
Në këtë seksion do të gjeni pyetjet më të shpeshta që merr Agjencia për Mbrojtjen e të Dhënave Personale. Ju mund të kërkoni dhe filtroni sipas kategorive si pë shembull: kontrollues, video mbikëqyrje , oficerë për mbrojtjen e të dhënave personale, të drejtat e subjektit të të dhënave personale, biskota, etj.
- Gjithë
- Biskota
- COVID-19
- Hapni të dhënat
- Interesi legjitim
- Kontrollorët
- Kontrollorët/Përpunuesit
- Miratimi paraprak nga AZLP
- Parimet e mbrojtjes së të dhënave personale
- Pëlqimi
- Përjashtim për familjet
- Përpunimi me rrezik të lartë
- Punëdhënës-punonjës
- Pyetje të përgjithshme
- Shkollat/kopshtet
- Të dhëna të pseudonimizuara
- Të drejtat e subjekteve të të dhënave personale
- Transferimi i të dhënave personale
- Vëzhgimi me video
- Zyrtar për Mbrojtjen e të Dhënave Personale
Shih përgjigjen e pyetjes: Vlerësimi i ndikimit kryhet vetëm në rastin e mbledhjes me rrezik të lartë të të dhënave personale. Si përcaktohet rreziku i lartë?
Nr.
Një vlerësim i ndikimit në privatësi i ndihmon kontrollorët të identifikojnë dhe minimizojnë rreziqet e privatësisë dhe konsiderohet si një mjet kyç i llogaridhënies.
Në bazë të nenit 39 të ZZLP, Agjencia krijoi një listë të llojeve të operacioneve të përpunimit që kërkojnë zbatimin e një vlerësimi të ndikimit në mbrojtjen e të dhënave personale.
Ndër të tjera, më poshtë janë kriteret që duhet të merren parasysh kur vlerësohet nëse përpunimi i të dhënave personale nënkupton një rrezik të lartë apo jo:
- kategori të veçanta të të dhënave personale ose të dhëna me natyrë jashtëzakonisht personale (shëndet, të dhëna biometrike, të dhëna gjenetike, orientim seksual, anëtarësim në sindikata, etj.);
- të dhëna që lidhen me grupe të ndjeshme të subjekteve të të dhënave personale (azilkërkues, fëmijë, të moshuar, etj.);
- monitorimi sistematik (p.sh. sistemi i mbikqyrjes video në disa subjekte juridike);
- përdorimi ose aplikimi i zgjidhjeve inovative teknologjike ose organizative (p.sh. aplikacione Internet of Things);
- vlerësimi ose vlerësimi (p.sh., profilizimi);
- vendimmarrje e automatizuar me një efekt të rëndësishëm ligjor ose të ngjashëm (p.sh., një vendim në internet për të dhënë një kredi bankare ose një test punësimi që përdor algoritme dhe kritere të para-programuara).
Në shumicën e rasteve, një kontrollues mund ta konsiderojë përpunimin si rrezik të lartë nëse plotëson dy kritere në të njëjtën kohë.
Nr.
Një vlerësim i ndikimit në privatësi i ndihmon kontrollorët të identifikojnë dhe minimizojnë rreziqet e privatësisë dhe konsiderohet si një mjet kyç i llogaridhënies.
Sipas nenit 39, paragrafi (5) të ZZLP, Agjencia mund të përcaktojë dhe publikojë një listë të llojeve të operacioneve të përpunimit që nuk kërkojnë zbatimin e një vlerësimi të ndikimit në mbrojtjen e të dhënave personale.
Nëse bëhet fjalë për përpunim të të dhënave shëndetësore, kontrolluesi duhet të plotësojë kushtet për përpunim ligjor, pra bazën ligjore nga neni 10, paragrafi (1) i ZZLP-së dhe ekzistencën e njërit prej përjashtimeve të dhëna në nenin 13, paragrafi (. 2) të ZZLP-së.
Megjithatë, përpunimi i të dhënave shëndetësore mund të kryhet me miratim paraprak nga AZLP në përputhje me nenin 84 të ZZLP.
Miratimi nuk kërkohet në rast se përpunimi i të dhënave personale përcaktohet nga një ligj që përmban masa sigurie dhe masa të tjera për mbrojtjen e të drejtave dhe lirive të subjekteve të të dhënave personale.
Në këto raste, Agjencia merr vendim brenda 90 ditëve nga marrja e kërkesës për miratim.
Për sa i përket termit “përpunim i gjerë i kategorive të veçanta të të dhënave personale” nga neni 39, paragrafi (3), pika b) i ZZLP-së, më poshtë janë renditur disa faktorë që duhet të merren parasysh që përpunimi specifik të konsiderohet i gjerë:
- numrin e subjekteve të dhënat personale të të cilëve përpunohen;
- vëllimi i të dhënave personale që përpunohen;
- shtrirjen gjeografike të veprimtarisë; dhe
- kohëzgjatja e përpunimit.
Për shembull, përpunimi i një kategorie të veçantë të dhënash personale që mund të konsiderohet i gjerë është përpunimi i kryer nga spitalet si kontrollues, në krahasim me përpunimin e kryer nga një mjek individual.
Një vlerësim i ndikimit në privatësi ndihmon kontrolluesin të identifikojë dhe minimizojë rreziqet e privatësisë dhe konsiderohet një mjet kyç i llogaridhënies.
Në bazë të nenit 39 të ZZLP, Agjencia krijoi një listë të llojeve të operacioneve të përpunimit që kërkojnë zbatimin e një vlerësimi të ndikimit në mbrojtjen e të dhënave personale.
