Obligimet e kontrolluesit / përpunuesit
Kontrollues i të dhënave cilësohet çdo person fzik ose juridik nga sektori publik ose privat që individualisht ose së bashku me të tjerët përcakton qëllimet dhe mënyrat e përpunimit të të dhënave personale.
Përpunues i të dhënave cilësohet çdo person fzik ose juridik, nga sektori publik ose privat, i cili përpunon të dhëna personale për dhe në emër të kontrolluesit të të dhënave.
Kontrolluesi çdo herë duhet të ketë një bazë ligjore për pëprunimin e të dhënave perosnale që ky përpunimi të ketë legjitimitet. Baza ligjore për përpunimin e të dhënave perosnale përcaktohet në nenin 5 të LMDHP-së.
Kontorolluesi dhe përpunuesi çdo herë kur përpunojnë të dhëna perosnale kanë për obligim që të ndërmarrin masa teknike dhe organzative të që ofrojnë sigurinë e duhur për mbrojtjen e të dhënave.
Kontrolluesi çdo herë kur përpunon të dhëna perosnale të cilat i ka marrë nga subjekti i të dhënave, por edhe nëse këto të dhëna nuk i ka marrë nga ai, është i obliguar që të i jap informacione lidhur me përpunimim dhe të e njoftoj me të drejtat e subjektit të të dhënave të cilat janë të garantuara me ligj.
Kur kontrolluesi i të dhënave vendosë që përpunimin e të dhënave t’ia besoj një përpunuesi, duhet të sigurohet që të kontraktoj një përpunues i cili ofron garanci të mjaftueshme për të zbatuar masat e duhura teknike dhe organizative që përpunimi të bëhet në përputhje me ligjin si dhe të garantoj mbrotjen e të drejtave të subjektit të të dhënave.
Kontrata në mes të kontrolluesit dhe përpunuesit duhet të jetë në formë të shkruar që përcakton objektin dhe kohëzgjatjen e përpunimit, natyrën dhe qëllimin e përpunimit, tipin e të dhënave personale dhe kategorive të subjekteve të të dhënave dhe detyrimet dhe të drejtat e kontrolluesit.
Përpunuesi i të dhënave mund të veprojë vetëm brenda kufjve të autorizimeve të kontrolluesit të të dhënave dhe nuk mund të përpunojë të dhënat personale për qëllime të tjera. Agjencia ka vendosur klauzola standarde kontraktuale të cilat mund të i merrni KËTU. (linku për download)
Në rast të ndonjë shkelje të të dhënave personale, kontrolluesi, pa vonesë dhe sipas rastit, por jo më vonë se shtatëdhjetë e dy (72) orë nga informimi i shkeljes, duhet të njoftojë Agjencinë për shkeljen e të dhënave personale, përveç kur kjo shkelje nuk përbën ndonjë rrezik për të drejtat dhe liritë e personave fizik. Nëse përpunuesi vie në dijeni të shkeljes, pa vonesë të panevojshme duhet të lajmëroj kontrolluesin lidhur me këtë shkelje.
Nëse shkelja e të dhënave personale mund të rezultojë në një rrezik të lartë për të drejtat dhe liritë e personave fizik, kontrolluesi ia komunikon shkeljen e të dhënave perosnale subjektit të të dhënave pa vonesë të panevojshme.
Nëse përpunimi i të dhënave personale bëhet nga një institucion publik, atëherë kontrolluesi ose përpunuesi janë të obliguar të caktojnë një Zyrtar për Mbrojtjen e të Dhënave Personale dhe të i publikojnë hollësitë e kontaktit të këtij zyrtari. Çdo herë kur të caktojnë një zyrtar për mbrojtjen e të dhënave perosnale, apo kur të bëjnë ndonjë ndryshim lidhur me këtë, duhet që kontaktet e tij t’ia komunikojnë edhe Agjencisë.
Forma e lajmërimit të shkeljes së të dhënav (data breach notification) mund të shkarkohet këtu (linku për download)