Dhimitër Shuli
DPO, CISM, PMP®
DPO i certifikuar nga Universiteti i Maastrichtit qe prej vitit 2018
Drejtor Teknik pranë Beta BalkanTeam
Nënkryetar i Komitetit Digjital në AmCham
Abstrakt
Ligji nr. 124/2024 “Për Mbrojtjen e të Dhënave Personale” ka sjellë një kuadër më të plotë dhe më modern rregullator në Shqipëri, duke kërkuar nga bizneset që të adoptojnë standarde më të larta të transparencës, sigurisë dhe përgjegjshmërisë. Megjithatë, zbatimi praktik i këtyre kërkesave mbetet një sfidë shumëdimensionale. Ky artikull analizon pengesat kryesore me të cilat përballen ndërmarrjet shqiptare, nga mikro-bizneset deri tek korporatat e mëdha, si dhe pritshmëritë ndaj autoritetit mbikëqyrës. Përtej sfidave, artikulli paraqet mundësitë që krijohen për bizneset që e shohin përputhshmërinë jo si barrë, por si avantazh strategjik.
Hyrje
Transformimi dixhital, rritja e volumit të të dhënave personale dhe ndërgjegjësimi i shtuar i publikut kanë rritur nevojën për një kornizë të fortë ligjore që garanton privatësinë dhe sigurinë e informacionit. Në Shqipëri, pavarësisht përpjekjeve të Zyrës së Komisionerit dhe vetë subjekteve, zbatimi praktik i ligjit shpesh ngel në nivele minimale, i fragmentuar ose reaktiv. Ky artikull synon të paraqesë një panoramë të qartë të realitetit në terren, duke analizuar:
- Sfidat horizontale dhe sektoriale të zbatimit
- Vështirësitë sipas madhësisë së biznesit
- Pritshmëritë e kompanive nga autoriteti rregullator
- Mundësitë që ofron përputhshmëria e mirëfilltë
Sfidat Vertikale në Zbatimin e Ligjit për Mbrojtjen e të Dhënave
Një nga pengesat më të mëdha në zbatimin efektiv të ligjit për mbrojtjen e të dhënave në Shqipëri lidhet me mentalitetin neglizhent të shoqërisë dhe drejtuesve të organizatave. Në shumë raste, përputhshmëria shihet më shumë si një proces formal, i orientuar drejt kalimit të inspektimeve, sesa si një përpjekje thelbësore për të ndërtuar kulturë respekti për privatësinë dhe sigurinë e informacionit. Kjo qasje reaktive e kufizon aftësinë e organizatave për të implementuar mekanizma të qëndrueshëm dhe për të krijuar vlera afatgjata gjatë menaxhimit të të dhënave personale.
Një tjetër sfidë e rëndësishme është mungesa e përgjegjësisë dhe llogaridhënies institucionale. Shumë subjekte nuk emërojnë fare një Oficer për Mbrojtjen e të Dhënave (DPO), ose e bëjnë këtë vetëm formalisht (“DPO në letër”), pa ndonjë funksion real drejtues apo mekanizëm raportimi. Në mënyrë të ngjashme, mungojnë auditimet e brendshme, planet e reagimit ndaj incidenteve, si dhe proceset e strukturuara për raportimin e tyre. Kjo krijon boshllëqe të mëdha në zinxhirin e kontrollit, duke rritur rrezikun e shkeljeve të privatësisë, dhe dëmëve të mëdha për individët.
Për shumë ndërmarrje të vogla dhe të mesme (SME), vështirësia qëndron edhe te mungesa e burimeve njerëzore dhe teknike. Mungojnë ekspertë të brendshëm që të kuptojnë ligjin, si dhe mjetet praktike për vetëvlerësim, menaxhim dokumentacioni dhe analizë të rrezikut. Proceset kyçe të të dhënave si ruajtja, ndarja, transferimi dhe fshirja kryhen shpesh në mënyra të pasigurta, duke përfshirë përdorimin e Excel-it lokal, USB-ve, ose platformave cloud që nuk ofrojnë mbrojtje të mjaftueshme. Këto praktika krijojnë një mjedis teknik të brishtë, ku çdo incident i vogël mund të ketë pasoja serioze.
