përditësime praktike mbi Ligjin 124/2024.