Në mbështetje të neneve 78 dhe 83 pika 1 të Kushtetutës, me propozimin e Këshillit të Ministrave,
K U V E N D I
I REPUBLIKËS SË SHQIPËRISË
V E N D O S I:
KREU I.- DISPOZITA TË PËRGJITHSHME
Neni 1.- Objekti
Ky ligj ka për objekt përcaktimin e rregullave për mbrojtjen dhe përpunimin e ligjshëm të të dhënave personale.
Neni 2.- Parim i përgjithshëm
Përpunimi i ligjshëm i të dhënave personale bëhet duke respektuar dhe garantuar të drejtat dhe liritë themelore të njeriut dhe, në veçanti, të drejtën e ruajtjes së jetës private.
Neni 3.- Përkufizime
Në këtë ligj termat e mëposhtëm kanë këto kuptime:
1. «Të dhëna personale» është çdo informacion për një person fizik, i cili është i identifikuar ose i identifikueshëm. Elementet, me të cilat realizohet identifikimi i një personi, drejtpërdrejt apo tërthorazi, janë numrat e identitetit ose faktorë të tjerë të veçantë fizikë, psikologjikë, ekonomikë, socialë, kulturorë etj.
2. «Të dhëna sensitive» është çdo informacion për personin fizik, që ka të bëjë me origjinën e tij racore ose etnike, mendimet politike, anëtarësimin në sindikata, besimin fetar apo filozofik, dënimin penal, si dhe të dhëna për shëndetin dhe jetën seksuale.
3. «Kontrollues» është çdo person fizik ose juridik, autoritet publik, agjenci apo njësi tjetër, të cilët, vetëm apo në bashkëpunim me të tjerë, mbajnë, përpunojnë, administrojnë, arkivojnë dhe për këtë shkak kontrollojnë të dhëna personale.
4. «Subjekti i të dhënave personale» është çdo person fizik, të cilit i përpunohen të dhënat personale.
5. «Përpunues» është çdo person fizik ose juridik, autoritet publik, agjenci ose çdo njësi tjetër, përveç punonjësve të kontrolluesit, që përpunojnë të dhëna për vetë kontrolluesin.
6. «Sistem arkivimi» është grup i strukturuar të dhënash personale, të aksesueshme sipas, të paktën, një kriteri specifik.
7. «Përpunimi i të dhënave» është çdo veprim që kryhet plotësisht ose jo me mjete automatike, me të dhënat personale, si grumbullimi, regjistrimi, ruajtja, renditja, përshtatja, ndreqja, këshillimi, shfrytëzimi, përdorimi, bllokimi, fshirja ose shkatërrimi apo çfarëdo veprim tjetër, si dhe transmetimi i të dhënave.
8. «Marrës» është çdo person fizik ose juridik, autoritet publik, agjenci apo njësi tjetër, të cilëve u jepen të dhëna personale.
9. «Transmetim» është transferimi i të dhënave personale te marrësit.
10. «Transferim ndërkombëtar» është dhënia e të dhënave personale marrësve në shtetet e huaja.
11. «Përhapje» është komunikimi i të dhënave personale ndërmjet kontrolluesve apo komunikimi i të dhënave personale te çdo person tjetër, përveç përpunuesit apo subjektit të të dhënave personale, përfshirë edhe publikimin.
12. «Pëlqim» është deklarata specifike, e dhënë me vullnet të lirë nga subjekti i të dhënave personale për përpunimin e të dhënave të tij.
Neni 4.- Fusha e zbatimit
1. Ky ligj zbatohet për përpunimin e të dhënave personale, plotësisht ose pjesërisht, nëpërmjet mjeteve automatike, si dhe për përpunimin me mjete të tjera të të dhënave personale, që mbahen në një sistem arkivimi.
2. Ky ligj zbatohet për përpunimin e të dhënave personale nga:
a) kontrollues të vendosur në Republikën e Shqipërisë;
b) misionet diplomatike ose zyrat konsullore të shtetit shqiptar;
c) kontrollues, të cilët nuk janë të vendosur në Republikën e Shqipërisë, por që e ushtrojnë veprimtarinë nëpërmjet përdorimit të çdo mjeti, që ndodhet në Republikën e Shqipërisë.
3. Në rastet e parashikuara në shkronjën «c» të pikës 2 të këtij neni, kontrolluesi cakton një përfaqësues, i cili duhet të jetë i vendosur në Republikën e Shqipërisë. Parashikimet e këtij ligji, që zbatohen nga kontrolluesit, zbatohen edhe për përfaqësuesit e tyre.