Një aspekt i nënvlerësuar, por shumë ndikues, është vështirësia e organizatave për të kërkuar ndihmë profesionale. Shumë biznese nuk arrijnë të kuptojnë qartë se çfarë kompetencash duhen për të garantuar përputhshmërinë, çfarë kriteresh identifikojnë një konsulent të kualifikuar dhe pse ekspertiza e jashtme është thelbësore për ngritjen e një sistemi funksional. Për pasojë, organizatat ose hezitojnë të kërkojnë mbështetje, ose kërkojnë ndihmë të papërshtatshme, gjë që shton koston, pasigurinë dhe rrezikun e dështimit në implementim.
Një tjetër pengesë strukturore lidhet me mungesën e standardizimit. Mungojnë formate praktike, të unifikuara dhe të pranueshme gjerësisht për dokumente të detyrueshme ligjore si ROPA, DPIA, politikat e privatësisë dhe procedurat e menaxhimit të incidenteve. Kjo ndikon në cilësinë e dokumentacionit, rrit paqartësinë dhe e bën të vështirë auditimin ose inspektimin.
Së fundi, transformimi dixhital në Shqipëri shpesh zhvillohet pa parimin “privacy by design”. Implementimi i platformave cloud, sistemeve të kamerave të sigurisë, CRM-ve, aplikacioneve të e-commerce apo edhe zgjidhjeve me inteligjencë artificiale ndodh në mungesë të analizave DPIA dhe vlerësimeve të impaktit mbi privatësinë. Kjo sjell një shkallë të lartë rreziku dhe krijon boshllëqe të menjëhershme që më pas janë të vështira dhe të kushtueshme për t’u korrigjuar.
Sfidat Sipas Madhësisë së Biznesit
Mikro-bizneset, si psh studio mjekësore, zyra noteriale, avokatë, laboratorë, kontabilistë etj. Sfida kryesore qëndron në mungesën e ndërgjegjësimit për rëndësinë e të dhënave që ata përpunojnë. Në shumë raste, ata trajtojnë të dhëna jashtëzakonisht sensibile (shëndetësore, financiare, juridike), por nuk e perceptojnë vlerën, rrezikshmërinë apo përgjegjësinë ligjore që mbartin këto kategori.
Një problem tjetër madhor është pamundësia për të kuptuar nevojën për mbështetje të specializuar. Mikro-bizneset shpesh nuk arrijnë të vlerësojnë se kur dhe pse u nevojitet konsulencë profesionale, çka i ekspozon ndaj gabimeve procedurale dhe teknike.
Në këtë kontekst, del në pah nevoja urgjente për trajnime praktike, sidomos mbi praktikat bazë të sigurisë së informacionit, detyrimet e ligjit dhe menaxhimin e të dhënave sensibile. Trajnimet e vazhdueshme janë thelbësore për ngritjen e kapaciteteve të brendshme dhe krijimin e një kulture minimale të privatësisë, duke ulur rreziqet operative dhe ligjore.
Problemet që takohen shpesh në këtë segment janë: Mungesa e njohurive bazë për ligjin e privatësisë, Ruajtja e të dhënave në kompjuterë personalë, pa fjalëkalime ose backup, Mungesa e kontratave me “data processors” (p.sh. laboratorë, agjenci IT).
Shenbull: Laborator dentar që ruan skanime 3D të pacientëve në një laptop pa enkriptim → në rast humbjeje, rrezikon gjobë dhe humbje besimi nga klientët.