Ndër të tjera, më poshtë janë kriteret që duhet të merren parasysh kur vlerësohet nëse përpunimi i të dhënave personale nënkupton një rrezik të lartë apo jo:
- kategori të veçanta të të dhënave personale ose të dhëna me natyrë jashtëzakonisht personale (shëndet, të dhëna biometrike, të dhëna gjenetike, orientim seksual, anëtarësim në sindikata, etj.);
- të dhëna që lidhen me grupe të ndjeshme të subjekteve të të dhënave personale (azilkërkues, fëmijë, të moshuar, etj.);
- monitorimi sistematik (p.sh. sistemi i mbikqyrjes video në disa subjekte juridike);
- përdorimi ose aplikimi i zgjidhjeve inovative teknologjike ose organizative (p.sh. aplikacione Internet of Things);
- vlerësimi ose vlerësimi (p.sh., profilizimi);
- vendimmarrje e automatizuar me një efekt të rëndësishëm ligjor ose të ngjashëm (p.sh., një vendim në internet për të dhënë një kredi bankare ose një test punësimi që përdor algoritme dhe kritere të para-programuara).
Në shumicën e rasteve, një kontrollues mund ta konsiderojë përpunimin si rrezik të lartë nëse plotëson dy kritere në të njëjtën kohë.
Cookies teknike (të detyrueshme) janë gjithmonë aktive. Ato janë të nevojshme për funksionimin e faqes së internetit dhe nuk duhet të përjashtohen në sisteme.
Subjektet e të dhënave personale mund të informohen në lidhje me përpunimin e të dhënave personale nëpërmjet cookies si pjesë e politikës/deklaratës së privatësisë së kontrolluesit.
Pëlqimi është e vetmja bazë e mundshme ligjore për përpunimin e të dhënave personale në kontekstin e cookies. Është e rregulluar në Ligjin për Komunikimet Elektronike (neni 168). Megjithatë, ekziston gjithashtu një përjashtim për cookies që janë teknikisht të nevojshme.
Përveç pëlqimit, kontrolluesi duhet të japë më parë informacion të qartë për subjektin e të dhënave personale në përputhje me nenet 17 dhe 18 të ZZLP.
Përdorimi i klauzolave standarde kontraktuale për transferimin e të dhënave personale në SHBA duhet të marrë parasysh vendimin e fundit nr. C-311/18 i Gjykatës së Drejtësisë së Bashkimit Evropian (i njohur si Schrems II) duke sfiduar mundësinë e përdorimit të instrumenteve për transferimin e të dhënave personale dhe si rrjedhim përdorimin e klauzolave standarde kontraktuale.
Gjegjësisht, ka disa shqetësime në lidhje me nivelin e duhur të mbrojtjes së të dhënave personale në lidhje me transferimin e të dhënave personale në Shtetet e Bashkuara. Prandaj, këshillohet që organizatat që transferojnë të dhëna personale në SHBA, përveç klauzolave standarde kontraktuale, të përcaktojnë nëse ka masa shtesë që mund të zbatohen në lidhje me këto klauzola, për të ruajtur një nivel adekuat mbrojtjeje.
Nëse kjo nuk është e mundur, organizata që kryen transferimin e të dhënave personale duhet të pezullojë ose ndërpresë një transferim të tillë, përveç rasteve kur bëhet fjalë për një situatë një herë, sipas nenit 53 të ZZLP.
Duhet të përdoren klauzola të reja standarde të kontratës. Këshillohet që klauzolat e vjetra kontraktuale të zëvendësohen me të reja, më së voni deri më 27 dhjetor 2022.
Detyrimi për të caktuar një zyrtar për mbrojtjen e të dhënave personale është subjekt i kushteve të dhëna në nenin 41, paragrafi (1) të Ligjit për Mbrojtjen e të Dhënave Personale.
Kontrolluesi dhe përpunuesi duhet të caktojnë një zyrtar për mbrojtjen e të dhënave personale në rastet kur:
(a) përpunimi kryhet nga një autoritet shtetëror, me përjashtim të gjykatave që veprojnë brenda juridiksionit të tyre;
(b) aktivitetet kryesore të kontrolluesit ose përpunuesit përfshijnë operacionet e përpunimit të cilat, sipas natyrës, qëllimit dhe/ose qëllimeve të tyre, kërkojnë monitorim të rregullt dhe sistematik të subjekteve të të dhënave personale në një shkallë të gjerë;
Aktivitetet kryesore të kontrolluesit ose përpunuesit përfshijnë përpunimin e gjerë të kategorive të veçanta të të dhënave personale sipas nenit 13 të ZZLP ose të dhënave personale që lidhen me dënimet penale dhe veprat penale sipas nenit 14 të ZZLP.
Prandaj, detyrimi nuk varet nga madhësia e organizatës apo kategoria e kontrollorëve.
Nëse kontrolluesi bën pjesë në ndonjë kategori të caktuar, nuk është e rëndësishme për çështjen e emërimit të detyrueshëm të një zyrtari.
Për sa i përket interpretimit të formulimit “veprimtaritë kryesore të kontrolluesit ose përpunuesit përfshijnë përpunimin e gjerë të kategorive të veçanta të të dhënave personale”, një përpunim i tillë i gjerë mund të kryhet nga spitalet në cilësinë e kontrolluesve, në krahasim me mjekët individualë.
Prandaj, mjekët apo avokatët si praktikues të pavarur nuk janë të detyruar të caktojnë një zyrtar për mbrojtjen e të dhënave personale.
Subjektet e të dhënave personale kanë të drejtë t’i kërkojnë kontrolluesit të fshijë të dhënat e tyre personale, me kontrolluesin e detyruar t’i fshijë këto të dhëna brenda 30 ditëve nga marrja e kërkesës.
Kontrolluesi duhet të japë informacion mbi veprimet e ndërmarra në lidhje me kërkesën për fshirjen e të dhënave personale (e drejta për t’u harruar) pa vonesë të panevojshme dhe jo më vonë se një muaj pas marrjes së kërkesës.