4. Ky ligj nuk zbatohet për përpunimin e të dhënave nga një person fizik për qëllime thjesht personale apo familjare.
KREU II.- PËRPUNIMI I TË DHËNAVE PERSONALE
Neni 5.- Mbrojtja e të dhënave personale
1. Mbrojtja e të dhënave personale bazohet:
a) në përpunimin në mënyrë të ndershme, të drejtë dhe të ligjshme;
b) në grumbullimin për qëllime specifike, të përcaktuara qartë, e legjitime dhe në përpunimin në përputhje me këto qëllime;
c) të dhënat duhet të jenë të mjaftueshme, të lidhen me qëllimin e përpunimit dhe të mos e tejkalojnë këtë qëllim;
ç) në saktësinë nga ana faktike dhe, kur është e nevojshme, përditësimin e kryerjen e çdo veprimi për të siguruar që të dhënat e pasakta e të parregullta të fshihen apo të ndryshohen;
d) në mbajtjen në atë formë, që të lejojë identifikimin e subjekteve të të dhënave për një kohë, por jo më tepër sesa është e nevojshme për qëllimin, për të cilin ato janë grumbulluar ose përpunuar më tej.
2. Kontrolluesi është përgjegjës për zbatimin e këtyre kërkesave në të gjitha përpunimet automatike ose me mjete të tjera të të dhënave.
Neni 6.- Kriteret ligjore për përpunimin
1. Të dhënat personale përpunohen vetëm:
a) nëse subjekti i të dhënave personale ka dhënë pëlqimin;
b) për hartimin dhe përmbushjen e kontratave, në të cilat subjekti i të dhënave personale është palë;
c) për të mbrojtur interesat jetikë të subjektit të të dhënave;
ç) për përmbushjen e një detyrimi ligjor të kontrolluesit;
d) për kryerjen e një detyre ligjore me interes publik ose ushtrimin e një kompetence të kontrolluesit ose të një pale të tretë, së cilës i janë përhapur të dhënat;
dh) për ndjekjen e interesave legjitimë të kontrolluesit ose të një pale të tretë, së cilës i janë përhapur të dhënat, përveç kur këta interesa mbizotërojnë mbi interesat për mbrojtjen e të drejtave dhe të lirive themelore të subjektit të të dhënave.
2. Përpunimi i të dhënave personale, të përcaktuara në kuadër të veprimtarive të parandalimit dhe ndjekjes penale, për kryerjen e një vepre penale kundër rendit publik dhe të veprave të tjera në fushën e të drejtës penale, si dhe në fushën e mbrojtjes dhe sigurisë kombëtare, kryhet nga autoritetet zyrtare të përcaktuara në ligj.
Neni 7.- Përpunimi i të dhënave sensitive
1. Me përjashtim të rasteve të parashikuara në pikat 2 dhe 3 të këtij neni, ndalohet përpunimi i të dhënave, që zbulojnë origjinën racore ose etnike, mendimet politike, anëtarësinë në sindikata, besimin fetar apo filozofik, dënimet penale, si dhe shëndetin dhe jetën seksuale.
2. Përpunimi i të dhënave sensitive bëhet vetëm nëse:
a) subjekti i të dhënave ka dhënë pëlqimin, që mund të revokohet në çdo çast dhe e bën të paligjshëm përpunimin e mëtejshëm të të dhënave;
b) është në interesin jetik të subjektit të të dhënave ose të një personi tjetër dhe subjekti i të dhënave është fizikisht ose mendërisht i paaftë për të dhënë pëlqimin e vet;
c) autorizohet nga autoriteti përgjegjës për një interes të rëndësishëm publik;
ç) lidhet me të dhëna, që janë bërë haptazi publike nga subjekti i të dhënave ose është i nevojshëm për ushtrimin apo mbrojtjen e një të drejte ligjore;
d) të dhënat përpunohen për kërkime shkencore ose statistikore;
dh) të dhënat kërkohen për qëllime të mjekësisë parandaluese, diagnostikimit mjekësor, sigurimit të kujdesit shëndetësor, kurimit, menaxhimit të shërbimeve të kujdesit shëndetësor dhe përdorimi i tyre kryhet nga personeli mjekësor ose persona të tjerë, që kanë detyrimin për ruajtjen e fshehtësisë;
e) të dhënat përpunohen nga organizatat jofitimprurëse politike, filozofike, fetare ose sindikaliste, për qëllime të veprimtarisë të tyre të ligjshme, vetëm për anëtarët, sponsorizuesit ose personat e tjerë, që kanë lidhje me veprimtarinë e tyre. Këto të dhëna nuk u bëhen të ditura një pale të tretë, pa pëlqimin e subjektit të të dhënave, përveç kur parashikohet ndryshe në ligj;
ë) përpunimi është i nevojshëm për përmbushjen e detyrimit ligjor dhe të të drejtave specifike të kontrolluesit në fushën e punësimit, në përputhje me Kodin e Punës.
3. Përpunimi i të dhënave sensitive, në rrethana të tjera nga ato të përcaktuara në pikën 2 të këtij neni, rregullohet me vendim të Këshillit të Ministrave, vetëm për qëllime të interesave të rëndësishëm publikë, nën masa të përshtatshme mbrojtëse.
Neni 8.- Transferimi ndërkombëtar
1. Transferimi ndërkombëtar i të dhënave personale kryhet, me marrës, nga shtete me një nivel të mjaftueshëm të mbrojtjes së të dhënave personale. Niveli i mbrojtjes së të dhënave personale për një shtet përcaktohet duke vlerësuar të gjitha rrethanat lidhur me përpunimin, natyrën, qëllimin dhe kohëzgjatjen e tij, shtetin e origjinës dhe destinacionin përfundimtar, aktet ligjore dhe standardet e sigurisë në fuqi në shtetin marrës. Shtetet, që kanë nivel të mjaftueshëm të mbrojtjes së të dhënave, përcaktohen me vendim të Këshillit të Ministrave.