Bizneset e vogla
Për bizneset e vogla, si agjenci marketingu, klinika private, call centers, start-up-e apo firma IT, sfida kryesore lidhet me planifikimin dhe alokimin e burimeve financiare të nevojshme për të arritur dhe për të mirëmbajtur përputhshmërinë me kërkesat e ligjit për mbrojtjen e të dhënave. Ndryshe nga bizneset e mëdha, të cilat mund të kenë buxhete të dedikuara për siguri dhe pajtueshmëri, bizneset e vogla operojnë zakonisht me struktura të kufizuara financiare dhe duhet të bëjnë zgjedhje të vështira ndërmjet investimeve në zhvillim, marketing, operacione dhe pajtueshmëri.
Në këtë realitet, përputhshmëria shpesh perceptohet si “kosto shtesë” dhe jo si investim strategjik, duke e shtyrë në kohë implementimin e praktikave të nevojshme, si krijimi i politikave të brendshme, menaxhimi i aksesit, dokumentimi i proceseve, kryerja e DPIA-ve, apo edukimi i stafit.
Një tjetër çështje thelbësore është varësia e madhe nga furnitorë të jashtëm të teknologjisë cloud, gjë që e ndërlikon menaxhimin e marrëdhënieve Kontrollues–Përpunues dhe rrit rrezikun e incidentëve. Për këtë arsye, bizneset e vogla kanë nevojë për mbështetje profesionale nga konsulentë të kualifikuar, të cilët mund t’i ndihmojnë në krijimin e një sistemi minimal të qëndrueshëm përputhshmërie.
Në thelb, sfida e bizneseve të vogla është të arrijnë një ekuilibër ndërmjet kosto-efektivitetit, cilësisë së masave të ndërmarra dhe vazhdimësisë së përputhshmërisë, duke e transformuar privatësinë nga barrë administrative në faktor që rrit sigurinë operacionale dhe besueshmërinë e tyre tregtare.
Problemet që takohen shpesh në këtë segment janë: Mungesë strukturash menaxhimi dhe politikash të brendshme, Varësi nga procesorë të shumtë (Google, Meta, cloud), Mungesë e privacy-by-design në zhvillimin e aplikacioneve
Shembull: Agjenci marketingu që kryen telefonata dhe dërgon mesazhe pa pëlqime të vlefshme ligjërisht.
Bizneset e mesme si psh, institucionet mikrofinanciare, rrjetet e klinikave, shkollat dhe universitetet private, laboratorët mjekësorë apo kompanitë e ndërtimit, kanë zakonisht një strukturë organizative funksionale, por vuajnë nga mungesa e koordinimit dhe e mekanizmave të auditimit të brendshëm. Në shumë prej tyre mungon një kulturë e mirëfilltë e menaxhimit të të dhënave personale: nuk ka DPO të emëruar, nuk mbahen regjistrat e përpunimeve (ROPA), mungojnë DPIA-të për përpunimet me rrezik të lartë, dhe politikat e aksesit, ruajtjes dhe menaxhimit të incidenteve janë të paformalizuara ose të vjetruara. Kjo bën që çdo proces i brendshëm të varet nga praktikat individuale të punonjësve, duke krijuar rreziqe të panevojshme.
Një nga problemet më të dukshme është mungesa e trajnimeve periodike dhe e ndërgjegjësimit të stafit. Punonjësit shpesh dërgojnë të dhëna personale përmes WhatsApp-it, shpërndajnë dokumente pa enkriptim, ose përdorin aplikacione të palëve të treta pa asnjë verifikim të sigurisë ose të kushteve të përpunimit. Kjo mungesë njohurish vjen nga dy boshllëqe kryesore: (1) lidershipi nuk e sheh GDPR-në si risk real operativ dhe reputacional, dhe rrjedhimisht nuk investon në trajnime për veten dhe menaxhmentin; dhe (2) stafi nuk merr udhëzime të qarta mbi çfarë duhet bërë dhe çfarë është e ndaluar. Për këtë arsye, angazhimi i një DPO-je të brendshëm ose të jashtëm, qoftë me kohë të plotë ose me kontratë shërbimi, bëhet thelbësor për ngritjen e standardeve të brendshme dhe krijimin e një sistemi zyrtar kontrollesh.