Ky afat mund të zgjatet edhe për dy muaj shtesë kur është e nevojshme, duke pasur parasysh kompleksitetin dhe numrin e kërkesave të paraqitura. Në një rast të tillë, kontrolluesi duhet të njoftojë personin për këtë zgjatje brenda një muaji nga marrja e kërkesës, së bashku me shpjegimin e arsyeve të vonesës.
Është e rëndësishme të theksohet se e drejta për fshirjen e të dhënave personale (e drejta për t’u harruar) nuk është absolute. Ndër të tjera, nuk zbatohet:
- për ushtrimin e të drejtës së lirisë së shprehjes dhe informimit (p.sh. për qëllime gazetareske);
- kur kontrolluesi ka detyrim ligjor për të përpunuar të dhënat personale (p.sh. përpunimin e të dhënave të orarit të punës së punonjësve);
- në rastin e kryerjes së punës në interes publik ose autoritet publik (p.sh. për qëllime të kërkimit shkencor ose për qëllime të arkivimit në interes publik, për kërkime shkencore ose historike ose për qëllime statistikore, ku fshirja e të dhënave personale do të e bëjnë të pamundur përpunimin ose do të pengojë seriozisht arritjen e objektivave të një përpunimi të tillë, ose kur kryhet një regjistrim i popullsisë së vendit); dhe
- për ngritjen, ushtrimin ose mbrojtjen e pretendimeve ligjore.
Zyrtari për mbrojtjen e të dhënave personale nuk duhet të ketë konflikt interesi për të vepruar në cilësi të pavarur.
Prandaj, zyrtari mund të kryejë detyra të tjera vetëm nëse ato nuk çojnë në konflikt interesi.
Shembuj të pozicioneve të punës që mund të bien ndesh me pozicionin e një oficeri janë pozicione të larta drejtuese (si p.sh.: shefi operativ, shefi ekzekutiv, drejtor i një institucioni të kujdesit shëndetësor, drejtues i marketingut, drejtues i burimeve njerëzore ose drejtues i departamentit të IT) .
Nëse një organizatë cakton vullnetarisht një zyrtar për mbrojtjen e të dhënave personale, atëherë kushtet e neneve 41 deri në 43 të Ligjit për Mbrojtjen e të Dhënave Personale zbatohen për personin në lidhje me emërimin, pozicionin dhe detyrat e tij/saj, njësoj sikur emërimi i një oficer i tillë ishte i detyrueshëm.
Përpunimi i të dhënave në lidhje me statusin e vaksinimit kundër COVID-19 konsiderohet si përpunim i një kategorie të veçantë të dhënash personale (të dhëna shëndetësore).
Të tretët që kryejnë shërbime të mirëmbajtjes konsiderohen “palë e tretë” sipas përcaktimit të dhënë në nenin 4, paragrafi (1), pika 10) të ZZLP-së.
Sipas përkufizimit, “palë e tretë” është një person fizik ose juridik, autoritet shtetëror, autoritet shtetëror ose person juridik i krijuar nga shteti për ushtrimin e pushteteve publike, agjenci ose organ tjetër, që nuk është subjekt i të dhënave personale, kontrollues. , përpunues ose person i cili, nën autorizimin e drejtpërdrejtë nga kontrolluesi ose përpunuesi, është i autorizuar të përpunojë të dhëna personale.
Prandaj, shërbimet e mirëmbajtjes nuk konsiderohen as kontrollues e as përpunues.
Nëse kompania NN kontrakton me një shërbim mirëmbajtjeje, punëtorët nuk duhet të kenë akses në të dhënat personale edhe pse mund të hasin të dhëna të tilla (në zyrë ose në shtëpi). Meqenëse punëtorët nuk janë të punësuar nga kompania NN, ata nuk janë nën juridiksionin e saj.
Për rrjedhojë, punëtorët konsiderohen si palë e tretë dhe kontrolluesi është i detyruar të zbatojë masat e duhura të sigurisë për të parandaluar aksesin e paautorizuar në të dhënat personale.
Punëdhënësi është i detyruar të organizojë punën në atë mënyrë që të mundësojë mbrojtjen e jetës dhe shëndetit të të gjithë punëtorëve, kështu që, në kushtet e një pandemie, një përpunim i tillë është i ligjshëm, por mbajtja e të dhënave për temperaturën e matur të punonjësve konsiderohet e tepërt. përpunimi i të dhënave personale.
Përpunimi i të dhënave shëndetësore mund të kryhet vetëm pas miratimit të marrë më parë nga AZLP në përputhje me nenin 84 të ZZLP.
Miratimi nuk kërkohet në rast se përpunimi i të dhënave personale përcaktohet nga një ligj që përmban masa sigurie dhe masa të tjera për mbrojtjen e të drejtave dhe lirive të subjekteve të të dhënave personale.
Në këto raste, Agjencia merr vendim brenda 90 ditëve nga marrja e kërkesës për miratim.
Funksioni i zyrtarit për mbrojtjen e të dhënave personale mund të kryhet edhe në bazë të një marrëveshjeje akti të lidhur me një person fizik ose një organizatë jashtë kontrollorit ose përpunuesit.
Është e rëndësishme që çdo anëtar i organizatës që kryen funksionin e zyrtarit për mbrojtjen e të dhënave personale të plotësojë të gjitha kushtet e përcaktuara me ligj.
Të dhënat e pseudonimizuara janë të dhëna personale dhe për to zbatohet GDPR, ndërsa të dhënat e anonimizuara janë informacione anonime për të cilat GDPR nuk zbatohet.
Të dhënat e anonimizuara janë informacione që nuk janë të lidhura me një person të identifikuar ose të identifikueshëm, ndërsa të dhënat e pseudonimizuara përfshijnë zëvendësimin e të dhënave personale (p.sh. emri i personit) me një identifikues unik që nuk është i lidhur me identitetin e personit, por ende përbën të dhëna personale sepse personi mund të identifikohet duke përdorur një çelës.