2. Transferimi ndërkombëtar i të dhënave personale me një shtet, që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale mund të bëhet nëse:
a) autorizohet nga akte ndërkombëtare, të ratifikuara nga Republika e Shqipërisë dhe që janë të zbatueshme në mënyrë të drejtpërdrejtë;
b) subjekti i të dhënave ka dhënë pëlqimin për transferim ndërkombëtar;
c) përbën detyrim për përmbushjen e një kontrate të përfunduar ndërmjet kontrolluesit dhe subjektit të të dhënave ose një pale të tretë, në interesin e subjektit të të dhënave;
ç) është detyrim ligjor i kontrolluesit;
d) është i nevojshëm për mbrojtjen e interesave jetësorë të subjektit të të dhënave;
dh) është i nevojshëm apo përbën një kërkesë ligjore për një interes të rëndësishëm publik ose për ushtrimin dhe mbrojtjen e një të drejte ligjore;
e) është bërë nga një regjistër, i cili është i hapur për këshillime dhe siguron informacion për publikun në përgjithësi.
3. Shkëmbimi i të dhënave personale me përfaqësitë diplomatike të qeverive të huaja ose institucionet ndërkombëtare në Republikën e Shqipërisë vlerësohet transferim ndërkombëtar.
Neni 9.- Transferimi ndërkombëtar i të dhënave që duhet të autorizohen
1. Transferimi ndërkombëtar i të dhënave personale me një shtet, që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave, në raste të tjera nga ato të parashikuara në nenin 8 të këtij ligji, bëhet me autorizim të komisionerit.
2. Komisioneri, pasi bën vlerësimin, mund të japë autorizimin për transferimin e të dhënave personale në shtetin marrës, duke përcaktuar kushte dhe detyrime.
3. Komisioneri nxjerr udhëzime për lejimin e disa kategorive të transferimeve ndërkombëtare të të dhënave personale në një shtet që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale. Në këto raste, kontrolluesi përjashtohet nga kërkesa për autorizim.
4. Kontrolluesi, përpara transferimit të të dhënave, bën kërkesë për autorizim te komisioneri. Në kërkesë kontrolluesi duhet të garantojë respektimin e interesave për ruajtjen e sekretit të subjektit të të dhënave jashtë Republikës së Shqipërisë.
KREU III.- PËRPUNIMI I VEÇANTË I TË DHËNAVE
Neni 10.- Përpunimi për kërkime shkencore dhe statistikore
1. Të dhënat personale, të mbledhura për çfarëdolloj qëllimi, mund të përpunohen më tej për qëllime shkencore ose statistikore, duke siguruar se nuk janë përpunuar, për të marrë masa ose vendime për një individ.
2. Transmetimi i të dhënave sensitive për kërkimet shkencore bëhet vetëm kur ekziston një interes i rëndësishëm publik. Të dhënat personale përdoren vetëm nga persona, të cilët janë të detyruar të ruajnë konfidencialitetin.
3. Në rastet kur përdorimi i të dhënave bëhet në një formë, që lejon identifikimin e subjektit të të dhënave, të dhënat duhet të kodohen menjëherë, në mënyrë që subjektet të mos jenë më të identifikueshme. Të dhënat personale të koduara përdoren vetëm nga persona, të cilët janë të detyruar të ruajnë konfidencialitetin.
Neni 11.- Përpunimi për qëllime të tjera
Përpunimi i të dhënave personale vetëm për qëllime gazetarie, literature ose artistike përjashtohet nga zbatimi i neneve 5, 6, 7, 8, 12, 18, 21 e 28 të këtij ligji, vetëm nëse mbrojtja e të dhënave personale, sipas këtyre dispozitave, pengon ushtrimin e së drejtës së lirisë së shprehjes.
KREU IV.- TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
Neni 12.- E drejta për akses
1. Çdo person ka të drejtë që, me kërkesë me shkrim, të marrë nga kontrolluesi:
a) konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapen të dhënat personale;
b) në një formë të kuptueshme, të dhënat personale dhe informacionin e disponueshëm për burimin e tyre;
c) në rastet e vendimeve automatike, sipas nenit 14 të këtij ligji, informacion për logjikën e përfshirë në vendimmarrje.
Informacioni për të dhënat komunikohet në formën, në të cilën ishin në kohën kur është bërë kërkesa.
2. Kontrolluesi, brenda 30 ditëve nga data e marrjes së kërkesës, informon subjektin e të dhënave ose i shpjegon atij arsyet e mosdhënies së informacionit.
3. E drejta për akses, sipas pikës 1 të këtij neni, ushtrohet në përputhje me parimet kushtetuese të lirisë së shprehjes dhe informacionit, lirisë së shtypit dhe sekretit profesional dhe mund të kufizohet, nëse cenon interesat e sigurisë kombëtare, politikën e jashtme, interesat ekonomikë dhe financiarë të shtetit, parandalimin dhe ndjekjen e veprave penale.
