GDPR – shpjegim i rregullores për mbrojtjen e të dhënave personale dhe privatësisë

Çfarë është GDPR?

GDPR (General Data Protection Regulation) është një rregullore e Bashkimit Europian mbi privatësinë e të dhënave personale, e cila hyri në fuqi në vitin 2018.

Sipas GDPR, tek të dhënat personale të individëve mund përfshihen emri, adresa, foto, informacionet mjekësore, të dhënat bankare, përditësimet në platformat online, rrjetet sociale, IP i kompjuterit, etj.

Rregullorja e GDPR duhet zbatuar nga kompanitë të cilat, pavarësisht se ku ndodhen, zotërojnë të dhëna personale të individëve që janë të bazuar në Bashkimin Europian.

E thënë thjesht, nëse keni një klient nga një vend i BE-së dhe mblidhni të dhënat e tij si rezultat i një transaksioni biznesi, ju jeni subjekt i rregullave të GDPR. Nuk ka përjashtime për madhësinë ose fushëveprimin e ndërmarrjes, që do të thotë se çdo biznes me një prani në internet, është potencialisht subjekt i këtij ligji.

Kë prek legjislacioni i GDPR?

GDPR zbatohet për çdo organizatë që vepron brenda BE-së, si dhe çdo organizatë jashtë BE-së që ofron mallra ose shërbime për organizata ose individë në BE. Kjo do të thotë, që nëse ju përfshiheni në një nga këto raste, keni nevojë për një strategji të pajtueshmërisë me GDPR.

Nëse keni një faqe interneti, aplikacion web apo dyqan ecommerce, shanset janë që ju prekeni nga ky legjislacion, duke qënë se faqja juaj mund të vizitohet online nga persona nga vendet e BE.

Legjislacioni i GDPR zbatohet nga dy lloje të ndryshme përdoruesish, të cilët janë:

  • Kontrolluesi i të dhënave është një "person, autoritet publik, agjenci ose organ tjetër” i cili, vetëm ose së bashku me të tjerët, përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale.
  • Përpunuesi i të dhënave është një "person, autoritet publik, agjenci ose organ tjetër” i cili përpunon të dhënat personale në emër të kontrolluesit.

Cilat janë parimet e GDPR?

GDPR i jep përparësi individëve të marrin të drejtat mbi të dhënat e tyre personale, për të shmangur abuzimin e tyre nga kompanitë, apo çdo pasiguri tjetër që vjen pas shpërndarjes së të dhënave online. Këto janë tetë të drejtat e privatësisë të dhëna nga GDPR:

E drejta e qasjes

Individët kanë të drejtë të kërkojnë akses tek të dhënat e tyre personale, dhe të pyesin se si ato përdoren nga kompania që i zotëron. Kompania duhet të sigurojë një kopje të të dhënave personale, pa pagesë dhe në format elektronik, nëse kërkohet.

E drejta për t'u harruar

Individët janë të lirë të tërheqin pëlqimin për përdorimin e të dhënave tyre personale nga një kompani, dhe të kërkojnë fshirjen e tyre nga sistemet e kompanisë.

E drejta për transferim të të dhënave

U lejon individëve të lëvizin, kopjojnë ose transferojnë të dhënat personale me lehtësi nga një mjedis IT në një tjetër në mënyrë të sigurt, pa ndikuar në përdorshmërinë e tyre.

E drejta për t'u informuar

Individët kanë të drejtë të informohen, kur një kompani mbledh apo dëshiron të mbledhë të dhënat e tyre personale. Individët duhet të zgjedhin që të dhënat e tyre të mblidhen, dhe pëlqimi duhet të jepet me vetëdije në vend që të nënkuptohet.

E drejta për korrigjimin e informacionit

Individët kanë të drejtë të përditësojnë të dhënat e tyre personale kur ato ndryshojnë, janë të paplota apo gabim.

E drejta për të kufizuar përpunimin e të dhënave

Individët kanë të drejtë të kërkojnë që të dhënat e tyre të ruhen por të mos përdoren apo ndryshohen nga kompania me të cilën po ndërveprojnë.

E drejta për të kundërshtuar

Kjo u lejon individëve të ndalojnë përdorimin apo përpunimin e të dhënave të tyre pa autorizim, për arsye marketingu. Ky parim nuk ka përjashtime, dhe nëse marketingu është në proces në momentin që individi merr masa mbi çështjen, ajo duhet të ndalohet menjëherë.

E drejta për t'u njoftuar

Nëse ka patur një shkelje që kompromenton të dhënat personale të një individi, ai duhet të njoftohet brenda 72 orëve mbi këtë ngjarje. Më pas individit duhet t’i paraqiten informacione të detajuara mbi shkeljen që ndodhi.

GDPR në Shqipëri

Bizneset që ndërveprojnë vetëm me kompani ose individë në Shqipëri dhe vende të cilat nuk janë pjesë e Bashkimit Europian, nuk duhet të shqetësohen për rregullat e GDPR.

Megjithatë, kur një kompani shqiptare ndërvepron me biznese ose individë që ndodhen në Bashkimin Europian, atëherë ajo duhet të jetë në pajtueshmëri me rregullat e GDPR.

Legjislacioni shqiptar për mbrojtjen e të dhënave, aktualisht po kalon një proces përafrimi me legjislacionin e Bashkimit Europian. Ky proces po ndodh pasi Shqipëria është në fazën e bisedimeve për anëtarësimin në BE.

Si të jeni në pajtueshmëri me GDPR

Më poshtë kemi renditur disa hapa fillestare që mund të ndërmarrë biznesi juaj, në mënyrë që të jeni në pajtueshmëri me rregullat e GDPR.

