Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave Personale (Rregullorja) paraqet një detyrim të ri [1] për kontrolluesin, në rast të shkeljes/shkeljes së sigurisë së të dhënave personale, [2] për të njoftuar autoritetin mbikëqyrës dhe të dhënat personale në fjalë. subjekt.

Me transpozimin e Rregullores në zgjidhjen e re ligjore, kontrolluesi do të ketë detyrimin të njoftojë DZLPnë për shkeljen e sigurisë, pra shkeljen e të dhënave personale, vetëm nëse ekziston mundësia që shkelja/lëndimi të përbëjë rrezik për të drejtat dhe të drejtat dhe liritë e individëve. Në të njëjtën kohë, për çdo shkelje/shkelje specifike, kontrolluesi do të vlerësojë nëse ka detyrimin të njoftojë DZLP-në apo jo.[3]

Në rast se ekziston mundësia që shkelja e sigurisë, pra shkelja e të dhënave personale të shkaktojë një rrezik të lartë për të drejtat dhe liritë e individit, kontrolluesi do të njoftojë drejtpërdrejt subjektin e të dhënave personale . [4]

Njoftimi për DZLP do të përmbajë informacionin e mëposhtëm:

  • përshkrimi i natyrës së shkeljes/lëndimit dhe nëse është e mundur kategoritë dhe numri i përafërt i subjekteve dhe kategorive të prekura dhe numri i përafërt i të dhënave personale të prekura;
  • emrin dhe detajet e kontaktit të OZLP-së ose pikës tjetër të kontaktit kur duhet të jepet më shumë informacion;
  • përshkrimi i pasojave të mundshme;
  • një përshkrim të masave të propozuara ose të marra nga kontrollori për të trajtuar shqetësimin/lëndimin ose për të reduktuar efektet negative.

Përmbajtja e njoftimit për subjektin e të dhënave personale do të jetë e njëjtë, por natyra e shkeljes/lëndimit duhet të përshkruhet në një gjuhë më të thjeshtë.

Njoftimi do të bëhet në këtë mënyrë:

Pa vonesa të panevojshme dhe nëse është e mundur, jo më vonë se 72 orë pasi kontrolluesi merr dijeni për shkeljen/shkeljen. Kur njoftimi dorëzohet brenda një periudhe më të gjatë se 72 orë, duhet t’i bashkëngjiten arsyet e vonesës.

Detyrimi për të dokumentuar:

Kontrolluesi do të ketë detyrimin të dokumentojë shkeljen e sigurisë, pra shkeljen e të dhënave personale, duke përfshirë faktet që lidhen me shkeljen/dëmtimin, pasojat dhe veprimet e ndërmarra për ta trajtuar atë. Dokumentacioni do t’i mundësojë DZLP-së të verifikojë pajtueshmërinë me këtë nen.

Për kontrollorët në fushën e komunikimeve elektronike, ky detyrim tashmë është paraparë me Ligjin për Komunikimet Elektronike.[5]

Njoftimi për shkeljen e sigurisë së të dhënave personale që operatori i dorëzon AEK-ut dhe Drejtorisë për Mbrojtjen e të Dhënave Personale mund të dorëzohet përmes aplikacionit në internet e-raport që disponohet në linkun e mëposhtëm.

[1] Baza për futjen e këtij detyrimi në Rregullore është neni 4 paragrafi 2 i Direktivës së Privatësisë dhe Komunikimeve Elektronike 2002/58/EC, e njohur si “Direktiva e Privatësisë Elektronike”

[2] Shkelje e sigurisë/shkelje e të dhënave personale do të konsiderohet: dëm fizik, material ose jo material i subjektit të të dhënave personale, si humbja e kontrollit mbi të dhënat e tij personale, kufizimi i të drejtave të tij, diskriminimi, vjedhja e identitetit, mashtrimi me identitetin e rremë, humbjet financiare, shkeljen e konfidencialitetit të të dhënave personale ose çdo pasojë tjetër negative të rëndësishme ekonomike ose sociale për subjektin në fjalë.

[3] Shembull: Kontrolluesi do të njoftojë DZLP-në për humbjen e të dhënave të përdoruesit, e cila mund të rezultojë në vjedhje identiteti, por nuk do të njoftojë DZLP-në për humbjen e të dhënave në listën e numrave të telefonit zyrtar të punonjësve, sepse kjo shkelje nuk përbën një rrezik për të drejtat dhe liritë e individëve.

[4] Kontrolluesi nuk do të ketë detyrimin të njoftojë subjektin e të dhënave personale për shkeljen/shkeljen, nëse plotësohet një nga kushtet e mëposhtme:

  • kontrolluesi ka marrë masat e duhura teknike dhe organizative për mbrojtjen, përfshirë në lidhje me të dhënat personale të prekura nga shkelja/dëmtimi;
  • kontrolluesi ka marrë masa përcjellëse që sigurojnë që të mos ketë më probabilitet për një rrezik të lartë për liritë dhe të drejtat e subjektit;
  • njoftimi do të çonte në përpjekje joproporcionale, për të cilat bëhet një njoftim publik ose kërkohet një mënyrë tjetër informimi i subjektit.

Nëse kontrolluesi nuk e ka njoftuar subjektin dhe DZLP-ja konsideron se një shkelje/shkelje specifike përbën një rrezik të lartë për liritë dhe të drejtat e tij, DZLP mund t’i kërkojë kontrolluesit:

  • për të njoftuar subjektin për të njëjtën ose
  • të deklarojë se është plotësuar një nga kushtet në të cilat nuk ekziston detyrimi për raportim.

[5] Neni 167 i Ligjit për Komunikimet Elektronike