Shembujt praktikë tregojnë se situatat problematike nuk janë hipotetike, por reale. Në shumë shkolla private, për shembull, mësuesit hapin llogari në platforma të ndryshme online për nxënësit, pa kontratë të përpunimit me ofruesin dhe pa marrë pëlqimin e prindërve. Këto praktika krijojnë rreziqe të drejtpërdrejta për privatësinë e fëmijëve dhe ekspozojnë institucionin ndaj gjobave dhe humbjes së reputacionit. Për të adresuar këtë nivel risku, ndërmarrjet e mesme duhet të investojnë më shumë në sigurinë e informacionit, duke përfshirë kontrolle teknike, procedura të qarta dhe trajnime praktike për stafin, si dhe në ngritjen e një programi të qëndrueshëm përputhshmërie të udhëhequr nga një DPO me kompetencë.
Bizneset e mëdha
Bizneset e mëdha, si psh bankat, kompanitë e telekomunikacionit, spitalet, kompanitë e sigurimeve dhe rrjetet e mëdha tregtare, kanë zakonisht struktura të mirë-organizuara dhe dokumentacion të plotë në letër. Ato formalisht kanë politika, procedura, ROPA, DPIA, komitete të riskut dhe një numër të madh masash teknike. Por sfida e vërtetë nuk është krijimi i dokumenteve, por zbatimi real i tyre në praktikë. Përputhshmëria në biznese të mëdha ka dy faza: Faza 1 – Ndërtimi i sistemit (projekte, dokumente, politika, strukturë, role) dhe Faza 2 – Funksionimi i sistemit (auditime, kontroll i vazhdueshëm, reagim ndaj incidenteve, monitorim, raportim). Problemi më i zakonshëm që ndeshet është se shumë kompani ngecin pikërisht mes këtyre dy fazave, kur sistemi është vetëm përgjysmë i ndërtuar, por menaxhmenti dhe stafi sillen sikur ai tashmë ndërtuar plotësisht.
Në këtë fazë të ndërmjetme, organizata përjeton një gjendje “në proces” që nuk përfundon asnjëherë, ku çdo aktivitet është urgjent, afatet duken të parespektueshme dhe stafet janë të lodhura nga ndryshimet e shpeshta. Krijohet konfuzion mbi rolet, mungesë koordinimi mes departamenteve, dhe perceptim se GDPR është duke i ngadalësuar të gjitha proceset e tjera të biznesit. Punonjësit ndihen sikur gjithçka është “gati për t’u përfunduar,” por asgjë nuk mbyllet në mënyrë të qëndrueshme.
Rreziku më i madh për bizneset e mëdha vjen nga incidentet e brendshme (gabime njerëzore, akses i paautorizuar, rrjedhje të dhënash) dhe furnitorët e jashtëm, të cilëve u delegohen procese kritike. Shpesh furnitorët nuk auditohen, nuk monitorohen dhe nuk trajtohen si pjesë integrale e sistemit të përputhshmërisë, edhe pse ata përpunojnë volume të mëdha të dhënash. Shembulli tipik: një bankë që humbet bazën e të dhënave jo për shkak të një sulmi të jashtëm, por për shkak të një furnitori IT që nuk ka marrë masat e duhura teknike dhe organizative. Për këtë arsye, bizneset e mëdha kanë nevojë për integrim të plotë të mbrojtjes së të dhënave me menaxhimin e riskut dhe sigurisë kibernetike. Ato duhet të ngrenë procese të qarta monitorimi, raportimi, testimi, si dhe të kenë një DPO që ka kapacitet real të ndikojë në menaxhimin strategjik dhe operacional.