Hartoni të dhënat që vijnë në kompaninë tuaj

Hartoni nga vijnë të gjitha të dhënat personale që mund të përdoren nga biznesi juaj, dhe dokumentoni se çfarë do të bëni me këto të dhëna. Identifikoni se ku gjenden të dhënat, kush mund të ketë akses tek to, dhe nëse ka diçka që mund t'i rrezikojë. Kjo nuk është e rëndësishme vetëm për GDPR, por do t'ju ndihmojë edhe në përmirësimin e manaxhimit të marrëdhënieve me klientin.

Përcaktoni se cilat të dhëna do të ruani

Mos mbani më shumë informacion sesa është e nevojshme, dhe mos ruani të dhëna të cilat nuk do t’i përdorni. GDPR i inkurajon bizneset të trajnohen në seleksionimin e të dhënave, në mënyrë që t'a zhvillojnë procesin në mënyrë të kujdesshme.

Vendosni masa sigurie për të dhënat

Ju duhet të vendosni disa masa sigurie teknike dhe fizike, për të parandaluar rrjedhjen apo korruptimin e të dhënave personale të individëve. Gjithashtu, duhet të veproni shpejt për njoftimin e autoriteteve dhe individëve në rast se ndodh ndonjë shkelje.

Rishikoni kontratat dhe dokumentacionin

Rishikoni të gjitha kontratat dhe deklaratat në lidhje me privatësinë, dhe bëni përditësime ku është e nevojshme.

Krijoni procedura për trajtimin e të dhënave personale

Krijoni procedura dhe politika për trajtimin e secilën nga këto çështje:

  • Si mund të japin përdoruesit pëlqimin e tyre për ruajtjen e të dhënave personale në mënyrë ligjore?
  • Çfarë procedure do të ndiqet kur një përdorues kërkon që të dhënat e tij të fshihen?
  • Në ç'mënyrë do të siguroheni që të dhënat e përdoruesve janë fshirë nga të gjitha sistemet tuaja?
  • Si do të bëni të mundur transferimin e të dhënave, kur jua kërkon një përdorues?
  • Si do të konfirmoni që personi që ka kërkuar transferimin e të dhënave të tij, është personi që ai thotë se është?
  • Cilat janë planet e komunikimit dhe zgjidhjes me një individ, kur të dhënat e tij personale kanë pësuar shkelje?

Këshillohuni nga ekspertë

Nëse kompania juaj ka një numër të madh punonjësish, ose nëse kryeni përpunim të të dhënave me rrezik më të lartë, ju kërkohet të mbani një listë të detajuar të aktiviteteve tuaja të përpunimit. Gjithashtu, duhet ta përgatitni listën për t’ua treguar rregullatorëve sipas kërkesës.

Një pjesë tjetër e mbrojtjes së të dhënave, është të siguroheni që dikush në organizatën tuaj të jetë përgjegjës për pajtueshmërinë me GDPR. Ky person ka përgjegjësinë, për të vlerësuar politikat e mbrojtjes së të dhënave dhe zbatimin e tyre.

Nëse nuk dëshironi të punësoni dikë me kohë të plotë, mund të merrni konsulencë apo ekspertizë ligjore nga një jurist.

Plotësoni kërkesat e listës kontrolluese

Lista kontrolluese mund t'ju ndihmojë të kuptoni më mirë kërkesat e GDPR, dhe hapat që duhet të ndërmarrë biznesi juaj, për të zbatuar këtë rregullore. Këto kërkesa përmblidhen në kategoritë e mëposhtme:

  • Baza ligjore dhe transparenca
  • Siguria e të dhënave
  • Përgjegjshmëria dhe qeverisja
  • Të drejtat e privatësisë

Për më shumë detaje, vizitoni: https://gdpr.eu/checklist

Si ndikon GDPR në biznes

Pajtueshmëria me GDPR ka kosto të konsiderueshme për kompaninë tuaj, të cilat variojnë nga madhësia e kompanisë, sasia e të dhënave personale që zotëroni, dhe arsyet përse i përdorni ato.

Pavarësisht këtyre kostove, pajtueshmëria me GDPR i sjell biznesit tuaj edhe disa përfitime. Ajo ju ndihmon t'u komunikoni klientëve tuaj se jeni një kompani e besueshme, duke i bërë ata të duan të ndërveprojnë me ju pa kundërshtuar ndarjen e të dhënave të tyre personale.

Nga ana tjetër, ju mbron ndaj padive, pasi në rastet kur nuk jeni në pajtueshmëri me rregullat e GDPR, është më e lehtë të kërkohet që ndaj jush të merren masa ligjore.

Përmbledhje

GDPR është një rregullore Bashkimit Europian për privatësinë e të dhënave personale të individëve. Ajo duhet të zbatohet nga të gjitha kompanitë, pavarësisht vendndodhjes së tyre, që ofrojnë shërbime për organizata dhe individë të cilët ndodhen në Bashkimin Europian.

Ky legjislacion i ndihmon individët të kenë kontroll mbi të dhënat e tyre personale, në mënyrë që ato të mos keqpërdoren apo korruptohen. Pavarësisht kostove, të mos qënit në pajtueshmëri me GDPR, ju vë në rrezik ndaj padive dhe gjobave.

Pajtueshmëria me GDPR është e rëndësishme, pasi rrit besimin e klientëve në kompaninë tuaj, dhe rrjedhimisht përmirëson marrëdhëniet tuaja me ta.

Regjistrohuni në newsletter

Do të merrni artikuj me interes për bizneset online dhe faqet e Internet-it.
Dërgohet një herë në muaj.