Çfarë përfshin përpunimi me rrezik të lartë? 

Sipas LMDhP, kur gjatë përdorimit të teknologjive për ndonjë lloj të përpunimit, duke marrë parasysh natyrën, fushën, kontekstin dhe qëllimet e përpunimit të të dhënave personale, ka gjasa e njëjta  të shkaktojë rrezik të lartë për të drejtat dhe liritë e individëve, bëhet fjalë për  përpunim me rrezik të lartë dhe për përpunimin e tillë duhet të njoftohet AMDhP-ja.

Si të vlerësoni nëse përpunimi është me rrezik të lartë?

Së pari, duhet të konstatoni nëse  gjatë përpunimit të të dhënave personale  zbatoni  zgjidhje teknologjike (p.sh. zgjidhje softuerike) me të cilat përpunohen të dhëna personale në mënyrë që të jenë të arritshme dhe të përdorshme për këdo që ka të drejtën dhe duhet t’i përdorë ato.

Nëse zbatoni, atëherë duhet të bëni vlerësim të natyrës së të dhënave personale që po përpunoni. Për shembull, nëse bëhet fjalë për të dhëna personale të tilla si emri, mbiemri, numri i telefonit, adresa e banimit, numri amë i identifikimit  ose kategori të veçanta të të dhënave personale që zbulojnë origjinën fetare, racore, etnike, pikëpamjet politike, të dhënat shëndetësore, të dhënat biometrike, të dhënat mbi seksualitetin orientimi të personit fizik, etj.

Pastaj bëni vlerësim nëse bëhet fjalë për përpunim të gjerë, dhe në këtë vlerësim i merrni parasysh faktorët e mëposhtëm:

–    numrin e subjekteve të të dhënave personale, qoftë numër specifik ose përqindje e popullsisë përkatëse,

–    vëllimi i të dhënave dhe / ose fushëveprimi i llojeve të ndryshme të të dhënave që përpunohen,

–    kohëzgjatja ose vazhdimësia e operacioneve të përpunimit të të dhënave personale,

–    shtrirja gjeografike e aktiviteteve të përpunimit të të dhënave personale.

Çfarë nënkupton numri i subjekteve të të dhënave personale të prekura, qoftë numër specifik apo përqindje e popullsisë përkatëse

Kjo do të thotë për sa persona fizik për një evidencë/përmbledhje të caktuar me të dhëna personale do të grumbulloni, përpunoni dhe ruani të dhënat personale. Për shembull: te përmbledhja e të punësuarve keni numrin e saktë të personave fizik për të cilët do të përpunoni të dhënat personale, ndërsa te përmbledhja e klientëve, mund të udhëhiqeni nga numri i klientëve për të cilët tashmë i përpunoni të dhënat personale (në rast se kur blëhet fjalë për përmbledhjen/evidencën  e vendosur tanimë / regjistrime tashmë i krijuar) dhe  të shprehni atë numër në përqindje (0.001% të popullsisë së përgjithshme në Shkup ose të ngjsh).

Çfarë nënkupton vëllimi i të dhënave dhe / ose fushëveprimi i llojeve të ndryshme të të dhënave që përpunohen?

Kjo do të thotë se cilat kategori të të dhënave personale për evidencat / përmbledhjet  e të dhënave personale  konkrete do ti grumbulloni, përpunoni dhe ruani për personin fizik. Për shembull: a grumbulloni emrin, mbiemrin dhe adresën, ose emrin, mbiemrin, adresën, numrin amë, ose emrin, mbiemrin, adresën, numrin amë të qytetarit, e-mail, numrin e kontaktit, etj. Nga këtu, ju do të jeni në gjendje të vlerësoni vëllimin gjegjësisht shtrirjen, dmth. grupin e të dhënave personale që përpunoni, për shembull një grup prej tre kategorish të të dhënave personale që nuk përmbajnë kategori të veçanta të të dhënave personale, një grup prej tre kategorish të të dhënave personale që përmbajnë kategori të veçanta të të dhënave personale, etj.

Çfarë do të thotë kohëzgjatja ose vazhdimësia e operacioneve të përpunimit të të dhënave personale?

Kjo do të thotë të vlerësoni periudhën kohore (kohëzgjatjen) e operacioneve të përpunimit të të dhënave personale, gjegjësisht nëse i përpunoni të dhënat personale për individët një herë, dy herë dhe / ose tre herë në një periudhë prej një ose tre muajsh dhe më pas të dhënat personale fshihen / shkatërrohen (përpunimi i rastësishëm /përkohshëm), ose ato përpunohen në mënyrë të vazhdueshme, gjegjësisht operacionet e përpunimit ndërmerren me një dinamikë të caktuar sipas fushëveprimit tuaj (përpunim i vazhdueshëm/ sistematik).

