Udhëzim i Komisionerit për Mbrojtjen e të Dhënave Personale nr. 4, datë 16.03.2010 për Marrjen e masave të sigurisë së të dhënave personale në fushën e arsimit.

Anexos

Udhëzim Nr. 4, Datë 16.03.2010 per “Marrjen e masave të sigurisë së të dhënave personale në veprimtarinë e fushës së arsimit”

 

Mbështetur në shkronjën “f” të pikës 1 të nenit 31, të ligjit Nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale”, Komisioneri për mbrojtjen e të dhënave personale,

 

UDHËZON:

Marrjen e masave të sigurisë dhe sensibilizimit për mbrojtjen e të dhënave personale në fushën e arsimit:

 

1. Në fushën e arsimit të dhënat personale mblidhen drejtpërdrejtë nga subjekti i të dhënave ose personat të cilët i kanë në ngarkim.

Subjekti i të dhënave personale është çdo subjekt që i përpunohen të dhënat, si nxënësit, studentët dhe të gjithë ato subjekte që kanë aplikuar në institucion. Të dhënat personale mblidhen edhe nga personat që i kanë në ngarkim, të cilët mund të jenë prindërit ose kujdestarët e përcaktuar me anë të vendimit gjyqësor të formës së prerë.

 

2. Subjekti i të dhënave ka të drejtë të informohet në lidhje me të dhënat të cilat i përpunohen përfshirë edhe transferimin.

Informimi i subjektit të të dhënave përfshin qëllimin e përpunimit, kategoritë e marrësve si dhe çdo informacion tjetër që është i nevojshëm për të garantuar përpunimin e drejtë dhe të ligjshëm të të dhënave.

 

3. Nevojiten metoda të qarta në lidhje me përpunimin dhe mbrojtjen e të dhënave që kanë të bëjnë me sëmundje, aftësi të kufizuara, vizita mjekësore, konsultime psikologjike, edukative, etj.

 

3.1. Metodat përfshijnë përcaktimin e një vendi të sigurt ku të mbahen këto të dhëna dhe ku aksesi i tyre (i të dhënave) të jetë vetëm për personat e autorizuar. Në rast përpunimi automatik, metodat parashikojnë, printimin dhe skanimin vetëm në pajisje të dedikuara dhe jo të përbashkëta dhe kopjimi të realizohet vetëm në rastet e nevojshme. Në rast transferimi të dhënat të shifrohen.

 

3.2. Raportet apo evidencat individuale të përgatitura dhe të mbajtura nga specialistët që i përkasin fushave të përmendura në pikën 3 për efekt të veprimtarisë së punës së tyre, përjashtohen të jepen për informacione që kërkohen nga eprorët përkatës, nxënësit, prindërit, mësuesit si dhe palëve të treta duke bërë vlerësimet rast pas rasti.

 

4. Duhet të përcaktohet qartë koha e mbajtjes së të dhënave dhe fshirja e tyre nëse nuk janë më të nevojshme.

Koha e mbajtjes së të dhënave do të jetë për sa është e nevojshme përmbushja e qëllimit.

Në momentin kur të dhënat nuk janë më të nevojshme, ato duhet të shkatërrohen duke mbajtur parasysh nevojën për sigurinë e duhur.

 

5. Etika është një element shumë i rëndësishëm gjatë përpunimit të të dhënave e për këtë është e domosdoshme që palët e interesuara të inkurajojnë sjellje të kulturës së sigurisë.

Sjellja e kulturës së sigurisë është zbatimi i parimit të konfidencialitetit, që do të thotë se kontrolluesit, përpunuesit dhe personat që vihen në dijeni me të dhënat e përpunuara, gjatë ushtrimit të funksioneve të tyre, detyrohen të ruajnë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit. Thyerja e detyrimit të konfidencialitetit përbën vepër penale të parashikuar në kodin penal (neni 123 i Kodit Penal).

 

6. Vlerësimi i rreziqeve duhet të marrë parasysh faktorë si mundësitë teknike, kostot, sensitivitetin e të dhënave dhe probabilitetin e përçarjes së sistemeve.

Vlerësimi i rreziqeve kryhet me qëllim marrjen e masave për të minimizuar nxjerrjen, përhapjen apo çdo veprim tjetër që bie ndesh me ligjin gjatë përpunimit të të dhënave.