Vëzhgimi me video në kuptimin e dispozitave të ZZLP i referohet përpunimit të të dhënave personale që përfshin krijimin e një regjistrimi video që është pjesë ose synohet të jetë pjesë e një sistemi regjistrimi.
ZZLP nuk zbatohet në rastin konkret për faktin se të dhënat personale të subjektit nuk përpunohen.
Përpunimi i të dhënave personale përmes një sistemi të mbikëqyrjes video kërkon përmbushjen e të gjitha kushteve të përcaktuara në ZZLP.
Së pari, kontrolluesi mund të kryejë mbikëqyrje video të ambienteve zyrtare vetëm nëse e konsideron të nevojshme për:
- mbrojtjen e jetës dhe shëndetit të njeriut;
- mbrojtja e pronës private;
- mbrojtjen e jetës dhe shëndetit të punonjësve, për shkak të natyrës së punës së kryer; ose
- kontrollin e lëvizjes brenda dhe jashtë ambienteve të zyrës.
Përpunimi duhet të jetë i ligjshëm. Baza ligjore më e zakonshme për përpunimin e të dhënave personale përmes videokamerave është interesi legjitim sipas nenit 10, paragrafi (1), pika f) të ZZLP (baza të tjera të mundshme ligjore janë detyrimi ligjor dhe pëlqimi).
Kur të dhënat përpunohen në bazë të një interesi legjitim, kontrolluesi duhet të kryejë një test të interesit legjitim për të përcaktuar se çfarë mbizotëron në rastin konkret: interesi legjitim i subjektit afarist apo e drejta për mbrojtjen e të dhënave personale të personit fizik.
Nëse kontrolluesi provon interesin legjitim për kryerjen e vëzhgimit me video, ai duhet të njoftojë subjektet e të dhënave personale përmes politikës/deklaratës së tij të privatësisë, por duhet të publikojë edhe një njoftim në përputhje me nenin 89, paragrafi (3) i ZZLP.
Një njoftim i tillë duhet të jetë i qartë, i dukshëm dhe publik në një mënyrë që t’u mundësojë subjekteve të të dhënave personale të informohen se po kryhet vëzhgimi me video.
Njoftimi duhet të përmbajë informacionin e mëposhtëm:
- se është instaluar një sistem video survejimi;
- emri/titulli i kontrollorit që kryen vëzhgimin me video;
- mënyrën në të cilën mund të merret informacion për vendin dhe periudhën e ruajtjes së regjistrimeve nga sistemi i vëzhgimit me video;
- subjektet e të dhënave personale duhet të informohen për përpunimin e të dhënave personale në përputhje me nenet 17 dhe 18 të ZZLP.
Gjithashtu, kontrollori duhet të informojë punonjësit se në ambientet e zyrës është instaluar një sistem video survejimi.
Sipas nenit 90 të ZZLP-së, kontrollori duhet të rregullojë mënyrën e kryerjes së vëzhgimit me video me akt të veçantë (shembull i masave organizative).
Gjithashtu, neni 92 i Ligjit për Sigurinë dhe Shëndetin në Punë dhe ligjet e veçanta për shëndetin dhe sigurinë në punë ose për një sektor të caktuar (sektori bankar, i sigurisë) parashikojnë zbatimin e analizave dhe kontrolleve periodike sepse mund të ketë kërkesa të tjera në lidhje me këtë çështje. në fjalë.
Jo vetëm që lejohet, por duhet raportuar pasi është detyrim ligjor i kontrollorit.
Më konkretisht, mësuesit, bashkëpunëtorët profesional dhe punonjësit e tjerë të shkollës janë të detyruar të marrin masa për mbrojtjen e të drejtave të nxënësve dhe çdo shkelje të këtyre të drejtave, veçanërisht në formën e dhunës fizike ose psikologjike, abuzimit seksual, neglizhencës ose trajtimit të pakujdesshëm, abuzimit ose shfrytëzimit. të nxënësve, dhe ata duhet të njoftojnë menjëherë drejtorin e shkollës, i cili nga ana e tij është i detyruar t’i raportojë organeve kompetente.
Për këto arsye, pëlqimi nuk zbatohet në raste të tilla.
Është e mundur, në bazë të interesit të dëshmuar legjitim ose pëlqimit nëse nuk ka bazë tjetër ligjore.
Është e mundur, në bazë të interesit të dëshmuar legjitim ose pëlqimit nëse nuk ka bazë tjetër ligjore.
Është e mundur, në bazë të interesit të dëshmuar legjitim ose pëlqimit nëse nuk ka bazë tjetër ligjore.
Është e mundur, në bazë të interesit të dëshmuar legjitim ose pëlqimit nëse nuk ka bazë tjetër ligjore.
Nr. Prindërit dhe edukatoret e një grupi të caktuar në kopshtin e fëmijëve shkëmbejnë vullnetarisht informacionin e kontaktit për komunikim falas përmes një platforme, në një grup të mbyllur ku komunikojnë dhe shkëmbejnë informacion.
Supozohet se komunikimi i referuar bëhet jashtë kuadrit të mënyrës së rregullt të informimit të prindërve nga kopshti.
Është e mundur, në bazë të interesit të dëshmuar legjitim ose pëlqimit nëse nuk ka bazë tjetër ligjore.
Një praktikë e mirë për të respektuar parimin e transparencës është zhvillimi dhe publikimi i një politike/njoftimi/deklarate të detajuar të privatësisë.
Qytetarëve duhet t’u jepet një dokument me informacion të qartë, konciz, transparent, të kuptueshëm dhe lehtësisht të aksesueshëm, të shkruar në gjuhë të thjeshtë, që përshkruan atë që kontrolluesi bën me të dhënat e tyre personale.
