Të dhënat personale
Në vendet e BE-së po dhe në vendet që kanë filluar negociatat sic është Shqipëria, privatësia e të dhënave konsiderohet si një e drejtë themelore, e mbrojtur nga rregullore strikte siç është rregullorja mjaft e njohur, Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave të Bashkimit Evropian (GDPR), e cila detajon të drejtat e subjekteve të të dhënave. Ndërkohë që në vendin tonë ligji nr. 9887, i vitit 2008 “Për Mbrojtjen e të Dhënave Personale” përkufizon ato që janë të dhënat personale dhe ato sensitive.
Të dhëna personale
Të dhëna personale - është çdo informacion për një person fizik, i cili është i identifikuar ose i identifikueshëm.
Elementet, me të cilat realizohet identifikimi i një personi, drejtpërdrejt apo tërthorazi, janë: emri i një individi, adresa, data e lindjes, gjinia, informacionet e kontaktit, numri i kartës së kreditit, fotografia, numri i identitetit, adresa IP ose të dhënat e vendndodhjes.
Të dhëna sensitive
Të dhëna sensitive - është çdo informacion për personin fizik, që ka të bëjë me origjinën e tij etnike, mendimet politike, anëtarësimin në sindikata, besimin fetar apo filozofik, dënimin penal, si dhe të dhëna për shëndetin dhe jetën seksuale.
Përpunimi i të dhënave
Përpunimi i të dhënave - është çdo veprim që kryhet plotësisht ose jo me mjete automatike, me të dhënat personale,
si grumbullimi, regjistrimi, ruajtja, renditja, përshtatja, ndreqja, këshillimi, shfrytëzimi, përdorimi, bllokimi, fshirja ose shkatërrimi apo çfarëdo veprim tjetër, si dhe transmetimi i të dhënave.
Pëlqim
Pëlqim - është deklarata specifike, e dhënë me vullnet të lirë nga subjekti i të dhënave personale për përpunimin e të dhënave të tij.
Kontrollues
Kontrollues - është çdo person fizik ose juridik, autoritet publik, agjenci apo njësi tjetër, të cilët, vetëm apo në bashkëpunim me të tjerë, mbajnë, përpunojnë, administrojnë, arkivojnë dhe për këtë shkak kontrollojnë të dhëna personale.
Përpunues
Përpunues - është çdo person fizik ose juridik, autoritet publik, agjenci ose çdo njësi tjetër, përveç punonjësve të kontrolluesit, që përpunojnë të dhëna për vetë kontrolluesin.
Zhvillimi i teknologjive 5G dhe IoT ka rritur domosdoshmërinë për garantimin e një niveli të lartë të sigurisë së të dhënave personale në përputhje me kërkesat e GDPR-së. Këto pajisje zakonisht mbledhin dhe transmetojnë informacione të cilat mund të klasifikohen si të dhëna personale, prandaj kërkesat e GDPR-së kanë ndikim tek zhvilluesit dhe certifikuesit e këtyre pajisjeve. Aktorët kryesorë që janë të përfshirë në përpunimin dhe mbrojtjen e të dhënave personale janë:
Në Shqipëri, është Autoriteti përgjegjës për implementimin dhe mbikqyrjen e zbatimit të legjislacionit në fushën e sigurisë kibernetike.
Gjithashtu, AKCESK, përcakton standardet minimale teknike për sigurinë e të dhënave dhe rrjeteve/sistemeve kompjuterike të shoqërisë së informacionit, në përputhje me standardet ndërkombëtare në këtë fushë, me qëllim krijimin e një mjedisi të sigurtë.
Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale kryen hetim administrativ dhe ka të drejtën e aksesit në përpunimet e të dhënave personale,
si dhe ka të drejtë të mbledhë të gjithë informacionin e nevojshëm për përmbushjen e detyrave të mbikëqyrjes; urdhëron bllokimin, fshirjen, shkatërrimin ose pezullon përpunimin e paligjshëm të të dhënave personale; jep udhëzime përpara se përpunimet të kryhen dhe siguron publikimin e tyre. Të gjithë institucionet publike dhe private detyrohen të bashkëpunojnë me Zyrën e Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, duke i siguruar të gjithë informacionin që ajo kërkon për përmbushjen e detyrave ligjore.
Ekipi i Përgjigjes ndaj Incidenteve të Sigurisë Kompjuterike (CSIRT) përbëhet nga specialistë të fushës së sigurisë kompjuterike pranë çdo operatori që administron infrastrukturën kritike të informacionit.
Për njoftimin për rrjedhjen e të dhënave, GDPR kërkon që kontrollorët të njoftojnë autoritetin kompetent për kete rrjedhje “pa vonesë dhe, kur është e mundur, jo më vonë se 72 orë pasi të kenë marrë dijeni për këtë, nëse shkelja e të dhënave personale nuk perben rrezik për të drejtat dhe liritë e individëve.”. Ndërsa ligji i sigurisë kibernetike, detyron njoftimin për rrjedhjen e të dhënave nëse ka një ndërprerje të konsiderueshme në ofrimin e shërbimit. Nuk ka sanksione për kompromentimin e informacionit specifik, siç ka sipas GDPR kur nuk janë mbrojtur të dhënat personale. Në vend të kësaj, ligji penalizon operatorët që nuk zbatojnë masat e duhura të sigurisë ose nuk njoftojnë autoritetet kompetente për një incident.