Minimizimi kërkon kosto për të pasur nivele të larta teknike(pajisje), etj.

 

7. Politikat dhe proçedurat duhet të kenë për bazë rivlerësimin periodik të sigurisë.

 

8. Mbrojtja e të dhënave personale realizohet përveç të tjerave, edhe me marrjen e masave të sigurisë, si më poshtë:

a) Të instalohet dhe përditësohen antiviruse dhe barriera mbrojtëse të cilat kontrollojnë kompjuterët;

b) Të përditësohet sistemi operativ dhe të shkarkohen versionet e fundit të programeve;

c) Të lejohet aksesi i stafit vetëm në ato materiale që i duhen për të kryer detyrën;

ç) Të bëhet kujdes në përdorimin e politikave të fjalëkalimeve;

d) Të shifrohet çdo lloj informacioni i cili mund të krijojë dëme nëse përhapet;

dh) Të specifikohen procedurat e rimëkëmbjes në rast dëmtimi.

 

9. Ndërgjegjësimi është mjeti i parë në radhë në mbrojtjen e të dhënave personale. Kjo arrihet duke informuar në mënyrë periodike nxënësit, mësuesit, prindërit etj, lidhur me mbrojtjen e të dhënave si dhe duke zhvilluar seminare mbi këtë temë nga persona kompetent p.sh, nga sektori i IT. Dështimet e sigurisë mund të sjellin pasoja shumë të dëmshme subjekteve të të dhënave.

 

10. Stafi, si në rolet individuale ashtu edhe në grup, gjatë përpunimit të të dhënave duhet të shqyrtojë nëse politikat, praktikat, masat dhe procedurat janë në përputhshmëri me parimet e mbrojtjes së të dhënave personale.

 

11. Transferimi i të dhënave personale të nxënësve, prindërve, stafit edukativ dhe administrativ ndërmjet shkollave dhe organeve përgjegjëse lejohet vetëm nëse kjo është e nevojshme për përmbushjen e detyrave që përcakton legjislacioni përkatës.

 

12. Transferimi i të dhënave personale të individëve ose organizatave private duhet të bëhet vetëm nëpërmjet pëlqimit të subjektit në përputhje me qëllimin për të cilin ato janë mbledhur.

Pëlqimi mund të jetë i nënkuptuar, nëpërmjet plotësimit të formularit të aplikimit ose me deklaratë me shkrim. Pëlqimi duhet të jepet i lirë, duhet të jetë i informuar, i ligjshëm dhe me mirëbesim.

 

13. Marrësi i të dhënave nëse do të transferojë të dhënat për qëllim ndryshe nga ai i kërkuar duhet të kërkojë një pëlqim të ri të shprehur qartë nga subjekti i të dhënave. Marrës i të dhënave është institucioni që i jepen të dhëna personale.

Nëse do të transferohen të dhëna personale për një qëllim të ndryshëm nga ai i përcaktuar, atëherë duhet të sigurohet që qëllimi i ri të plotësojë të gjithë parimet për mbrojtjen e të dhënave personale. Parimet përfshijnë përpunimin në mënyrë të ndershme, të drejtë e të ligjshëm të të dhënave personale duke garantuar e respektuar të drejtat dhe liritë themelore të njeriut dhe, në veçanti të drejtën e ruajtjes së jetës private.

 

14. Çdo veprim transferimi duhet të regjistrohet dhe të dokumentohet në një regjistër. Këto veprime duhet të kryhen në përputhje me vendimin e Komisionerit për Mbrojtjen e të Dhënave Personale bazuar në pikën 6 të Nenit 27, “Proçedurat e administrimit të regjistrimit të të dhënave, hedhjes së të dhënave, të përpunimit dhe nxjerrjes së tyre”.

Parashikuar në pikën 2 të nenit 4 të ligjit për “Mbrojtjen e të Dhënave Personale”, për zbatimin e këtij udhëzimi ngarkohen të gjithë kontrolluesit publikë e privatë të sektorit të arsimit.

Ky udhëzim hyn në fuqi menjëherë dhe botohet në fletore zyrtare.

 

KOMISIONERI

Flora Çabej

Twittear
Compartir
Compartir
0 Compartir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.