Kontrolluesi duhet të informojë qytetarët për qëllimet e përpunimit të të dhënave personale, bazën ligjore të përpunimit, periudhën e ruajtjes, nëse të dhënat ndahen me të tjerët, interesin legjitim të kontrolluesit ose palës së tretë, qëllimin për të transferuar. të dhënat personale të vendeve të treta ose organizatave ndërkombëtare, të dhënat e kontaktit të zyrtarit për mbrojtjen e të dhënave personale, etj.
Deklarata e privatësisë duhet të përshtatet me të gjithë komponentët e përcaktuar me ligj (nenet 16, 17 dhe 18).
Për shembull, nëse kontrolluesi nuk ka faqen e tij të internetit, një kopje e deklaratës së privatësisë mund të vendoset në një vend të dukshëm. Përndryshe, deklarata e privatësisë duhet të publikohet në faqen e internetit.
Çdo përpunim i të dhënave personale duhet të kryhet sipas parimeve të ZZLP.
Një prej tyre është parimi i “vëllimit minimal të të dhënave”, që do të thotë se të dhënat duhet të jenë adekuate, relevante dhe të kufizuara vetëm në ato të nevojshme për qëllimet për të cilat ato përpunohen.
Për këto arsye, ka të ngjarë që në këtë rast të veçantë të flasim për përpunim të tepruar të të dhënave personale.
Mund të konsiderohet një interes legjitim nëse kontrolluesi provon një interes të tillë duke kryer një test balancues, por këshillohet që të hartohen rregulla të brendshme ku do të shtjellohen edhe dhënia e çmimeve edhe shpallja e fituesve, në mënyrë që pjesëmarrësit të jenë të vetëdijshëm për mundësinë e publikimit të emrave të tyre.
Për këto arsye, rekomandohet që pjesëmarrësit të njoftohen paraprakisht për qëllimin për të shpallur publikisht emrat dhe mbiemrat e fituesve të shortit të organizuar.
Fotografimi i një loje shkollore me celular privat nga prindërit e fëmijëve nuk i nënshtrohet zbatimit të Ligjit për Mbrojtjen e të Dhënave Personale sepse konsiderohet si një aktivitet personal.
Përveç pëlqimit, një përpunim i tillë mund të bazohet në një interes legjitim të demonstruar.
Megjithatë, subjektet e të dhënave personale duhet të informohen paraprakisht (për shembull, përmes aparatit zanor) se biseda do të regjistrohet dhe se të dhënat personale do të përpunohen me qëllim të përmirësimit të shërbimit.
Kur bëhet fjalë për fotografimin dhe publikimin publik të fotografive të një ngjarjeje publike, duhet ditur se në çdo rast duhet vërtetuar ekzistenca e një baze ligjore për përpunimin e të dhënave personale.
Për shembull, në disa raste specifike baza ligjore mund të jetë interesi legjitim, pëlqimi, interesi publik.
Në rastin e një interesi legjitim, përpunimi i të dhënave personale mund të konsiderohet se bazohet në një interes legjitim të subjektit afarist, me përjashtim të rasteve kur interesat ose të drejtat dhe liritë themelore të subjekteve të të dhënave personale kërkojnë mbrojtjen e të dhënave personale. kanë përparësi ndaj një interesi të tillë, veçanërisht kur subjekti i të dhënave personale është një fëmijë.
Prandaj, megjithëse ligji nuk e përjashton fotografimin në një ngjarje publike, personat fizikë duhet të njoftohen paraprakisht për fotografimin dhe për qëllimin për të publikuar fotot në rrjetet sociale, faqen e internetit të kompanisë ose përmes mediave të tjera.
Duke vepruar kështu, personat mund të informohen për qëllimin për të fotografuar dhe publikuar fotografitë duke vendosur një njoftim në një vend të dukshëm.
Gjithashtu, kur përpunimi i të dhënave personale bazohet në një interes legjitim, duhet të kryhet paraprakisht një test balancues (testi i interesit legjitim) për të përcaktuar se çfarë mbizotëron në rastin konkret: interesi legjitim i kompanisë ose e drejta për të mbrojtur personin. të dhënat e qytetarëve.
Nëse subjekti afarist nuk mund të provojë interesin e tij legjitim, të dhënat personale mund të përpunohen sipas ndonjë baze tjetër ligjore, për shembull, pëlqimi i marrë në bazë të ligjit.
Kusht për përpunim ligjor është baza ligjore e dhënë në nenin 10, paragrafi (1) të ZZLP-së dhe ekzistimi i njërit prej përjashtimeve të dhëna në nenin 13, paragrafi (2) të ZZLP-së.
Në rast miratimi, përpunimi i të dhënave shëndetësore mund të kryhet vetëm pas miratimit të marrë më parë nga AZLP në përputhje me nenin 84 të ZZLP .
Miratimi nuk kërkohet në rast se përpunimi i të dhënave personale përcaktohet nga një ligj që përmban masa sigurie dhe masa të tjera për mbrojtjen e të drejtave dhe lirive të subjekteve të të dhënave personale.
Në raste të tilla, Agjencia merr vendim brenda 90 ditëve nga marrja e kërkesës për miratim.
Në përgjithësi, gjykatat përpunojnë të dhëna personale bazuar në një detyrim ligjor ose autoritet publik.
Gjykatat kanë nevojë për një informacion të tillë për të përcaktuar dhe vërtetuar faktet në procedurën që zhvillohet për mosmarrëveshjen, ndaj kontrolluesi duhet t’i japë të dhënat gjykatës.
Duhet të ketë një bazë ligjore të përshtatshme për përpunimin e të dhënave personale sipas nenit 10 të GDPR.
Nëse kontrolli kryhet në përputhje me ligjin, atëherë pëlqimi nuk mund të zbatohet ligjërisht përveç përpunimit.
