POLITIKA PËR MBROJTJEN E TË DHËNAVE PERSONALE A. HYRJE · INFORMACION PUBLIK Politika për...

INFORMACION PUBLIK

Politika për Mbrojtjen e të Dhënave Personale, Ver.1.0 Data efektive: 25.05.2018

POLITIKA PËR MBROJTJEN E TË DHËNAVE PERSONALE

A. HYRJE Në kuadër të përgjegjësisë së saj korporative, Facilization është angazhuar të jetë në përputhje me ligjet kombëtare dhe ndërkombëtare për mbrojtjen e të dhënave. Kjo Politikë për Mbrojtjen e të Dhënave, bazohet në parimet themelore të pranuara në nivel global për mbrojtjen e të dhënave. Mbrojtja e të dhënave personale është themeli i marrëdhënieve të besueshme të biznesit dhe një ndër aspektet më të rëndësishme të reputacionit të Facilization si një punëdhënës tërheqës. Politika për Mbrojtjen e të Dhënave është një nga kushtet e nevojshme për transferimin ndërkombëtar të të dhënave personale midis kompanive të grupit. Ajo siguron nivelin e duhur të mbrojtjes së të dhënave në përputhje me Direktivën e Mbrojtjes së të Dhënave të Bashkimit Europian, Rregulloren e Përgjithshme të Mbrojtjes së të Dhënave (GDPR) dhe ligjet kombëtare për transferimin ndërkombëtar të të dhënave personale, duke përfshirë këtu vendet që ende nuk kanë ligje adekuate për mbrojtjen e kësaj kategorie të dhënash. Politika për Mbrojtjen e të Dhënave është e vlefshme për të gjitha selitë dhe kompanitë e Facilization dhe punonjësit e tyre. Politika për Mbrojtjen e të Dhënave përfshin edhe përpunimin e të Dhënave Personale. Kjo Politikë për Mbrojtjen e të Dhënave përfshin parimet ndërkombëtare të privatësisë së të dhënave, përfshirë këtu GDPR, pa zëvendësuar ligjet ekzistuese kombëtare. Ajo plotëson ligjet kombëtare për privatësinë e të dhënave.

B. DEFINICIONE DHE PARIME PËR PËRPUNIMIN E TË DHËNAVE PERSONALE

DEFINICIONE

Të dhënat anonimizohen në mënyrë që të mos jetë e mundur të zbulohet identiteti

personal, ose në formë të tillë që identiteti personal mund të rikrijohet vetëm me

shpenzimin e një sasie të paarsyeshme kohe, shpenzimesh dhe pune.

Pëlqimi është marrëveshja vullnetare, ligjërisht e detyrueshme, për përpunimin e të

dhënave.

Incidentet e Mbrojtjes së të Dhënave përfshin të gjitha eventet ku ekziston dyshimi i

justifikuar që të dhënat personale janë kapur, mbledhur, modifikuar, kopjuar,

transmetuar ose përdorur në mënyrë të paligjshme. Kjo mund të përfshijë veprimet e

palëve të treta ose punonjësve.

Subjekti i të dhënave sipas kësaj Politike për Mbrojtjen e të Dhënave është çdo person

fizik të dhënat e të cilit mund të përpunohen. Në disa vende, personat juridikë mund

të jenë gjithashtu subjekt i të dhënave.

INFORMACION PUBLIK


Të dhëna sensitive janë të dhëna për origjinën etnike dhe raciale, mendimet politike,

bindjet fetare ose filozofike, anëtarësimin në sindikatë ose jetën shëndetësore dhe

seksuale të subjektit të të dhënave. Sipas ligjit kombëtar, kategoritë e mëtejshme të

të dhënave mund të konsiderohen shumë të ndjeshme ose përmbajtja e kategorive të

të dhënave mund të strukturohet ndryshe. Për më tepër, të dhënat që kanë të bëjnë

me një krim shpesh mund të përpunohen vetëm me kërkesa të veçanta.

Të dhënat personale janë të gjitha informatat rreth personave fizikë të caktuar ose të

përcaktuar. A është identifikuar, për shembull, nëse marrëdhënia personale mund të

përcaktohet duke përdorur një kombinim të informacionit me njohuri të tjera, të

përfituara edhe në formë aksidentale.

Përpunimi i të dhënave personale nënkupton çdo proces, me ose pa përdorimin e

sistemeve të automatizuara, i cili përfshin mbledhjen, organizimin, ruajtjen,

modifikimin, kërkimin, përdorimin, përcjelljen, transmetimin, shpërndarjen ose

kombinimin dhe krahasimin e të dhënave. Ky proces përfshin gjithashtu asgjësimin,

fshirjen dhe bllokimin e të dhënave dhe kanaleve të ruajtjes së të dhënave.

Përpunimi i të dhënave personale kërkohet nëse qëllimi i lejuar ose interesi i justifikuar

nuk mund të arrihet pa të dhënat personale, ose vetëm me shpenzime jashtëzakonisht

të larta.

Kontrolluesi i të Dhënave është kompania e pavarur ligjërisht, veprimtaria e së cilës

fokusohet tek matja e përpunimit përkatës.

Palët e treta janë të gjitha palët e tjera, me përjashtim të subjektit të të dhënave dhe

Kontrolluesit të të Dhënave.

Transmetim është procesi i zbulimit të të dhënave të mbrojtura nga ana e subjektit përgjegjës tek palët e treta.

Vendet e treta në Politikën e Mbrojtjes së të Dhënave janë të gjitha vendet jashtë Bashkimit Europian / EEA. Kjo nuk përfshin vendet, ku niveli i mbrojtjes së të dhënave konsiderohet i mjaftueshëm nga komisioni i BE.