4. E drejta e aksesit nuk mund të ushtrohet në rastet e parashikuara në pikën 1 të nenit 10 të këtij ligji.
5. Në rast se aksesi mohohet, duke argumentuar se cenohen interesat e sigurisë kombëtare, politika e jashtme, interesat ekonomikë dhe financiarë të shtetit, parandalimi dhe ndjekja e veprave penale ose liria e shprehjes dhe informimit apo liria e shtypit, subjekti i të dhënave mund t’i kërkojë komisionerit të kontrollojë përjashtimin në rastin konkret. Komisioneri informon subjektin e të dhënave për masat e marra.
Neni 13.- E drejta për të kërkuar korrigjimin ose fshirjen
1. Çdo subjekt i të dhënave ka të drejtë të kërkojë korrigjimin ose fshirjen e të dhënave, kur vihet në dijeni se të dhënat rreth tij nuk janë të rregullta, të vërteta, të plota ose janë përpunuar dhe mbledhur në kundërshtim me dispozitat e këtij ligji.
2. Kontrolluesi, brenda 30 ditëve nga data e marrjes së kërkesës së subjektit të të dhënave, duhet ta informojë atë për përpunimin e ligjshëm të të dhënave, kryerjen ose moskryerjen e korrigjimit apo të fshirjes.
3. Kur kontrolluesi nuk bën korrigjimin ose fshirjen e të dhënave të kërkuara prej tij, subjekti i të dhënave ka të drejtë të ankohet te komisioneri.
Neni 14.- Vendimmarrja automatike
1. Çdo person ka të drejtë të mos jetë subjekt i vendimeve, të cilat shkaktojnë efekte ligjore për të ose ndikojnë në mënyrë të rëndësishme tek ai dhe kur vendimi është bazuar vetëm në përpunimin automatik të të dhënave, që synojnë të vlerësojnë disa aspekte personale, që lidhen me të, veçanërisht, efektivitetin në punë, besueshmërinë ose sjelljen.
2. Një person mund të jetë subjekt i një vendimi të marrë, sipas pikës 1 të këtij neni, kur merren masa për të mbrojtur interesat e tij të ligjshëm, veçanërisht duke përfshirë në vendim këndvështrimet e tij.
Neni 15.- E drejta e subjektit të të dhënave për të kundërshtuar
1. Subjekti i të dhënave ka të drejtë të kundërshtojë, në çdo kohë, mbështetur në ligj, përpunimin e të dhënave rreth tij, sipas shkronjave «d» dhe «dh» të nenit 6 të këtij ligji, përveç kur parashikohet ndryshe me ligj.
2. Subjekti i të dhënave ka të drejtë t’i kërkojë kontrolluesit të mos fillojë ose, nëse përpunimi ka filluar, të ndalojë përpunimin e të dhënave personale, që lidhen me të, për qëllime të tregtimit të drejtpërdrejtë.
Neni 16.- E drejta për t’u ankuar
1. Çdo person, që pretendon se i janë shkelur të drejtat, liritë dhe interesat e ligjshëm për të dhënat personale, ka të drejtë të ankohet ose të njoftojë komisionerin dhe të kërkojë ndërhyrjen e tij për vënien në vend të së drejtës së shkelur. Pas këtij ankimi, në përputhje me Kodin e Procedurës Civile, subjekti i të dhënave mund të ankohet në gjykatë.
2. Në rast se subjekti i të dhënave ka bërë ankim, kontrolluesi nuk ka të drejtë të ndryshojë të dhënat personale deri në dhënien e vendimit përfundimtar.
Neni 17.- Kompensimi i dëmit
Çdo person, të cilit i është shkaktuar një dëm, si rezultat i përpunimit të paligjshëm të të dhënave personale, ka të drejtë t’i kërkojë kompensim kontrolluesit për dëmin e shkaktuar.
KREU V.- DETYRIMET E KONTROLLUESIT DHE TË PËRPUNUESIT
Neni 18.- Detyrimi për informim
1. Kontrolluesi, kur mbledh të dhëna personale, duhet ta informojë subjektin e këtyre të dhënave. Në këtë informacion duhet të përcaktohen kategoritë e të dhënave personale, që do të përpunohen, qëllimi i përpunimit, emri dhe adresa e kontrolluesit dhe çdo informacion tjetër, i nevojshëm, për të garantuar përpunimin e drejtë të të dhënave personale. Ky informacion nuk jepet, nëse subjekti i të dhënave ka dijeni për të.
2. Të dhënat mund të mblidhen nëpërmjet transmetimit nga një përpunim tjetër, i kryer nga i njëjti kontrollues ose kontrollues të tjerë. Në këto raste, informacioni nuk do të jepet, kur përpunimi i të dhënave është parashikuar nga ligji, kur është e pamundur dhënia e informacionit, për shkak se nuk mund të gjendet subjekti i të dhënave, ose kur të dhënat përpunohen sipas pikës 1 të nenit 10 të këtij ligji.