Punëdhënësi mund të përpiqet të provojë interesin e tij legjitim duke kryer një test të interesit legjitim ose të kërkojë pëlqimin e kandidatit (pëlqimi duhet të plotësojë kushtet e dhëna në nenin 11 të ZZLP).
Në çdo rast, kandidati duhet të jetë në dijeni të një përpunimi të tillë në përputhje me parimin e transparencës.
Sipas nenit 13 të ZZLP, të dhënat biometrike janë një kategori e veçantë e të dhënave personale.
Kusht për përpunim ligjor është baza ligjore nga neni 10 paragrafi (1) i ZZLP-së dhe ekzistimi i njërit prej përjashtimeve të dhëna në nenin 13 paragrafi (2) të ZZLP-së.
Për shembull, baza ligjore për përpunimin e të dhënave biometrike për hyrjen në ambientet zyrtare mund të jetë pëlqimi i shprehur.
Mirëpo, duke qenë se kjo paraqet një marrëdhënie ndërmjet punëdhënësit dhe punëmarrësit (marrëdhënie e pabarabartë, marrëdhënie varësie), duhet të shtrohet pyetja nëse punonjësi e jep vullnetarisht pëlqimin e tij (vullnetariteti është një nga kushtet për pëlqim).
Për këto arsye, punëdhënësi duhet të sigurojë që pëlqimi të jetë vullnetar dhe duhet t’i sigurojë punonjësit një alternativë për një hyrje të ndryshme në ambientet e zyrës (nëpërmjet kartës, kodit, etj.)
Në rast miratimi, përpunimi i të dhënave biometrike mund të kryhet vetëm pas miratimit paraprak nga AZLP në përputhje me nenin 84 të ZZLP, megjithëse përpunimi kryhet pas pëlqimit të shprehur nga subjekti i të dhënave personale.
Miratimi nuk kërkohet në rast se përpunimi i të dhënave personale përcaktohet nga një ligj që përmban masa sigurie dhe masa të tjera për mbrojtjen e të drejtave dhe lirive të subjekteve të të dhënave personale.
Në raste të tilla, Agjencia merr vendim brenda 90 ditëve nga marrja e kërkesës për miratim.
Nëse periudha e ruajtjes përcaktohet në një ligj që rregullon marrëdhëniet e punës, atëherë ekziston një bazë ligjore për përpunimin e tillë të të dhënave personale sipas nenit 10, paragrafi (1), pika (c) e ZZLP.
Është e rëndësishme të kuptohet se pëlqimi nuk është baza e vetme ligjore për përpunimin e të dhënave personale.
Punëdhënësi mund të instalojë një pajisje GPS në një automjet zyrtar nëse mund të vërtetojë ekzistencën e një interesi legjitim për të.
Gjegjësisht, punëtorët ndonjëherë përdorin burimet e kompanisë për qëllime private, kështu që mund të thuhet se ekziston një bazë ligjore për përpunimin e të dhënave personale të punëtorëve.
Ligji për Marrëdhëniet e Punës nuk e parasheh mënyrën e përcaktimit të së drejtës për pushim të paguar.
Kërkimi i provave në një rast kur punonjësi ka të drejtën e pushimit me pagesë (për arsye të rëndësishme personale si lindja e një fëmije) për të konfirmuar justifikimin e përdorimit të pushimit me pagesë nuk është në kundërshtim me dispozitat e ligjit dhe për të njëjtën gjë ligjore. baza mund të gjendet në formën e interesit legjitim.
Arsyetimi i përdorimit të pushimit me pagesë mund të përcaktohet duke inspektuar një certifikatë që vërteton arsyen e rëndësishme personale për të kërkuar leje me pagesë, përveç rasteve kur përcaktohet ndryshe në marrëveshjen kolektive ose në aktet e brendshme të punëdhënësit.
Përmbajtja e faturës përcaktohet me disa ligje, për shembull, Ligji për Tatimin mbi Vlerën e Shtuar, Ligji për Regjistrimin e Pagesave në Para të gatshme.
Ndër të tjera, një nga elementët e përmbajtjes së faturës është një etiketë për operatorin (personin) e vetë instrumentit të faturimit.
Prandaj, nuk ka nevojë të vendosni emrin e personit. Përkundrazi, kontrolluesi mund të përshkruajë emërtime të brendshme për punonjësit e tij si pjesë e akteve të brendshme.
Kjo mënyrë e dorëzimit të listëpagesës për punonjësit nuk është në kundërshtim me dispozitat e ligjit, me kusht që të zbatohen masat e duhura teknike dhe organizative.
Dispozitat e ligjit zbatohen pavarësisht nëse disa të dhëna personale janë bërë publike më parë.
Prandaj, nëse kontrolluesi synon të përpunojë të dhëna personale, ai duhet të ketë një bazë të përshtatshme ligjore për përpunimin në përputhje me nenin 10 të GDPR.
Gjithashtu, duke qenë se të dhënat personale nuk merren drejtpërdrejt nga subjekti i të dhënave personale, kontrolluesi duhet t’u sigurojë subjekteve të të dhënave personale të gjithë informacionin e parashikuar në nenin 18 të ZZLP (p.sh. kush është burimi i të dhënave).
Sipas nenit 94 të ZZLP, përpunimi i të dhënave personale për qëllime të marketingut të drejtpërdrejtë, duke përfshirë profilizimin në masën që lidhet me marketingun e drejtpërdrejtë, lejohet vetëm nëse të dhënat personale përpunohen pasi subjekti i të dhënave personale ka dhënë shprehimisht pëlqimi (neni 11 i ZZLP).
Granulariteti është i lidhur ngushtë me nevojën që pëlqimi të jetë specifik.