PARIMET E PERPUNIMIT TE TE DHENAVE PERSONALE

1. Drejtësi dhe ligjshmëri. Gjatë përpunimit së të dhënave personale, të drejtat individuale të subjekteve të të dhënave duhet të mbrohen. Të dhënat personale duhet të mblidhen dhe përpunohen në mënyrë të ligjshme dhe të drejtë.

2. Kufizimi për një qëllim të veçantë. Të dhënat personale duhet të përpunohen vetëm për qëllimin e përcaktuar para se të mblidheshin të dhënat. Ndryshimet e mëpasshme janë të mundshme vetëm në një masë të kufizuar dhe kërkojnë vërtetim.

3. Transparenca. Subjekti i të dhënave duhet të informohet se si po trajtohen të dhënat e tij / saj. Në përgjithësi, të dhënat personale duhet të mblidhen direkt nga individi në

INFORMACION PUBLIK


fjalë. Kur të mblidhen të dhënat, subjekti i të dhënave duhet të jetë i vetëdijshëm ose i informuar për:

Identitetin e Kontrolluesit të të Dhënave; Qëllimin e përpunimit të të dhënave; Palët e treta ose kategoritë e palëve të treta, të cilëve mund t’iu transmetohen

të dhënat.

4. Reduktimi i të dhënave dhe ekonomia e të dhënave. Para se të përpunoni të dhënat personale, duhet të përcaktoni nëse dhe në çfarë mase përpunimi i të dhënave personale është i nevojshëm për të arritur qëllimin për të cilin po grumbullohen. Kur e lejon qëllimi dhe kur shpenzimet e përfshira janë në proporcion me qëllimin që po ndiqet, duhet të përdoren të dhëna anonime ose statistikore. Të dhënat personale nuk mund të grumbullohen paraprakisht dhe të ruhen për qëllime të mundshme në të ardhmen, përveç nëse kërkohen ose lejohen nga ligji kombëtar dhe GDPR.

5. Fshirja. Të Dhënat Personale që nuk janë më të nevojshme pas përfundimit të periudhës ligjore ose të proceseve të biznesit për të cilat nevojiteshin, duhet të fshihen. Mund të ndodhë që, në raste specifike, të dhënat paraqesin interes për ruajtjen e tyre historike. Në këtë rast, të dhënat duhet të mbeten në dosje derisa interesat të jenë sqaruar ligjërisht, ose arkivi i korporatës të ketë vendosur nëse duhen ruajtur për qëllime historike.

6. Saktësia faktike dhe të dhënat e përditësuara. Të dhënat personale në dosje duhet të jenë të sakta, të plota dhe - nëse është e nevojshme - të mbahen të azhornuara. Duhet të ndërmerren hapa të përshtatshëm për të siguruar që të dhënat e pasakta ose jo të plota të fshihen, korrigjohen, plotësohen ose përditësohen. Subjekti i të dhënave ka të drejtën të aksesojë dhe të azhornojë të dhënat e tij përmes një kërkese tek Përgjegjësi për Mbrojtjen e të Dhënave.

7. Konfidencialiteti dhe Siguria e të Dhënave. Të Dhënat Personale janë subjekt i privatësisë së të dhënave. Duhet të trajtohet si informacion konfidencial dhe të sigurohet nëpërmjet masave të përshtatshme organizative dhe teknike për të parandaluar aksesin e paautorizuar, përpunimin ose shpërndarjen e paligjshme, si dhe humbjen, modifikimin ose shkatërrimin aksidental.

8. Besueshmëria e përpunimit të të dhënave. Mbledhja, përpunimi dhe përdorimi i të dhënave personale lejohet vetëm në kuadrin e bazës ligjore të mëposhtme. Një nga këto baza ligjore kërkohet gjithashtu nëse qëllimi i grumbullimit, përpunimit dhe përdorimit të të dhënave personale duhet të ndryshohet nga qëllimi origjinal.