Çfarë nënkupton shtrirja gjeografike e aktiviteteve të përpunimit të të dhënave personale?

Kjo do të thotë nëse aktivitetet për përpunimin e të dhënave personale të personave fizikë zhvillohen në një vend / vend / zonë të caktuar (për shembull: në selinë e kontrolluesit), ose përpunohen në disa adresa të ndryshme nga selia brenda një komune, qyteti të caktuar ose në të gjithë territorin e Republikës së Maqedonisë së Veriut, ose transferohen  edhe në një shtet tjetër.

Pastaj, pas kryerjes së vlerësimit nëse bëhet fjalë për përpunim të gjerë, ju bëni edhe një vlerësim të qëllimit dhe kontekstit të përpunimit, gjegjësiaht përcaktoni qartë qëllimin dhe bëni analiza nëse kategoritë e subjekteve të të dhënave personale, kategoritë e të dhënave personale dhe periudha e ruajtjes së tyre janë në funksion të përmbushjes së qëllimit, gjegjësisht nëse ai qëllim specifik mund të përmbushet vetëm me grupin e caktuar të të dhënave dhe janë të nevojshme për periudhën e caktuar të ruajtjes.

Në rastin kur qëllimi i përpunimit të të dhënave personale është përcaktuar tashmë me ligj, atëherë ju vlerësoni vetëm nëse kategoritë e të dhënave personale dhe periudha e ruajtjes së tyre janë në funksion të përmbushjes së atij qëllimi ligjor.

Pas këtij hapi, ju bëni një analizë të rrezikut, gjegjësisht i identifikoni kërcënimet (efektet e padëshirueshme) dhe përcaktoni probabilitetin dhe ndikimin (pasojën) e realizimit të secilit rrezik. Rreziku shprehet si një funksion i probabilitetit të shfaqjes së kërcënimit dhe ndikimit të kërcënimit të padëshiruar nëse ndodh (rrezik = probabilitet x ndikim).

PARALAJMËRIM

Kjo mënyrë e vlerësimit nëse bëhet fjalë për përpunimin e të dhënave personale me rrezik të lartë i referohet koleksioneve / regjistrimeve tashmë të krijuara të të dhënave personale, të cilat ju si kontrollues tashmë i mbani brenda fushëveprimit tuaj.

Për çdo proces të ri të përpunimit të të dhënave personale dhe veçanërisht kur aplikohen teknologji të reja për përpunimin e të dhënave personale, sipas natyrës, vëllimit, kontekstit dhe qëllimeve të përpunimit, si dhe kur përpunimi përfshihet në Listën e llojeve të operacioneve të përpunimit që kërkohet vlerësim të ndikimit në mbrojtjen e të dhënave personale (“Gazeta Zyrtare e Republikës së Maqedonisë Veriut” nr. 122/20) e krijuar nga AMDHP -ja publikuara në faqen tonë të internetit www.azlp.mk , duhet të kryhet një vlerësim ndikimit të mbrojtjes së të dhënave personale sipas udhëzimeve të përshkruara në Rregulloren për procesin e vlerësimit të ndikimit në mbrojtjen e të dhënave personale (“Gazeta Zyrtare e Republikës së Maqedonisë Veriut” nr. 122/20).

Si dhe në çfarë mënyre dorëzohet njoftim për përpunim të të dhënave personale me rrezik të lartë?

Çdo kontrollues që do të vlerëson se përpunimi i të dhënave personale shkakton një rrezik të lartë për të drejtat dhe liritë e individëve është i detyruar të paraqesë një Njoftim për përpunimin e të dhënave personale që shkakton një rrezik të lartë për të drejtat dhe liritë e individëve, ndërsa njoftimi i tillë  dorëzohet në formë elektronike përmes ueb faqes së AMDHP –së www.azlp.mk me qëllim të evidentimit në Evidencën e përmbledhjeve të të dhënave personale me rrezik të lartë.

Në mënyrë që kontrolluesi të paraqesë Njoftimin, është e nevojshme që paraprakisht të regjistrohet në mënyrë elektronike në Evidencën e përmbledhjeve të të dhënave personale me rrezik të lartë nëpërmjet përcaktimit vetanak të emrit të shfrytëzuesit dhe të fjalëkalimit për kyçje.