Domethënë, kur pëlqimi jepet për disa qëllime të ndryshme (ndërsa qëllimi i përpunimit duhet të jetë sa më specifik që të jetë e mundur), granulariteti do të thotë që qëllimet janë të ndara dhe se jepet një pëlqim i veçantë për secilin qëllim.
Për shembull, prindërit ose kujdestarët duhet të jenë në gjendje të japin pëlqimin që shkolla të fotografojë nxënësit për qëllime edukative, por jo të japin pëlqimin që fotografitë të publikohen publikisht në faqen e internetit të shkollës ose në një gazetë për të promovuar shkollën.
Ndarja e qëllimeve të përpunimit mund të arrihet duke vendosur një kuti të zbrazët përpara çdo qëllimi të përpunimit, në mënyrë që prindi/kujdestari të mund të tregojë pëlqimin, nëse dëshiron.
Nr.
Periudha e mbajtjes është e paraparë në Ligjin e Punës dhe punëdhënësi ka një bazë ligjore (detyrim ligjor) për përpunimin, dhe për këtë arsye nuk ka nevojë të përdoret pëlqimi.
Nr.
Sipas nenit 10, paragrafi (1) i ZZLP, ekzistojnë gjashtë baza ligjore për përpunimin e të dhënave personale:
- pëlqimi;
- kontratë;
- detyrim ligjor;
- interesa thelbësore;
- interes publik/autoritet publik;
- interesi legjitim.
Duhet të ketë një bazë të përshtatshme ligjore për çdo përpunim të të dhënave personale. Prandaj, baza ligjore për përpunimin e të dhënave personale nëpërmjet një kontrate ndërmjet një banke dhe një klienti është kontrata.
Për kategori të tjera të dhënash, baza ligjore mund të jetë një detyrim ligjor i kontrolluesit.
Pëlqimi është vetëm një nga gjashtë bazat ligjore të përcaktuara me ligj. Nëse ka një bazë ligjore për ndonjë përpunim specifik, nuk ka nevojë të përdoret pëlqimi.
Nr.
Sipas nenit 10, paragrafi (1) i ZZLP, ekzistojnë gjashtë baza ligjore për përpunimin e të dhënave personale:
- pëlqimi;
- kontratë;
- detyrim ligjor;
- interesa thelbësore;
- interes publik/autoritet publik;
- interesi legjitim.
Duhet të ketë një bazë të përshtatshme ligjore për çdo përpunim të të dhënave personale. Prandaj, baza ligjore për përpunimin e të dhënave personale përmes një kontrate pune është kontrata, baza ligjore për përpunimin e të dhënave personale përmes formularëve të detyrueshëm të sigurimeve shoqërore është detyrimi ligjor i kontrolluesit dhe baza ligjore për të dhënat e kontaktit është interesi legjitim i punëdhënësi (nëse vërtetohet).
Pëlqimi është vetëm një nga gjashtë bazat ligjore të përcaktuara me ligj. Nëse ekziston një bazë ligjore për ndonjë përpunim specifik, nuk ka nevojë të kërkohet pëlqimi, veçmas ose si pjesë e kontratës së punës.
Salloni i bukurisë përpunon të dhënat bazuar në një marrëveshje midis sallonit dhe klientit.
Megjithatë, në momentin e fotografimit të një personi për qëllime marketingu, kërkohet një bazë tjetër ligjore, si pëlqimi ose interesi legjitim.
Nr. Në një rast të tillë, përpunimi bazohet në një kontratë/veprime që i paraprijnë lidhjes së një kontrate, prandaj nuk ka nevojë për pëlqim dhe as porosia me e-mail nuk konsiderohet pëlqim.
Nr.
Sipas nenit 96 të ZZLP, përpunimi i të dhënave personale për qëllime të marketingut të drejtpërdrejtë, i cili përfshin profilizimin në masën që lidhet me marketingun e drejtpërdrejtë, lejohet vetëm nëse të dhënat personale përpunohen pasi subjekti i të dhënave personale ka dhënë pëlqimi i qartë (neni 11 nga ZZLP).
Për këto arsye, pëlqimi është e vetmja bazë e mundshme ligjore për qëllime të marketingut të drejtpërdrejtë.
Sipas Ligjit për Marrëdhëniet e Detyrimeve, për të besuar mbledhjen e kërkesave (borxeve) nuk kërkohet marrja e pëlqimit nga debitori, por kreditori është i detyruar ta informojë debitorin për besimin e arkëtimit personit tjetër juridik, që do të thotë se është kontraktuale. marrëdhënie.
Për më tepër, vendosja e kontaktit me persona të ndryshëm nga debitori kërkon një bazë ligjore të ndryshme për sa i përket pëlqimit ose interesit legjitim të provuar.
Në rastin e një fëmije të mitur, pëlqimi duhet të merret nga një prind ose kujdestar, me përjashtim të rastit të përpunimit të të dhënave personale në lidhje me shërbimet e shoqërisë së informacionit që i ofrohen drejtpërdrejt fëmijës.
Në një rast të tillë, fëmija mund të japë pëlqimin, por vetëm nëse është 14 vjeç e lart.
Po. Pëlqimi është e vetmja bazë e mundshme ligjore për përpunimin e të dhënave personale në kontekstin e përdorimit të cookies.
Është paraparë në Ligjin për Komunikimet Elektronike (neni 168). Megjithatë, ekziston gjithashtu një përjashtim për cookies që janë teknikisht të nevojshme.
Përveç pëlqimit, kontrolluesi duhet t’i japë edhe informacion publik subjektit të të dhënave personale në përputhje me nenet 17 dhe 18 të ZZLP.
Nr. Kontrolluesi nuk ka nevojë të kërkojë dhe të marrë pëlqimin për çdo përpunim të të dhënave personale.
Çdo aktivitet për përpunimin e të dhënave personale duhet të bazohet në një nga bazat ligjore të dhëna në nenin 10, paragrafi (1) të ZZLP.