C. TE DHENAT E KLIENTEVE DHE PARTNEREVE

INFORMACION PUBLIK


C.1 PERPUNIMI I TE DHENAVE NE KUADER TE NJE MARREDHENIEJE KONTRAKTUALE Të dhënat personale të klientëve të mundshëm, klientëve dhe partnerëve mund të përpunohen për të ekzekutuar dhe përfunduar një kontratë. Kjo përfshin gjithashtu shërbime konsulence për partnerin nën kontratën nëse kjo lidhet me qëllimin kontraktual. Përpara lidhjes së kontratës – në fazën fillestare të kontratës- të dhënat personale mund të përpunohen për të përgatitur dokumentacionin për tender apo urdhra blerjeje apo për të përmbushur kërkesa të tjera të klientit të mundshëm të cilat lidhen me mbylljen e kontratës. Klientët e mundshëm do të kontaktohen gjatë procesit përgatitor të kontratës nëpërmjet të dhënave që kanë vendosur tek kontaktet. Në këtë rast, duhet aplikuar cdo limit për përdorimin e të dhënave, i vendosur nga klienti potencial. C.2 PERPUNIMI I TE DHENAVE PER QELLIME REKLAMIMI Nëse subjekti i të dhënave kontakton Facilization për të kërkuar informacion (p.sh. kërkesë për të marrë informacion për një produkt), lejohet përpunimi i të dhënave për të përmbushur këtë kërkesë. Besnikëria e klientit apo mënyrat reklamuese janë subjekt i kërkesave ligjore të mëtejshme. Të dhënat personale mund të përpunohen për qëllime reklamimi ose hulumtime të tregut dhe opinionit, me kusht që kjo të jetë në përputhje me qëllimin për të cilin të dhënat janë mbledhur fillimisht. Subjekti i të dhënave duhet të informohet për përdorimin e të dhënave të tij / saj për qëllime reklamimi. Nëse të dhënat mblidhen vetëm për qëllime reklamimi, zbulimi i të dhënave nga subjekti i të dhënave është vullnetar. Subjekti i të dhënave duhet të informohet se dhënia e të dhënave për këtë qëllim është vullnetar. Kur komunikon me subjektin e të dhënave, do të merret pëlqimi nga ai / ajo për të përpunuar të dhënat për qëllime reklamimi. Kur jepet pëlqimi, subjektit të të dhënave i duhen paraqitur forma të ndryshme kontakti, siç janë posta, emaili dhe telefoni. Nëse subjekti i të dhënave refuzon përdorimin e të dhënave të tij / saj për qëllime reklamimi, duhet të bllokohet përdorimi për këto qëllime. Duhet të respektohet çdo kufizim tjetër nga vendet e veçanta në lidhje me përdorimin e të dhënave për qëllime reklamimi. C.3. PELQIMI PER PËRPUNIMIN E TE DHENAVE Të dhënat mund të përpunohen pas dhënies së pëlqimit nga subjekti i të dhënave. Para dhënies së pëlqimit, subjekti i të dhënave duhet të informohet për Politikën e Mbrojtjes së të Dhënave. Deklarata e pëlqimit duhet të merret me shkrim ose në mënyrë elektronike për qëllime dokumentimi. C.4. PËRPUNIMI I TË DHËNAVE SIPAS AUTORIZIMIT LIGJOR

INFORMACION PUBLIK


Përpunimi i të dhënave personale është i lejuar nëse legjislacioni kombëtar e kërkon apo lejon këtë. Ky lloj përpunimi të dhënash duhet të jetë i nevojshëm për veprimtarinë e përpunimit ligjor të të dhënave, dhe duhet të jetë në përputhje me dispozitat ligjore përkatëse. C.5 PËRPUNIMI I TË DHËNAVE SIPAS INTERESIT LEGJITIM Të dhënat personale mund të përpunohen gjithashtu për një interes të ligjshëm të Facilization. Interesat e ligjshme, në përgjithësi, janë të natyrës ligjore (p.sh grumbullimi i të arkëtueshmeve të papaguara) ose tregtare (p.sh. shmangia e shkeljeve të kontratës). Të dhënat personale nuk mund të përpunohen për qëllime të një interesi legjitim nëse në raste individuale ka dëshmi se interesat e subjektit të të dhënave meritojnë mbrojtje dhe se kjo ka përparësi. Para se të përpunohen të dhënat, është e nevojshme të përcaktohet nëse ka interesa që meritojnë mbrojtje. C.6 PËRPUNIMI I TË DHËNAVE SENSITIVE Të dhënat personale shumë të ndjeshme mund të përpunohen vetëm nëse ligji e kërkon ose subjekti i të dhënave ka dhënë shprehimisht pëlqimin e tij. Këto të dhëna mund të përpunohen edhe nëse është e detyrueshme për ushtrimin ose mbrojtjen e kërkesave ligjore lidhur me subjektin e të dhënave. Nëse ka plane për të përpunuar të dhëna shumë të ndjeshme, duhet të informohet paraprakisht Përgjegjësi për Mbrojtjen e të Dhënave. C.7 VENDIMET INDIVIDUALE AUTOMATIKE Përpunimi automatik i të dhënave personale që përdoret për të vlerësuar disa aspekte nuk mund të jetë baza e vetme për vendimet që kanë pasoja ligjore negative ose mund të dëmtojnë ndjeshëm subjektin e të dhënave. Subjekti i të dhënave duhet të informohet për faktet dhe rezultatet e vendimeve të automatizuara individuale dhe mundësinë e përgjigjes. Për të shmangur vendimet e gabuara, një punonjës duhet të bëjë një test dhe një kontroll të besueshmërisë. C.8 TË DHËNAT E PERDORUESIT DHE INTERNETI Nëse të dhënat personale grumbullohen, përpunohen dhe përdoren në faqet e internetit dhe në aplikacione, subjektet e të dhënave duhet të informohen nëpërmjet deklaratës së privatësisë dhe, nëse aplikohet, informacionin rreth “Cookies”. Deklarata e privatësisë dhe çdo informacion për “cookies”, duhet të integrohen në mënyrë që të jetë e lehtë për t'u identifikuar, lehtësisht e aksesueshme dhe vazhdimisht në dispozicion për subjektet e të dhënave. Nëse krijohen profile për përdoruesit (gjurmim/tracking) për të vlerësuar përdorimin e faqeve dhe aplikacioneve, subjekti i të dhënave duhet të informohet për këtë në Deklaratën e Privatësisë. Gjurmimi personale mund të bëhet vetëm nëse lejohet sipas ligjit kombëtar ose me pëlqimin e subjektit të të dhënave. Nëse gjurmimi përdor një pseudonim, subjektit të të dhënave duhet t'i jepet mundësia të zgjedhë në Deklaratën e Privatësisë. Nëse faqja e ëeb