Neni 19.- Detyrimi për korrigjim ose fshirje
1. Kontrolluesi kryen vetë ose me kërkesë të subjektit të të dhënave korrigjimin ose fshirjen e të dhënave personale, kur vëren se janë të parregullta, të pavërteta, të paplota ose janë përpunuar në kundërshtim me dispozitat e këtij ligji.
2. Kontrolluesi, brenda 30 ditëve nga marrja e kërkesës së subjektit të të dhënave, informon subjektin e të dhënave për kryerjen apo moskryerjen e korrigjimit ose të fshirjes.
3. Kontrolluesi informon marrësin e të dhënave personale për korrigjimin ose fshirjen e të dhënave personale, të transmetuara para korrigjimit apo fshirjes.
Neni 20.- Detyrimet e përpunuesit
1. Kontrolluesit, për përpunimin e të dhënave personale, mund të punësojnë përpunues, të cilët garantojnë përdorimin e ligjshëm dhe të sigurt të të dhënave. Çdo përpunues i të dhënave personale ka këto detyrime:
a) të përpunojë të dhënat vetëm në përputhje me udhëzimet e kontrolluesit; të mos i transmetojë ato, përveç kur ka marrë udhëzim nga kontrolluesi;
b) të marrë të gjitha masat e sigurisë, sipas këtij ligji dhe të punësojë operatorë, të cilët kanë detyrimin për ruajtjen e fshehtësisë;
c) të krijojë, në marrëveshje me kontrolluesin, kushtet e nevojshme teknike dhe organizative për përmbushjen e detyrimeve të kontrolluesit, për të siguruar të drejtat e subjekteve të të dhënave personale;
ç) t’i dorëzojë kontrolluesit, pas përfundimit të shërbimit të përpunimit, të gjitha rezultatet e përpunimit dhe dokumentacionit, që përmban të dhëna ose t’i mbajë apo t’i shkatërrojë ato me kërkesë të kontrolluesit;
d) të vërë në dispozicion të kontrolluesit të gjithë informacionin e nevojshëm, për të kontrolluar përputhshmërinë me detyrimet, që rrjedhin sipas shkronjave të mësipërme.
2. Detyrimet e pikës 1 përcaktohen në kontratën e kontrolluesit me përpunuesin.
KREU VI.- NJOFTIMI
Neni 21.- Përgjegjësia për të njoftuar
1. Çdo kontrollues duhet të njoftojë komisionerin për përpunimin e të dhënave personale, për të cilat është përgjegjës. Njoftimi duhet të bëhet para se kontrolluesi të përpunojë të dhënat për herë të parë ose kur kërkohet ndryshimi i qëllimit të përpunimit, të njoftuar më parë.
2. Përjashtohet nga detyrimi për të njoftuar përpunimi i të dhënave personale, me qëllim mbajtjen e një regjistri, i cili, në përputhje me ligjin ose aktet nënligjore, siguron informacion për publikun në përgjithësi.
3. Përjashtohen nga detyrimi për të njoftuar të dhënat personale që përpunohen, me qëllim mbrojtjen e institucioneve kushtetuese, të interesave të sigurisë kombëtare, politikës së jashtme, interesave ekonomikë ose financiarë të shtetit, apo për parandalimin e ndjekjen e veprave penale.
4. Rastet e tjera, për të cilat njoftimi nuk është i nevojshëm, përcaktohen me vendim të Këshillit të Ministrave.
Neni 22.- Përmbajtja e njoftimit
Njoftimi duhet të përmbajë:
a) emrin dhe adresën e kontrolluesit;
b) qëllimin e përpunimit të të dhënave personale;
c) kategoritë e subjekteve të të dhënave dhe kategoritë e të dhënave personale;
ç) marrësit dhe kategoritë e marrësve të të dhënave personale;
d) propozimin për transferimet ndërkombëtare që kontrolluesi synon të kryejë;
dh) një përshkrim të përgjithshëm të masave për sigurinë e të dhënave personale.
Neni 23.- Procedura e shqyrtimit
Komisioneri shqyrton të gjitha njoftimet dhe kur njoftimi është i pamjaftueshëm, ai urdhëron kontrolluesin të plotësojë të dhënat, duke përcaktuar edhe afatin kohor.
Neni 24.- Kontrolli paraprak
1. Autorizimi i komisionerit kërkohet për:
a) përpunimin e të dhënave sensitive, sipas shkronjës «c» të pikës 2 të nenit 7 të këtij ligji;
b) përpunimin e të dhënave personale, sipas pikës 1 të nenit 9 të këtij ligji.
2. Nëse përpunimi i të dhënave, sipas pikës 1 të këtij neni, autorizohet nga një dispozitë ligjore, nuk kërkohet autorizim nga komisioneri.
Neni 25.- Fillimi i përpunimit
1. Përpunimi i të dhënave fillon pas njoftimit.
2. Përpunimi i të dhënave, për të cilat kërkohet autorizim, sipas pikës 1 të nenit 24 të këtij ligji, mund të fillojë vetëm pas marrjes së autorizimit.