Çfarë Presin Bizneset nga Zyra e Komisionerit
Udhëzime praktike të personalizuara për sektorë specifikë
Është thelbësore që Zyra e Komisionerit të prodhojnë udhëzime jo vetëm ligjore, por praktike dhe operacionale, të ndërtuara për sektorët e ndryshëm. Për shembull, mjekët dhe laboratorët kanë nevoja të tjera nga avokatët, shkollat private, IT dhe zhvillimi software apo e-commerce. Udhëzimet duhet të shpjegojnë me detaje: çfarë duhet bërë, si bëhet, me çfarë mjetesh, cilat janë rreziqet më të zakonshme, cilat dokumente janë të detyrueshme dhe si të dokumentohen provat e përputhshmërisë.
Modele standarde dhe të gatshme për dokumentacionin bazë
Do të ishte me vlerë nëse Zyra e Komisionerit do të ofronte modele standarde për dokumente kritike si ROPA, DPIA, politika, cookies, udhëzime për incidentet, etj. Këto modele duhet të jenë të ristrukturuara sipas Ligjit 124/2024 dhe të jenë të përdorshme menjëherë nga bizneset, profesionistët dhe institucionet. Kjo do të ulte kostot, do të unifikonte cilësinë dhe do të shmangte interpretimet e pasakta.
Ndërhyrje administrative në procedurat e prokurimit publik (APP)
Dokumentet standarde të tenderëve publikë duhet të përditësohen që të përfshijnë në mënyrë të qartë dhe të detyrueshme raportin e roleve Kontrollues–Përpunues, marrëveshjet për përpunimin e të dhënave, përgjegjësitë kontraktore dhe masat teknike e organizative. Aktualisht, mungesa e këtij dimensioni bën që shërbimet publike të rrezikojnë vazhdimisht të dhënat personale për shkak të kontratave të paplota.
Krijimi i një regjistri publik për subjektet juridike me shkelje të përsëritura
Një mekanizëm transparent ku publikohen subjektet juridike që kanë treguar papërgjegjshmëri të përsëritur ndaj mbrojtjes së të dhënave do të krijonte presion për përmirësim. Ky regjistër do të ndihmonte edhe entet publike që të shmangnin kontratat me kompanitë që janë në kundërshtim të vazhdueshëm me ligjin 124/2024.
Platformë komunikimi për subjektet e të dhënave
Krijimi i një platforme të thjeshtë ku individët mund të raportojnë shkelje, incidente ose të kërkojnë udhëzime praktike (p.sh. si të ushtrojnë të drejtat e tyre, si të verifikojnë shkelje, si të interpretojnë njoftime të kompanive) do të rriste transparencën dhe efektivitetin e sistemit.
Fushata ndërgjegjësimi për drejtuesit dhe publikun e gjerë
Ndërgjegjësimi nuk duhet të fokusohet vetëm te profesionistët dhe bizneset; drejtuesit e institucioneve, drejtuesit e bizneseve dhe publiku i gjerë duhet të kenë fushata specifike që shpjegojnë me thjeshtësi: vlerën e të dhënave, rreziqet kryesore, pasojat e mosrespektimit, dhe praktikat minimale që duhet të ndjekin.
Nxitje për përdorimin e konsulentëve të jashtëm të kualifikuar dhe një mekanizëm certifikimi
Duke qenë se një nga sfidat më të mëdha është identifikimi i ekspertëve të aftë, krijimi i një mekanizmi certifikimi, i bazuar në testime të njohurive, eksperiencë të provuar dhe etika profesionale, do të rriste cilësinë e tregut. Konsulentët e kualifikuar do të ndihmonin organizatat të shmangnin gabimet e rënda dhe do të rrisnin përputhshmërinë reale, jo vetëm atë formale.
Si ta kthejnë bizneset përputhshmërinë në avantazh real?