INFORMACION PUBLIK


ose aplikacionet mund të kenë akses në të dhëna personale në një zonë të kufizuar për përdoruesit e regjistruar, identifikimi dhe autentikimi i subjektit të të dhënave duhet të ofrojë mbrojtje të mjaftueshme gjatë këtij aksesi. C.9. ZBULIMI I TE DHENAVE TEK PALET E TRETA Ne nuk e shesim, tregtojmë ose transferojmë informacionin tuaj personal tek palët e jashtme. D. TE DHENAT E PUNONJESVE D.1. PËRPUNIMI I TË DHËNAVE PËR MARRËDHËNIET E PUNËSIMIT Gjatë marrëdhënies së punësimit, të dhënat personale mund të përpunohen nëse nevojiten për të nisur, vijuar dhe përfunduar marrëveshjen e punësimit. Kur fillon një marrëdhënie pune, mund të përpunohen të dhënat personale të aplikantit. Nëse kandidati refuzohet, të dhënat e tij / saj duhet të fshihen në përputhje me periudhën e kërkuar me ligj, me përjashtim të rastit kur aplikanti ka rënë dakord që të mbetet në dosje për një proces të ardhshëm përzgjedhjeje. Pëlqimi është gjithashtu i nevojshëm për të përdorur të dhënat për procese të mëtejshme të aplikimit ose para se të ndani aplikimin me kompanitë e tjera të grupit. Gjatë marrëdhënies ekzistuese së punësimit, përpunimi i të dhënave duhet të lidhet gjithmonë me qëllimin e marrëveshjes së punësimit, nëse nuk zbatohet asnjë nga rrethanat e mëposhtme për përpunimin e autorizuar të të dhënave. Nëse gjatë procedurës së aplikimit do të dalë nevoja për të mbledhur informacion mbi një aplikant nga një palë e tretë, në këtë rast duhen respektuar kërkesat e ligjeve kombëtare së bashku me kërkesat e GDPR (Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave). Në rast dyshimi, duhet të merret pëlqimi nga subjekti i të dhënave. Për përpunimin e të dhënave personale që lidhen me marrëdhënien e punësimit, por nuk ishte fillimisht pjesë e përmbushjes së marrëveshjes së punësimit, duhet të ketë një autorizim ligjor. Kjo mund të përfshijë kërkesat ligjore, rregulloret kolektive me përfaqësuesit e punonjësve, pëlqimin e punonjësit ose interesin legjitim të kompanisë. D.2. PËRPUNIMI I TË DHËNAVE SIPAS AUTORIZIMIT LIGJOR Përpunimi i të dhënave personale është i lejuar nëse legjislacioni kombëtar e kërkon apo lejon këtë. Ky lloj përpunimi të dhënash duhet të jetë i nevojshëm për veprimtarinë e përpunimit ligjor të të dhënave, dhe duhet të jetë në përputhje me dispozitat ligjore përkatëse. Nëse ka fleksibilitet ligjor, interesat e punonjësit që meritojnë mbrojtje duhet të merren në konsideratë. D.3. MARRËVESHJET KOLEKTIVE PËR PËRPUNIMIN E TË DHËNAVE Nëse një aktivitet i përpunimit të të dhënave tejkalon qëllimin e përmbushjes së një kontrate, mund të lejohet nëse autorizohet nëpërmjet një marrëveshjeje kolektive. Marrëveshjet

INFORMACION PUBLIK


kolektive janë marrëveshjet mes punëdhënësve dhe përfaqësuesve të punonjësve, brenda fushëveprimit të lejuar sipas ligjit të punësimit. Marrëveshjet duhet të mbulojnë qëllimin specifik të aktivitetit të përpunimit të të dhënave, dhe duhet të hartohen brenda parametrave të GDPR. D.4. PËLQIMI PËR PËRPUNIMIN E TË DHËNAVE Të dhënat e punonjësve mund të përpunohen përmes dhënies së pëlqimit të personit në fjalë. Deklaratat e pëlqimit duhet të dorëzohen vullnetarisht. Pëlqimi i pavullnetshëm është i pavlefshëm. Deklarata e pëlqimit duhet të merret me shkrim ose në mënyrë elektronike për qëllim dokumentimi. Në rrethana të caktuara, pëlqimi mund të jepet verbalisht, por në cdo rast duhet të dokumentohet. Në rast të të dhënave të zbuluara në mënyrë vullnetare nga pala në fjalë, kjo mund të konsiderohet si dhënie pëlqimi nëse ligjet kombëtare nuk kërkojnë pëlqimin e shprehur. Para dhënies së pëlqimit, subjekti i të dhënave duhet të informohet në përputhje me pikën IV.3 të kësaj Politike për Mbrojtjen e të Dhënave. D.5 PËRPUNIMI I TË DHËNAVE SIPAS INTERESIT LEGJITIM Të dhënat personale mund të përpunohen gjithashtu për një interes të ligjshëm të Facilization. Interesat e ligjshme, në përgjithësi, janë të natyrës ligjore (p.sh grumbullimi i informacionit me qëllim mbrojtjen ndaj pretendimeve ligjore ) ose financiare (p.sh. vlerësimet e kompanive). Të dhënat personale nuk mund të përpunohen për qëllime të një interesi legjitim nëse në raste individuale ka dëshmi se interesat e subjektit të të dhënave meritojnë mbrojtje dhe se kjo ka përparësi. Para se të përpunohen të dhënat, është e nevojshme të përcaktohet nëse ka interesa që meritojnë mbrojtje. Masat e kontrollit që kërkojnë përpunimin e të dhënave të punonjësve mund të merren vetëm nëse ka një detyrim ligjor për ta bërë këtë ose nëse ekziston një arsye legjitime. Edhe nëse ekziston një arsye legjitime, duhet të shqyrtohet gjithashtu proporcionaliteti i masës së kontrollit. Interesat e justifikuara të kompanisë në kryerjen e masës së kontrollit (p.sh. pajtueshmëria me dispozitat ligjore dhe rregullat e brendshme të kompanisë) duhet të peshohen kundër çdo interesi që meriton mbrojtje dhe që i përket punonjësit të prekur nga masa dhe mund të ndërmerret vetëm nëse është e përshtatshme. Interesat legjitime të kompanisë dhe çdo interes i punonjësit që meriton mbrojtje duhet të identifikohen dhe dokumentohen para se të merren masat. Për më tepër, duhet të merren në konsideratë çdo kërkesë sipas ligjit kombëtar (p.sh. të drejtat e bashkërendimit për të drejtat e bashkërendimit për përfaqësuesit e punonjësve dhe të drejtat e informimit të subjekteve të të dhënave). D.6. PËRPUNIMI I TË DHËNAVE SENSITIVE Të dhënat personale sensitive mund të përpunohen vetëm nën kushte të caktuara. Të dhëna shumë sensitive janë të dhëna për origjinën racore dhe etnike, bindjet politike, bindjet fetare ose filozofike, anëtarësimin në sindikata dhe jetën shëndetësore dhe seksuale të subjektit të të dhënave. Sipas ligjeve në Republikën e Shqipërisë, ka kategori të tjera të dhënash të cilat mund të konsiderohen sensitive ose përmbajtja e kategorive të të dhënave mund të