Neni 26.- Publikimi i përpunimeve
1. Për të dhënat që kërkohet autorizim, merret vendim i veçantë dhe pasqyrohet në regjistrin që administrohet nga komisioneri, i cili është i hapur për njohje për çdo person.
2. Regjistrimi duhet të përmbajë informacionin, sipas nenit 22 të këtij ligji, përveç informacionit të përcaktuar në shkronjën «dh» të nenit 22 të këtij ligji, i cili nuk publikohet.
3. Kontrolluesi i përjashtuar nga detyrimi për njoftim duhet të bëjë të disponueshme, të paktën, të dhënat për emrin dhe adresën, kategoritë e të dhënave personale të përpunuara, qëllimet e përpunimeve, kategoritë e marrësve, të cilëve u përhapen të dhënat personale, në një formë të përshtatshme te çdo person, sipas kërkesës së tij.
4. Ky nen nuk zbatohet për përpunime për mbajtjen e një regjistri, i cili, në përputhje me ligjin apo aktet nënligjore, siguron informacion për publikun në përgjithësi.
KREU VII.- SIGURIA E TË DHËNAVE PERSONALE
Neni 27.- Masat për sigurinë e të dhënave personale
1. Kontrolluesi ose përpunuesi merr masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të paautorizuar, veçanërisht kur përpunimi i të dhënave bëhet në rrjet, si dhe nga çdo formë tjetër e paligjshme përpunimi.
2. Kontrolluesi merr këto masa të veçanta sigurie:
a) përcakton funksionet ndërmjet njësive organizative dhe operatorëve për përdorimin e të dhënave;
b) përdorimi i të dhënave bëhet me urdhër të njësive organizative ose të operatorëve të autorizuar;
c) udhëzon operatorët, pa përjashtim, për detyrimet që kanë, në përputhje me këtë ligj dhe rregulloret e brendshme për mbrojtjen e të dhënave, përfshirë edhe rregulloret për sigurinë e të dhënave;
ç) ndalon hyrjen në mjediset e kontrolluesit ose të përpunuesit të të dhënave të personave të paautorizuar;
d) hyrja në të dhënat dhe programet bëhet vetëm nga personat e autorizuar,
dh) ndalon hyrjen në mjetet e arkivimit dhe përdorimin e tyre nga persona të paautorizuar;
e) vënia në punë e pajisjeve të përpunimit të të dhënave bëhet vetëm me autorizim dhe çdo mjet sigurohet me masa parandaluese ndaj vënies së autorizuar në punë;
ë) regjistron dhe dokumenton modifikimet, korrigjimet, fshirjet, transmetimet etj.
3. Të dhënat e dokumentuara nuk përdoren për qëllime të tjera, që nuk janë në përputhje me qëllimin e grumbullimit. Ndalohet njohja ose çdo përpunim i të dhënave të regjistruara në dosje për një qëllim të ndryshëm nga e drejta për të hedhur të dhëna. Përjashtohet nga ky rregull rasti kur të dhënat përdoren për parandalimin ose ndjekjen e një vepre penale.
4. Dokumentacioni i të dhënave mbahet për aq kohë sa është i nevojshëm për qëllimin, për të cilin është grumbulluar.
5. Niveli i sigurisë duhet të jetë i përshtatshëm me natyrën e përpunimit të të dhënave personale. Rregulla të hollësishme për sigurimin e të dhënave përcaktohen me vendim të komisionerit.
6. Procedurat e administrimit të regjistrimit të të dhënave, të hedhjes së të dhënave, të përpunimit dhe nxjerrjes së tyre përcaktohen me vendim të komisionerit.
Neni 28.- Konfidencialiteti i të dhënave
Kontrolluesit, përpunuesit dhe personat, që vihen në dijeni me të dhënat e përpunuara, gjatë ushtrimit të funksioneve të tyre, detyrohen të ruajnë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit. Këto të dhëna nuk përhapen, përveç rasteve të parashikuara me ligj.
KREU VIII.- KOMISIONERI PËR MBROJTJEN E TË DHËNAVE PERSONALE
Neni 29.- Komisioneri
1. Komisioneri për mbrojtjen e të dhënave personale është autoriteti përgjegjës, që mbikëqyr dhe monitoron, në përputhje me ligjin, mbrojtjen e të dhënave personale, duke respektuar e garantuar të drejtat dhe liritë themelore të njeriut.
2. Komisioneri është person juridik publik.
3. Informacioni i siguruar nga komisioneri, gjatë ushtrimit të detyrës, përdoret vetëm për qëllime mbikëqyrjeje, në përputhje me legjislacionin për mbrojtjen e të dhënave personale. Komisioneri është i detyruar të ruajë konfidencialitetin e të dhënave edhe pas mbarimit të detyrës.
Neni 30.- Të drejtat
1. Komisioneri ka këto të drejta:
a) kryen hetim administrativ dhe ka të drejtën e aksesit në përpunimet e të dhënave personale, si dhe ka të drejtë të mbledhë të gjithë informacionin e nevojshëm për përmbushjen e detyrave të mbikëqyrjes;
b) urdhëron bllokimin, fshirjen, shkatërrimin ose pezullon përpunimin e paligjshëm të të dhënave personale;
c) jep udhëzime përpara se përpunimet të kryhen dhe siguron publikimin e tyre.