Pëlqimi është vetëm një nga bazat ligjore për përpunimin e të dhënave personale të përcaktuara me ligj.
Nëse ekziston një bazë tjetër ligjore për përpunimin e të dhënave personale (p.sh., detyrimi ligjor ose kontrata), nuk ka nevojë të përdoret pëlqimi.
Për shembull, sipas Ligjit për Marrëdhëniet e Punës, punëdhënësi është i detyruar të mbajë evidencë për orarin e punës së punëtorëve, ndërsa sipas Ligjit për shoqatat dhe fondacionet, shoqata e qytetarëve është e obliguar të mbajë listën e anëtarëve të saj. dhe në raste të tilla nuk ka nevojë për pëlqim sepse detyrimi ligjor i kontrollorit është bazë ligjore për përpunimin e të dhënave personale.
Pëlqimi përdoret për përpunimin e të dhënave personale për qëllime të marketingut të drejtpërdrejtë, duke përfshirë profilizimin, në përputhje me nenin 96 të ZZLP.
Një shembull tjetër ku përdoret pëlqimi është një sallon parukerie që, si kontrollues, publikon fotografi të aktivitetit të vet (një kolonë e njohur “para dhe pas”) në mediat sociale ose përpunon të dhënat përmes cookie-ve të vendosura në uebsajt, sepse nuk mund të demonstrojë një interesi legjitim.
Periudha e ruajtjes së të dhënave personale shpesh përcaktohet në ligje specifike (p.sh. rregulloret e punës përcaktojnë periudhën e ruajtjes për fletëpagesat e punonjësve).
Megjithatë, kur rregulloret nuk përcaktojnë një periudhë magazinimi, zbatohet parimi i kufizimit të periudhës së ruajtjes, i dhënë në nenin 9 të ZZLP.
Të dhënat personale duhet të mbahen në një formë që lejon identifikimin e subjekteve të të dhënave personale për një periudhë jo më të gjatë se sa është e nevojshme për qëllimet e përpunimit të të dhënave personale.
Të dhënat personale mund të ruhen për një periudhë më të gjatë vetëm nëse përpunohen për qëllime të arkivimit në interes të publikut, për kërkime shkencore ose historike ose për qëllime statistikore në përputhje me nenin 86, paragrafi (1) i ZZLP, në të cilin teknikat e duhura dhe duhet të zbatohen masa organizative.masa në përputhje me ZZLP, me qëllim mbrojtjen e të drejtave dhe lirive të subjekteve të të dhënave personale.
Nëse afati i ruajtjes nuk përcaktohet me ligj, kontrolluesi ruan të dhënat personale për aq kohë sa ato nevojiten për qëllime të përpunimit të të dhënave personale.
Të dhënat personale janë çdo informacion që lidhet me një person fizik të identifikuar ose një person fizik të identifikueshëm (subjekt i të dhënave personale), ndërsa një person fizik i identifikueshëm është një person, identiteti i të cilit mund të përcaktohet, drejtpërdrejt ose tërthorazi.
Të dhënat personale janë një koncept i gjerë. Më poshtë janë disa shembuj:
- Emri dhe mbiemri;
- adresa e shtëpisë, posta elektronike, numri i telefonit;
- data e lindjes, mosha e personit;
- numrin unik të identifikimit;
- të dhënat e anëtarësimit në sindikata;
- Adresa IP ose domeni i kompjuterit që përdoret për të vizituar faqet e internetit;
- informacion për vendndodhjen;
- numrin e kartës së kreditit ose debitit;
- të dhënat shëndetësore;
- të dhëna biometrike (p.sh. gjurmë gishtash);
- përfaqësimi i një personi në një regjistrim ose imazh nga video survejimi, regjistrimi audio, etj.;
- numri i regjistrimit të automjetit;
- një tjetër.
Sipas rregulloreve të punës, nuk është detyrim ligjor i punëdhënësit të kopjojë ose skanojë dokumentet personale të identifikimit ose kartat bankare.
Ndër të tjera, karta bankare përmban një numër verifikimi (CSC, CVV ose HVS), i cili është një numër unik tre ose katërshifror i printuar në kartë pranë numrit të llogarisë dhe shërben si dëshmi e posedimit fizik të kartës për blerjet online.
Kur bëhet fjalë për kartën e identitetit, ajo përmban të dhëna të caktuara personale të subjektit (p.sh. foto të punonjësve) që vë në pikëpyetje bazën ligjore për ligjshmërinë e përpunimit.
Prandaj duhet të ekzistojë një bazë ligjore sipas nenit 10 të ZZLP, e cila, në raste të rralla, mund të provohet si interes legjitim, duke anonimizuar të dhënat e panevojshme (p.sh. nuk kërkohet numri CVV, por kërkohet numri i llogarisë rrjedhëse).
Kontrolluesi duhet të skanojë situatën në organizatë, e cila përfshin hartimin e lëvizjes së të dhënave personale (përcakton kategoritë e të dhënave personale që përpunohen, nëse përpunohen kategori të veçanta të të dhënave personale, si dhe ligjshmërinë, transparencën dhe qëllimet e përpunimit të të dhënave personale, transferimit të të dhënave personale, etj.).
Për të qenë transparent, kontrolluesi duhet të krijojë një politikë privatësie. Në disa raste, kontrolluesi duhet të mbajë shënime për përpunimin e të dhënave personale. Gjithashtu, ai duhet të sigurojë realizimin e të drejtave të subjekteve të të dhënave personale.
Më shumë informacion mbi detyrimet e përgjithshme të kontrollorit jepet në fletën informative “ 10 HAPA TË SHPEJTË PËR PASQYRJEN E LIGJIT PËR MBROJTJEN E TË DHËNAVE PERSONALE ”, publikuar në faqen e AZLP.