INFORMACION PUBLIK


plotësohet ndryshe. Për më tepër, të dhënat që lidhen me një krim shpesh mund të përpunohen vetëm sipas kërkesave të veçanta sipas ligjit në fuqi. Përpunimi duhet të jetë i lejuar ose i parashikuar shprehimisht sipas ligjit në fuqi. Përveç kësaj, përpunimi mund të lejohet nëse është e nevojshme që autoriteti përgjegjës të përmbushë të drejtat dhe detyrat e tij në kuadër të punës. Punonjësi gjithashtu mund të shprehë pëlqimin për përpunim. Nëse ka plane për të përpunuar të dhëna shumë të ndjeshme, duhet të informohet paraprakisht Përgjegjësi për Mbrojtjen e të Dhënave. D.7. VENDIME TË AUTOMATIZUARA Nëse të dhënat personale përpunohen automatikisht në kuadër të marrëdhënies së punës dhe detajet specifike personale vlerësohen (p.sh. si pjesë e përzgjedhjes personale ose vlerësimit të profileve sipas aftësive), ky përpunim automatik nuk mund të jetë baza e vetme për vendimet që do të kishin pasoja negative ose probleme për punonjësit e prekur. Për të shmangur vendimet e gabuara, procesi i automatizuar duhet të sigurojë që një person fizik të vlerësojë përmbajtjen e situatës dhe se ky vlerësim është baza për vendimin. Subjekti i të dhënave duhet të informohet për faktet dhe rezultatet e vendimeve të automatizuara dhe mundësinë e përgjigjes. D.8. TELEKOMUNIKACION DHE INTERNET Pajisjet e telefonit, adresat e e-mail, intranet dhe internet së bashku me rrjetet e brendshme sociale ofrohen nga kompania kryesisht për detyra të lidhura me punën. Ato janë një mjet dhe resurs i kompanisë dhe mund të përdoren brenda kuadrit të aplikueshëm ligjor dhe politikave të brendshme të kompanisë. Në rast të përdorimit të autorizuar për qëllime private, duhet të respektohen ligjet përkatëse kombëtare dhe ndërkombëtare, nëse aplikohen. Për t’u mbrojtur nga sulmet ndaj infrastrukturës së IT ose përdoruesve individualë, mund të zbatohen masa mbrojtëse për lidhjet me rrjetin e Facilization, të cilat bllokojnë përmbajtjen teknikisht të dëmshme ose analizon modelet e sulmit. Nuk do të ketë monitorim të përgjithshëm të komunikimeve telefonike, atyre me e-mail ose përdorimit të internetit / intranetit. Për arsye sigurie, përdorimi i pajisjeve telefonike, adresave të e-mailit, internetit / intranetit dhe rrjeteve të brendshme sociale mund të regjistrohen për një periudhë të përkohshme. Vlerësimi i këtyre të dhënave nga një person i caktuar mund të bëhet vetëm në një rast konkret dhe të justifikuar të shkeljes së dyshuar të ligjeve ose politikave të Facilization. Vlerësimet mund të bëhen vetëm nga departamentet hetuese të cilat sigurojnë se përmbushet parimi i proporcionalitetit. Ligjet përkatëse në fuqi duhet të respektohen në të njëjtën mënyrë si rregulloret e GDRP-së. E. TRANSMETIMI I TË DHËNAVE PERSONALE Transmetimi i të Dhënave Personale jashtë ose brenda Facilization është subjekt i kërkesës për autorizim për përpunimin e të dhënave personale. Marrësi i të dhënave duhet të përdorë të dhënat vetëm për qëllimin e caktuar. Në rast se të dhënat transferohen një marrësi jashtë Facilization drejt një vendi të tretë, marrësi, të cilit i janë transferuar të dhënat duhet të bjerë