2. Komisioneri, në rast shkeljesh serioze, të përsëritura ose të qëllimshme të ligjit nga një kontrollues ose përpunues, veçanërisht në rastet e përsëritura të moszbatimit të rekomandimeve të tij, vepron sipas nenit 39 të këtij ligji dhe e denoncon publikisht ose e raporton çështjen në Kuvend dhe në Këshillin e Ministrave.
Neni 31.- Përgjegjësitë
1. Komisioneri është përgjegjës për:
a) dhënien e mendimeve për aktet ligjore dhe nënligjore, që kanë të bëjnë me të dhënat personale;
b) dhënien e autorizimit, në raste të veçanta, për përdorimin e të dhënave personale për qëllime jo të përcaktuara në grumbullimin e tyre, duke respektuar parimet e nenit 5 të këtij ligji;
c) dhënien e autorizimit për transferimin ndërkombëtar të të dhënave personale, në përputhje me nenin 9 të këtij ligji;
ç) nxjerrjen e udhëzimeve, ku përcaktohet koha e mbajtjes së të dhënave personale, sipas qëllimit të tyre, në veprimtarinë e sektorëve të veçantë;
d) sigurimin e së drejtës së informimit dhe të ushtrimit të së drejtës së korrigjimit e të përditësimit të të dhënave;
dh) dhënien e autorizimit për përdorimin e të dhënave sensitive, në përputhje me shkronjën «c» të pikës 2 të nenit 7 të këtij ligji;
e) kontrollimin e përpunimit të të dhënave, në përputhje me ligjin, me kërkesë të një personi, kur një përpunim i tillë është i përjashtuar nga e drejta e informacionit dhe vënien në dijeni të personit se kontrolli është kryer, si dhe verifikimin nëse procesi është i ligjshëm ose jo;
ë) zgjidhjen e ankimeve të çdo personi për mbrojtjen e të drejtave dhe të lirive të tij, për përpunimet e të dhënave personale dhe vënien e tij në dijeni për ecurinë;
f) nxjerrjen e udhëzimeve për marrjen e masave të sigurisë në veprimtarinë e sektorëve të veçantë;
g) kontrollin e zbatimit të gjobave;
gj) përgatitjen, në bashkëpunim, të kodeve të etikës;
h) publikimin dhe shpjegimin e të drejtave për mbrojtjen e të dhënave dhe publikimin periodikisht të veprimtarive të zhvilluara prej tij;
i) bashkëpunimin me autoritetet mbikëqyrëse për të dhënat personale të shteteve të huaja, për mbrojtjen e të drejtave të individëve rezidentë në këto shtete;
j) përfaqësimin e autoritetit mbikëqyrës në fushën e mbrojtjes së të dhënave personale në veprimtaritë kombëtare dhe ndërkombëtare;
k) ushtrimin e detyrave të tjera ligjore.
2. Komisioneri krijon një regjistër për dokumentimin e të gjitha njoftimeve dhe autorizimeve, që ai kryen në ushtrim të kompetencave të tij, në fushën e mbrojtjes së të dhënave personale.
3. Komisioneri paraqet raport vjetor përpara Kuvendit dhe raporton përpara tij sa herë i kërkohet. Gjithashtu, ai mund t’i kërkojë Kuvendit të dëgjohet për çështje që i çmon të rëndësishme.
Neni 32.- Detyrimi për bashkëpunim
1. Institucionet publike dhe private bashkëpunojnë me komisionerin, duke i siguruar të gjithë informacionin që ai kërkon për përmbushjen e detyrave.
2. Komisioneri ka akses në sistemin e kompjuterave, në sistemet e arkivimit, që kryejnë përpunimin e të dhënave personale dhe në të gjithë dokumentacionin, që lidhet me përpunimin dhe transferimin e tyre, për ushtrimin e të drejtave dhe të detyrave që i janë ngarkuar me ligj.
Neni 33.- Zgjedhja dhe qëndrimi në detyrë
Komisioneri zgjidhet nga Kuvendi, me propozimin e Këshillit të Ministrave, për një mandat 5-vjeçar, me të drejtë rizgjedhjeje.
Neni 34.- Papajtueshmëria e funksionit
Funksioni i komisionerit është i papajtueshëm me çdo funksion tjetër shtetëror, me anëtarësimin në partitë politike dhe pjesëmarrjen në veprimtaritë e tyre, si dhe me çdo veprimtari tjetër fitimprurëse, me përjashtim të mësimdhënies.
Neni 35.- Kriteret për t’u zgjedhur
Komisioner mund të zgjidhet shtetasi shqiptar, që plotëson kushtet e mëposhtme:
a) ka arsim të lartë juridik;
b) ka njohuri dhe veprimtari të shquara në fushën e të drejtave dhe lirive themelore të njeriut;
c) shquhet për aftësi profesionale dhe figurë të pastër etiko-morale;
ç) ka vjetërsi pune në profesionin e juristit jo më pak se 10 vjet;
d) nuk është dënuar me vendim të formës së prerë për kryerjen e një vepre penale;
dh) nuk është larguar nga puna ose shërbimi civil me masë disiplinore.