Pas regjistrimit, kontrolluesi në sistemin e evidencës së përmbledhjeve të të dhënave personale me rrezik të lartë i vendos të dhënat vijuese:

-emrin e kontrollorit – person juridik, organ i pushtetit shtetëror, organ shtetëror, person juridik i themeluar nga shteti për kryerjen e autorizimeve publike, agjenci ose trup tjetër; numrin tatimor; veprimtarinë kryesore; formën organizative; komunën; vendbanimin; numrin e kontaktit; postën elektronike; faksin; ueb faqen e internetit; personin përgjegjës; emrin dhe mbiemrin e zyrtarit për mbrojtjen e të dhënave personale; numrin e telefonit kontaktues të zyrtarit për mbrojtjen e të dhënave personale; postën elektronike të zyrtarit për mbrojtjen e të dhënave personale dhe vendin e punës ose numrin dhe datën e kontratës për angazhimin e zyrtarit për mbrojtjen e të dhënave personale; emrin, gjegjësisht emrin e përfaqësuesit të autorizuar nëse ka dhe selinë, gjegjësisht adresën e vendbanimit të përfaqësuesit të autorizuar dhe

– kontrollues – person fizik: emrin dhe mbiemrin; vendin dhe adresën e banimit; të dhënat e punësimit (profesioni ose funksioni që e kryen); datën e lindjes; vendin e lindjes dhe shtetësinë.

Pas vendosjes së të dhënave, kontrolluesi e shtyp letrën e konfirmuese. Kjo letër konfirmuese plotësohet, vërtetohet me vulë dhe nënshkruhet nga zyrtari ose nga personi përgjegjës dhe dërgohet menjëherë me postë të rekomanduar në AMDHP.

Pas shtypjes të letrës konfirmuese, kontrolluesi mënyrë elektronike fut të dhënat e përmbledhjeve të të dhënave personale me rrezik të lartë, duke zgjedhur opsionet e ofruara ose duke plotësuar të dhënat për kategorinë ose kategoritë e subjekteve të të dhënave personale, gjegjësisht kategoritë e të dhënave personale që u referohen atyre.

Si përjashtim , kontrolluesit të cilët tashmë janë të evidentuar paraprakisht në Regjistrin qendror të përmbledhjeve të të dhënave personale nuk do të kenë nevojë të rievidentohen si kontrollues në Evidencën e përmbledhjeve të të dhënave personale me rrezik të lartë, por do të duhet vetëm të dorëzojnë Njoftim, i cili njoftim dorëzohet në formë elektronike përmes ueb- faqes së AMDHP www.azlp.mk me qëllim evidentimi në Evidencën e përmbledhjeve të të dhënave personale me rrezik të lartë.

Forma dhe përmbajtja e formularit të njoftimit përshkruhet në dispozitat e Rregullores së njoftimit për përpunimin e të dhënave personale me rrezik të lartë (“Gazeta Zyrtare e Republikës së Maqedonisë Veriore” nr. 122/20).

PARALAJMËRIM

Ky detyrim për dorëzim të njoftimit  ka te bëj  vetëm për ata kontrollues të cilët do të vlerësojnë se përpunimi i të dhënave personale paraqet një rrezik të lartë për të drejtat dhe liritë e individëve.

Prandaj, jo të gjithë kontrolluesit duhet të regjistrohen në këtë regjistër si kontrollues. AMDHP sqaron se në thelb të gjitha operacionet për të cilat është e nevojshme të kryhet  vlerësim i ndikimit në mbrojtjen e të dhënave personale( https://dzlp.mk/sites/default/files/f5e96b1d7da548eba2f30797d555a3c8.pdf ), ndërsa parasë gjithash paraqesin  operacione me rrezik të lartë në përputhje me kushtet e përcaktuara më lart, do t’i nënshtrohet detyrimit për të Njoftuar në përputhje me nenin 71 të LMDHP. Kjo gjithashtu duhet kuptuar në atë mënyrë që nëse një vlerësim i ndikimit në mbrojtjen e të dhënave personale kryhet për një operacion të veçantë, por pas vlerësimit përcaktohet se nuk ka të ngjarë të përbëjë një rrezik të lartë për të drejtat dhe liritë e individëve para se të kryhet përpunimi, atëherë një përpunim i tillë nuk i nënshtrohet detyrimit për njoftim në AMDHP.

AMDHP thekson se është një praktikë e mirë që gjithmonë të përpiqeni të kryeni vlerësim nëse bëhet fjalë për operacion me rrezik të lartë, pavarësisht nëse një përpunim i tillë do të rezultojë vërtet me rrezik të lartë.