INFORMACION PUBLIK


dakord të ruajë një nivel të mbrojtjes së të dhënave, ekuivalent me këtë Politikë të Mbrojtjes së të Dhënave. Kjo nuk aplikohet në rastin kur transferimi është kryer si pasojë e një detyrimi ligjor. Nëse të dhënat transferohen nga një vend i tretë drejt Facilization, marrësi në Facilization duhet të sigurohet se të dhënat mund të përdoren për qëllimin e synuar. Nëse të dhënat personale transferohen nga një kompani me adresë të regjistruar në Bashkimin Europian/ Zonën Ekonomike Europiane, drejt një kompanie me adresë të regjistruar jashtë Zonës Ekonomike Europiane (vend i tretë), kompania e cila importon të dhënat është e detyruar të bashkëpunojë me autoritetin mbikëqyrës të vendit ku pala që eksporton të dhënat ka adresën e regjistruar dhe të jetë në përputhje me kërkesë dhe çdo vërejtje të bërë nga autoriteti mbikëqyrës në lidhje me përpunimin e të dhënave të transferuara. Në rast se një subjekt i të dhënave ngre pretendimin se kjo Politikë për Mbrojtjen e të Dhënave është shkelur nga kompania që ka importuar të dhënat, e cila ndodhet në një vend të tretë, kompania që gjendet në Zonën Ekonomike Europiane dhe ka eksportuar të dhënat, merr përsipër të mbështesë palën e interesuar, të dhënat e së cilës u mblodhën në Zonën Ekonomike Europiane, në përcaktimin e fakteve të çështjes dhe duke përkrahur të drejtat e subjektit të të dhënave, në përputhje me këtë politikë kundër kompanisë që importoi të dhënat. Përveç kësaj, subjekti i të dhënave ka të drejtë të ushtrojë të drejtat e tij ose të saj kundër kundër që eksporton të dhënat. Në rastin e pretendimeve të një shkeljeje, kompania që eksporton të dhënat duhet t'i vërtetojë përmes dokumentacionit subjektit të të dhënave që kompania që importon të dhënat në një vend të tretë (në rast se të dhënat janë përpunuar më tej pas marrjes) nuk e ka shkelur këtë Politikë për Mbrojtjen e të Dhënave. Në rastin e transferimit të të dhënave personale nga një kompani që ndodhet në Zonën Ekonomike Europiane në një kompani që ndodhet në një vend të tretë, kontrolluesi i të dhënave, i cili transferoi të dhënat, do të konsiderohet përgjegjës për çdo shkelje të kësaj politike, të kryer nga kompania e lokalizuar në vendin e tretë, në lidhje me subjektin e të dhënave, të dhënat e të cilit janë mbledhur në Zonën Ekonomike Evropiane, njësoj sikur shkelja të ishte kryer nga Kontrolluesi i të Dhënave, i cili ka transferuar të dhënat. F. PERPUNIMI I TE DHENAVE KONTRAKTUALE Përpunimi i të dhënave për llogari të dikujt tjetër do të thotë se një vendor është i punësuar për përpunimin e të dhënave personale, pa patur përgjegjësi për procesin e biznesit. Në këto raste, duhet të lidhet një marrëveshje për Përpunimin e të Dhënave për llogari të kompanisë me ofruesit e jashtëm dhe midis kompanive në pronësi të Facilization. Klienti mban përgjegjësi të plotë për përpunimin e saktë të të dhënave. Ofruesit e shërbimit mund të përpunojnë të dhënat personale vetëm sipas udhëzimeve të klientit. Gjatë lëshimit të urdhrit, duhet të plotësohen kërkesat e mëposhtme dhe departamenti që porosit këtë shërbim duhet të sigurojë që ato janë përmbushur.

INFORMACION PUBLIK


1. Ofruesi i shërbimit duhet të zgjidhet në bazë të aftësisë së tij për të plotësuar masat e

kërkuara mbrojtëse, teknike dhe organizative; 2. Porosia duhet bërë me shkrim. Instruksionet për përpunimin e të dhënave dhe

përgjegjësitë e klientit dhe ofruesit të shërbimit duhet të jenë të dokumentuara. 3. Duhet të merren parasysh standardet kontraktuale për mbrojtjen e të dhënave të

ofruara nga Përgjegjësi për Mbrojtjen e të Dhënave. 4. Para fillimit të përpunimit të të dhënave, klienti duhet të jetë i bindur se ofruesi i

shërbimit do të jetë në përputhje me detyrat e dhëna. Ofruesi i shërbimit mund të dokumentojë përputhshmërinë e tij me kërkesat për sigurinë e të dhënave duke paraqitur certifikimin respektiv. Në varësi nga rrezikshmëria që paraqet përpunimi i të dhënave, gjatë afatit të kontratës duhen kryer rregullisht rishikime.

5. Në rast të përpunimit të kontratave ndërkombëtare, duhet të plotësohen kërkesat përkatëse kombëtare për zbulimin e të dhënave personale jashtë vendit. Në veçanti, të dhënat personale nga Zona Ekonomike Europiane mund të përpunohen në një vend të tretë vetëm nëse ofruesi i shërbimit mund të provojë se ka: a) Standarde për mbrojtjen e të dhënave të cilat janë ekuivalente me këtë Politikë

për Mbrojtjen e të Dhënave. Mënyrat e përshtatshme për të realizuar këtë mund të jenë:

1. Marrëveshje për klauzolat standarde të kontratave së BE-së për përpunimin e kontratave me ofrues dhe nënkontraktorë në vendet e treta; 2. Pjesëmarrja e ofruesit të shërbimit në një sistem certifikimi të akredituar nga BE për sigurimin e një niveli të mjaftueshëm të mbrojtjes së të dhënave; 3. Pranimi i rregullave të ofruesit të shërbimit për të krijuar një nivel të përshtatshëm të mbrojtjes së të dhënave nga autoritetet mbikëqyrëse përgjegjëse për mbrojtjen e të dhënave. G. TE DREJTAT E SUBJEKTIT TE TE DHENAVE Çdo subjekt i të dhënave ka të drejtat e mëposhtme. Mbrojtja e tyre duhet të trajtohet menjëherë nga njësia përgjegjëse dhe nuk duhet të paraqesë asnjë disavantazh për subjektin e të dhënave. 1. Subjekti i të dhënave mund të kërkojë informata se cilat të dhëna personale që lidhen me të janë ruajtur, si janë grumbulluar të dhënat dhe për çfarë qëllimi. Nëse ka të drejta të mëtejshme për të parë dokumentet e punëdhënësve (p.sh. dosjet e personelit) për marrëdhënien e punës sipas ligjeve përkatëse të punësimit, ato do të mbeten të paprekura. 2. Nëse të dhënat personale u transferohen palëve të treta, duhet të jepen informacione për identitetin e marrësit ose kategorinë e marrësve. 3. Nëse të dhënat personale janë të pasakta ose jo të plota, subjekti i të dhënave mund të kërkojë që të korrigjohen ose të plotësohen.