Ndryshim mentaliteti: nga frika te qartësia dhe kontrolli
Shumë biznese e shikojnë përputhshmërinë si një detyrim burokratik që ndiqet vetëm nga frika e inspektimeve apo gjobave. Në fakt, përputhshmëria mund të shndërrohet në një sistem të brendshëm që sjell qartësi, disiplinë dhe kontroll mbi proceset. Kur organizata e sheh GDPR/Ligjin 124/2024 si mjet menaxhimi, jo si barrë, fiton stabilitet operativ dhe ul rrezikun e gabimeve që dëmtojnë klientët dhe reputacionin.
Privatësia si pjesë e brand-it – komunikim transparent që krijon vlerë
Bizneset që komunikojnë hapur dhe qartë si i mbrojnë të dhënat personale dallohen pozitivisht në treg. Transparenca, p.sh. politika të qarta, njoftime të thjeshta për klientët, komunikim në raste incidentesh, krijon identitet të besueshëm. Kjo është shumë e rëndësishme për sektorë ku klienti kërkon siguri absolute: banka, mjekësi, shërbime ligjore, shkolla private dhe e-commerce.
Ndërtimi i marrëdhënieve të qëndrueshme bazuar në besim
Mbrojtja e të dhënave është një nga mënyrat më të forta për të ndërtuar besim afatgjatë me klientët. Në sektorët ku marrëdhënia me klientin është e ndjeshme (shëndetësi, financa, juridik, edukim), perceptimi i sigurisë është vendimtar. Një organizatë që komunikon qartë se ka kontrolle, politika dhe procedura reale krijon marrëdhënie shumë më të qëndrueshme dhe ul probabilitetin që klientët të ndryshojnë ofrues shërbimi.
Avantazh konkurrues në tendera dhe partneritete ndërkombëtare
Përputhshmëria me GDPR/Ligjin 124/2024 është duke u kthyer në kusht standard në tenderat publikë dhe partneritetet ndërkombëtare, sidomos kur ka shkëmbim të dhënash. Bizneset që kanë dokumentacion të plotë (ROPA, DPIA, politikat, marrëveshjet Kontrollues–Procesues) dhe që demonstrojnë maturitet të brendshëm fitojnë një avantazh të qartë kundrejt atyre që janë ende në kaos dokumentesh.
Më pak rreziqe dhe gjoba – më shumë stabilitet financiar
Investimi në përputhshmëri ul pothuajse çdo rrezik operacional që lidhet me të dhënat: rrjedhjet, gabimet njerëzore, incidentet me furnitorët, humbjet e të dhënave dhe për pasojë gjobat. Kjo i jep biznesit një siguri financiare duke lejuar fokusin te rritja dhe inovacioni, jo te zjarret emergjente.
Përmirësim i proceseve të brendshme përmes dokumentimit dhe kontrollit të rreziqeve
Dokumentimi, analizat e riskut, kontrolli i aksesit, menaxhimi i incidenteve dhe auditimet e brendshme janë procese që rrisin pjekurinë menaxheriale të organizatës. Shumë biznese zbulojnë se vetëm gjatë punës për përputhshmëri identifikojnë dobësi të tjera operative, rregullojnë proceset dhe rrisin efikasitetin. Përputhshmëria bëhet kështu një katalizator për rritjen e cilësisë së menaxhimit.
Përfundime
Zbatimi i ligjit për mbrojtjen e të dhënave në Shqipëri është në një fazë tranzicioni, ku bizneset po mësojnë të përshtaten me një kornizë që kërkon maturim, strukturim dhe investim. Megjithëse sfidat janë të shumta, mundësitë e krijuara nga përputhshmëria reale janë shumë më të mëdha. Organizatat që e shohin privatësinë si pjesë strategjike të qeverisjes së tyre do të jenë më të sigurta, më konkurruese dhe më të besueshme në tregun vendas dhe ndërkombëtar.