Neni 36.- Mbarimi i mandatit
1. Mandati i komisionerit mbaron para kohe kur:
a) dënohet nga gjykata me vendim të formës së prerë për kryerjen e një vepre penale;
b) nuk paraqitet pa arsye në detyrë për më shumë se 1 muaj;
c) jep dorëheqjen;
ç) deklarohet i paaftë me vendim gjykate të formës së prerë.
2. Komisioneri mund të shkarkohet nga Kuvendi:
a) për shkelje të dispozitave të këtij ligji apo akteve të tjera ligjore;
b) kur kryen veprimtari, që krijon konflikt interesash;
c) kur zbulohen raste të papajtueshmërisë së funksionit të tij.
3. Në rast se vendi i komisionerit mbetet vakant, Këshilli i Ministrave, brenda 15 ditëve, i propozon Kuvendit kandidaturën e re. Kuvendi zgjedh komisionerin brenda 15 ditëve nga paraqitja e kandidaturës.
Neni 37.- Zyra e komisionerit
Kuvendi vendos për pagën e komisionerit, strukturën organizative dhe klasifikimin e pagave për punonjësit e zyrës së komisionerit për mbrojtjen e të dhënave personale. Punonjësit e kësaj zyre gëzojnë statusin e nëpunësit civil.
Neni 38.- Buxheti
Komisioneri ka buxhetin e vet të pavarur, i cili financohet nga Buxheti i Shtetit dhe nga donacione të ndryshme.
KREU IX.- SANKSIONE ADMINISTRATIVE
Neni 39.- Kundërvajtjet administrative
1. Rastet e përpunimit të të dhënave në kundërshtim me dispozitat e këtij ligji përbëjnë kundërvajtje administrative dhe dënohen me gjobë, si më poshtë:
a) kontrolluesit, që përdorin të dhëna personale në kundërshtim me kreun II «Përpunimi i të dhënave personale», dënohen me 10 000 deri në 50 000 lekë;
b) kontrolluesit, që nuk përmbushin detyrimin për të informuar, të përcaktuar në nenin 18 të këtij ligji, dënohen me 10 000 deri në 30 000 lekë;
c) kontrolluesit, që nuk përmbushin detyrimin për të korrigjuar ose fshirë të dhënat, të përcaktuar në nenin 19 të këtij ligji, dënohen me 15 000 deri në 30 000 lekë;
ç) përpunuesit, që nuk zbatojnë detyrimet e përcaktuara në nenin 20 të këtij ligji, dënohen me 10 000 deri në 30 000 lekë;
d) kontrolluesit, që nuk përmbushin detyrimin për të njoftuar, sipas përcaktimit në nenin 21 të këtij ligji, dënohen me 10 000 deri në 50 000 lekë;
dh) kontrolluesit ose përpunuesit, që nuk marrin masat e sigurisë së të dhënave, të përcaktuara në nenin 27 të këtij ligji, dënohen me l0 000 deri në 15 000 lekë.
2. Personat juridikë, për kundërvajtjet e mësipërme, dënohen me dyfishin e gjobës së përcaktuar në pikën 1 të këtij neni.
3. Maksimumi i gjobës dyfishohet në rastin kur veprohet në kundërshtim me pikën 2 të nenit 16 të këtij ligji dhe kur të dhënat përpunohen pa autorizim, sipas shkronjës «b» të pikës 1 të nenit 31 të këtij ligji.
4. Gjobat vendosen nga komisioneri, kur vërehet se janë shkelur detyrimet e përcaktuara në ligj.
Neni 40.- Ankimi
Kundërvajtësi, brenda 30 ditëve nga data e marrjes së njoftimit për vënien e gjobës, mund të bëjë ankim në gjykatë, në përputhje me Kodin e Procedurës Civile.
Neni 41.- Ekzekutimi i gjobave
1. Gjobat paguhen nga kundërvajtësi jo më vonë se 30 ditë nga komunikimi i tyre.
Me kalimin e këtij afati, vendimi i dhënë shndërrohet në titull ekzekutiv dhe ekzekutohet në mënyrë të detyrueshme nga zyra e përmbarimit, me kërkesë të komisionerit.
2. Gjobat arkëtohen në Buxhetin e Shtetit.
KREU X.- DISPOZITA TË FUNDIT
Neni 42.- Aktet nënligjore
Ngarkohet Këshilli i Ministrave të nxjerrë aktet nënligjore në zbatim të neneve 7, 8 e 21 të këtij ligji.
Neni 43.- Shfuqizime
Ligji Nr.8517, datë 22.7.1999 «Për mbrojtjen e të dhënave personale», shfuqizohet.
Neni 44.- Hyrja në fuqi
Ky ligj hyn në fuqi 15 ditë pas botimit në Fletoren Zyrtare.
ZËVENDËSKRYETARI
Fatos Beja