INFORMACION PUBLIK


4. Subjekti i të dhënave mund të kundërshtojë përpunimin e të dhënave të tij / saj për qëllime reklamimi ose hulumtim të tregut / opinionit. Të dhënat duhet të bllokohen për këtë lloj përdorimi. 5. Subjekti i të dhënave mund të kërkojë që të dhënat e tij të fshihen nëse përpunimi i këtyre të dhënave nuk ka bazë ligjore ose nëse baza ligjore nuk aplikohet më. E njëjta gjë vlen edhe nëse qëllimi i përpunimit të të dhënave nuk është më i aplikueshëm, për arsye të tjera. Duhet të respektohen periudhat e ruajtjes dhe interesat që meritojnë mbrojtje. 6. Subjekti i të dhënave, në përgjithësi, ka të drejtë të kundërshtojë përpunimin e të dhënave të tij / saj dhe kjo duhet të merret parasysh nëse mbrojtja e interesave të tij / saj ka përparësi mbi interesin e kontrolluesit të të dhënave për shkak të një situate të veçantë personale. Kjo nuk vlen nëse përpunimi i të dhënave ka bazë ligjore. H. RUAJTJA E KONFIDENCIALITETIT GJATË PËRPUNIMIT Të dhënat personale i nënshtrohen sekretit të të dhënave. Ndalohet grumbullimi, përpunimi ose përdorimi i paautorizuar i të dhënave nga punonjësit. Ndalohet cdo përpunim i të dhënave i ndërmarrë nga një punonjës jo i autorizuar për ta kryer atë si pjesë e detyrave të tij legjitime. Zbatohet parimi "nevojë-për-ta-ditur". Punonjësit mund të kenë akses në të dhënat personale vetëm në masën që është e përshtatshme për llojin dhe qëllimin e detyrës në fjalë. Kjo kërkon një ndarje dhe zbatim të kujdesshëm, të roleve dhe përgjegjësive. Ndalohet përdorimi i të dhënave personale, për qëllime private ose biznesi, ashtu sic ndalohet zbulimi i këtij informacioni apo vënia e tij në dipozicion të personave të paautorizuar. Mbikëqyrësit duhet të informojnë punonjësit e tyre në fillim të marrëdhënies së punës lidhur me detyrimin për të ruajtur konfidencialitetin e të dhënave. Ky detyrim do të mbetet në fuqi edhe pas përfundimit të marrëdhënies së punësimit. I. SIGURIA E PROCESIT TË PËRPUNIMIT TË TË DHËNAVE Të dhënat personale duhet të ruhen nga aksesi i paautorizuar si dhe nga përpunimi, zbulimi i paligjshëm, si dhe humbja aksidentale, modifikimi dhe shkatërrimi. Kjo vlen pavarësisht nëse të dhënat përpunohen në formë elektronike apo në letër. Përpara futjes së metodave të reja të përpunimit të të dhënave, veçanërisht sistemeve të reja të TI-së, duhet të përcaktohen dhe zbatohen masat teknike dhe organizative për të mbrojtur të dhënat personale. Këto masa duhet të bazohen në rreziqet e përpunimit dhe nevojën për të mbrojtur të dhënat (të përcaktuara nga procesi për klasifikimin e informacionit). Masat teknike dhe organizative për mbrojtjen e të dhënave personale janë pjesë e Sistemit të Menaxhimit të Integruar të Kompanisë dhe duhet të përshtaten vazhdimisht me zhvillimet teknike dhe ndryshimet dhe ndryshimet organizative. J. KONTROLLI/ AUDITI I MBROJTJES SË TË DHËNAVE Pajtueshmëria me politikën e mbrojtjes së të dhënave dhe ligjet e zbatueshme për mbrojtjen e të dhënave/GDPR, kontrollohet rregullisht nëpërmjet auditimeve për mbrojtjen e të

INFORMACION PUBLIK


dhënave dhe kontrolle të tjera. Performanca e këtyre kontrolleve është përgjegjësi e Përgjegjësit për Mbrojtjen e të Dhënave, koordinatorëve për mbrojtjen e të dhënave dhe njësive të tjera të kompanisë, të cilat kanë të drejta auditimi ose auditorëve të jashtëm të punësuar. Rezultatet e kontrolleve për mbrojtjen e të dhënave duhet t'i raportohen Përgjegjësit për Mbrojtjen e të Dhënave. Facilization duhet të informohet për rezultatet primare si pjesë e detyrave të raportimit. Sipas kërkesës, rezultatet e kontrolleve për mbrojtjen e të dhënave do të vihen në dispozicion të autoritetit përgjegjës për mbrojtjen e të dhënave. Autoriteti përgjegjës për mbrojtjen e të dhënave mund të kryejë kontrollet e tij për përputhshmërinë me rregullat e kësaj politike, siç lejohet nga legjislacioni kombëtar. K. INCIDENTET E LIDHURA ME MBROJTJEN E TË DHËNAVE Të gjithë të punësuarit duhet të informojnë menjëherë mbikëqyrësit e tyre, Koordinatorin për Mbrojtjen e të Dhënave ose Përgjegjësin për Mbrojtjen e të Dhënave për rastet e shkeljeve të kësaj Politike të Mbrojtjes së të Dhënave ose rregulloreve të tjera për mbrojtjen e të dhënave personale (incidentet për mbrojtjen e të dhënave). Menaxheri ose njësia përgjegjëse për këtë funksion duhet të informojë menjëherë Përgjegjësin për Mbrojtjen e të Dhënave në lidhje me incidentet e mbrojtjes së të dhënave. Facilization është i detyruar t'ia raportojë këto incidente autoriteteve mbikëqyrëse dhe individit të prekur brenda 72 orëve nga shkelja në rast të një: 1. transferimi të paligjshëm/ të gabuar të të dhënave personale palëve të treta; 2. aksesi të paligjshëm / të gabuar nga palët e treta në të dhënat personale; 3. humbje e të dhënave personale. Raportimi i kompanisë (Menaxhimi i incidenteve) duhet të bëhet në mënyrë të menjëhershme për të përmbushur detyrat e raportimit sipas GDPR dhe në përputhje me kuadrin ligjor kombëtar. L. PËRGJEGJËSITË DHE SANKSIONET Organet ekzekutive të Facilization janë përgjegjës për përpunimin e të dhënave në fushën e tyre të përgjegjësisë. Ndaj, ata duhet të sigurohen se kërkesat ligjore dhe kërkesat e Politikës për Mbrojtjen e të Dhënave, janë përmbushur. Personeli menaxhues është përgjegjës për të siguruar që masat organizative, ato të burimeve njerëzore dhe teknike janë funksionale në mënyrë që çdo përpunim i të dhënave të kryhet në përputhje me mbrojtjen e të dhënave. Pajtueshmëria me këto kërkesa është përgjegjësi e punonjësve përkatës. Nëse agjencitë zyrtare kryejnë kontrolle për mbrojtjen e të dhënave, duhet të informohet menjëherë Përgjegjësi për Mbrojtjen e të Dhënave. Përgjegjësi për Mbrojtjen e të Dhënave është personi i kontaktit për mbrojtjen e të dhënave. Përgjegjësi për Mbrojtjen e të Dhënave duhet të njohë punonjësit me përmbajtjen e politikave për mbrojtjen e të dhënave. Menaxhmenti përkatës kërkohet të ndihmojë Përgjegjësin për Mbrojtjen e të Dhënave. Departamentet përgjegjëse për proceset e biznesit

INFORMACION PUBLIK


dhe projektet duhet të informojnë në kohën e duhur Përgjegjësin për Mbrojtjen e të Dhënave për përpunimin e të dhënave personale. Për planet e përpunimit të të dhënave që mund të përbëjnë rrezik të veçantë për të drejtat individuale të subjekteve të të dhënave, Përgjegjësi për Mbrojtjen e të Dhënave duhet të informohet para fillimit të përpunimit. Kjo vlen veçanërisht për të dhënat personale jashtëzakonisht të ndjeshme. Menaxherët duhet të sigurohen që punonjësit e tyre të jenë të trajnuar në nivel të mjaftueshëm për cështjen e mbrojtjes së të dhënave. Përpunimi jo i duhur i të dhënave personale ose shkelje të tjera të ligjeve për mbrojtjen e të dhënave mund të ndiqen penalisht në shumë vende dhe të rezultojnë në kërkesa për kompensimin e dëmeve. Shkeljet për të cilat punonjësit individualë janë përgjegjës mund të jenë të sanksionueshme. M. PËRGJEGJËSI PËR MBROJTJEN E TË DHËNAVE Përgjegjësi për Mbrojtjen e të Dhënave punon për të siguruar përputhshmërinë me Ligjet Shqiptare për Mbrojtjen e të Dhënave Personale dhe GDPR. Ai është përgjegjës për Politikën e Mbrojtjes së të Dhënave dhe mbikqyr përputhshmërinë me të. Përgjegjësi për Mbrojtjen e të Dhënave emërohet nga Menaxheri i Përgjithshëm i Facilization. Çdo subjekt i të dhënave mund t'i drejtohet Përgjegjësit për Mbrojtjen e të Dhënave në çdo kohë për të ngritur shqetësime, për të bërë pyetje, për të kërkuar informacion ose për të bërë ankesa në lidhje me mbrojtjen e të dhënave ose çështjet e sigurisë së të dhënave. Nëse kërkohet, shqetësimet dhe ankesat do të trajtohen në mënyrë konfidenciale. Vendimet e marra nga Përgjegjësi për Mbrojtjen e të Dhënave për të korrigjuar shkeljet e Mbrojtjes së të Dhënave duhet të merren nga menaxhmenti i kompanisë në fjalë. Kërkesat nga autoritetet mbikëqyrëse duhet t'i raportohen Përgjegjësit për Mbrojtjen e të Dhënave. Kontaktet e Përgjegjësit për Mbrojtjen e të Dhënave: Kontakti: Z. Klodjan Hima E-mail: [email protected] Tel: +355 4 22 56 006 Adresa: Facilization SHPK, Rr. Sami Frashëri, P.56, Kompleksi TID, Hyrja B, Kati 1, Tiranë, Shqipëri

POLITIKA PËR MBROJTJEN E TË DHËNAVE PERSONALE A. HYRJE · INFORMACION PUBLIK Politika për...

Documents

Transcript of POLITIKA PËR MBROJTJEN E TË DHËNAVE PERSONALE A. HYRJE · INFORMACION PUBLIK Politika për...